1

AUDITAREA SISTEMELOR INFORMATICE DE GESTIUNE

Sinteza cursului

UNIVERSITATEA SPIRU HARET Facultatea de Management Financiar Contabil Bucureşti Specializarea Contabilitate şi informatic ă de gestiune Anul III

Prof. univ. dr. Maria Andronie

Bucureşti

2

AUDITAREA SISTEMELOR INFORMATICE DE GESTIUNE

Audit (revizie) = „...control, verificare, revizuire... Formă de control (întreprinsă de obicei de organe speciale de control) care constă în revederea sau reverificarea documentelor de evidenŃă privitoare la operaŃii (contabile) care au avut loc anterior”.

DicŃionarul Explicativ al Limbii Române

OBIECTIVE

Cursul îşi propune să asigure studenŃilor masteranzilor facultăŃilor cu profil economic cunoştinŃele necesare economiştilor cu privire la auditarea sistemelor informatice folosite de organismele economice pentru gestionarea şi controlul resurselor şi activităŃilor desfăşurate.

Cursul nu îşi propune să ofere studenŃilor cunoştinŃe tehnice despre calculatoare şi sisteme informatice, ci să le prezinte cele mai semnificative moduri în care a fost afectată activitatea de audit de apariŃia sistemelor electronice de calcul şi de utilizarea acestora de către organismele economice.

INTRODUCERE

O discuŃie despre auditarea sistemelor informatice de gestiune trebuie să înceapă cu definirea Sistemului Informatic de Gestiune (SIG): Sistemul Informatic (SI) de evidenŃă şi control a activităŃilor şi bunurilor unui Organism Economic (OE). Sistemul informatic de gestiune prelucrează automat datele de evidenŃă şi control vehiculate în cadrul oricărui tip de organism economic.

Auditarea sistemelor informatice de gestiune constă în controlul activităŃilor sistemelor informatice de gestiune. Sistemul informatic de gestiune fiind un caz particular de sistem informatic, tehnicile şi mecanismele de auditare a sistemelor informatice sunt valabile şi pentru sistemele informatice de gestiune. De aceea, se va discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinzătoare.

Dezvoltarea rapidă a sistemelor de prelucrare automată a datelor, determinată de apariŃia şi evoluŃia tehnicii de calcul şi a software-ului specializat, a avut un impact foarte mare asupra modului de evidenŃă şi control al activităŃilor desfăşurate de organismele economice. EvoluŃia tehnologică a microcalculatoarelor de tip PC, din ce în ce mai performante şi mai ieftine, accesibile tuturor, a condus la dezvoltarea rapidă a aplicaŃiilor software dedicate (programe de contabilitate, de salarii, de evidenŃă a mijloacelor fixe, de secretariat etc.), utilizabile de nespecialişti în informatică şi, implicit, la utilizarea, pe scară largă, a sistemelor informatice bazate pe mediu PC. Astăzi, şi cele mai mici firme îşi pot permite să folosească, într-un fel sau altul, un calculator pentru evidenŃa resurselor utilizate (materiale, umane, financiare, informaŃionale) şi a activităŃilor desfăşurate în vederea executării de produse sau servicii pe care le oferă clienŃilor cu scopul realizării de profit. În aceste condiŃii, sistemele de gestiune şi prelucrare a datelor clasice (manual sau mecanic) sunt înlocuite, treptat, cu sisteme informatice. Şi, deoarece raportările financiare periodice sunt solicitate, obligatoriu, şi în format electronic (pe FloppyDisk sau prin e-mail), chiar şi organismele economice cu activitate foarte redusă (firmele foarte mici) trebuie să utilizeze o formă de sistem informatic, pentru generarea acestora, sau să apeleze la serviciile unui centru de calcul.

Sistemele informatice prelucrează datele introduse în sistem (intrările) conform unor algoritmi prestabiliŃi, determinaŃi de regulile de gestiune proprii fiecărui organism economic şi în conformitate cu reglementările şi legislaŃia în vigoare. Pentru a controla dacă rezultatele prelucrărilor efectuate în interiorul sistemului informatic utilizat respectă condiŃiile prestabilite şi ieşirile furnizate de acesta sunt cele solicitate de manageri, un organism economic, indiferent de volumul său de activitate, trebuie să folosească o formă de audit al sistemelor informatice.

Trebuie făcută distincŃie între auditul activităŃilor economice desfăşurate în cadrul unui organism economic şi auditul sistemului informatic utilizat de orga-nismul economic respectiv, pentru evidenŃa activităŃilor desfăşurate şi a bunurilor sale.

Auditul (controlul) activităŃilor economice desfăşurate de un organism economic urmăreşte: - evidenŃierea tuturor activităŃilor economice desfăşurate, prin înregistrarea corectă a acestora, pe

documente de evidenŃă şi control - suport de hârtie sau format electronic; - efectuarea prelucrărilor asupra datelor rezultate din activităŃile economice desfăşurate, în

conformitate cu regulile de gestiune internă ale acestuia, cu normele, reglementările şi legislaŃia în vigoare; - generarea tuturor rapoartelor şi situaŃiilor necesare factorilor de conducere (managerilor) pentru a

lua cele mai bune decizii;

3

- determinarea valorii taxelor şi impozitelor care trebuie plătite, conform legislaŃiei în vigoare; - întocmirea corectă a declaraŃiilor financiare, în conformitate cu legislaŃia în vigoare. Auditul (controlul activităŃilor) sistemului informatic, utilizat de un organism economic în

desfăşurarea activităŃilor sale economice, urmăreşte; - asigurarea corectitudinii, completitudinii şi preciziei datelor introduse în sistem, deoarece

afectează rezultatele prelucrărilor efectuate de acesta; - asigurarea corectitudinii prelucrărilor efectuate asupra datelor introduse în sistem, în sensul că

rezultatele acestora respectă regulile de gestiune specifice organismului economic respectiv şi legislaŃia în vigoare;

- asigurarea corectitudinii şi integrităŃii ieşirilor sistemului, în sensul că acestea sunt cele solicitate de managerii organismului economic respectiv şi de organismele de control financiar;

- asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv.

Prin urmare, în condiŃiile în care organismele economice folosesc în activitatea lor sisteme electronice de calcul, economiştii trebuie să fie pregătiŃi să lucreze într-un mediu aflat într-o continuă schimbare, în care prelucrările, evidenŃele şi controlul se fac folosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt instalate programele necesare şi imprimantă), până la sisteme informatice complexe, care includ reŃele de PC-uri şi echipamente periferice interconectate (intranet, internet, telecomunicaŃii etc.). Pentru a fi competitivi, ei trebuie să îşi îmbogăŃească cunoştinŃele cu informaŃii despre sistemele informatice folosite în mediul economic şi despre auditarea acestora.

1. SISTEMUL INFORMATIC

ApariŃia sistemelor informatice şi utilizarea acestora de către organismele economice au schimbat modul în care îşi desfăşoară activitatea economiştii, inclusiv auditorii, şi au impus acestora însuşirea unor cunoştinŃe minime despre:

- structura şi arhitectura calculatoarelor; - sistemele de calcul utilizate în sistemele informatice; - programele şi aplicaŃiile (software) utilizate de sistemele informatice; - posibilităŃile de calcul, evidenŃă şi control oferite de sistemele informatice utilizatorilor lor; - utilizarea sistemelor de calcul în activităŃile economice şi de audit; - proiectarea, realizarea şi utilizarea sistemelor informatice; - tehnicile de audit asistate de calculator; - tehnicile de integrare a procedurilor de audit în sistemele informatice etc. Sistemul informatic este partea automatizată a sistemului informaŃional din cadrul unui organism

economic. Sistemul informatic are funcŃia de prelucrare automată a datelor pentru obŃinerea informaŃiilor necesare fundamentării deciziilor şi pentru informare.

Pornind de la funcŃia sa, sistemul informatic are următoarea structură generală (model conceptual): • INTRĂRI: totalitatea datelor supuse prelucrărilor; • PRELUCRĂRI: totalitatea operaŃiilor efectuate asupra datelor pentru obŃinerea informaŃiilor care

stau la baza deciziilor; • IEŞIRI: rezultatele prelucrărilor efectuate asupra datelor. Ca arhitectură (model constructiv), sistemul informatic este alcătuit din: • HARDWARE: totalitatea sistemelor de calcul folosite pentru prelucrarea şi/sau evidenŃa datelor; • SOFTWARE: totalitatea programelor folosite pentru prelucrarea şi/sau evidenŃa datelor; • COLECłII ORGANIZATE DE DATE: Baze de Date – BD; mulŃimea datelor supuse

prelucrărilor şi/sau evidenŃei computerizate; • SISTEM DE COMUNICAłII: intranet, internet, telecomunicaŃii etc.; • RESURSE UMANE: personal tehnic, personal de exploatare, utilizatori etc.; • CADRU ORGANIZATORIC. Sistemul informatic este întâlnit, în literatura de specialitate, şi sub denumirea de sistem electronic de

prelucrare automată a datelor, deoarece, pentru prelucrarea automată a acestora, foloseşte sisteme electronice, digitale, de calcul.

Ca hardware, un sistem digital de calcul, numit calculator, este format din: – Unitatea centrală de prelucrare, compusă, la modul cel mai general, din: • unitatea de control, care execută instrucŃiunile programului de manipulare a datelor;

4

• unitatea de stocare, care memorează programul şi datele de manipulat; • unitatea aritmetică şi logică, care execută operaŃii aritmetice şi logice asupra datelor, cu o viteză

de neimaginat. – Echipamentele periferice de intrare şi/sau ieşire, conectabile la unitatea centrală de prelucrare prin

interfeŃe specializate, care pot fi: • de intrare (INput): asigură introducerea şi manipularea datelor de prelucrat în sistem şi

convertirea acestora într-un format intern calculatorului, numit cod sau limbaj maşină; exemplu: tastatură, mouse, scanner, cititor de carduri magnetice, casă electronică de marcat, terminal inteligent etc.;

• de stocare (memorare) a datelor (INput/OUTput): creşte capacitatea de memorare (date şi programe) a unităŃii centrale de prelucrare; cele mai utilizate sunt benzile şi discurile magnetice (memorii externe, nevolatile); discurile magnetice au avantajul accesului direct, lucru care permite localizarea rapidă a datelor; exemplu: HarDDisck, FloppyDisk, CD-ROM, CD-RW, DVD-ROM, DVD- RW etc.;

• de ieşire (OUTput): asigură prezentarea rezultatelor prelucrărilor efectuate de unitatea centrală de prelucrare, la ieşirea sistemului de calcul, într-un format sau limbaj cunoscut utilizatorului; exemplu: monitor, imprimantă etc.;

• de comunicaŃie: asigură transferul de date între sisteme de calcul diferite sau între un sistem de calcul şi echipamentele sale periferice; exemplu: modem, interfaŃă de reŃea etc.

Calculatoarele utilizate de sistemele informatice folosesc patru tipuri majore de software (programe): - software de sistem, pachete de programe utilitare care controlează şi coordonează componentele

hardware ale sistemului şi oferă suport pentru celelalte categorii de software; sunt scrise de specialişti în domeniu – informaticieni; exemplu: sistemul de operare = pachet de programe utilitare care controlează accesul la programele şi datele stocate în memoria (internă şi externă) calculatorului (fişiere de programe şi de date) şi menŃine un jurnal al tuturor activităŃilor acestuia; sistemul de operare joacă rolul cheie de interfaŃă om-maşină, fără el calculatorul ar fi o cutie nefolositoare; cel mai utilizat este sistemul de operare Microsoft Windows;

- limbaje de programare, folosite pentru scrierea celorlalte tipuri de software (scrierea de programe); acestea au evoluat de la limbajul cod maşină, numit program obiect, până la limbaje foarte asemănătoare vorbirii umane, numite limbaje de nivel înalt sau limbaje sursă; pentru conversia programelor sursă (limbaj de nivel înalt) în programe obiect (limbaj cod maşină) se folosesc programe specializate de translatare (traducere) cunoscute sub denumirea de translatoare sau compilatoare ; fiecare limbaj de programare de nivel înalt are propriul compilator; sunt scrise de specialişti în domeniu - informaticieni; exemplu: VisualBasic, Visual C++ etc.;

- software pentru dezvoltare de aplicaŃii , pachete de programe folosite în dezvoltarea de aplicaŃii specializate pentru informatizarea diferitelor tipuri de activităŃi; exemplu: Sisteme de Gestiune a Bazelor de Date - SGBD (Access, FoxPro, Delphi etc.), folosite pentru informatizarea activităŃilor economice, care gestionează volume mari de date, de acelaşi tip, asupra cărora se aplică operaŃii aritmetice ( +, -, *, /, medie aritmetică, medie geometrică) şi logice (NOT, AND, OR) simple; sunt scrise de specialişti în domeniu - informaticieni;

