|
Facultatea de Automatica, Calculatoare si Electronica
Master ICC
Auditul Sistemelor Informatice
Cuprins
Introducere
Controlul intern intr-un sistem informatic
Controlul intrarilor
Controlul prelucrarilor
Controlul datelor de iesire
Bibliografie
I. Introducere
O discutie de spre auditarea sistemelor informatice economice trebuie sa inceapa cu definirea Sistemului Informatic Economic: Sistemul Informatic (SI) de evidenta a activitatilor si bunurilor unui Organism Economic (OE). Sistemul informatic economic prelucreaza automat datele vehiculate in cadrul oricarui tip de organism economic.
Auditarea sistemelor informatice economice consta in verificarea si controlul activitatilor sistemelor informatice economice. Sistemul informatic economic fiind un caz particular de sistem informatic, tehnicile si mecanismele de auditare a sistemelor informatice sunt valabile si pentru sistemele informatice economice. De aceea, se va discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinzatoare.
Dezvoltarea rapida a sistemelor de prelucrare automata a datelor, determinata de aparitia si evolutia tehnicii de calcul si a software-ului specializat, a avut un impact foarte mare asupra modului de evidenta si control al activitatilor desfasurate de organismele economice. Evolutia tehnologica a microcalculatoarelor de tip PC, din ce in ce mai performante si mai ieftine, accesibile tuturor, a condus la dezvoltarea rapida a aplicatiilor software dedicate (programe de contabilitate, de salarii, de evidenta a mijloacelor fixe, de secretariat etc.), utilizabile de nespecialisti in informatica si, implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC. Astazi, si cele mai mici firme isi pot permite sa foloseasca, intr-un fel sau altul, un calculator pentru evidenta resurselor utilizate (materiale, umane, financiare, informationale) si a activitatilor desfasurate in vederea executarii de produse sau servicii pe care le ofera clientilor cu scopul realizarii de profit. In aceste conditii, sistemele clasice de evidenta si de prelucrare a datelor (manual sau mecanic) sunt inlocuite, treptat, cu sisteme informatice. si, deoarece raportarile financiare periodice sunt solicitate, obligatoriu, si in format electronic (pe FloppyDisk sau prin e-mail), chiar si organismele economice cu activitate foarte redusa (firmele foarte mici) trebuie sa utilizeze o forma de sistem informatic, pentru generarea acestora, sau sa apeleze la serviciile unui centru de calcul.
Sistemele informatice prelucreaza datele introduse in sistem (intrarile) conform unor algoritmi prestabiliti, determinati de regulile de functionare si organizatorice proprii fiecarui organism economic, precum si in conformitate cu reglementarile si legislatia in vigoare. Pentru a controla daca rezultatele prelucrarilor efectuate in interiorul sistemului informatic utilizat respecta conditiile prestabilite si iesirile furnizate de acesta sunt cele solicitate de manageri, un organism economic, indiferent de volumul sau de activitate, trebuie sa foloseasca o forma de audit al sistemelor informatice.
Trebuie facuta distinctie intre auditul activitatilor economice desfasurate in cadrul unui organism economic si auditul sistemului informatic utilizat de organismul economic respectiv, pentru evidenta activitatilor desfasurate si a bunurilor sale.
Auditul activitatilor economice desfasurate de un organism economic urmareste:
- evidentierea tuturor activitatilor economice desfasurate, prin inregistrarea corecta a acestora, pe documente de evidenta si control - suport de hartie sau format electronic;
- efectuarea prelucrarilor asupra datelor rezultate din activitatile economice desfasurate, in conformitate cu regulile de gestiune interna ale acestuia, cu normele, reglementarile si legislatia in vigoare;
- determinarea valorii taxelor si impozitelor care trebuie platite, conform legislatiei in vigoare;
- intocmirea corecta a declaratiilor financiare, in conformitate cu legislatia in vigoare.
Auditul activitatilor sistemului informatic, utilizat de un organism economic in desfasurarea activitatilor sale economice, urmareste:
- asigurarea corectitudinii, completitudinii si preciziei datelor introduse in sistem, deoarece afecteaza rezultatele prelucrarilor efectuate de acesta;
- asigurarea corectitudinii si integritatii iesirilor sistemului, in sensul ca acestea sunt cele solicitate de managerii organismului economic respectiv si de organismele de control financiar;
- asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv.
