Auditul sistemelorinformaticeCUPRINSCAPITOLUL 1:CADRUL INSTITUTIONAL AL AUDITULUII. AUDIT FINANCIAR – IFAC (INTERNATIONAL FEDERATION OFACCOUNTANTS) - FEDERATIA INTERNATIONALA A CONTABILILORII. AUDITUL SISTEMELOR INFORMATIONALE – ISACA (Information systemsaudit and control association)CAPITOLUL 2:RISCURI ASOCIATE SISTEMELOR INFORMATICERISCURILE ASOCIATE SISTEMULUI INFORMATIONALMODELUL CANTITATIV DE EVALUARE A RISCURILORRISCURI SI ACCIDENTE DECLANSATEMETODE DE MINIMIZARE A RISCULUICAPITOLUL 3:CONTROLUL GENERAL AL SISTEMELOR INFORMATIONALECONTROLUL CICLULUI DE VIATAOBIECTIVELE AUDITULUICONTROLUL SECURITATII SISTEMELOR INFORMATICEOBIECTIVE DE CONTROL DETALIATESECURITATEA SISTEMELOR INFORMATIONALESEPARAREA FUNCTIILOR INCOMPATIBILEAUTORIZAREA UTILIZATORILORCONTROLUL ACCESULUIETAPELE ATACULUI LA O RETEALIMITELE UNUI FIREWALLCOMPONENTELE FIREWALLARHITECTURI FIREWALLCONTROLUL SECURITATII FIZICECOPII DE SIGURANTA SI EVENIMENTE NEPREVAZUTECONTROLUL NIVELULUI OPERATIONALCAPITOLUL 4:CONTROLUL APLICATIILORCONTROLUL INTRARILOR, PRELUCRARILOR SI IESIRILORCONTROLUL SECURITATII APLICATIEICOLECTAREA SI EVALUAREA PROBELORBIBLIOGRAFIECapitolul 1CADRUL I NSTI TUTI ONAL AL AUDI TULUII . AUDIT FINANCIAR – IFAC (International Federation of Accountants) -Federatia Internationala a Contabililor- Standarde de audit financiar- Cadrul privind conduita etica si profesionala

- Declaratii de practica de audit- 1001 – MEDII CIS - Microcalculatoare- 1002 – MEDII CIS - Sistem de Microcalculatoare on line- 1003 – MEDII CIS - Sistem de baze de date- 1008 – Evaluarea riscurilor si controlul intern, caracteristici si considerenteCIS- 1009 – Tehnici de audit asistate de calculatorI I . AUDITUL SISTEMELOR INFORMATIONALE – ISACA (INFORMATIONSYSTEMS AUDIT AND CONTROL ASSOCIATION)- Standarde de audit al sistemelor informationale- Codul etic al auditorilor de sisteme informationale- COBIT (Control Objectives for Information and RelatedTechnology)- ISA 401 – Auditul intern - mediu cu sisteme informatice- IAPS 1003 – Mediul CIS – Sistem de baze de date- IAPS 1002 – Riscuri asociate auditului intern in CIS.3

LOCUL AUDI TULUI PRI VI ND PAD I NANSAMBLUL ACTI VI TATI LOR DE AUDI T DI N CADRULORGANI ZATI EIAudit managerialAudit financiarAudituljurnalelorcontabileAuditulaplicatiilorcontabileAudit PADAudit generalal SIAuditulDSOLFD LHL

Auditul contabilAudit intern4

COBI Treprezinta cadrul general de aplicabilitate a practicilor privind securitatea sicontrolul tehnologiei informationale.= enuntarea obiectivelor de atins prin implementarea unor masuri decontrol specifice unui domeniu particular de activitate a tehnologiilorinformationaleResurse folosite in IT :- Date (reprezentari si proiecte)- Aplicatii (suma procedurilor manuale si automatizate)- Tehnologia propriu-zisa (hard, soft de baza, retele de comunicatii)- Resurse umane- Facilitati (resurse de sustinere a sistemului informational)Criterii de evaluare a informatiei :

- eficacitate- confidentialitate- integritate- disponibilitate- realitate- oportunitateAUDITUL reprezinta o activitate de concepere a unui sistem careprevine, detecteaza si corecteaza evenimente ilicite in viata unei organizatii.5

Capitolul 2RI SCURI LE ASOCI ATE SI STEMELOR I NFORMATI CEManagementul riscurilor – procesul prin care se identifica si se cuantificaevenimentele ce pot genera pierderi unei organizatii.Riscurile asociate auditului financiar – Riscul de audita) – Riscul inerent general - riscul de management- riscul contabil- riscul de afacerib) – Riscul de control - o eroare sau un grup de erori cu impact semnificativnu a fost prevenita, detectata sau corectata la timp desistemul contabil sau auditul internc) – Riscul de nedectare - procedurile fundamentale de audit nu detecteaza oeroare semnificativa sau mai multe erori insumate cuefect cumulat semnificativd) – Riscul de esantionareAuditorul financiar trebuie sa ia in considerare modul in care un mediu CISafecteaza auditul.Riscul inerent si riscul de control intr-un mediu CIS poate avea particularitati :- Riscuri generate de deficiente ale mediului CIS- Cresterea potentialului de aparitie a erorilor si a activitatilor frauduloase specifice- O eroare individuala in mediul CIS poate afecta intregul ansamblu informational alintreprinderiiSursa – STANDARDE DE AUDIT FINANCIAR6

RI SCURI LE ASOCI ATE SI STEMULUI I NFORMATI ONALa) Riscurile de mediu - hardware si retele de comunicatii- sistem de operare- softuri de aplicatie- informatiile procesate de sistemb) Riscuri asociate mediului : - pericole naturale si dezastre- alterarea sau furtul aplicatiilor, datelor- erori umane sau tehnice- incompetenta manageriala- pierderi financiare previzibileRiscurile trebuie : - evaluate din punct de vedere al gravitatii efectelor lor- evaluate din punct de vedere al probabilitatiiprocedurilor- estimate financiar pentru fiecare aparitie a fenomenului si pe totalParticularitati ale sistemelor informatice in evaluarea riscului :A. Structura organizationala - Concentrarea functiilor si a cunostintelor- Concentrarea programelor si a datelorB. Natura procesarii - Absenta documentelor de intrare