- software de aplicaŃie sau de utilizator, pachete de programe cu sarcini de prelucrare şi evidenŃă specifice unui tip de activitate; acesta poate fi:

a) independent de activitatea de bază a unui organism economic; este scris, de regulă, de organisme economice specializate în software de aplicaŃie şi este disponibil pe piaŃă, la preŃuri accesibile (în mod uzual, mai mici decât costurile de realizare de către fiecare utilizator în parte); exemplu: aplicaŃie de contabilitate (CIEL, MENTOR etc.), procesor de text (MicrosoftWord, CorelWordperfect etc.), procesor de tabele (MicrosoftExcel, Lotus, etc.); de obicei, firmele producătoare grupează software-ul de aplicaŃie pe domenii de activitate; exemplu 1: Kit-ul Microsoft Office, folosit în activitatea de secretariat, cuprinde:

• procesor de text Word, folosit pentru redactarea de documente; • procesor de tabele Excel, folosit pentru redactarea de tabele; • poşta electronică Outlook Express, folosită pentru comunicarea prin e-Mail; • SGBD-ul Access, folosit pentru gestionarea şi evidenŃa activităŃilor; • Programul de prezentare PowerPoint, folosit pentru redactarea documentelor de prezentare şi

publicitate; exemplu 2: Kit-ul Mentor, folosit în gestiunea activităŃilor economice, cuprinde:

• modul de contabilitate; • modul de gestiune a stocurilor;

5

• modul de salarii şi evidenŃă personal; • modul de evidenŃă a mijloacelor fixe; b) dependent de activitatea de bază a organismului economic, de regulile de evidenŃă şi prelucrare

specifice domeniului de activitate propriu acestuia sau impuse de managerii săi; pot fi scrise: - la comandă, de organisme economice specializate în software; în acest caz, economiştii

organismului economic respectiv trebuie să deŃină minimul necesar de cunoştinŃe de proiectare, realizare şi control al sistemelor informatice care să le permită să facă o comandă corectă şi să verifice programele respective, la recepŃie;

- de specialiştii angajaŃi ai organismului economic respectiv, economişti sau/şi informaticieni; în acest caz, economiştii trebuie să aibă suficiente cunoştinŃe de informatică, informaticienii trebuie să aibă suficiente cunoştinŃe din domeniu economic şi toŃi trebuie să înŃeleagă mecanismul de funcŃionare şi nevoile de calcul proprii organismului economic respectiv, pentru a proiecta, realiza şi testa sistemul informatic solicitat, în ansamblul său; exemple: aplicaŃie de urmărire producŃie (pentru o fabrică); aplicaŃie de evidenŃă studenŃi (pentru o universitate); aplicaŃie bancară, aplicaŃie de evidenŃă a activităŃilor de poştă, aplicaŃie de evidenŃă a activităŃilor de telecomunicaŃii etc.

Indiferent de mărimea şi complexitatea lor, sistemele informatice, ca sisteme de prelucrare automată a datelor, pot fi:

- Sisteme de procesare pe loturi: se caracterizează prin faptul că datele de intrare sunt adunate şi procesate periodic, în grupuri individuale; introducerea datelor în sistem (de la tastatura calculatorului) se face într-un compartiment specializat în culegerea de date; prezintă avantajul că un singur operator specializat poate introduce într-un singur calculator datele culese în mai multe locaŃii; prezintă dezavantajul că nu oferă utilizatorilor informaŃii de ultimă oră, la orice moment de timp; exemplu; strângerea datelor aferente vânzărilor dintr-o zi şi procesarea lor, la sfârşitul zilei respective.

- Sisteme on-line: permit accesul direct al utilizatorilor la date, pentru actualizarea sau consultarea lor din locaŃii diferite, aflate la distanŃă de sistemul de calcul în care sunt stocate; dacă datele sunt stocate iniŃial într-un fişier şi prelucrate periodic, sistemul respectiv prezintă:

• avantajele date de introducerea datelor direct în sistem, de către utilizatori nespecialişti şi efectuarea prelucrărilor de către un singur specialist;

• dezavantajul sistemelor de procesare în loturi, legat de nefurnizarea informaŃiilor actualizate în orice moment de timp (timp real); dacă datele se prelucrează imediat ce sunt introduse în calculator, direct de utilizatori, prin intermediul terminalelor aflate la distanŃă, sistemele se numesc on-line în timp real şi oferă utilizatorilor lor:

• avantajele date de furnizarea informaŃiilor de ultimă oră, bazate pe rezultatele prelucrărilor ultimelor date introduse în sistem şi de reducerea cantităŃii necesare de documente, prin eliminarea documentului sursă original folosit la introducerea datelor în calculator;

• dezavantajul schimbărilor produse, în structura procedurilor de audit intern, de necesitatea integrării unor tehnici de control suplimentare, încă de la proiectarea sistemului, care să asigure corectitudinea prelucrării datelor şi a rezultatelor obŃinute; exemplu: sistemul informatic on-line în timp real, implementat la o bancă, având mai multe filiale, permite unui operator, de la orice filială a acesteia, să actualizeze contul unui client prin înregistrarea depunerii/retragerii unei sume de bani direct, de la un terminal calculator.

- Sistemele tip bază de date, în care datele sunt stocate (memorate, înregistrate) o singură dată, într-o bază de date comună tuturor secŃiunilor aplicaŃiei (un singur fişier), stocat pe un suport de memorie externă (unitate de disc magnetic), cu acces direct; prezintă, faŃă de sistemele tradiŃionale de evidenŃă informatizată pe care le înlocuiesc, următoarele avantaje:

• elimină redundanŃa de date, produsă de gestionarea separată a datelor (în fişiere separate);

• are costuri de operare mai mici, pentru că elimină costurile suplimentare determinate de redundanŃa datelor;

• asigură consistenŃa evidenŃelor, deoarece toate informaŃiile pot fi actualizate simultan; • răspund rapid la cererile de informaŃii ale utilizatorilor, deoarece permit accesul direct al

utilizatorilor la datele stocate în sistem; - Sistemele de prelucrare distribuită a datelor sunt formate, de regulă, dintr-o mulŃime de sisteme de

calcul, de putere mai mică, plasate în diferite departamente sau locaŃii ale unui organism economic, care permit utilizatorilor să prelucreze datele la locul producerii lor, în vederea obŃinerii de informaŃii specifice

6

departamentului sau locaŃiei respective; aceste sisteme sunt conectate la un calculator central, de putere mai mare, numit server, care permite utilizatorilor să acceseze programele şi datele în comun; sistemul distribuit oferă conducerii accesul, în timp real, la întreg volumul de date vehiculate într-o perioadă de timp de organismul economic respectiv, cu posibilitatea de accesare selectivă şi prelucrare personalizată, folosind calculatoare localizate în departamentul de conducere.

Utilizarea sistemelor informatice în desfăşurarea activităŃilor lor economice şi/sau pentru evidenŃa şi controlul acestora oferă organismelor economice atât avantaje, cât şi dezavantaje.

Principalele avantaje oferite de utilizarea sistemelor informatice de către organismele economice sunt:

- îmbunătăŃirea preciziei rezultatelor prelucrărilor, prin eliminarea erorilor umane care pot apărea într-un sistem manual de prelucrare şi prin procesarea uniformă a datelor, pe măsura apariŃiei acestora;

- creşterea vitezei de procesare, prin prelucrarea automată a datelor şi eliminarea timpilor de prelucrare manuală a acestora, oferind utilizatorilor informaŃiile solicitate, în momentul când aceştia au nevoie de ele;

- eliminarea forŃei de muncă implicate în prelucrarea manuală a datelor, prin prelucrarea automată a acestora, folosind calculatorul;

- sporirea volumului de informaŃii oferite utilizatorilor într-un interval dat de timp, prin creşterea volumului de date prelucrat pe unitatea de timp determinată de prelucrarea automată a acestora;

- sporirea diversităŃii şi complexităŃii informaŃiilor oferite utilizatorilor, prin prelucrarea automată a datelor şi folosirea caracteristicilor grafice ale echipamentelor şi programelor disponibile.

Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor informatice în desfăşurarea activităŃilor lor, economice sau neeconomice (ştiinŃifice, de proiectare etc.), se numără:

- posibilitatea apariŃiei unor defecte hardware, care pot determina pierderea datelor şi, implicit, imposibilitatea de obŃinere, în timp util, a informaŃiilor bazate pe rezultatele prelucrării lor; pentru diminuarea efectelor produse de defectele tehnice, fabricanŃii integrează în echipamente protecŃii speciale;

- posibilitatea apariŃiei unor erori software, la nivelul programelor de aplicaŃie, care pot conduce la rezultate incorecte, neobservate de către utilizator, deoarece acesta nu are control direct asupra prelucrării datelor; pentru depistarea şi eliminarea acestui tip de erori, proiectanŃii integrează în programele de aplicaŃie protecŃii speciale;

- posibilitatea virusării programelor utilizate (software de sistem sau pentru dezvoltarea de aplicaŃii sau de utilizator), care poate determina pierderea sau alterarea datelor şi/sau programelor, conducând astfel la imposibilitatea utilizării lor; pentru eliminarea efectelor determinate de viruşi se utilizează pachete de programe (software) antivirus, puse pe piaŃă de producători software specializaŃi (Norton AntiVirus, MCAfee etc.);

- posibilitatea de apariŃie a unor erori de manipulare a datelor şi/sau a programelor, care poate determina pierderea şi/sau alterarea acestora, însoŃită de prelucrări greşite, şi, implicit, rezultate incorecte care pot trece neobservate atât de către operator, cât şi de către utilizator, deoarece aceştia nu au un control direct asupra prelucrărilor efectuate; pentru reducerea efectelor produse de neglijenŃa sau neatenŃia în manipularea datelor şi/sau programelor se impun măsuri adecvate de siguranŃă.

Prin urmare, capacităŃile de prelucrare şi precizia calculatorului nu asigură corectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor prelucrărilor, la nivel de operator sau utilizator, sunt necesare tehnici şi mecanisme speciale de audit, asistate sau nu de calculator, integrate sau nu în componentele sistemului de prelucrare automată a datelor utilizat.

Avantajele economice şi informaŃionale oferite de utilizarea sistemelor informatice în desfăşurarea activităŃilor lor sunt mult mai importante pentru organismele economice decât dezavantajele utilizării acestor sisteme, motiv pentru care acestea preferă să le folosească şi să ia toate măsurile impuse de necesitatea eliminării, reducerii sau compensării efectelor dezavantajelor respective.

2. CONTROLUL INTERN ÎNTR-UN SISTEM INFORMATIC

Auditarea (controlul) unui sistem informatic constă în efectuarea controlului intern în sistemul informatic respectiv, pentru verificarea corectitudinii rezultatelor prelucrărilor realizate în interiorul său şi a distribuirii acestora numai către utilizatorii autorizaŃi, în cazul în care distribuirea se face automat folosind sisteme de calcul.

Pentru efectuarea controlului intern într-un sistem informatic, se folosesc măsuri, metode şi tehnici de verificare a corectitudinii rezultatelor prelucrărilor realizate în interiorul său, cunoscute, în literatura de specialitate, sub denumirea de controale. Altfel spus, controlul intern într-un sistem informatic se realizează cu ajutorul controalelor.

7

Utilizarea unui sistem automat de prelucrare a datelor nu diminuează importanŃa controlului intern realizat în vederea asigurării corectitudinii rezultatelor prelucrărilor efectuate în interiorul acestuia. ApariŃia şi utilizarea sistemelor informatice determină însă folosirea unor măsuri şi metode de control specifice, care se adaugă metodelor tradiŃionale de auditare a sistemelor manuale şi/sau mecanice de prelucrare a datelor, deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor operaŃiunilor corelate din cadrul unui organism economic impune utilizarea unor controale specifice pentru asigurarea protecŃiei datelor la pierderi sau alterări şi pentru depistarea prelucrărilor eronate, efectuate în interiorul calculatorului. Exemplu: realizarea statului de salarii folosind calculatorul face posibilă rezolvarea tuturor problemelor legate de evidenŃa personalului prin adăugarea datelor de evidenŃă respective la înregistrarea aferentă fiecărui angajat; în acest caz, fişierul de personal cuprinde nu numai datele necesare realizării statului de salarii (salariul de încadrare, vechimea în muncă, sporuri, obligaŃii către bugetul asigurărilor sociale de stat - CAS, şomaj, sănătate, impozit etc.), ci şi date legate de pontaj (prezenŃă, concedii de odihnă, concedii medicale), de distribuŃia costurilor salariale pe compartimente, de studii, de locul de muncă şi funcŃia ocupată etc.; pentru protecŃia datelor de salarizare şi evidenŃă personal împotriva pierderilor voite sau accidentale şi/sau modificărilor neautorizate, accesul în sistemul automat de evidenŃă şi prelucrare a acestor date este controlat, prin parolă şi nivel de acces, formă de control specifică sistemelor automate de prelucrare a datelor.

În literatura de specialitate, controalele sistemelor informatice sunt clasificate în controale generale şi controale de aplicaŃie.