II. CONTROLUL INTERN INTR-UN SISTEM INFORMATIC
Auditarea (auditul) unui sistem informatic consta, in principal, in efectuarea controlului intern in sistemul informatic respectiv pentru verificarea corectitudinii rezultatelor prelucrarilor realizate in interiorul sau si a distribuirii acestora numai catre utilizatorii autorizati, in cazul in care distribuirea se face automat folosind sisteme de calcul.
Pentru efectuarea controlului intern intr-un sistem informatic se folosesc masuri, metode si tehnici de verificare a corectitudinii rezultatelor prelucrarilor realizate in interiorul sau, cunoscute, in literatura de specialitate, sub denumirea de controale Altfel spus, controlul intern intr-un sistem informatic se realizeaza cu ajutorul controalelor.
Utilizarea unui sistem automat de prelucrare a datelor nu diminueaza importanta controlului intern realizat in vederea asigurarii corectitudinii rezultatelor prelucrarilor efectuate in interiorul acestuia. Aparitia si utilizarea sistemelor informatice determina insa folosirea unor masuri si metode de control specifice, care se adauga metodelor traditionale de auditare a sistemelor manuale si/sau mecanice de prelucrare a datelor, deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor operatiunilor corelate din cadrul unui organism economic impune utilizarea unor controale specifice pentru asigurarea protectiei datelor la pierderi sau alterari si pentru depistarea prelucrarilor eronate, efectuate in interiorul calculatorului. Exemplu: realizarea statului de salarii folosind calculatorul face posibila rezolvarea tuturor problemelor legate de evidenta personalului prin adaugarea datelor de evidenta respective la inregistrarea aferenta fiecarui angajat; in acest caz, fisierul de personal cuprinde nu numai datele necesare realizarii statului de salarii (salariul de incadrare, vechimea in munca, sporuri, obligatii catre bugetul asigurarilor sociale de stat - CAS, somaj, sanatate, impozit etc.), ci si date legate de pontaj (prezenta, concedii de odihna, concedii medicale), de distributia costurilor salariale pe compartimente, de studii, de locul de munca si functia ocupata etc.; pentru protectia datelor de salarizare si evidenta personal impotriva pierderilor voite sau accidentale si/sau modificarilor neautorizate, accesul in sistemul automat de evidenta si prelucrare a acestor date este controlat, prin parola si nivel de acces, forma de control specifica sistemelor automate de prelucrare a datelor.
In literatura de specialitate, controalele sistemelor informatice sunt clasificate in controale generale si controale de aplicatie
Controalele generale sunt masuri de protectie a echipamentelor, datelor si programelor care privesc toate componentele unui sistem informatic (hardware si software) si pot fi de urmatoarele tipuri:
- controale organizatorice: masuri organizatorice folosite pentru protectia la fraude, neatentie si/sau neglijenta;
- documentatie de sistem, folosita pentru verificarea functionarii sistemului, in conformitate cu cerintele utilizatorului, specificate in proiectul de executie;
- controale hardware (controale de echipament): masuri de protectie la defectiunile tehnice;
- controale de siguranta (echipamente si fisiere): masuri de protectie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamitati (apa, foc etc.).
Controalele de aplicatie sunt tehnici de control specifice, integrate in software-ul de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea si protectia datelor stocate in sistemul respectiv si a rezultatelor prelucrarilor efectuate asupra acestor date. Se proiecteaza si se realizeaza o data cu fiecare sistem informatic. Principalele tipuri de controale de aplicatie sunt:
- controale de intrare: masuri de asigurare a corectitudinii intrarilor sistemului;
- controale de prelucrare: masuri de asigurare a corectitudinii prelucrarilor efectuate in interiorul sistemului;
- controale de iesire: masuri de asigurare a corectitudinii iesirilor sistemului.
Majoritatea erorilor identificate in rezultatele finale ale prelucrarilor efectuate de sistemele informatice provin din software-ul de aplicatie (de utilizator) folosit sau din introducerea eronata a datelor. Din acest motiv, controalele de aplicatie joaca un rol major in asigurarea unui control intern eficient in sistemul informatic.
Utilizatorii aplicatiei:
proprietarul
administratorul
utilizatorii curenti
Proprietarul:
utilizator principal
are responsabilitatea aplicatiei
nu este implicat in executarea aplicatiei
deleaga sarcini.