- Lipsa unei dovezi vizibile a tranzactiei- Lipsa unor iesiri vizibile- Usurinta de a accesa datele si softurileC. Aspecte procedurale - consecventa executiei- proceduri de control programate- o tranzactie are efect in fisiere multiple- vulnerabilitatea mediilor de stocareRiscuri asociate unui sistem informatic :a) pierderea, deturnarea, modificarea informatiilorb) accesul neautorizat la informatiic) intreruperea procesarii7

MODEL CALI TATI V DE EVALUARE A RI SCURI LOR- ACCES FIZIC - COMPLEXITATE ORGANIZATIONALA- ACCES RETEA - FUNCTIILOR SISTEMULUI- PERSONAL- PERSONAL DE SPECIALITATE- MANAGERI- DOCUMENTATIE- CICLU DE VIATARISCUL ASOCIAT ACCESULUI FIZICNI VEL RI SC DESCRI EREMARE Resursele informationale sunt accesibile tuturor angajatilorMEDIU Resursele informationale sunt in birouri organizate cu acceslimitat de personalSCAZUT Resursele informationale sunt in zona cu acces strictcontrolatRISCUL ASOCIAT RETELEI DE COMUNICATI INI VEL RI SC DESCRI EREMARE Sistem conectat la reteaua publicaMEDIU Sistem conectat la retea privata. Comunicarea cu exteriorulcu linii dedicateSCAZUT Nici o conexiune cu mediulSursa : http://www.itandit.org/memberana/form/newitanditor/F213.na.htmRI SCURI SI ACCI DENTE DECLANSATE1. Eroare de operare - Acest risc genereaza 70-80 % din accidenteCazuri = 1980 – declansarea alertei nucleare in SUA 1992 – suspendarea activitatiicentralei nucleare in Pennsylvania.RISCVULNERABILITATE COMPLEXITATE FINANCIAR82. Functionarea defectuoasa a hardware-uluiCazuri = 1994 – functionarea defectuoasa a microprocesoruluiPENTIUM. Pierderea a 475 milioane USD.1994 (1 august) – NASDAQ nu a functionat 34 minute din cauza defectariiliniilor de comunicatie.1993 – 24 de cazuri de afectare a zborurilor aviatiei civileprin interferarea cu mijloacele electronice de la bord alepasagerilor.3. Functionarea defectuoasa a software-uluiCazuri = problema anului 20001999 – transferuri gresite de sume – BANK OF NW

5 milioane USD.4. Date eronate nedectate de sistemCazuri = Controlul automat imposibil pentru situatia :Varsta variaza intre 18 si 70 aniData reala 10/02/45Data eronata 10/02/541993 – indicele Down Jons a cazut cu 12 puncte dininterpretarea gresita a unei comenzi de vanzare :11 milioane USD 11 milioane actiuni.5. Riscuri asociate componentelor nonelectroniceCazuri = 1991 – operatorul AT&T nu a precizat prioritateacomunicatiilor pentru liniile aeriene – 102 minute nu aufunctionat radarele aeroporturilor din NW.6. Riscuri asociate performantelor inadecvate ale sistemuluiCazuri = 1987 – bursa din NW a calculat costul actiunilor in 2 ore (nuin timp real) deoarece volumul vanzarilor a fost de 500 deoperatii – de 3 ori mai mult decat normal.7. Riscuri asociate responsabilitatilor legaleCazuri = Romania. 87% din softuri sunt pirat.NIVEL DE VULNERABILITATERI Numar utilizatori autorizati SCUL ACCESI BI LI TATI IMARE MEDI U SCAZUTMajoritatea utilizatori autorizati MARE MARE MEDIU50 % utilizatori autorizati MARE MEDIU SCAZUTNumar limitat de utilizatori autorizati MEDIU SCAZUT SCAZUTRiscul complexitatii organizationaleMARE -- Erorile din sistem afecteaza intreaga organizatieMEDIU – Erorile din sistem afecteaza anumite compartimenteSCAZUT – Erorile din sistem afecteaza un compartimentRiscul functiilor sistemuluiMARE – Functii multiple ce se intersecteazaMEDIU – Functii multiple independenteSCAZUT – Sistemul realizeaza o singura functie9Riscul asociat personaluluiMARE – Personalul nu a fost verificat inainte de angajare si nici in prezentMEDIU – Personalul este verificat imediat dupa angajareSCAZUT – Personalul este verificat inainte de angajareRiscul asociat personalului de specialitateMARE – O singura persoana se ocupa de tot sistemulMEDIU – Exista 2-3 persoane ce asigura functionarea si intretinerea sistemuluiSCAZUT – Exista mai mult de 3 persoane implicate in functionarea sistemuluiRiscul asociat managerilorMARE – Nici o preocupare a managerilorMEDIU – Manageri preocupati numai de securitatea sistemelorSCAZUT – Manageri implicati activ si constant in asigurarea securitatii ca urmare aevenimentelor produse in trecutRiscul asociat ciclului de viataMARE – Sistem implementat de cel mult un an si durata de viata este de cel putin 20 aniMEDIU – Sistem cu durata de viata mai mare de 4 aniSCAZUT – Sistem cu durata de viata intre 1-4 aniRiscul asociat documentatiei

MARE – Nu exista documentatieMEDIU – Documentatia exista, dar nu reflecta realitatea din sistemSCAZUT – Documentatia este actualizata si este disponibilaExista softuri specializate in evaluarea riscurilor :RI SK – Simularea riscurilorBUDDY SYSTEM – Analiza securitatii si managementul riscurilorRI SK PAC – Sistem expert pe baza de chestionar.Surse : www.palisade.comwww.buddysystem.net/html/product.shtmlhttp://computers.software-directory.com10