Controalele generale sunt măsuri de protecŃie a echipamentelor, datelor şi programelor care privesc toate aplicaŃiile unui sistem informatic şi pot fi de următoarele tipuri:

- controale organizatorice: măsuri organizatorice folosite pentru protecŃia la fraude, neatenŃie şi/sau neglijenŃă;

- documentaŃie de sistem, folosită pentru verificarea funcŃionării sistemului, în conformitate cu cerinŃele utilizatorului, specificate în proiectul de execuŃie;

- controale hardware (controale de echipament): măsuri de protecŃie la defecŃiunile tehnice; - controale de siguranŃă (echipamente şi fişiere): măsuri de protecŃie la pierdere, distrugere sau

alterare, la accesul neautorizat sau la calamităŃi (apă, foc etc.). Controalele de aplicaŃie sunt tehnici de control specifice, integrate în software-ul de aplicaŃie

(utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea şi protecŃia datelor stocate în sistemul respectiv şi a rezultatelor prelucrărilor efectuate asupra acestor date. Se proiectează şi se realizează o dată cu fiecare sistem informatic.

Principalele tipuri de controale de aplicaŃie sunt: - controale de intrare: măsuri de asigurare a corectitudinii intrărilor sistemului; - controale de prelucrare: măsuri de asigurare a corectitudinii prelucrărilor efectuate în interiorul

sistemului; - controale de ieşire: măsuri de asigurare a corectitudinii ieşirilor sistemului. Majoritatea erorilor identificate în rezultatele finale ale prelucrărilor efectuate de sistemele

informatice provin din software-ul de aplicaŃie (de utilizator) folosit sau din introducerea eronată a datelor. Din acest motiv, controalele de aplicaŃie joacă un rol major în asigurarea unui control intern eficient în sistemul informatic.

2.1. Controale organizatorice în sistemul informatic

Controalele organizatorice sunt metode şi tehnici de organizare a activităŃilor desfăşurate de organismele economice, folosite pentru prevenirea pierderilor şi/sau alterărilor de date determinate de fraudă, neatenŃie şi/sau neglijenŃă, în vederea asigurării unui control intern eficient în sistemele de prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt:

• definirea clară a funcŃiilor, urmată de definirea şi separarea clară a sarcinilor angajaŃilor pentru fiecare funcŃie;

• rotaŃia angajaŃilor pe funcŃii şi vacanŃe obligatorii; • selecŃia angajaŃilor care au acces la echipamentele şi programele sistemului informatic şi

acordarea unui spor de fidelitate.

2.1.1. Definirea clară a funcŃiilor, urmată de definirea şi separarea clară a sarcinilor şi responsabilităŃilor (răspunderilor) angajaŃilor pentru fiecare funcŃie, joacă rolul-cheie în asigurarea controlului oricărui tip de sistem de prelucrare şi evidenŃă a datelor (manual, mecanic, semiautomat sau automat), deoarece protejează organismul economic împotriva pierderilor de date, care conduc la alterarea rezultatelor prelucrărilor. Pentru asigurarea unui control intern puternic într-un sistem de prelucrare şi

8

evidenŃă a datelor (manual, mecanic, semiautomat sau automat) din cadrul unui organism economic, nici un angajat nu trebuie să aibă sarcina şi răspunderea completă pentru efectuarea unei activităŃi; operaŃia executată de o persoană trebuie verificată de o altă persoană, care îndeplineşte o altă sarcină, vizavi de activitatea respectivă. Separarea sarcinilor între angajaŃi diferiŃi asigură corectitudinea înregistrărilor de date (pe hârtie sau suport magnetic) şi a rapoartelor, protejând totodată organismul economic respectiv împotriva pierderilor de date determinate de fraude sau neglijenŃe.

Schimbările produse de utilizarea unui sistem automat de prelucrare a datelor în organizarea activităŃilor desfăşurate de un organism economic trebuie să urmărească atât folosirea eficientă a echipamentelor şi programelor componente ale sistemului informatic, cât şi asigurarea unui control intern puternic în cadrul acestuia.

Trecerea de la prelucrarea manuală sau mecanică a datelor la prelucrarea automată a acestora permite unificarea activităŃilor şi integrarea funcŃiilor dintr-un domeniu de activitate, deoarece un singur calculator poate executa, cu uşurinŃă, toate operaŃiile corelate din cadrul unui organism economic. Acest lucru este posibil, fără slăbirea controlului intern, pentru că un calculator programat corect nu are posibilitatea sau interesul să ascundă erorile şi de aceea poate efectua orice combinaŃie de funcŃii considerată incompatibilă de un control intern puternic într-un sistem tradiŃional de prelucrare a datelor (manual sau mecanic). łinând cont şi de faptul că într-un calculator programele şi datele se pot modifica fără a putea fi observat acest lucru, se impune folosirea unor controale organizatorice compensatoare pentru asigurarea siguranŃei programelor şi a datelor în vederea obŃinerii unor rezultate corecte ale prelucrărilor efectuate în interiorul sistemului informatic. De exemplu, într-un sistem manual de prelucrare a datelor, funcŃia de înregistrare a plăŃilor, în numerar, este incompatibilă cu funcŃia de verificare a extraselor de cont, deoarece cea de-a doua serveşte ca metodă de verificare pentru prima, atribuirea ambelor sarcini aceluiaşi funcŃionar permiŃând acestuia să ascundă erorile. Dacă cele două funcŃii, de înregistrare a plăŃilor şi de verificare a extraselor de cont, sunt efectuate de un calculator, ele devin compatibile, deoarece calculatorul, programat corect, nu ascunde erorile. Dar, un programator poate modifica programul astfel încât să fie înregistrată o plată fără bază reală, motiv pentru care acesta nu trebuie să îndeplinească şi funcŃia de înregistrare a plăŃilor.

Pentru folosirea eficientă a fiecărui calculator din dotare, organismele economice combină şi concentrează funcŃiile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatică sau centru de calcul sau centru de prelucrare automată a datelor. Dacă funcŃiile combinate şi/sau concentrate la nivelul departamentului de informatică sunt considerate incompatibile din punctul de vedere al unui control intern puternic, se realizează controale organizatorice compensatoare la nivelul planului de organizare al departamentului informatic respectiv, deoarece într-un sistem informatic programele şi datele pot fi schimbate, fără a se observa modificarea lor. Planul de organizare al departamentului informatic trebuie astfel conceput încât să prevină intervenŃia neautorizată a factorului uman în procesul de prelucrare automată a datelor, să prevină accesul neautorizat al personalului la echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clară a funcŃiilor în departament şi prin definirea şi separarea clară a sarcinilor angajaŃilor pentru fiecare funcŃie. De exemplu, un program utilizat să facă plăŃi poate fi proiectat să aprobe plata unui furnizor de materiale sau servicii numai dacă factura de plată a fost emisă pe baza unei comenzi şi dacă există o notă de recepŃie. Dar un angajat care are dreptul să facă modificări în programul de aplicaŃie poate efectua plaŃi, fără bază reală, către anumiŃi furnizori, dacă planul de organizare al departamentului informatic respectiv îi permite să facă şi plăŃi.

Un exemplu de structură organizatorică pentru un departament de informatică, bine definită din punctul de vedere al unui control intern puternic, cu definirea clară a funcŃiilor, prin separarea clară a sarcinilor şi responsabilităŃilor angajaŃilor pentru fiecare funcŃie, este prezentat în figura următoare:

DEPARTAMENT DE INFORMATICĂ

Control Pregătire date Arhivare Exploatare Programare Analiză

Director

Administrator sistem informatic

Conducere Departament informatică

9

Directorul departamentului de informatică (managerul) are sarcinile de a coordona activitatea departamentului de informatică şi de a autoriza tranzacŃiile pentru prelucrarea automată a datelor; dacă, din punct de vedere organizatoric, nu este constituit un compartiment specializat de informatică, această funcŃie poate lipsi.

Administratorul sistemului informatic are sarcinile de a supraveghea prelucrarea corectă a datelor şi stocarea (memorarea) acestora în sistem.

Grupul de analiză (proiectanŃii), care există numai în cazul organismelor economice cu domeniu de activitate specific sau cu putere economică mare având , în principal, următoarele sarcini de proiectare şi realizare a sistemului informatic:

- analiza sistemului informatic existent, dacă există; - definirea obiectivelor organismului economic şi a nevoilor de calcul aferente diferitelor

compartimente ale acestuia: • definirea cerinŃelor utilizatorului: la acest nivel se stabilesc datele pe care utilizatorul doreşte să le

prelucreze automat, prelucrările care se efectuează asupra acestora şi rezultatele lor, pornind de la sistemul de evidenŃă folosit (manual, mecanic, semiautomat etc.);

• prezentarea, în detaliu, a rezultatelor pe care trebuie să le ofere Sistemul Informatic utilizatorilor săi; stabileşte ce trebuie să facă Sistemul Informatic, nu cum va face (cum va realiza rezultatele pe care trebuie să le ofere utilizatorului);

• prezentarea cerinŃelor pe care trebuie să le îndeplinească produsul software de aplicaŃie şi condiŃiile pe care trebuie să le respecte;

- stabilirea mijloacelor necesare pentru realizarea sistemului informatic; - descrierea sistemului informatic, folosind diagrame şi instrucŃiuni detaliate. Grupul de programare (programatorii), care există numai în cazul organismelor economice cu

domeniu de activitate specific sau cu putere economică mare şi are următoarele sarcini: - realizarea schemelor logice necesare pentru scrierea programelor care rulează pe calculator,

bazându-se pe specificaŃiile întocmite de grupul de analiză; - scrierea (codificarea) programelor cerute, folosind limbaje de programare specializate

(VisualBasic, SQL, C++) cu compilatoarele aferente, SGBD-uri (FoxBase, Access, Oracle) şi programe utilitare;

- verificarea programelor folosind ca date de test fie înregistrări originale, fie înregistrări mostră şi corectarea erorilor de programare, dacă este cazul;

- întocmirea documentaŃiei necesare instalării aplicaŃiei software şi utilizării acesteia (instrucŃiunile de instalare pe calculator şi de operare).

Grupul de exploatare (operatorii) are următoarele sarcini: - folosirea aplicaŃiei software, în conformitate cu instrucŃiunile scrise de programatori; - sesizarea şi corectarea erorilor semnalate în timpul rulării programului; sistemul de operare şi

sistemul informatic se programează să păstreze o listă detaliată a tuturor intervenŃiilor operatorului. Grupul de arhivare programe şi date (fişiere de programe şi de date) are sarcinile de creare şi

întreŃinere a arhivelor de programe şi de date (de referinŃă) pentru a evita pierderea, distrugerea, folosirea neautorizată sau alterarea; dacă arhivarea se face pe calculator, operatorii sau utilizatorii sistemului informatic au acces la programele şi datele arhivate pe bază de parole de acces; calculatorul va menŃine automat un jurnal în care sunt notate datele de identificare a operatorului sau utilizatorului acestora şi momentele de folosire (an, lună zi, oră, minut şi secundă).

Grupul de pregătire a datelor: are sarcinile de pregătire şi verificare a datelor introduse în sistem, în vederea prelucrării.

Grupul de control are următoarele sarcini: - verifică şi testează toate procedurile de introducere a datelor; - monitorizează prelucrarea automată a datelor, folosind calculatorul; - verifică rapoartele de erori înregistrate de sistemul informatic şi efectuează teste de identificare a

cauzelor de apariŃie a acestora; - verifică rezultatele prelucrărilor şi le distribuie către utilizatori; - verifică jurnalul intervenŃiilor operatorilor, jurnalul utilizării bibliotecii de programe şi arhivelor

de date şi programe. Structura organizatorică a fiecărui organism economic şi numărul angajaŃilor de specialitate

disponibili determină gradul de separare a sarcinilor legate de proiectarea şi/sau realizarea şi exploatarea unui sistem informatic. Ca un minim necesar, funcŃia de programator, care necesită cunoştinŃe detaliate despre programul de aplicaŃie folosit, trebuie separată de funcŃia de operator, care deŃine controlul intrărilor

10

în programul respectiv. Dacă structura organizatorică a unui organism economic, care foloseşte pentru evidenŃa şi controlul activităŃilor sale un sistem informatic, permite unui angajat să realizeze atât sarcini de programator, cât şi de operator, se slăbeşte controlul intern, existând permanent posibilitatea de fraudă. Separarea activităŃii de exploatare de cea de programare este foarte importantă din punct de vedere al asigurării unui control intern eficient, deoarece un angajat care realizează ambele funcŃii poate face schimbări neautorizate în programul sistemului informatic, producând fraude. Istoria fraudelor computerizate arată că, de cele mai multe ori, persoanele implicate au intervenit în sistemul informatic, ca programator şi operator, controlând folosirea lui. De exemplu, dacă programatorul care a scris programul de identificare şi listare a tuturor conturilor clienŃilor ce extrag sume de bani mai mari decât limitele admise are acces la sistemul informatic al băncii ca operator, el poate modifica programul astfel încât depăşirea limitei de extragere admisă să fie ignorată, în cazul propriului său cont. Programatorul operator poate astfel extrage sume de bani din contul său, fără ca sistemul informatic utilizat să semnaleze administratorului acest lucru. Frauda nu poate fi descoperită până când programul nu este revizuit de un alt programator sau până când calculatorul nu se defectează şi lista conturilor cu depăşiri de limită trebuie pregătită manual.