MODELUL CANTI TATI V DE EVALUARE A RI SCURI LORA. FACTORII DE RISC- AMENINTARI (A) – evenimente exterioare sistemului- VULNERABILITATI (V) – puncte slabe ale sistemului- IMPACT (I ) – consecinteRI SC = A x V x IClasificare calitativa - RISCMARE 3- RISCMEDIU 2- RISC REDUS 1- RISC INEXISTENT 0iaRI SCUL GENERAL = valori intre 0 si 27B. FACTORII DE RISC SI ELEMENTE COLATERALE- pierderea anticipata anualizata PAA- rata aparitiei RA- factorul de vulnerabilitate FV- pierderea potentiala PP- riscul unei singure pierderi RSPPAA = RA x PP x FVCalculat pentru fiecare pereche activ – amenintareTipuri de pierderi :Fraude realizate prin intermediul sistemuluiDivulgarea neautorizata de informatiiFurturi de echipamenteDistrugerea fizica a echipamentelorMETODE DE MI NIMI ZARE A RI SCULUIIMPERATIVE :- Creeaza din start un sistem informatic corect- Pregateste utilizatorii pentru procedurile de securitate- Odata sistemul pornit, mentine securitatea sa fizica- Securitatea fizica asigurata, previne accesul neautorizat- Avand controlul accesului, se asigura ca reluarile de proceduri sa fie corecte- Chiar daca exista proceduri de control, cauta cai de a-l perfectiona- Chiar daca sistemul pare sigur, auditeaza-l si identifica noi probleme desecuritate11- Chiar daca este foarte vigilent, pregateste-te de dezastreCAI :1. Dezvoltarea si modificarea sistemului de control- Orice modificare de soft trebuie verificata- Asigurarea documentatiei la zi

- Asigurarea cu softuri specializate antivirus la zi2. Pregatirea personalului pentru reducerea riscului- periodicitate- selectie3. Mentinerea securitatii fizice- acces fizic restrans4. Controlul accesului la date, hardware si retele- controlul operatiunilor vamale- definirea exacta a accesului privilegiat- eliminarea intruziunilor- parole- carduri ID- chei hardware- control – retinei, amprentei digitale palmare etc.1.ControlulsoftuluiSoft deverificatBibliotecaSoft2.Modificaresi testareasoftuluiSoft sidocumentatie3.Controlul softuluimodificat si documentatieiIstoricsistemSoft sidocumentatie4.Inlocuire12- criptare si decriptare date.Controlul accesului pe baza : - a ce stii- a ce ai- a ce esti- locului in care te afli.5. Controlul tranzactiilor- segregarea indatoririlor- validarea datelor- corectarea erorilor- Backup13

Capitolul 3CONTROLUL GENERAL ALSI STEMELOR I NFORMATI ONALEA. CONTROL LA NIVELUL MANAGEMENTULUI :

- evaluarea anuala a sistemului informational- directiile de dezvoltare- strategiile de dezvoltareB. CONTROLUL CICLULUI DE VIATA- Controlul initierii proiectului sistemului informational- Controlul analizei si proiectarii initiale a sistemului informational- Controlul achizitiei (dezvoltarii) sistemului informational- Controlul testarii sistemului informational- Controlul implementarii si conversiei sistemului informational- Controlul intretinerii sistemului informationalC. CONTROLUL SECURITATII SISTEMULUI- Responsabilitatea managementului- Separarea functiilor incompatibile- Controlul accesului- Controlul securitatii fizice- Controlul prevenirii efectelor dezastrelorD. CONTROALELE NIVELULUI OPERATIONAL- Controlul modului de operare- Controlul retelei de calculatoare- Controlul pregatirii si introducerii datelor in sistem- Controlul procesarii datelor- Controlul gestiunii mediilor de stocare- Controlul gestiunii aplicatiilor si a documentatiilor- Controlul asistentei tehniceE. EVALUAREA PERFORMANTELOR SISTEMULUI14

CONTROLUL CI CLULUI DE VI ATAI . Controlul initierii proiectului- Realizarea sistemului (achizitia) in corelatie cu dezvoltarea societatii- Determinarea costurilor, economicitatii sau alte avantajeAuditorul – membru al echipei de proiectareA. - STRUCTURAREA CORESPUNZATOARE A ECHIPEI DE LUCRUB. - REVIZUIREA ANALIZEI SISTEMULUI INFORMATIONAL EXISTENTC. - REVIZUIREA COSTURILOR NOULUI SISTEMD. - REVIZUIREA DOCUMENTATIEI PROIECTARII CONCEPTUALEI I. Controlul analizei si proiectarii initialeScop general - Sistemul dezvoltat (achizitionat) corespunde cerintelorutilizatoruluiA. - REVIZUIREA PROIECTULUI INITIALB. - ASIGURAREA DOCUMENTATIEIC. - REVIZUIREA SPECIFICATIILOR FISIERELOR SI INTRARILE ASOCIATED. - REVIZUIREA SPECIFICATIILOR ECHIPAMENTELORE. - REVIZUIREA COSTURILOR SI STANDARDELOR DE PROCESAREOrganizareaproiectuluiAnalizasistemuluiinformationalexistentStudii defezabilitateRaportul

studiuluiinitialAuditor A Auditor B Auditor C Auditor DOrganizareproiectProiectareaiesirilorProiectareaprocesariiProiectareafisierelorProiectareaintrarilorNecesarechipamenteEstimarecosturiA B C D15

OBI ECTI VELE AUDI TULUIDate de intrare - tipul- originea- volumul si cresterea anticipata- dependenta temporalaFisiere - tipul - principale- tranzactii- baze de date- modul de control si de arhivare- marimea si cresterea anticipata- frecventa actualizarii- relatiile cu fisierele din alte sistemeIesiri - tipul si continutul rapoartelor- volumul si cresterile anticipate- frecventa de raportare- suportul de prezentareAltele - necesar de hard- cerintele de securitate- cerintele legale (soft)- auditibilitatea (proceduri)I II. Controlul achizitiei (dezvoltarii) sistemuluia. Dezvoltarea integrala din interiorul organizatiei (in-house)b. Echipamente achizitionate de organizatie; soft de aplicatie achizitionat de la furnizor(outside)c. Aplicatie integrala la cheie (outsourcing)a. Este necesara proiectarea de detaliu cu interventia specifica a auditoruluib. Soft-ul se poate comanda in mod specificc. Criteriile foarte exacte de selectie ale furnizoruluiIV. Controlul testarii sistemului- testare paralela- testare pilotObiectivele auditului :- asigurarea ca sistemul functioneaza corect

- in cazul intreruperilor, se emit mesaje de documentare- nu exista prelucrari neefectuate16

V. Controlul implementarii sistemuluiObiectivele auditului :- controlul atribuirii responsabilitatilor la implementare- controlul standardelor de eficacitate a implementarii- controlul planului de implementare- controlul modului de implicare a utilizatorilor la implementareVI. Controlul intretinerii sistemuluiObiectivele auditului :- identificarea factorilor care genereaza necesitatea modificarii sistemului- controlul autorizarii executiei modificarii- controlul mecanismelor ce previn modificari neautorizateFactorii care impun modificari ale sistemului :- Aparitia de functii noi- Necesitatea modificarii raportarii- Modificari in cadrul legislativ- Aparitia de probleme neprevazute in proiectare

CONTROLUL SECURI TATI I SI STEMELOR I NFORMATI CEProcesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a protejasistemele impotriva folosirii, publicarii sau modificarii neautorizate, distrugerii sau pierderiiinformatiilor stocate.Securitatea sistemelor informatice este asigurata prin controale logice de acces, careasigura accesul la sisteme, programe si date numai utilizatorilor autorizati.Elemente de control logic care asigura securitatea sistemelor informatice :cerintele de confidentialitate a datelor;controlul autorizarii, autentificarii si accesului;identificarea utilizatorului si profilele de autorizare;stabilirea informatiilor necesare pentru fiecare profil de utilizator;controlul cheilor de criptare;gestionarea incidentelor, raportarea si masurile ulterioare;protectia impotriva atacurilor virusilor si prevenirea acestora;firewalls;administrarea centralizata a securitatii sistemelor;training-ul utilizatorilor;metode de monitorizare a respectarii procedurilor IT, teste de intruziune sirapotari.17

Obiective de control detaliateAsigurarea securitatii sistemelor informatice1. Controlul masurilor de securitateSecuritatea sistemelor informatice trebuie organizata astfel incat sa fie in concordanta cuobiectivele de afaceri ale organizatiei:includerea informatiilor legate de evaluarea riscurilor la nivel organizational inproiectarea securitatii informatice;implementarea si actualizarea planului de securitate IT pentru a reflectamodificarile intervenite in structura organizatiei;evaluarea impactului modificarilor planurilor de securitate IT, si monitorizareaimplementarii procedurilor de securitate;

alinierea procedurilor de securitate IT la procedurile generale ale organizatiei.2. I dentificarea, autentificarea si accesulAccesul logic la resursele informatice trebuie restrictionat prin implementarea unormecanisme adecvate de identificare, autentificare si acces, prin crearea unei legaturi intreutilizatori si resurse, bazata pe drepturi de acces.3. Securitatea accesului on- line la dateIntr-un mediu IT on-line trebuie implementate proceduri in concordanta cu politica desecuritate, care presupune controlul securitatii accesului bazat pe necesitatile individualede accesare, adaugare, modificare sau stergere a informatiilor.4. Managementul conturilor utilizatorConducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapideprivind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O proceduraformala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate.5. Verificarea conturilor utilizator de catre conducereConducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirmeperiodic drepturile de acces.6. Verificarea conturilor utilizator de catre utilizatoriUtilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vedereadetectarii activitatilor neobisnuite.7. Supravegherea securitatii sistemuluiAdministratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate desecuritatea sistemului sunt inregistrate intr-un jurnal, si orice indiciu referitor la opotentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.188. Clasificarea datelorConducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere algradului de confidentialitate, printr-o decizie formala a detinatorului datelor. Chiar si datelecare nu necesita protectie trebuie clasificate in aceasta categorie printr-o decizie formala.Datele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului deconfidentialitate.9. Centralizarea identificarii utilizatorilor si drepturilor de accesIdentificarea si controlul asupra drepturilor de acces trebuie efectuate centralizate pentrua asigura consistenta si eficienta controlului global al accesului.10. Rapoarte privind violarea securitatii sistemuluiAdministratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitateasistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele carepresupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatiitrebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta trebuie sa aiba accesnumai la informatiile care ii sunt necesare).11. Gestionarea incidentelorConducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate desecuritatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid siadecvat.12. I ncrederea in terte partiOrganizatia trebuie sa asigure implementarea unor proceduri de control si autentificare atertilor cu care intra in contact prin medii electronice de comunicare.13. Autorizarea tranzactiilorPolitica organizatiei trebuie sa asigure implementarea unor controale care sa verifice

autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia.14. Prevenirea refuzului de acceptare a tranzactieiSistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de niciun participant. Aceasta presupune implementarea unui sistem de confirmare a efectuariitranzactiei.15. I nformatiile sensibile trebuie transmise numai pe un canal de comunicatiiconsiderat sigur de parti, care sa nu permita interceptarea datelor1916. Protectia functiilor de securitateToate functiile organizatiei legate de asigurarea securitatii trebuie protejate in mod special,in vederea mentinerii integritatii acestora. Organizatiile trebuie sa pastreze secreteprocedurile de securitate.17. Managementul cheilor de criptareConducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentrugenerarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de criptarepentru a asigura protectia impotriva accesului neautorizat.18. Prevenirea, detectarea si corectarea programelor distructiveIn vederea protejarii sistemului impotriva aplicatiilor distructive (virusi), trebuieimplementata o procedura adecvata care sa includa masuri de prevenire, detectare,actiune, corectare si raportare a incidentelor de acest fel.19. Arhitecturi Firewall si conectarea la retele publiceIn cazul in care sistemul organizatiei este conectat la Internet sau alte retele publice,programe de protectie adecvate (firewalls) trebuie implementate pentru a proteja accesulneautorizat la resursele interne ale sistemului.20. Protectia valorilor electroniceConducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitivefolosite pentru autentificare sau inregistrare de date considerate sensibile (financiare).SECURI TATEA SI STEMELOR I NFORMATI ONALERESPONSABILITATIOrganizatia trebuie sa aiba o politica se securitate informationala.Responsabilitatile personaluluiAtributiile responsabilului cu securitateaClarificarea datelor si nivelurile de securitateControlul (auditul) intern al securitatiiPolitica de securitate se refera la tot personalul angajat :- standarde interne si principii privind securitatea S.I.- la nivel grobal- pe grupe (functii, sectii) de lucru- codul etic al angajatilor si pregatirea acestora.20

SEPARAREA FUNCTIILOR INCOMPATIBILE- Limiteaza erorile si fraudele- Creste probabilitatea detectarii fraudelorSepararea functiilor se realizeaza in domeniile :- initierea si autorizarea tranzactiilor- inregistrarea tranzactiilor-custodia activelorPersoane diferite pentru operatiile :- programare – operare- procesare date – pregatire- gestionar memorie externa – operator