Dacă structura organizatorică a unui organism economic permite accesul personalului de exploatare a sistemului informatic la activele organismului economic respectiv, se slăbeşte, în mod serios, controlul intern, în cazul în care nu sunt implementate măsuri de control (controale organizaŃionale) compensatorii.

De exemplu, dacă acelaşi angajat Ńine atât evidenŃa activelor unui organism economic folosind un sistem informatic, cât şi păstrarea (gestiunea) fizică a acestora, prin combinarea responsabilităŃilor corespunzătoare celor două sarcini se creează posibilitatea ca angajatul respectiv să ascundă sustragerea de active (bani, marfă etc.). De aceea, organismele economice care folosesc sisteme informatice pentru evidenŃa computerizată a activelor trebuie să limiteze, pe cât posibil, accesul personalului de exploatare la activele respective. Totuşi, personalul de exploatare al unui sistem informatic poate avea:

- acces direct la active; exemplu: dacă sistemul informatic este folosit pentru tipărirea cecurilor (acces direct la sume de bani);

- acces indirect la active; exemplu: dacă sistemul informatic este folosit pentru a genera ordine de livrare cu autorizarea de eliberare a mărfii (acces direct la marfa de livrare).

Ca măsură de control compensatorie se pot folosi documente şi totaluri pe loturi, lista cu numărul de documente şi totalul datelor semnificative pentru fiecare lot fiind pregătite în două departamente diferite ale organismului economic respectiv, pentru compararea rezultatelor. De exemplu, departamentul care autorizează tipărirea cecurilor trebuie să întocmească o listă cu numărul total de cecuri şi suma autorizată pentru fiecare, tipărirea acestora făcându-se în alt departament care, la rândul lui, întocmeşte o listă cu numărul de cecuri tipărite şi suma aferentă fiecăruia. Pentru fiecare lot, se compară totalurile realizate independent de cele două departamente diferite ale organismului economic respectiv: totalul calculat înainte şi după eliberarea cecurilor. Controalele compensatorii nu pot elimina, în întregime, riscul rezultat din faptul că personalul de exploatare a sistemului informatic are acces, direct sau indirect, la activele organismului economic. Din acest motiv, auditorii trebuie să ştie că, acolo unde personalul de exploatare a sistemului informatic are acces la active, frauda care implică utilizarea calculatoarelor poate fi mai mare decât în alte cazuri.

2.1.2. RotaŃia, pe funcŃii, a angajaŃilor care au legătură cu sistemul informatic implementat de un organism economic se face cu scopul de a evita schimbările neobservabile de date şi programe efectuate în calculator, fie din interes (fraudă), fie din neatenŃie sau neglijenŃă. Planul de organizare al unui departament de informatică trebuie să includă un mecanism de rotaŃie a sarcinilor şi vacanŃe obligatorii pentru angajaŃii săi, pentru că schimbarea programatorilor sau operatorilor (între ei) facilitează descoperirea modificărilor accidentale sau neautorizate de date şi programe. Rotirea, pe funcŃii, a angajaŃilor care se ocupă cu prelucrarea şi evidenŃa datelor asigură un control intern eficient în orice tip de sistem de prelucrare şi evidenŃă a datelor folosit de un organism economic, programelor din sistemele informatice corespunzându-le în sistemele tradiŃionale documentele scrise.

2.1.3. SelecŃia angajaŃilor care au acces la echipamentele şi programele sistemului informatic folosit de un organism economic, precum şi la datele vehiculate în cadrul acestuia, trebuie făcută pe baza unor criterii care elimină, pe cât posibil, posibilităŃile de fraudă şi producerea erorilor din lipsa cunoştinŃelor profesionale, din neatenŃie sau neglijenŃă; personalul de întreŃinere şi exploatare trebuie ales cu grijă, pentru a reduce posibilitatea de distrugere intenŃionată produsă de un angajat nemulŃumit.

Principalele criterii de selecŃie a personalului care are legătură cu sistemul informatic sunt:

11

- nivelul de pregătire profesională dovedit prin: diplome de studii, pregătire teoretică şi îndemânare practică, experienŃă dobândită în timp (vechime în domeniu), calificative obŃinute la locurile de muncă anterioare etc.;

- moralitate şi seriozitate demonstrate prin: cazier judiciar, înscrisurile din documentele de angajare (frecvenŃa şi motivele de schimbare a locurilor de muncă), recomandări de la locurile de muncă anterioare şi/sau de la alŃi specialişti în domeniu (profesori, colegi, cunoştinŃe) etc.;

- fidelitatea faŃă de organismul economic la care lucrează. SelecŃia atentă a personalului care se ocupă cu prelucrarea şi evidenŃa datelor din cadrul unui

organism economic este foarte importantă în realizarea unui control intern eficient, indiferent de tipul sistemului de prelucrare şi evidenŃă a datelor utilizat (manual, mecanic, semiautomat sau automat). Planul de organizare al unui organism economic, cu sau fără departament de informatică, trebuie să includă un spor de fidelitate pentru angajaŃii săi care lucrează în domeniul informatic pentru a evita fraudele computerizate, greu de depistat şi foarte periculoase pentru evoluŃia organismului economic respectiv.

Concluzie. Controalele organizaŃionale joacă rolul-cheie în asigurarea unui control intern puternic în cadrul unui sistem informatic, în vederea prevenirii fraudelor, care au implicaŃii majore asupra evoluŃiei oricărui tip de organism economic. Ele sunt destul de eficiente în prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele în complicitate, foarte dificil de depistat. Dacă un angajat-cheie al organismului economic conspiră cu alŃi angajaŃi în vederea comiterii unei fraude, controalele organizaŃionale interne care se bazează pe separarea sarcinilor şi rotirea angajaŃilor pe funcŃii devin inoperante. De exemplu, dacă persoane de conducere şi angajaŃi ai unui organism economic fac tranzacŃii fictive şi întocmesc documente false care susŃin aceste activităŃi, cu scopul de a induce în eroare auditorii şi organismele de control abilitate, orice structură organizatorică de control este ineficientă. Dacă nu sunt descoperite în timp util, fraudele în complicitate conduc la falimentul organismului economic respectiv.

2.2. DocumentaŃia sistemului informatic

Controlul intern eficient într-un sistem informatic impune întocmirea şi întreŃinerea unei documentaŃii care trebuie să cuprindă:

- aprobările pentru realizarea sistemului informatic iniŃial şi pentru toate modificările ulterioare ale acestuia;

- documentaŃia completă, care să descrie, în detaliu, sistemul informatic şi procedurile folosite de acesta pentru prelucrarea şi evidenŃa datelor.

DocumentaŃia completă, bine întocmită, a sistemului informatic creează condiŃiile de asigurare a unui control intern eficient, prin faptul că:

- pune instrucŃiunile de operare la dispoziŃia tuturor utilizatorilor şi operatorilor sistemului informatic, pentru eliminarea, pe cât posibil, a erorilor de operare;

- pune programele sursă la dispoziŃia programatorilor, pentru a crea posibilitatea de revizuire şi adaptare ulterioară a sistemului informatic la nevoile de calcul şi de control intern ale organismului economic respectiv;

- pune logica de programare a sistemului informatic la dispoziŃia auditorilor, pentru a permite identificarea schimbărilor efectuate în sistemul informatic respectiv şi a controalelor prevăzute prin program.

DocumentaŃia sistemului informatic trebuie să cuprindă: - descrierea completă şi inteligibilă a sistemului de prelucrare a datelor, inclusiv a diagramelor de

sistem; - descrierea naturii intrărilor şi ieşirilor; - descrierea operaŃiilor efectuate asupra datelor; - responsabilităŃile pentru introducerea datelor, corectarea şi reprocesarea datelor eronate,

realizarea sarcinilor de control etc. DocumentaŃia completă a unui sistem informatic este formată din: - Manualul de operare sau de utilizare, pentru uzul utilizatorului şi operatorului, care conŃine

instrucŃiuni de: • pregătire date pentru prelucrare şi introducere în sistem; • configurare şi folosire terminale şi echipamente periferice (monitoare, imprimante etc.); • întreŃinere programe componente şi date stocate (înregistrate) în interiorul sistemului. - DocumentaŃia programului, care conŃine o descriere completă a fiecărui program component al

sistemului informatic respectiv şi care trebuie să includă cel puŃin:

12

• prezentarea, în detaliu, a obiectivelor fiecărui program; • diagramele logice şi paşii importanŃi, pentru fiecare program; • lista şi explicaŃia controalelor asociate fiecărui program; • descrierea modului de organizare şi de arhivare a datelor; • exemple de ieşiri, inclusiv liste de erori; • listing-uri de program, în limbaj-sursă; • manualul cu instrucŃiunile de folosire, pentru fiecare program; • datele folosite pentru testarea şi depanarea fiecărui program. DocumentaŃia completă a sistemului informatic este necesară analiştilor de sistem, ingineri de sistem

şi programatori analişti, pentru depanare sau realizarea unor modificări. Operatorii calculatorului trebuie să aibă acces numai la manualul de operare, care conŃine instrucŃiunile pentru introducerea datelor în sistem şi pentru prelucrarea acestora. Dacă operatorii au acces la informaŃii de detaliu cu privire la software-ul de aplicaŃie utilizat, cresc probabilitatea şi posibilitatea ca aceştia să efectueze schimbări neautorizate în programul respectiv, care stau la baza fraudelor computerizate, cele mai periculoase pentru un organism economic.

DocumentaŃia completă a sistemului informatic utilizat de un organism economic este utilă şi auditorilor de sisteme informatice, pentru:

- determinarea logicii de prelucrare folosite de sistemul informatic auditat, în vederea identificării eventualelor erori de prelucrare produse în interiorul lui;

- determinarea schimbărilor (modificărilor) efectuate în sistemul informatic auditat, după instalarea acestuia;

- identificarea controalelor integrate în sistemul informatic auditat. În plus, informaŃiile cuprinse în documentaŃia unui sistem informatic ajută auditorii în dezvoltarea de

teste sau programe generalizate de audit, necesare pentru testarea sistemelor de prelucrare automată a datelor utilizate de clienŃii lor.

Concluzie. DocumentaŃia sistemului informatic este indispensabilă utilizării, dezvoltării şi auditării acestuia.

2.3. Controale hardware

Echipamentele digitale, componentele hardware ale sistemelor moderne de prelucrare automată şi de evidenŃă a datelor au, din construcŃie, o precizie foarte mare şi o fiabilitate foarte bună; prin urmare, toleranŃa de calcul nu produce erori în rezultatele finale ale prelucrărilor efectuate, iar defecŃiunile tehnice care determină alterări şi/sau pierderi masive de date şi programe sunt puŃine.

Pentru evaluarea corectă a fiabilităŃii echipamentelor digitale utilizate la implementarea unui sistem informatic, în vederea prevenirii pierderilor (de date şi programe) şi reducerii erorilor (în rezultatele finale ale prelucrărilor) produse de posibilele defecŃiuni tehnice ale acestor echipamente, economiştii, inclusiv auditorii, trebuie să cunoască controalele integrate de fabricant în fiecare tip de echipament, care sunt întâlnite în literatura de specialitate sub numele de controale hardware.

Cele mai întâlnite controale hardware sunt:

2.3.1. Ecoul: constă într-un semnal pe care echipamentul periferic îl trimite (returnează) către unitatea centrală de prelucrare, dacă a recepŃionat corect datele transmise de aceasta; prin ecou se verifică dacă echipamentul periferic se comportă în conformitate cu instrucŃiunile primite de la unitatea centrală de prelucrare.

2.3.2. Autodiagnoza: constă în folosirea unor tehnici şi proceduri hardware pentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac parte din sistemele de prelucrare automată a datelor, conŃin tehnici sau proceduri de autodiagnoză; exemplu: identificarea circuitelor de interfaŃă sau modulelor de memorie defecte, înainte ca sistemul să poată fi considerat valid, permiŃând astfel utilizatorului să evite utilizarea unui sistem defect (Post- Power On Self Test).

2.3.3. Verificarea prin duplicare: constă în realizarea fiecărei operaŃii de două ori şi compararea rezultatelor; în procesul dublu de verificare, cunoscut sub numele de citire după scriere, calculatorul citeşte datele, după transferarea lor în sistem, şi le verifică corectitudinea.

2.3.4. Verificarea parităŃii : constă în controlul sau verificarea parităŃii într-un sistem de calcul digital, modern, care prelucrează datele în serii de biŃi (cifrele binare 1 şi 0); controlul parităŃii se face prin compararea valorilor bitului de paritate, calculate înainte şi după un transfer de date, pentru a verifica dacă biŃi de date s-au modificat pe durata transferului; bitul de paritate, care conŃine suma tuturor biŃilor de

13

1(unu) pari sau impari, în funcŃie de construcŃia fiecărui echipament digital, este adăugat de fabricant la biŃii de date folosiŃi pentru reprezentarea numerelor sau caracterelor alfanumerice transferate între componentele unui sistem digital de calcul.