- eliberare, multiplicare, distrugere informatii – autorizare- programare – administrare baza de date- responsabil securitate – orice alte activitati- controlul drepturilor de acces – alte functii (activitati)AUTORIZAREA UTILIZATORILOR1. Identificare : calculatorul recunoaste un potential utilizator al sistemului2. Autentificare : functia de stabilire a validitatii identitatii pretinse3. Autorizare : utilizatorului recunoscut i se permite accesul la resursele sistemuluiCONTROLUL ACCESULUIRiscurile accesului neautorizat :- Diminuarea confidentialitatii- Furtul informatiilor- Divulgarea neautorizata de informatii- Diminuarea integritatii informatiilor- Intreruperea functionarii sistemuluiControlul accesului in mediile publice utilizand FIREWALLImpune o politica de control a accesului intre doua retele.- Intreg traficul de date trece prin el- Este permisa numai trecerea autorizata prin politica locala de securitate- Sistemul insusi este imun la penetrare21- Monitorizarea comunicatiilor TCP/IP- Poate inregistra toate comunicatiile- Poate fi folosit la criptare.ETAPELE ATACULUI LA O RETEAI. Colectare de informatii- Protocol SNMP - examineaza tabela de rutare pentru un routerneprotejat- Programe TRACE ROUTE - ofera adresele retelelor si routelor intermediare spre otinta- Serverele DNS - pot fi interogate pentru a obtine informatii referitoarela tipul calculatoarelor, numele si adresele IP ascoiate- Protocol FINGER - informatii despre utilizatorii unui calculator gazda –login, nr. telefon, data ultimei conectari- Programul PING - determina daca un calculator e disponibilII. Testarea securitatii sistemelor- Program de scanare a securitatii sistemelor- ISS (INTERNET SECURITY SCANNER)- SATAN (SECURITY ADMINISTRATOR TOOL FOR AUDITING NETWORK)- Programe proprii pentru conectare la porturile specifice ale serviciilor vulnerabile.III. Accesarea sistemelor protejate- obtinerea accesului (privilegiat)- instaleaza SNIFEER – program de monitorizare a pachetelor din retea pentru aobtine nume de conturi si parole.Avantajele folosirii FIREWALL- Concentrarea securitatii la server sau nod de retea- Impunerea unei politici de acces la retea- Asigura protectia serviciilor vulnerabile NFS, MIS, FINGER- Monitorizeaza si furnizeaza statistici cu privire la folosirea reteleiLimitele unui FI REWALL- Restrictioneaza, blocheaza accesul la unele servicii TELENET, FTP- Protectie scazuta pentru atacuri din interior

- Protectie scazuta fata de virusi- Diminueaza viteza de comunicare cu exteriorul- Fiabilitate redusa datorita centralizarii.22

Componente FI REWALLA. ROUTER cu filtrare de pacheteRegulile de filtrare sunt impuse de administratorul sistemului.Criterii de organizare a filtrului :- Adresa IP a sursei- Adresa IP a destinatiei- Portul sursa TCP/UDP- Portul destinatie TCP/UDPB. SERVERELE PROXY = se interpun intre client si serverul REAL si permite transferul dedate conform politicii de securitate. Monitorizeaza toate comunicatiile.Realizeaza controlul la nivelul aplicatiei :- autentificarea utilizatorilor interni si externi- filtrarea individuala a operatiilor protocolului- monitorizareC. Poarta la nivel de circuit – este un proxy local.Functioneaza ca un filtru de pachet.ARHI TECTURI FI REWALLI. FIREWALL TIP FILTRU DE PACHETEPrincipii = tot ce nu este permis explicit este interzis.II. FIREWALL TIP CALCULATOR GAZDA PROTEJATEste format din = router de filtrare= statie bastion (proxy)III. FIREWALL TIP SUBRETEA PROTEJATA- doua routere de filtrare- statie bastion (proxy)OFERTE DE FIREWALL :NETWALL http://www.bull.comPIX FIREWALL www.cisco.comEAGLE www.raptor.comSUNSCREEM www.incog.com23

CONTROLUL SECURI TATI I FI ZI CEAuditorul verifica masura in care accesul fizic la date si resursele hardwaresunt restrictionate corespunzator :- Cum este restrictionat accesul fizic la facilitatile IT din firma?- Cum este restrictionat accesul la spatiile unde se afla echipamentele pe care serealizeaza prelucrarile?- Cum sunt protejate stocarile offline de date?- Cat de sigura, din punct de vedere informational, este scoaterea din uz acalculatoarelor si mediilor de stocare a datelor?Existenta unor programe gen Easy Recovery sau Lost & found care permitrecuperarea datelor sterse de pe mediile de stocare. Comanda UNFORMAT dinDOS.dificultatea asigurarii controlului accesului fizic la fiecare componenta hardwareextinderea lucrului in retea si a utilizarii sistemelor distribuite s-a caracterizat princoncentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane incontinuare important, el reprezentand o componenta a sistemului de securitate.

COPI I DE SI GURANTA SI EVENIMENTE NEPREVAZUTEAuditorul trebuie sa verifice daca la nivelul organizatiei exista :- Proceduri prin care sa se asigure functionarea sistemului in cazul caderiialimentarii cu energie electrica sau a cailor de comunicatii.Exista sectoare “sensibile” – bancar, bursier, securitatea statului, energetic etc.care impun asigurarea functionarii continue a sistemelor informatice ceea ceimplica existenta unor surse alternative de energie si/sau comunicatii.- Planuri bine testate si documentate, actualizate periodic prin care sa se asigureoperationalitatea sistemului informatic in conditiile producerii unor evenimenteneprevazute.- Proceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta sirefacerea starii sistemului in cazul “caderii” acestuia ca urmare a unor cauze hardsau soft.- Existenta unui contract de asigurare a organizatiei pentru evenimenteneprevazute.- Nivelul de instruire a personalului cu privire la procedurile aplicabile in cazulrealizarii periodice a copiilor de siguranta sau executarii procedurilor de criza incazul producerii dezastrelor.Dezastre :- actiuni cu scop distructiv produse intentionat sau nu, inclusiv VIRUSI- dezastre naturaleConceptul de BUSINESS CONTINUITY MANAGEMENT (BCM) :anticiparea incidentelor care pot afecta functiile critice si procesele organizatieiasigurand ca organizatia va raspunde oricarui incident conform planurilor elaborate panala revenirea activitatii la o desfasurare normala.functia IT este una fin functiile critice ale organizatiei.plan de actiune care cuprinde proceduri si persoanele responsabile cu punerea inpractica a actiunilor de limitare a distrugerilor si refacerea sistemului :24Stabilirea echipei responsabile cu realizarea unui plan de refacere asistemului formata din personalul din compartimentul de specialitate,auditorul sistemului informatic, utilizatori.Elaborarea procedurilor de verificare a principalelor componente alesistemului (date, soft, hard, documentatii) in cazul produceriievenimentelor distructive si stabilirea responsabilitatilor.Stabilirea locatiilor in care vor fi pastrate copiile de siguranta,documentatiile si componente hardware.Stabilirea prioritatilor privind procedurile ce trebuie efectuate.Stabilirea locatiei in care se vor executa procedurile.Testarea planului pe elemente componente.Documentarea planuluiNu toate incidentele (evenimentele distructive) pot fi anticipate prin BCMPlanificarea continuitatii activitatii in cadrul organizatiei implica aspectele functiei IT :Ce a facut managementul privitor la riscul de “cadere” a sistemului si fatade scenariul de dezastre.Cum sunt testate si actualizate planurile de continuitate a activitatii :- Revederea planurilor existente- Sunt clar precizate responsabilitatile?- Care este nivelul de instruire a personalului implicat?NOTA : “Riscul” anului 2000 a reprezentat un eveniment pentru care BCM a trebuit saprevada un plan de actiune.Refacerea in cazul esecului operational

Auditorul verifica :- daca sunt stabilite proceduri adecvate in cazul producerii unor esecurioperationale- daca aceste proceduri sunt verificate si aprobate de staff-ul IT- daca aceste esecuri operationale sunt identificate, rezolvate la timp,comsemnate si raportate- in ce masura echipamentele sunt adecvat plasate si protejate pentru a sepreveni riscul distrugerii accidentale (foc, fum, praf, vibratii, radiatiielectromagnetice etc.)- in ce masura echipamentele sunt corect intretinute- ce controale exista pentru prevenirea esecurilor operationale produse din :cauze hardwareneaplicarea corecta a procedurilor de operareerori software- care sunt procedurile de RESTART si REFACERE (Recovery) pentrurefacerea starii sistemului in urma unui esec operational- in caz de incidente sunt evaluate actiunile operatorilor pentru a se vedeadaca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date.BACKUPActualizarile folosind backup-urile datelor (fisierelor), aplicatiilor sisoftware-ul de sistem trebuie sa fie posibile in caz de urgenta :- Sunt procedurile de backup (pentru date si soft) cele potrivite?- Sunt backup-urile corect jurnalizate si stocate in locatii sigure?25- Exista siguranta ca backup-urile si procedurile RECOVERY vor lucra lanevoie?- Datele din fisierele copii sunt acoperitoare pentru refacerea fisiereloroperationale?Frecventa realizarii copiilor este direct proportionala cu volumultranzactiilor si importanta datelor pentru organizatieConform procedurilor backup copiile pot fi :- partiale- totaleCea mai populara tehnica de backup este GFS (bunic-tata-fiu) :- se fac copii zilnice- copia zilnica se va rescrie in saptamana urmatoare- la sfarsitul saptamanii se realizeaza “copia saptamanii”(corespunde ultimei copii zilnice)- copia saptamanii se reface in luna urmatoare- la sfarsitul fiecarei luni se realizeaza “copia lunii”. Aceasta sereface in trimestrul sau anul urmatorSOFTWARE BACKUP- Copii ale sistemului de operare si ale aplicatiilor (se realizeaza in masura in carelicenta permite acest lucru)- Copiile trebuie pastrate in loc sigur (chiar alte locatii decat sediul firmei).HARDWARE BACKUP- Achizitionarea unui al doilea sistem care poate fi :Un sistem STANDBY HOT : poate prelua imediat functia sistemului operationalUn sistem STANDBY COLD : stocat separat si la nevoie conectat pentru a puteafi folosit- Incheierea unui contract cu o firma al carei sistem de procesare a datelor areaceleasi facilitati si poate sa suporte prelucrarile firmei al carui sistem nu mai este

operational- Apelarea la o firma care ofera servicii in acest domeniu- Contractele de service cu furnizorul hardware sa prevada furnizarea, pe timplimitat, a echipamentelor care vor inlocui pe cele avariate.SISTEME DUPLICATE :- specifice domeniilor cu risc mare : banci, burse, etc.- au locatii geografice separate pentru minimalizarea riscului de mediu- actualizarea simultana, prin tranzactiile curente atat a sistemuluioperational cat si pe cel duplicat.26

CONTROLUL NI VELULUI OPERATI ONALDistribuirea prelucrarii impune controlul la nivel operationalActivitati auditate :1. Operarea efectiva la postul de lucru- restrictionarea accesului- utilizarea eficienta a timpului de lucru- intretinerea si repararea echipamentului- cunoasterea si respectarea procedurilor de catre utilizatori2. Reteaua de calculatoare- Modul de monitorizare a traficului pe retea- Politica antivirus – server sau post de lucru- Controlul politicilor de acces si restrictionare- Protectia conexiunii la retele publiceAuditorul urmareste :Controlul retelei/accesului dial-up:Accesul de la distanta la SI (prin conexiunile la retea sau dial-up) trebuie sa fierestrictionate corespunzator:- Cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei?- Daca reteaua este mare, in ce masura este organizata pe domenii separate?- Daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) cecontroale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de reteapentru care sunt autorizati?- Cum sunt protejate transmisiile in retea?- Daca este corespunzator numarul de utilizatori dial-up?- Cum sunt autentificati utilizatorii dial-up?- In ce masura disponibilitatea facilitatilor dial-up este restrictionata la momentele de timp(zi/saptamana)?- Ce controale se folosesc pentru diagnosticul porturilor?Controlul conexiunilor externe la retea (Internet, EDI, EFT)- Conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii sicontroalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului- In ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei?- Cat de sigura este posta electronica a organizatiei?- Cat de bine este protejat gateway-ul dintre Internat si mediul firmei?-Ce controale exista pentru a preveni accesarea unor site-uri inadecvate?- Ce controale exista pentru a preveni navigarea neproductiva pe Internet apersonalului si in afara sarcinilor de serviciu?- Cat de bine sunt protejate conexiunile externe ale retelei pentru folosirea EDI siEFT?Solutia hardware si software a retelei trebuie sa asigure nevoile de disponibilitate,performanta si flexibilitate.