Concluzie. Asigurarea funcŃionării corespunzătoare a hardware-ului unui sistem modern de prelucrare automată a datelor, în vederea evitării pierderilor sau alterării de date şi programe, determinate de apariŃia unor defecŃiuni tehnice, impune nu numai folosirea controalelor hardware prevăzute de fabricantul echipamentelor, ci şi aplicarea unui mecanism de întreŃinere preventivă conceput de către organismul economic care utilizează sistemul informatic respectiv. Auditorii de sisteme informatice trebuie să cunoască nu numai controalele hardware integrate de fabricanŃi în echipamente, ci şi măsurile de întreŃinere preventivă folosite, împreună cu modul de aplicare a acestora.

2.4. Controale de siguranŃă

Fiecare sistem automat de prelucrare a datelor trebuie să dispună de controale pentru asigurarea siguranŃei:

• echipamentelor componente (hardware), pentru a nu fi deconfigurate (accidental sau voit), descompletate şi/sau distruse;

• programelor şi fişierelor de date, pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit.

Programele, componentele software ale sistemelor informatice moderne pot produce erori în rezultatele finale ale prelucrărilor efectuate automat şi în evidenŃele computerizate, deoarece pot fi distruse sau alterate cu uşurinŃă, accidental sau voit, blocând accesul utilizatorilor la volumele mari de date stocate în sistem şi, implicit, la informaŃiile obŃinute prin interpretarea rezultatelor prelucrărilor efectuate asupra acestora; de asemenea, permit foarte uşor distrugerea, alterarea sau pierderea, acciden-tală sau voită, a bazelor de date stocate şi gestionate de sistemul informatic, în con-diŃiile în care cel mai mare volum de muncă rezidă în crearea şi întreŃinerea acestora.

Principalele tipuri de controale de siguranŃă utilizate pentru protecŃia unui sistem informatic sau a componentelor acestuia, hardware sau software, sunt:

2.4.1. Programarea sistemului de operare al fiecărui calculator: • să întocmească un jurnal al utilizării tuturor echipamentelor periferice accesibile (ultimele

utilizări); aceasta asigură identificarea momentului ultimei utilizări corecte şi apariŃiei primului incident în utilizarea fiecărui echipament periferic în parte; exemplu: indică momentul în care s-a utilizat pentru ultima dată o imprimantă şi momentul în care aceasta a fost deconectată de la calculator (descompletarea sistemului);

• să emită un semnal de atenŃionare, dacă se fac tentative de acces repetat în sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor operaŃii care pot distruge datele sau pot genera anomalii în funcŃionarea sistemului respectiv; exemplu: utilizatorul este atenŃionat de sistemul de operare că operaŃia de formatare a unui disc magnetic (HardDisk, FloppyDisk etc.) determină pierderea programelor şi/sau datelor stocate pe acesta, dându-i posibilitatea să le salveze înainte de efectuarea operaŃiei respective.

2.4.2. Accesul utilizatorilor în sistemul informatic pe bază pe nivele de acces şi parolă individuală secretă; permite numai personalului autorizat să utilizeze programele componente şi datele stocate în sistem; exemplu: într-un sistem de prelucrare distribuită, în care datele pot fi alterate din orice locaŃie de unde se poate accesa sistemul, la fiecare punct de lucru sunt necesare măsuri suplimentare de control al accesului, pe bază de parole şi nivele de acces, pentru a preveni distrugerea datelor stocate în sistem şi a evita pierderea încrederii utilizatorilor în informaŃiile obŃinute pe baza rezultatelor oferite de întregul sistem.

2.4.3. Crearea funcŃiei de administrator al bazei de date, pentru protejarea acesteia la accesul neautorizat, de către organismele economice care utilizează sisteme informatice tip bază de date, administratorul unei baze de date are sarcina principală de administrare a accesului la baza de date, deoarece, din punctul de vedere al controlului intern într-un astfel de sistem, este foarte important ca baza de date să fie protejată împotriva accesului neautorizat; exemplu: administratorul bazei de date a clienŃilor (fişierul clienŃilor), care conŃine toate datele de identificare şi despre activitatea fiecărui client în parte, folosite de secretariat (pentru întocmirea contractelor), la departamentul de vânzări (pentru evidenŃa activităŃii clienŃilor respectivi), la serviciul contabilitate (pentru evidenŃa plăŃilor efectuate de acesta) etc., gestionează accesul utilizatorilor la baza de date respectivă.

2.4.4. Programarea fiecărei componente a software-ului de aplicaŃie utilizat de sistemul informatic:

14

• să emită un semnal de atenŃionare, dacă se fac tentative repetate de acces (prin folosirea unor parole incorecte), dacă se încearcă efectuarea unor operaŃii care pot distruge datele sau pot genera anomalii în funcŃionarea sistemului respectiv; exemplu: programul de aplicaŃie atenŃionează utilizatorul, printr-un mesaj, că operaŃia care urmează a se efectua asupra datelor poate fi produsă de un virus care le distruge, lăsându-i posibilitatea de a decide dacă operaŃia respectivă este sau nu cea programată;

• să întocmească o listă a celor mai recenŃi utilizatori: nume, parolă, data şi ora accesului; aceasta permite identificarea momentelor când s-au produs incidente şi a utilizatorilor care, prin modul de operare, determină anomalii în funcŃionarea Sistemului informatic, pierderi sau alterări de programe sau date, cu scopul de a afla informaŃii legate de incidentele respective, în vederea stabilirii posibilităŃilor de refacere a sistemului, şi de se ridica dreptul de acces tuturor celor care nu-l exploatează corect;

• să întocmească o listă cu ultimele operaŃii efectuate de fiecare utilizator; prin consultarea acestei liste se identifică operaŃia sau secvenŃa de operaŃii care produce anomalii în funcŃionarea sistemului informatic, pierderi sau alterări de programe şi/sau date, în vederea efectuării corecŃiilor care se impun.

2.4.5. Crearea unor copii de siguranŃă pentru toate componentele software utilizate de sistemul informatic (fişiere de date şi programe etc.), lucru care permite refacerea acestora, dacă sunt pierdute sau alterate. Din motive de securitate, copiile de siguranŃă se depozitează în locaŃii separate de original. De exemplu:

• benzile sau discurile magnetice, folosite pentru stocarea pe termen lung a datelor şi programelor de aplicaŃie, pot fi afectate de expunerea la căldură excesivă sau la un câmp magnetic sau, pur şi simplu, de trecerea timpului; de aceea, se recomandă crearea a 2 (două) copii de siguranŃă simultan şi transferul periodic al arhivelor de date şi programe de pe un suport magnetic pe altul; pentru siguranŃă, bazele de date trebuie mutate, la intervale regulate de timp, pe alte discuri sau benzi magnetice; cel mai fiabil suport pentru stocarea pe termen lung este, în prezent, CD-ul;

• în timpul utilizării, orice fişier (de date sau program) poate fi şters, din greşeală, sau poate fi distrus, în orice moment, de un virus; pentru refacerea rapidă a fişierelor pierdute sau distruse accidental, se recomandă păstrarea (salvarea) unei copii de siguranŃă (ultima versiune corectă şi/sau completă) în sistem (pe HardDisk) şi/sau în exteriorul acestuia (pe FloppyDisk sau pe CD); exemplu: în sistemele de procesare în loturi, fişierele care sunt actualizate periodic, numite fişiere master, se salvează respectând principiul de salvare numit bunic – tată – fiu, potrivit căruia fişierul master curent actualizat este fiul, fişierul master utilizat în actualizare (care a produs fiul) este tatăl şi fişierul anterior tatălui este bunicul; cele trei generaŃii de fişiere de date se vor depozita în locaŃii diferite, pentru a minimiza riscul pierderii tuturor;

• în timpul funcŃionării, orice sistem de calcul se poate defecta, producând pierderea sau distrugerea fişierelor stocate (memorate) în sistem (pe HardDisk); de aceea, pentru prevenirea pierderilor masive de date şi programe produse de defecŃiunile tehnice, se recomandă arhivarea acestora pe suport magnetic extern (FloppyDisk, CD-ROM, CD- RW, USB- flash etc.).

2.4.6. Măsuri de protecŃie la accidente sau sabotaj (foc, apă, distrugere etc.), care previn distrugerea accidentală sau deliberată a sistemului informatic, în întregul său, care constau, de regulă, în:

• limitarea accesului, în aria de desfăşurare a activităŃii, numai pentru personalul autorizat; intrările în locaŃiile destinate sistemului informatic trebuie să fie controlate de agenŃi de pază sau activate pe bază de cartelă de acces;

• construirea locaŃiilor destinate sistemului informatic (camera calculatorului) din materiale rezistente la foc, deasupra nivelului probabil de inundaŃie şi dotarea acestora cu aer condiŃionat, pentru a evita apariŃia defectelor tehnice şi a preveni deteriorarea suporŃilor magnetici de stocare a datelor şi programelor (benzi sau discuri magnetice) prin asigurarea unei temperaturi şi umidităŃi corespunzătoare în spaŃiul lor de funcŃionare.

Concluzie. Fără implementarea măsurilor de siguranŃă adecvate (controale de siguranŃă) nu este posibilă asigurarea unui control intern eficient într-un sistem informatic, deoarece acestea protejează la distrugere, alterare sau acces neautorizat atât sistemul, în ansamblul său, cât şi componentele acestuia.

2.5. Controlul intr ărilor

Controlul intrărilor constă în tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora în sistemul informatic. Aceste tehnici, numite controale de intrare, permit introducerea în sistemul informatic numai a datelor care sunt autorizate, corecte şi complete din punctul de vedere al evidenŃei şi controlului activităŃilor desfăşurate în cadrul organismului economic sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv.

15

2.5.1. Autorizarea introducerii datelor în sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai:

- personalului departamentului la care s-a întocmit documentul de evidenŃă şi control (suport material sau) pe care sunt înregistrate datele iniŃial; exemplu: Contractul/Comanda de vânzare/cumpărare, Factura de vânzare/cumpărare, Cererea de deschidere cont/acordare credit etc.; de regulă, personalul departamentului care gestionează şi prelucrează datele stocate (păstrate) într-un sistem de tip bază de date nu este autorizat să introducă date în sistemul respectiv; exemplu: angajaŃii departamentului de vânzare nu sunt autorizaŃi să introducă în sistemul de prelucrare automată datele de pe facturile întocmite de ei;

- personalului cu nivelul de acces corespunzător, pentru sistemele on-line în care datele se introduc direct, de la terminale aflate în locaŃii diferite, la distanŃă de sistemul de calcul în care sunt stocate şi/sau prelucrate;

2.5.2. Validarea intrărilor constă în aplicarea unor tehnici de verificare a corectitudinii şi completitudinii datelor, pe măsura introducerii lor în sistemul informatic; aceste tehnici, controale de validitate, pot fi de următoarele tipuri:

• test de limită: verifică corectitudinea datelor prin verificarea încadrării acestora între limitele (inferioară şi/sau superioară) prestabilite pentru fiecare tip de date, pe baza regulilor de gestiune proprii organismului economic sau legislaŃiei în vigoare; exemplu: salariul brut al unui angajat ≥ salariul minim brut pe economie;

• test de validitate: verifică autenticitatea datelor care se introduc în sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate într-un tabel numit tabel master; spre exemplu, Marca unui angajat trebuie să facă parte din mulŃimea mărcilor din tabelul master aferent, definit în sistem;

• număr de autocontrol: verifică precizia unui număr la introducerea în sistem sau după ce a fost transmis de la un terminal la altul, prin memorarea unei informaŃii redundante; exemplu: ultimele două cifre trebuie să fie suma celorlalte;

• mecanism de testare dublă: verifică corectitudinea unei date prin introducerea acesteia în sistem de două ori, în mod independent; exemplu: CNP-ul unui angajat; documentele sursă (suport material) convertite în formate citibile de către maşină (suport electronic - fişier).

Validarea intrărilor, prin aplicarea unor tehnici de verificare asupra datelor, la introducerea lor în sistem, asigură:

• corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de verificare, fiind rejectate toate cele care nu îndeplinesc condiŃiile impuse de testele de verificare respective;

• completitudinea datelor: sunt identificate datele care lipsesc şi sunt solicitate, până când sunt introduse, întrucât absenŃa lor nu permite obŃinerea rezultatelor sau evidenŃelor corecte pe care trebuie să le ofere sistemul informatic utilizatorilor săi (situaŃii, liste, rapoarte etc.) în vederea fundamentării deciziilor sau pentru informare.