- Ce documentatie de retea este disponibila?27- Cum sunt aprobate modificarile din retea, controlate si testate?- Ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului deperformanta?3. Pregatirea datelor si introducerea in sistem- Pregatirea documentelor primareDatele sunt clasificate, grupate, verificate, sortate si transmise pentruprocesare.- Controlul introducerii datelorAcuratetea datelor depinde de :- calitatea controalelor- factorul uman- tipul echipamentelor folosite pentru introducerea datelor in system.4. Procesarea datelor- Acces autorizat pentru declansarea procedurilor- Respectarea termenelor si timpilor de procesare- Protejarea fisierelor- Pastrarea rezultatelor procesariiAuditorul va verifica cum managementul controleaza masura in care rolul siresponsabilitatile personalului implicat in procesarea datelor sunt cunoscute si respectate,focalizand pe procedurile de :- backup si refacerea sistemului- prelucarea pe loturi (batch) si/sau on-line. Asigurarea la timp a datelor necesareprelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sistemeinformatice (interne sau externe organizatiei)- intretinerea software-ului.Auditorul va urmari masura in care a asigurat documentatia necesara personalului implicatin procesarea datelor.5. Gestionarea mediilor de stocarePastrarea, utilizarea si intretinerea :- dischetelor- CD-urilor- HDD-urilor- casetelor cu banda (data cartdrige)- casetelor zipJurnalul de evidenta a mediilor de stocare cuprinde :- identificatorul (eticheta) mediului de stocare- localizarea curenta28- persoana responsabila (gestionarul)- data achizitiei- utilizatorul- fisierele/programele/aplicatiile continute- persoanele autorizate sa acceseze mediul- data ultima cand a fost folosit? De cine? Data restituirii?- data la care continutul poate fi stersCum sunt protejate stocarile offline de date?6. Gestionarea aplicatiilor si a documentatiei- modul de pastrare

- modul de acces- actualizarea documentatiei- copii de siguranta.7. Asistenta tehnica- modul de achizitionare a hardware-ului- instruire utilizatori- identificarea erorilor de procesare si modul de rezolvare- controlul soft-urilor- raportarea incidentelor.Managementul trebuie sa stabileasca nivelurile de service necesitate de utilizatori si sastabileasca politicile privind asigurarea acestora :- In ce masura corespund contractele de service existente nevoilor reale?- In ce masura service-ul asigurat raspunde cerintelor de securitate?8. Monitorizarea performantelorMonitorizarea performantei operationale si aprobarea procedurilor documentate.Managementul trebuie sa monitorizeze performanta privitoare la nivelele de service si aprocedurilor de operare.- Ce informatii primeste managerul pentru a-i permite sa monitorizeze stareamediului hard si terminarea la timp a prelucrarilor batch?- Cat de des se primesc aceste informatii?- In ce masura au existat probleme cu performanta componentelor hardware si/sauexecutarea la timp a prelucrarilor batch?- Ce monitorizare se desfasoara pentru verificarea operarii eficiente a calculatorului?- In ce masura au existat probleme cu neaprobarea unor proceduri definite pentruoperarea calculatorului?29

Capitolul 4CONTROLUL APLI CATI I LORCONTROLUL GENERAL – CONTROLUL APLI CATI I LOR- Controlul general asigura integritatea sistemului vazut ca un intreg, inclusiv executiaaplicatiilor si controlul fisierelor exploatate.- Controlul aplicatiilor asigura acuratetea, integritatea si completitudinea tranzactiilor.CONTROLUL APLI CATI I LOR- Obiectivele controlului raman aceleasi- Controalele derulate pot fi manuale sau automate.1. TIPURI DE CONTROALE- Controlul datelor de intrare- Controlul prelucrarilor- Controlul integritatii fisierelor- Controlul securitatii aplicatiei- Controlul iesirilor- Controlul fisierelor principale (MASTER FILES)2. UTILIZATORII APLICATIEI- proprietarul- administratorul- utilizatori curentiPROPRIETARUL- utilizator principal- are responsabilitatea aplicatiei- nu este implicat in executarea aplicatiei- deleaga sarciniADMINISTRATORUL

SARCINI:- sa sigure functionarea controlului logic asa cum s-a prevazut- sa asigure actualizarea controlului logic- sa verifice existenta backup-ului aplicatiei- sa rezolve cerintele utilizatorilor- sa asigure identificarea, monitorizarea si raportarea problemelor- pastrarea si distributia documentatiei- asigura legatura intre departementul IT, utilizatorii sistemului si firmasoftware furnizoare.30UTILIZATORII CURENTI- Aplicatia reprezinta un instrument de lucru pentru realizarea sarcinilor lor- Sunt instruiti cum sa foloseasca aplicatia pentru a-si realiza sarcinile deserviciu.3. CLASIFICAREA APLICATIILOR- Sisteme cu intrari de tip batch (loturi)- Sisteme cu intrari de tip batch si consultare online- Sisteme cu procesare pe loturi si consultare online4. AUDITOR – CONTROLUL APLICATIEI- Auditorul trebuie sa dopte o abordare eficienta si eficace a auditului- Auditorul trebuie sa cunoasca si sa inteleaga sistemul si controalele interne- Daca controalele acopera obiectivele auditului si par a fi robuste auditorul poate selectatestele considerate ca necesare.5. PLANUL DE AUDITContine :- obiectivele fixate- probele pe care auditorul se asteapta sa le obtina in urma auditului- amploarea (intinderea) testelor programate- ce se va considera ca esec al controlului- cate astfel de esecuri pot fi tolerate6. PROBELE- Probele pot fi sub forma :Listelor de control al accesuluiLimitelor autorizarilor automate ale utilizatorilorJurnalelor de securitateCererile de modificari si modul de solutionare a acestora etc.- Se obtin prin combinarea :ObservariiChestionariiExaminariiEsantionare (folosind tehnici asistate de calculator)7. CAT DE DEPARTE SA SEMEARGA CU TESTELE?- Rationamentul auditorului- Rationamentul ia in considerare:Frecventa controluluiGradul de incredere prezentat de controalele aplicatieiNatura probelor pe care auditorul urmareste sa le obtinaContinuitatea controluluiImportanta controlului si a tranzactiilor.31CONTROLUL I NTRARI LOR, PRELUCRARI LOR SI I ESI RI LORLA CE FOLOSESC CONTROALELE APLICATIEI?- Asigura completitudinea, acuratetea si validitatea inregistrarilor

- Controalele vizeaza : intrarile, prelucrarile, iesirile.RESPONSABILITATI- Cine are responsabilitatea acestor controale?- Sunt cele mai adecvate controale ?- Ce rol are auditorul IT?INTELEGEREA SI DOCUMENTAREA PRIVIND APLICATIILE FINANCIARE- Auditorul trebuie sa produca dovezi ca a inteles modul de functionare a SI si controaleleacestuia- Aceasta a obtinut cunoasterea si prin documentare asupra :Fluxului tranzactiilor prin sistemControalele aplicate intrarilor, prelucrarilor, iesirilor.- Auditorul trebuie sa identifice si sa cunoasca orice documentatie a aplicatiei existenta laclient.CONTROLUL I NTRARI LOREste folosit pentru a asigura ca toate tranzactiile sunt :- introduse corect- complete- valide- autorizate- aferente perioadei de gestiune curente- inregistrate corect in conturi (in cazul aplicatiilor contabile).AUTORIZAREA- Autorizarea controalelor reduce riscul erorilor, fraudei si tranzactiilor ilegale- Autorizarea poate fi controlata prin identificarea utilizatorului, care a introdus datele insistem, pe baza privilegiilor asociate ID-urilor utilizatorilor- Se introduc doar date autorizate? Cine si cum autorireaza datele de intrare?Validarea intrarilor- se poate realiza manual sau automat- controalele de validare trebuie sa asigure indeplinirea criteriilor de validare adatelor stabilite- reduce riscul introducerii de date incorecte¾ Maxima “garbage in – garbage out” atentioneaza asupra importanteiacuratetei datelor de intrare. Este mai eficient sa aloci resurse pentru32asigurarea acuratetei si completitudinii datelor de intrare decat sa fii nevoit sale corectezi in timpul sau, mai grav, dupa incheierea procesului de prelucraresi chair a depunerii situatiilor financiare.Controlul datelor de intrare trebuie adaptat la modalitatile diferite de introducere adatelor in sistem :- de la tastatura (unde riscul erorilor este mai mare)- scanarea documentelor- utilizarea perifericelor senzoriale- citirea barelor de cod- ATM-uri si terminale POS- EDI (ELECTRONIC DATA INTERCHANGE)- generarea automata a tranzactiilor (ex. : plati planificate, calcularea lunara adobanzilor)Nu toate intrarile prezinta un suport material (documente pe suport hartie), multe fiindin format electronic.In cazul preluarii automate sau generarii automate exista riscuri mai mici de eroare fata

de preluarea datelor prin tastare.Tipuri de controale aplicate asupra datelor de intrareCONTROLUL FORMATULUI- Se verifica :Natura datelorLungimea datelor trunchieriNumarul de zecimale admisAcceptarea valorilor negative sau doar a celor pozitiveFormatul datei calendaristiceAplicarea semnului monetarCONTROLUL DOMENIULUI DE DEFINITIE A ATRIBUTELORa) incadrarea intr-o multime de valori prestabilita (ex.: abrevierile judetelor, tipuri deunitati de masura, tipuri de documente)b) incadrarea intr-un interval de valori prestabilit (ex.: salariul angajatilor ia valori inintervalul [2.500.000, 30.000.000])c) validari ale realizarilor unor atribute diferite numit si testul dependentei logice dintrecampuri. Ex.: validarile privind corespondenta conturilor – contul X se poate debita doarprin creditarea conturilor A,B,C.d) testul “rezonabilitatii” datelor :- aceste teste verifica daca datele sunt rezonabile in raport cu un standard sau dateintroduse anterior. Datele standard pot fi stocate intr-un fisier sau pot reprezentaconstante definite la nivelul aplicatiei (ex.: un standard poate fi reprezentat de numarul deore lucratoare intr-o luna, stabilit in functie de zilele lucratoare si sarbatorile legale,nivelurile de dobanda practicate de banca etc.)33CONTROLUL ACURATETEI ARITMETICEPe baza unor date de intrare introduse de operator pot fi verificate elementelecalculate din documentul primarEx. : pe baza cantitatii si pretului unitar al unui articol inscris intr-o facturasistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoarea cuTVA si apoi totalul facturii operatorul putand confrunta aceste sume calculate cucele inscrise in factura.CONTROLUL EXISTENTEI DATELOR- Testul se refera in principal la validarea datelor de intrare reprezentand coduri. Estesuficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia sau unmesaj de eroare atentionand asupra introducerii unui cod incorect.TESTUL CIFREI DE CONTROL- se aplica asupra datelor de intrare reprezentand elemente codificate- urmareste rejectarea codurilor eronate introduse- cauza erorii la nivelul elementelor codificate poate fi :TrunchiereaAdaugarea unui caracter suplimentarTranscrierea incorecta a codului in documentul primarTranspozitia caracterelor la introducerea codului.- presupune determinarea cifrei de control aferente codului introdus prin aplicareaalgoritmului prestabilit. In masura in care cifra de control determinata automat nucorespunde celei incluse in codul introdus sistemul va trebui sa atentioneze printr-unmesaj corespunzator asupra erorii aparute.TESTUL TRANZACTIILOR DUPLICATE- sistemul admite introducerea repetata a acelorasi date?Ex. : introducerea repetata a unui aceluiasi document (factura, bon de

consum etc.).SOLUTIONAREA TRANZACTIILOR REJECTATE- cum se solutioneaza tranzactiile neacceptate de sistem (care nu au trecut testul devalidare)?- cine raspunde de verificarea acestor date de intrare si de reintroducere lor?- sunt generate liste continand intrarile rejectate?- daca aceste tranzactii sunt consemnate in documentele primare depistarea erorii estemai usoara si corectarea se poate