Exemplu: asigurarea corectitudinii şi completitudinii datelor introduse în sistemele cu prelucrare pe loturi se poate face prin implementarea următoarelor tipuri de controale de validare a intrărilor:

- înregistrarea secvenŃei de serii şi numere a documentului sursă care conŃine lotul de date şi implementarea unor teste specifice de identificare a elementelor din lot care să determine solicitarea datelor pierdute sau eliminarea celor adăugate; exemplu: înregistrarea secvenŃei de serii şi numere aferente facturilor de vânzare/cumpărare dintr-o lună;

- înregistrarea numărului de date dintr-un lot şi implementarea unui test care îl compară cu numărul de date introduse în sistem; exemplu: numărul angajaŃilor unui organism economic;

- controlul TOTALULUI, pentru fiecare tip de date numerice dintr-un lot, prin implementarea unui test de comparare a totalului calculat, după introducerea tuturor datelor din lot, cu totalul calculat, pe măsura introducerii acestora în sistem; în acest caz , TOTALUL are semnificaŃia intrinsecă dată de semantica denumirii care i s-a atribuit; exemplu: totalul vânzărilor/cumpărărilor, pentru un lot de comenzi;

- controlul TOTALULUI HASH se deosebeşte de controlul TOTALULUI prin aceea că nu are o semnificaŃie intrinsecă, dar este folosit în acelaşi mod; exemplu: suma Codurilor Numerice Personale (CNP) ale angajaŃilor care trebuie introduşi pentru procesare într-un program de salarizare.

Concluzie. Întrucât majoritatea erorilor identificate în rezultatele finale ale prelucrărilor sau evidenŃelor efectuate de sistemele informatice provin din introducerea eronată a datelor, nu se poate asigura un control intern puternic în cadrul unui asemenea sistem fără implementarea unor controalele de intrare eficiente.

16

2.6. Controlul procesării Controlul procesării, care asigură fiabilitatea şi precizia prelucrărilor efectuate asupra datelor

introduse în sistemul informatic, constă în folosirea următoarelor tipuri de controale:

2.6.1. Controale de program, integrate în programul de aplicaŃie, care pot fi: - controale de intrare, implementate sub formă de controale de procesare: teste de limite, teste de

validitate, numere de autocontrol, număr de înregistrări, totaluri şi totaluri de tip HASH; - etichete externe: identifică în mod unic fişierele de date folosite în fiecare tip de prelucrări, pentru a

preveni greşelile de utilizare a acestora; exemplu: fişierul cu eticheta Angajat, care conŃine datele angajaŃilor unui organism economic folosite pentru identificarea şi retribuirea acestora, este utilizat la întocmirea statului de plată lunar;

- etichete interne care, împreună cu etichete externe, previn greşelile de utilizare a fişierelor de date în prelucrări; exemple: eticheta header (mesaj înregistrat la începutul fişierului, în limbaj cod maşină, citibil pe o bandă magnetică sau pe un hard-disc, folosit pentru a identifica fişierul şi data creării sale) şi eticheta end of file (mesaj înregistrat la sfârşitul unui fişier, care conŃine informaŃii de tipul numărului de înregistrări din fişierul de date sau totalul de control).

2.6.2. Jurnale de activitate sau de prelucrare, care se pun la dispoziŃia personalului autorizat sau grupului de control din cadrul organismului economic sau Departamentului de informatică constituit în cadrul acestuia, dacă există, pentru analiza activităŃilor desfăşurate de sistemul de prelucrare automată a datelor, şi care descriu:

- activitatea fiecărui operator: secvenŃa de operaŃiuni efectuate; - fiecare execuŃie a programului (rulare): timpul de execuŃie, blocajele maşinii, intervenŃiile operatorului

de la consola sistemului (tastatură), fişierele master utilizate etc.

2.6.3. Liste de erori, care se tipăresc în cazuri excepŃionale, când sistemul detectează erori grave şi opreşte sau nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care utilizează sistemul informatic respectiv, pentru investigaŃii şi remedierea anomaliilor de funcŃionare identificate. După efectuarea corecŃiilor, grupul de control verifică corectitudinea prelucrărilor şi eliminarea erorilor raportate de sistem.

Concluzie. Pentru asigurarea unui control intern puternic şi eficient, controalele de program pun la dispoziŃia grupului de control al organismului economic, a utilizatorilor şi/sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrărilor efectuate în interiorul acestuia, compensând faptul că nu dă acces direct celor interesaŃi la prelucrările respective pentru a le verifica corectitudinea şi/sau completitudinea. În plus, se impune, ca măsură de control, monitorizarea activităŃii operatorilor, cu scopul de a-i identifica pe cei care fac greşeli şi a le ridica dreptul de acces în sistemul informatic.

2.7. Controlul ieşirilor

Controlul ieşirilor constă în măsuri şi tehnici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automată a datelor utilizatorilor săi. Acestea pot fi:

2.7.1. Controale ale utilizatorului, care constau în: • compararea rezultatelor sistemului, prezentate sub formă de liste, rapoarte, situaŃii etc. cu cerinŃele

definite de utilizator; exemplu: compararea periodică a totalurilor generate automat de un sistem informatic de salarizare cu totalurile, generate în faza de introducere a datelor, manual sau folosind alt sistem informatic de acelaşi tip;

• analize şi teste efectuate de utilizatori specializaŃi; exemplu: corectitudinea facturilor de vânzare generate de sistemul informatic, din punctul de vedere al întocmirii şi al preŃurilor, trebuie verificată de un contabil.

2.7.2. Controale de program, care analizează şi testează automat corectitudinea ieşirilor sistemului informatic în raport cu cerinŃele definite de utilizatori. Sunt mai eficiente decât controalele utilizatorului, pentru că, fiind integrate în sistem, verificările pe care le efectuează se fac automat.

2.7.3. Controale ale grupului de control al sistemului informatic, care constau în măsuri de verificare a ieşirilor de către personalul autorizat al organismului economic, cu sau fără departament specializat de informatică, care urmăresc:

• distribuŃia rezultatelor prelucrărilor sau evidenŃelor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai către utilizatorii autorizaŃi;

17

• analiza erorilor raportate de sistem, identificarea cauzelor de apariŃie a lor şi verificarea eliminării acestora din sistemul automat de prelucrare şi evidenŃă respectiv.

Concluzie. Scopul controlului intern într-un sistem informatic îl constituie verificarea corectitudinii rezultatelor prelucrărilor realizate în interiorul său şi distribuirea acestora, manual sau prin intermediul sistemului de prelucrare automată a datelor folosit, numai către utilizatorii autorizaŃi. Prin urmare, nu se poate vorbi de control intern într-un sistem informatic fără controale de ieşire, folosite de grupul de control al organismului economic, de utilizatori şi/sau de auditori pentru a verifica dacă sistemul informatic utilizat respectă cerinŃele utilizatorilor pentru care a fost proiectat şi implementat.

Un control intern puternic şi eficient impune utilizarea tuturor măsurilor, tehnicilor şi mecanismelor, denumite generic controale de audit, controale interne sau, mai simplu, controale, care servesc scopului urmărit şi permit organismelor economice să utilizeze în desfăşurarea activităŃilor lor economice, ştiin Ńifice, organizatorice etc. sistemele informatice, beneficiind astfel de avantajele majore oferite de acestea: puterea de calcul, de stocare (memorare), de evidenŃă şi de prezentare grafică.

3. SARCINILE DE CONTROL ALE AUDITORILOR ÎNTR-UN SISTE M INFORMATIC

Într-un organism economic, funcŃia de auditor al sistemului informatic trebuie să existe separat şi distinct de funcŃia de control atribuită personalului autorizat sau grupului de control din Departamentul de informatică, dacă acesta este constituit, deoarece personalul autorizat sau grupul de control efectuează controlul zilnic al prelucrărilor şi distribuirilor automate de date, în timp ce auditorii evaluează eficienŃa prelucrărilor efectuate asupra datelor şi a controalelor corespunzătoare, în ansamblu.

Auditorii sistemelor informatice trebuie să participe la proiectarea acestora pentru a se asigura că: - sistemul creează un jurnal corect şi complet al prelucrărilor (jurnal de activitate); - se implementează controalele necesare pentru asigurarea unui control intern, la nivelul solicitat

de utilizatori. Auditorii testează sistemul informatic, în momentul în care acesta devine operativ: - verifică dacă au fost implementate toate controalele interne prevăzute în proiect; - stabilesc dacă toate controalele interne implementate în sistem funcŃionează aşa cum a fost

planificat; - iau măsurile necesare pentru corecŃia erorilor de implementare şi funcŃionare a controalelor

interne prevăzute în proiect; - identifică eventualele schimbări neautorizate efectuate în sistemul informatic şi iau măsurile

necesare pentru eliminarea sau autorizarea acestor schimbări. Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin proiect, auditorii

îndeplinesc următoarele sarcini: - verifică separarea, din punct de vedere funcŃional, a personalului de programare de personalul de

operare şi impun măsurile organizatorice necesare pentru realizarea acestei separări; - verifică documentaŃia iniŃială a sistemului informatic şi actualizarea acesteia, în cazul în care sunt

autorizate schimbări; - verifică îndeplinirea sarcinilor care au fost atribuite personalului autorizat sau grupului de control

al sistemului informatic; - urmăresc aplicarea măsurilor de siguranŃă a sistemului informatic; - urmăresc funcŃionarea efectivă a controlului, în cadrul organismului economic care utilizează,

pentru evidenŃa activităŃilor sale, un sistem informatic. FuncŃia de auditor al sistemului informatic utilizat de un organism economic poate fi atribuită unui

angajat permanent sau unui colaborator extern al acestuia, după cum sarcinile pe care trebuie să le îndeplinească auditorul impun, sau nu impun, prezenŃa permanentă a acestuia la locul de muncă. Dacă volumul de activitate desfăşurat sau nivelul de eficienŃă solicitat pentru controlul intern al sistemului informatic utilizat este ridicat, organismul economic trebuie să angajeze proprii săi auditori. În caz contrar, poate folosi, pentru îndeplinirea sarcinilor de audit, colaboratori externi specializaŃi, care pot ocupa funcŃia de auditor la mai multe organisme economice. Din acest punct de vedere, auditorii sistemelor informatice pot fi interni sau externi organismului economic care utilizează un sistem informatic. Auditorii externi pot fi auditori independenŃi sau angajaŃi ai organismelor financiare sau agenŃiilor guvernamentale de control.

18

4. UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE ÎN AUDITAREA SISTEMELOR INFORMATICE

Auditorii pot folosi pentru testarea şi monitorizarea controalelor interne implementate într-un sistem informatic aşa-numitul sistem integrat de testare, care constă în integrarea unui set de fişiere de test, programe şi date de test în sistemul informatic respectiv. Aceste fişiere de test permit ca datele de test pe care le conŃin să fie prelucrate simultan cu datele reale, fără ca datele reale respective şi rezultatul prelucrării lor să fie afectate. Datele de test, care cuprind toată gama imaginabilă de date posibil a fi introduse în sistemul informatic respectiv, afectează numai fişierele de test şi rezultatele prelucrărilor acestora. Sistemul integrat de testare poate fi implementat în toate tipurile de sisteme informatice, inclusiv în sistemele informatice on-line, în timp real.

Sistemul integrat de testare poate fi folosit de auditori şi pentru monitorizarea prelucrărilor datelor de test în vederea studierii efectelor produse de prelucrările efectuate asupra fişierelor de test, listelor de erori şi ieşirilor sistemului informatic. Ei comunică concluziile personalului autorizat sau grupului de control care efectuează controlul zilnic. Spre exemplu, un sistem integrat de testare pentru aplicaŃii de salarizare şi evidenŃă personal poate defini un departament fictiv pentru care înregistrează angajaŃi fictivi în fi şierele de angajaŃi şi salarii. Datele de la departamentul fictiv vor fi introduse în sistem simultan cu datele de la departamentele reale. Auditorii, externi sau interni, vor monitoriza toate ieşirile aferente departamentului fictiv, inclusiv înregistrările de salarii, listele de erori şi cecurile emise. În acest caz, e necesar un control strict al ieşirilor în vederea prevenirii folosirii neautorizate a cecurilor fictive.

Folosirea sistemelor integrate de testare prezintă riscul de manipulare eronată a datelor reale, prin transferarea lor în sau din fişierele fictive. Pentru eliminarea acestui dezavantaj, auditorii trebuie să monitorizeze toate activităŃile în fişierele fictive utilizate şi să impună măsuri riguroase de prevenire a accesului neautorizat la aceste fişiere. De asemenea, proiectarea unui astfel de sistem trebuie făcută cu atenŃie, pentru a elimina riscul ca fişierele reale să fie contaminate întâmplător cu date din fişierele fictive de test.

5. IMPACTUL UTILIZ ĂRII SISTEMELOR INFORMATICE

ASUPRA AUDITULUI ORGANISMELOR ECONOMICE

Organismele economice, care folosesc sisteme manuale sau mecanice de prelucrare a datelor, întocmesc documente de evidenŃă, prezentare şi control al activităŃilor desfăşurate pe suport material (hârtie), pe care orice modificare de date (înregistrare, actualizare sau ştergere) lasă urme, rămâne vizibilă. Sistemele informatice, fiind sisteme automate de prelucrare, evidenŃă şi stocare a datelor, permit modificarea datelor introduse (înregistrate) în sistem (pe suport electronic), fără nici o urmă vizibilă a schimbărilor făcute. La începutul dezvoltării sistemelor informatice, acest lucru a produs o mare îngrijorare printre economişti (contabili, finanŃişti, auditori etc.) care considerau că prelucrările electronice de date vor ascunde, sau chiar vor elimina, înregistrările de date necesare în procesul de audit. Deşi, din punct de vedere tehnologic, este posibilă proiectarea unui sistem informatic în care datele produse de activităŃile efectuate de organismele economice să nu fie înregistrate, în vederea efectuării unui control, un astfel de sistem nu este nici practic, nici de dorit. Există motive reale de integrare a unui sistem de audit, chiar şi în cele mai sofisticate sisteme informatice, determinate, în principal, de:

• necesitatea de coordonare şi controlare a activităŃilor desfăşurate de un organism economic de către factorii acestuia de decizie (managerii săi);

• nevoia de reconstrucŃie a fişierelor de date şi de program, distruse de eventualele erori de prelucrare sau posibilele defecte tehnice;

• desfăşurarea activităŃii de control (audit) de către auditori independenŃi sau agenŃii guvernamentale.

În cazul sistemelor informatice sofisticate, dificultatea unui audit este dată de faptul că înregistrările datelor rezultate din activităŃile organismelor economice, folosite în procesul de audit, pot exista numai pe suport electronic, într-un format cod-maşină, nu şi într-o formă tipărită. Uneori, după ce sunt generate, datele pentru audit sunt transferate pe un mediu de stocare cu preŃ redus, cum ar fi microfişele. Mai mult decât atât, anumite organisme economice folosesc aşa-numitul Electronic Data Interchange (EDI), în care organismul economic respectiv, împreună cu clienŃii şi furnizorii săi folosesc legături de comunicaŃii electronice (telecomunicaŃii, comunicaŃii radio sau pe fibră optică etc.) pentru a schimba date pe cale electronică. În astfel de cazuri, documentele sursă tipărite (facturi, ordine de plată, cecuri, avize de expediŃie etc.) sunt înlocuite cu documente similare în format electronic. Exemplu: într-un sistem informatic de tip EDI, o tranzacŃie de cumpărare poate fi iniŃiată automat de către calculatorul firmei care

19

solicită cumpărarea prin trimiterea unui mesaj electronic, de tip comandă direct, la calculatorul furnizorului său. În aceste condiŃii, auditorii trebuie să utilizeze controale de audit care să integreze tehnici specifice de retenŃie a datelor şi de prelucrare a lor, în vederea asigurării unui audit adecvat.

Într-un sistem informatic, datele necesare auditului pot fi înregistrate: - pe documente tipărite din calculator; - în format electronic, citibil numai pe calculator. În sistemele informatice, datele nu se înregistrează într-un format tradiŃional, pe documente sursă

scrise de mână, ci numai în format electronic, care poate fi tipărit, la cerere, pe suport material de tip hârtie sau poate fi urmărit direct pe ecranul calculatorului.

Prin urmare, teama economiştilor că utilizarea sistemelor informatice în desfăşurarea activităŃilor economice va elimina datele necesare auditului nu s-a materializat. Încă din faza de proiectare a unui sistem informatic, auditorii interni şi, eventual, externi, urmăresc integrarea în sistem a unor tehnici de audit care asigură păstrarea (memorarea) datelor necesare efectuării unui control intern eficient al sistemului respectiv.

6. CONSIDERAłIILE AUDITORILOR CU PRIVIRE LA CONTROLUL INTERN ÎNTR-UN SISTEM INFORMATIC

Indiferent de tipul sistemului de evidenŃă (gestiune) a activităŃilor economice şi de prelucrare a datelor (manual, mecanic sau informatic) folosit de organismele economice, auditorii trebuie să efectueze un control intern, pentru realizarea căruia este necesar:

- să evalueze corect riscul de control (posibilitatea de existenŃă a unor erori care nu pot fi detectate);

- să determine natura activităŃilor desfăşurate de organismul economic auditat; - să stabilească tipul şi amploarea activităŃilor de audit necesare; - să aprecieze timpul necesar pentru completarea auditului. Pe baza celor stabilite în vederea completării auditului, auditorii pot face organismului economic

recomandări pentru îmbunătăŃirea structurii de control intern. Indiferent de tipul sistemului de gestiune şi prelucrare a datelor folosit de un organism economic, recomandările pe care le fac auditorii cu privire la controlul intern se împart în patru categorii, corespunzătoare următoarelor patru tipuri de activităŃi:

- planificarea auditului; pentru aceasta. auditorii trebuie să înŃeleagă suficient de bine rolul controlului intern, modalităŃile de realizare a acestuia şi tehnicile de integrare a controalelor în sistemul de gestiune şi prelucrare a datelor folosit de un organism economic;

- evaluarea riscului de control şi proiectarea testelor adiŃionale pentru procedurile de control ale sistemului informatic;

- realizarea testelor adiŃionale pentru procedurile de control ale sistemului informatic; - reevaluarea riscului de control al sistemului informatic şi modificarea corespunzătoare a testelor

de evaluare. 6.1. Pregătirea auditorilor pentru planificarea auditului şi proiectarea controalelor (testelor) de

audit

Planificarea auditului pentru un organism economic şi necesitatea proiectării de teste de audit eficiente solicită auditorilor să aibă cunoştinŃele de specialitate necesare înŃelegerii structurii unui control intern, indiferent de tipul sistemului de gestiune şi prelucrare a datelor utilizat (manual, mecanic sau electronic) şi de complexitatea acestuia.

Pentru planificarea auditului şi proiectarea de teste de audit eficiente, auditorii trebuie să aibă cunoştinŃe despre:

- procedurile şi tehnicile de audit disponibile; - proiectarea şi realizarea controalelor interne; trebuie să ştie ce se urmăreşte prin auditul intern şi

cum se poate realiza un audit complet; - sistemele de gestiune şi prelucrare a datelor utilizate de organismele economice; trebuie să

cunoască particularităŃile fiecăruia, din punct de vedere al auditului; - tehnicile de integrare a controalelor interne în sistemele de gestiune şi prelucrare a datelor

disponibile; - natura activităŃilor desfăşurate de organismele economice: caracteristicile şi particularităŃile

acestora, din punctul de vedere al auditului; - legislaŃia în vigoare.

20

EvoluŃia tehnologică a microcalculatoarelor de tip PC, din ce în ce mai performante şi mai ieftine, a condus la apariŃia şi dezvoltarea continuă a aplicaŃiilor software şi, implicit, la utilizarea, pe scară largă, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune şi prelucrare a datelor clasice (manual sau mecanic) sunt pe cale de dispariŃie, fiind înlocuite de sisteme informatice. În aceste condiŃii, auditorii trebuie să aibă cunoştinŃe suplimentare de informatică, minimul necesar care să le permită să îşi desfăşoare activitatea de control.

Pentru a stabili natura, durata şi amploarea activităŃilor de audit, auditorul trebuie să aibă suficiente cunoştinŃe informatice pentru a face analiza procedurilor de prelucrare utilizate şi a rezultatelor acestora.

Auditarea sistemelor informatice simple, care prelucrează datele folosind algoritmi de calcul uşor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator; în acest caz, auditorii compară rezultatul prelucrărilor datelor de test, obŃinut manual, cu cel obŃinut folosind sistemul informatic auditat şi analizează diferenŃele; această tehnică este denumită auditarea evitând calculatorul, deoarece auditorii evită calculatorul în realizarea auditului. Auditarea sistemelor informatice complexe impune însă folosirea procedurilor de audit implementate pe calculator şi proiectarea unor teste suplimentare pentru controlul acestor proceduri.

DocumentaŃia întocmită de auditor, aşa-numitul raport de audit, variază în funcŃie de complexitatea sistemului informatic auditat. Pentru un sistem cu structură simplă de control intern, poate fi suficientă o descriere. De regulă, însă, raportul de audit trebuie să conŃină:

6.1.1. Diagramele Sistemului Informatic, care descriu activităŃile desfăşurate de sistemul informatic utilizat de organismul economic auditat şi care pot fi:

- diagrame de sistem: sunt folosite, în mod curent, în procesul de audit, ca tehnică de descriere a controlului intern; prezintă avantajul că fac parte din documentaŃia standard a sistemului informatic, prin urmare nu mai trebuie întocmite de auditor; exemplu: diagrama de vânzări, diagrama de credite, diagrame de încasări etc.;

- diagrame de program: prezintă, în detaliu, logica unui anumit program folosit de sistemul informatic; auditorii care pot interpreta diagramele de program pot înŃelege şi interpreta controalele conŃinute într-o anumită aplicaŃie software, folosită de Sistemul Informatic auditat.

6.1.2. Chestionare, special proiectate, pentru a fi folosite în procesul de control al sistemului informatic; exemplu: chestionare de control al accesului într-un sistem informatic.

Concluzie. Proiectarea, realizarea şi utilizarea tehnicilor de audit asistate de calculator impun auditorilor, pe lângă cunoştinŃe temeinice din domeniul economic, cunoştinŃe suplimentare din domeniul informatic şi din domeniul de activitate al organismelor economice de auditat.

6.2. Evaluarea riscului de control planificat şi proiectarea de teste adiŃionale pentru controlul

(testarea) procedurilor de audit

Riscul de control al unui sistem informatic reprezintă posibilitatea de existenŃă a unei erori care nu poate fi prevenită sau detectată în timp util de către controlul intern al sistemului respectiv.

Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii trebuie să cunoască şi să înŃeleagă:

• mediul de control specific organismului economic care utilizează sistemul informatic auditat; • schimburile de date din cadrul organismului economic care utilizează sistemul informatic auditat; • procedurile de control intern implementate în sistemul informatic auditat. Dacă, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca fiind: • mare, atunci este admisă posibilitatea apariŃiei unor erori nedetectabile de controlul intern

implementat în sistemul respectiv; în aceste condiŃii, nu sunt necesare teste adiŃionale pentru verificarea procedurilor de audit utilizate;

• scăzut, atunci nu este admisă posibilitatea apariŃiei unor erori nedetectabile de controlul intern implementat în sistemul respectiv; în aceste condiŃii, sunt necesare teste adiŃionale pentru verificarea procedurilor de audit utilizate.

În evaluarea riscului de control planificat pentru un sistem informatic, se Ńine cont de cerinŃele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv şi de specificul domeniului de activitate gestionat cu ajutorul acestui sistem; dacă cerinŃele de precizie impuse sistemului informatic nu admit posibilitatea apariŃiei unor erori nedetectabile de controlul intern proiectat şi implementat în interiorul acestuia, se impun proiectarea şi implementarea unor controale de audit suplimentare pentru testarea (verificarea) controalelor de audit folosite.

21

6.3. Realizarea controalelor adiŃionale pentru controalele de audit ale sistemelor informatice

Pentru testarea controalelor de audit integrate într-un sistem informatic se folosesc proceduri de control cunoscute sub denumirea de controale adiŃionale de audit, care verifică dacă controalele de audit descrise în documentaŃia de audit sunt implementate şi funcŃionează aşa cum a fost prevăzut în analiza de sistem.

Auditorii trebuie să efectueze verificarea tuturor controalelor de audit pe care intenŃionează să le ia în consideraŃie în evaluarea riscului de control aferent sistemului informatic auditat, indiferent de natura acestuia. Trebuie însă precizat că unele controale adiŃionale de audit, folosite de auditori pentru testarea controalelor de audit integrate într-un sistem informatic, depind de natura sistemului informatic auditat.

6.3.1. Proceduri de testare a controalelor generale. Testarea controalelor interne ale unui sistem informatic începe cu testarea controalelor generale, deoarece eficacitatea unui control specific al unei aplicaŃii este adesea dependentă de existenŃa unui control general, efectiv al tuturor activităŃilor sistemului informatic auditat. Spre exemplu, verificarea programelor de testare a procedurilor de control, într-un mediu în care programatorii pot efectua cu uşurinŃă schimbări neautorizate în programe, este ineficientă în absenŃa unui control asupra modificărilor programelor, deoarece auditorii nu au nici o dovadă că programul testat este identic cu cel folosit de-a lungul timpului. În astfel de situaŃii, auditorii nu pot conta pe controalele aplicaŃiei în vederea evaluării riscului de control.

De obicei, auditorii testează controalele generale ale sistemului informatic auditat prin analiza documentaŃiei de sistem şi urmărirea îndeplinirii sarcinilor de întocmire a acestei documentaŃii de către personalul organismului economic respectiv:

• obŃinerea autorizaŃiilor de revizuire a sistemului informatic auditat; • întocmirea documentaŃiilor specifice sistemului informatic auditat; • obŃinerea aprobărilor pentru realizarea sau achiziŃionarea de programe noi; • obŃinerea aprobărilor pentru modificarea programelor existente; • completarea jurnalului cu defecŃiuni sau anomalii de funcŃionare a echipamentelor folosite; • urmărirea măsurilor de siguranŃă implementate etc. Prin natura lui, un control general trebuie mai degrabă respectat, decât determinat prin analiza

documentaŃiei sistemului informatic auditat.

6.3.2. Proceduri de testare a controalelor de aplicaŃii. Procedurile folosite de auditori pentru testarea controalelor de aplicaŃie variază semnificativ de la un tip de sistem informatic la altul şi de la un tip de aplicaŃie componentă a sistemului informatic la alta.

Procedurile de testare a controalelor de intrare depind de tipul sistemului informatic auditat. Exemplu: în sistemele de procesare în loturi, controlul intrărilor poate fi testat prin compararea ieşirii sistemului informatic cu totalul lotului, folosind secvenŃa de serii şi numere aferentă documentelor din lotul selectat; în sistemele on-line, în timp real, loturile de date nu sunt disponibile şi auditorul trebuie să imagineze alt tip de test pentru controlul intrărilor.

Tehnicile de audit folosite pentru testarea controalelor prelucrărilor pot fi manuale sau asistate de calculator. Pentru testarea controalelor prelucrărilor, auditorii:

• examinează procedurile de testare a sistemului informatic auditat, efectuate de către grupul de control al organismului economic care îl utilizează;

• analizează rezultatele testărilor controalelor prelucrărilor sistemului informatic auditat, realizate de auditorii organismului economic care îl utilizează;

• examinează rapoartele de erori şi jurnalele de activităŃi generate de calculator; deoarece ele ilustrează violările controalelor de program care apar în timpul prelucrărilor, oferind astfel dovezi ale funcŃionării, corecte sau eronate, a acestora;

• analizează şi testează tehnicile, manuale sau asistate de calculator, folosite pentru explicitarea şi explicarea incidentelor apărute în timpul prelucrărilor şi înregistrate în rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest lucru.

Pentru testarea controalelor de program, auditorii folosesc, de regulă, tehnici de audit asistate de calculator. Principalele tehnici de audit asistate de calculator folosite pentru testarea controalelor adiŃionale de audit sunt:

• Seturi de date de test: pot fi stabilite de auditori sau de programatorii organismului economic care utilizează sistemul informatic de auditat; trebuie să includă toate erorile semnificative care afectează evaluarea, de către auditor, a riscului de control planificat pentru sistemul informatic de auditat: tranzacŃii cu date lipsă, eronate sau ilogice, loturi incomplete etc.

22

• Duplicate ale programelor sistemului informatic, cunoscute sub denumirea de programe controlate, aflate sub controlul auditorilor; sunt folosite de aceştia pentru a monitoriza prelucrarea datelor curente, prin compararea ieşirilor acestor programe cu ieşirile programelor originale sau pentru reprocesarea datelor iniŃiale, folosind varianta proprie de program, cu scopul de a compara rezultatul curent cu cel iniŃial sau de a descoperi schimbările din programul organismului economic netrecute în documentaŃie; programele controlate oferă auditorilor posibilitatea de a testa programele organismului economic cu date reale şi de test, fără riscul alterării fi şierelor acestuia şi în locaŃii diferite de spaŃiile de exploatare, fără utilizarea calculatoarelor sau personalului organismului economic respectiv.

• Programe de analiză, special elaborate, pentru a genera, folosind calculatorul, diagrame de analiză cu ajutorul cărora se testează logica programelor componente ale sistemului informatic auditat şi a controalelor acestora sau se verifică dacă documentaŃia sistemului respectiv descrie programele şi controalele programelor folosite de fapt.

• Marcaje (identificatori) de urmărire a schimburilor de date, introduse în sistemul informatic, o dată cu datele pentru urmărirea paşilor de prelucrare a schimburilor de date marcate şi întocmirea listelor care conŃin descrierea, în detaliu, a paşilor de prelucrare respectivi, cu scopul de a depista eventualele acŃiuni neautorizate în programele şi controalele programelor sistemului informatic auditat.

• Programe de audit generalizat (aplicaŃii software pentru audit generalizat), care pot fi folosite de organismele economice specializate în auditarea sistemelor informatice complexe, pentru testarea fiabilităŃii programelor şi controalelor programelor componente, pentru o gamă largă de sisteme informatice sau pentru realizarea unor funcŃii specifice de audit; exemple: mărirea numărului de schimburi de date testate suficient de mult pentru a evalua corect riscul de control; rearanjarea datelor de test într-un format mult mai folositor auditului; selectarea schimburilor de date în funcŃie de anumite criterii etc. Exemplu: Program pentru verificarea fiabilităŃii unui sistem informatic prin simulare paralelă: program care realizează anumite funcŃii de prelucrare echivalente acelora din sistemul informatic, pentru a verifica dacă acesta funcŃionează corect; rezultatele prelucrărilor efectuate de sistemul informatic asupra unui set de date (grup de tranzacŃii) trebuie să fie egal cu rezultatul prelucrărilor efectuate asupra aceluiaşi set de date de către programul de audit generalizat; oferă auditorilor avantajul efectuării unor prelucrări asupra datelor reale, independent de sistemul informatic auditat.

6.4. Reevaluarea riscului de control şi utilizarea testelor independente

Pentru a stabili în ce măsură se pot baza pe controlul intern al sistemului informatic în reducerea posibilităŃilor de apariŃie a erorilor de funcŃionare a acestuia, auditorii trebuie să reevalueze riscul de control, pe domenii de activitate, şi, pe baza acestuia, să determine natura, locul, momentul de timp şi amploarea testelor de control independente de sistemul informatic auditat, necesare în aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor săi.

Din punct de vedere conceptual, evaluarea controlului intern al activităŃilor unui sistem informatic nu este diferită de evaluarea altor aspecte ale sistemului. De obicei, sunt necesare mai puŃine proceduri de testare independente de sistemul informatic auditat, în acele domenii în care se admite un risc de control mare, şi mai multe acolo unde se admite un risc de control redus. Pentru evaluarea corectă a controlului intern al activităŃilor desfăşurate de un sistem informatic, trebuie luate în considerare controalele folosite de utilizatori, de auditorii interni şi de specialiştii în informatică.

7. AUDITAREA SISTEMELOR PC

Termenul de PC se referă la o varietate de calculatoare mici: calculatoare personale, staŃii de lucru şi terminale inteligente. Deşi progresele tehnologice reduc continuu diferenŃele dintre PC-uri şi calculatoarele mari, PC-urile rămân, în general, mai puŃin flexibile, au memorie mai redusă şi sunt mai lente în procesarea datelor, decât calculatoarele mari. Totuşi, PC-urile oferă utilizatorilor avantajul accesului direct la calculator, fără timpii de prelucrare şi capacitatea de stocare date asociaŃi unui sistem de calcul centralizat. Din acest motiv, chiar şi auditul organismelor economice care folosesc sisteme informatice centralizate sofisticate se poate face folosind sisteme PC.

ApariŃia PC-urilor a condus la descentralizarea activităŃilor de prelucrare, de evidenŃă şi control al datelor vehiculate în cadrul unui organism economic. Într-un mediu PC, calculatoarele se pot plasa în departamentele utilizatorilor şi pot fi operate de către personalul acestor departamente, cu puŃine cunoştinŃe în domeniul informatic şi despre calculatoare. Prelucrările sunt realizate, de obicei, de aplicaŃii software dedicate, uşor de exploatat, achiziŃionate de la organisme economice specializate, eliminându-se astfel nevoia de a angaja programatori. Pentru stocarea, crearea unor copii de siguranŃă (back-up) şi/sau arhivarea

23

aplicaŃiilor şi Bazelor de Date, sunt folosite discuri magnetice de tipul HardDisk, FloppyDisc, CD-ROM, CD-RW, DVD etc. sau, din ce în ce mai rar, benzi magnetice.

Controlul intern al sistemelor informatice bazate pe mediul PC prezintă unele particularităŃi. Astfel, pentru verificarea corectitudinii rezultatelor şi distribuŃiei acestora numai către utilizatorii autorizaŃi, se foloseşte descrierea, în detaliu, a procedurilor de prelucrare a datelor, care trebuie cuprinsă, obligatoriu, în documentaŃia sistemului. Pentru protecŃia datelor manipulate de operatori sau utilizatori fără cunoştinŃe în domeniul informatic, se face instruirea acestora în folosirea componentelor sistemului şi li se pun la dispoziŃie manualele de operare şi întreŃinere complete ale componentelor respective: echipamente, software de sistem şi de aplicaŃie. Pentru reconstituirea datelor şi aplicaŃiilor software utilizate organismele economice care utilizează sisteme informatice bazate pe mediul PC trebuie să efectueze, periodic, copii de siguranŃă (back-up) ale fişierelor de date şi de program, pe suporŃi magnetici externi (dischete, CD-uri sau benzi), care trebuie depozitaŃi departe de sistem, în locaŃii sigure.

Prin amplasarea calculatoarelor de tip PC în departamentele utilizatorilor, cresc riscul de utilizare neautorizată a acestora şi, implicit, posibilitatea de fraudă computerizată. Din acest motiv, sistemul de operare al PC-urilor şi aplicaŃiile software utilizate trebuie să permită accesul operatorilor şi/sau utilizatorilor în sistem numai pe bază de coduri şi nivele de autorizare, limitând astfel accesul acestora la anumite fişiere de date şi/sau de program. Pentru detectarea activităŃilor neautorizate trebuie organizată o activitate independentă de analiză a jurnalelor generate de sistemele PC. Pentru prevenirea utilizării neautorizate a sistemelor informatice bazate pe mediul PC:

- se limitează accesul la originalul şi la copiile de siguranŃă ale aplicaŃiilor software prin utilizarea cărora personalul neautorizat poate intra în sistem;

- se instalează un sistem de blocare a PC-ului în afara orelor de program; - se limitează accesul în spaŃiile de lucru folosite de sistemele informatice bazate pe mediul PC

prin pază sau sisteme de acces cu cartelă. Auditorii (interni sau externi) organismelor economice, care utilizează sisteme informatice bazate pe

mediul PC, trebuie să impună implementarea tuturor tipurilor de controale interne minim necesare pentru a asigura:

- integritatea sistemului informatic implementat; – integritatea şi corectitudinea datelor vehiculate în cadrul organismului economic respectiv;

exemplu: evidenŃele financiare care trebuie puse la dispoziŃia organelor financiare de control.

8. AUDITAREA CENTRELOR DE CALCUL

Centrele de calcul furnizează servicii de prelucrare a datelor pentru clienŃii lor, organisme economice care nu au propriul centru de calcul sau departament de informatică. De regulă, centrul de calcul primeşte datele de prelucrat de la clienŃi, în loturi, şi le transmite rezultatele prelucrărilor efectuate. Unele centre de calcul funcŃionează în regim partajat, în sensul că oferă abonaŃilor lor acces la toate resursele de calcul disponibile, prin intermediul terminalelor proprii, utilizatorul unui astfel de sistem având, dispoziŃie majoritatea serviciilor pe care i le-ar oferi propriul calculator.

Controlul intern al centrului de calcul poate interacŃiona cu sistemul de control al fiecărui client, caz în care auditorii trebuie să înŃeleagă şi activităŃile de prelucrare desfăşurate de centrul de calcul. În plus, dacă intenŃionează să reducă nivelul riscului de control bazându-se pe anumite controale, auditorii trebuie să dovedească eficacitatea acestora, prin testarea lor, indiferent dacă sunt executate de Centrul de calcul sau de clientul acestuia. Uneori, testarea controalelor aplicate de client este suficientă pentru evaluarea riscului de control şi detectarea erorilor. Alteori, pentru atingerea obiectivelor de control ale clientului şi evaluarea corectă a riscului de control, auditorii trebuie să teste şi controalele Centrului de calcul pentru a dovedi că acestea funcŃionează efectiv. Şi pentru că Centrul de calcul realizează, de regulă, servicii de prelucrare a datelor similare pentru mai mulŃi clienŃi, auditorii acestuia întocmesc un raport asupra sistemului de control intern propriu, pe care îl pun la dispoziŃia auditorilor fiecărui client. Totuşi auditorii clientului trebuie să se asigure de competenŃa auditorilor Centrului de calcul.

CONCLUZIE. Deşi apariŃia calculatoarelor şi a aplicaŃiilor software specializate a creat unele

probleme de adaptare pentru economişti, ea le-a lărgit orizontul de cunoaştere şi a extins gama şi valoarea serviciilor pe care aceştia le pot oferi. În timp, calculatorul a devenit o unealtă folosită pentru realizarea sarcinilor de rutină, cu viteză şi precizie fără precedent. El face posibil accesul la un volum de date care, în trecut, nu era accesibil din cauza limitărilor de timp şi preŃ de cost. Dacă organismul economic auditat îşi Ńine evidenŃele folosind un sistem informatic complex şi sofisticat, auditorii pot utiliza calculatorul şi programe specializate în procesul de audit.

24

BIBLIOGRAFIE SELECTIV Ă

1. Boulescu Mircea, Auditul financiar- Repere normative naŃionale, Editura Economică, 2003.O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs, Principles of Auditing. Tenth Edition, IRWIN Boston.

2. Champlain Jack J., Auditing Information Systems, Second Edition, John Wiley & Sons, Inc., 2003. 3. Munteanu, A., Auditul sistemelor informaŃionale contabile, Editura Polirom, Iaşi, 2001. 4. Munteanu Victor, Control şi Audit Financiar. Contabil, Editura LUMINALEX, Bucureşti, 2003. 5. Stanciu Victoria şi colectiv., Proiectarea sistemelor informatice, Editura Dual Tech, 2002, Bucureşti. 6. *** Camera auditorilor din România: Audit financiar 2000: Standarde, IFAC Editura Economică,

Bucureşti, 2001