Administratorul
sa asigure fuctionarea controlului logic asa cum s-a prevazut
sa asigure actualizarea controlului logic
sa verifice existent backup-ului aplicatiei
sa resolve cerintele utilizatorului
sa asigure identificarea, monitorizarea si raportarea problemelor
pastrarea si distributia documentatiei
asigura legatura intre departamentul IT, utilizatorii sistemului si firma software furnizoare
Utilizatorii curenti
aplicatia reprezinta un instrument de lucru pentru realizarea sarcinilor lor
sunt instruiti cum sa foloseasca aplicatia pentru a-si realiza sarcinile de serviciu.
Aplicatiile se clasifica astfel:
sisteme cu intrari de tip batch
sisteme cu intrari de tip batch si consultare online
sisteme cu procesare pe loturi si consultare online
Auditorul unei aplicatii trebuie sa adopte o abordare eficienta si eficace a auditului, sa cunoasca sis a inteleaga sistemul si controalele interne. Daca controalele acopera obiectivele auditului si par a fi robust auditorul poate selecta testele considera ca necesare.
Planul de audit trebuie sa contina obiectivele fixate, probele pe care auditorul se asteapta sa le obtinain urma auditului, amploarea(intinderea testelor) programate, ce se considera ca esec al controlului sic ate astfel de riscuri pot fi tolerate.
Probele pot fi sub forma listelor de control al accesului, limitelor autirizarilor automate ale utilizatorilor, jurnalelor de securitate si cererilor de modificari si modul de solutionare a acestora. Probele se obtin prin combinarea observatiilor, chestionarelor, examinarilor si esantioanelor.
Controalele aplicatiei asigura completitudinea, acuratetea si validitatea inregistrarilor, Controalele vizeaza intrarile, prelucrarile si iesirile.
Auditorul trebuie sa produca devezi ca a inteles modul de functionare a sistemului informatics si controalele acestuia. Acesta obtine cunoastere si prin documentare asupra fluxului tranzactiilor prin sistem si controalele aplicate intrarilor, prelucrarilor si iesirilor. Auditorul trebuie sa identifice si sa cunoasca orice documentatie a aplicatiei existent la client.
III. Controlul intrarilor
Este folosit pentru a asigura ca toate tranzactiile sunt:
Introduse correct
Complete
Valide
Autorizate
Aferente perioadei de gestiune curente
Inregistrate correct in conturi(in cazul aplicatiilor contabile)
Autorizarea
Autorizarea controalelor reduce riscul erorilor, fraudei si tranzactiilor ilegale
Autorizarea poate fi controlata prin identificarea utilizatorului, care a introdus datele in system pe baza privilegiilor asociate ID-urilor utilizatorilor
Validarea intrarilor
Se poate realize manual sau automat
Controalele de validare trebuie sa asigure indeplinirea criteriilor de validare a datelor stabilite
Reduce riscul introducerii de date incorecte
Maxima "garbage in - garbage out" atentioneaza asupra importantei acuratetei datelor de intrare. Este mai efficient sa aloci resurse pentru asigurarea acuratetei si completitudinii datelor de intrare decat sa fi nevoit sa le corectezi in timpul, sau mai grav, dupa incheierea procesului de prelucrarea si chiar a depunerii situatiilor financiare.
Controlul datelor de intrare trebuie adaptat la modalitatile diferite de introducere a datelor de system
De la tastatura(unde riscuril erorilor este mai mare)
Scanarea documentelor
Utilizarea perifericelor senzoriale
Citirea barelor de cod
ATM-uri si terminal POS
EDI(Electronic Data Interchange)
Generarea automata a tranzactiilor(ex: plati planificate, calculare lunara a dobanzilor)
Nu toate intrarile reprezinta un support material(documente pe support hartie), multe fiind in format electronic. In cazul preluarii automate sau generarii automate exista riscuri mai mici de eroare fata de preluarea datelor prin tastatura.
Tipuri de controale asupra datelor de intrare:
Controlul formatului:
o Natura datelor
o Lingimea datelor- trunchieri
o Numarul de zecimale admis
o Acceptarea valorilor negative sau doar a celor positive
o Formatul datei calendaristice
o Aplicarea semnului monetar
Controlul domeniului de definitie a atributelor
a) Incadrarea intr-o multime de valori prestabilita(ex: abrevierea judetelor, tipuri de unitati de masura, tipuri de documente)
b) Incadrarea intr-un interval de valori prestabilit(ex: salariul angajatilor ina valori in intervalul[250.3000])
c) Validari ale realizarilor unor atribute diferite numit si testul dependentei logice dintre campuri. Ex: validarile privind corespondenta conturilor - contul X se poate debita doar prin creditarea conturilor A,B,C
d) Testul "rezonabilitatii" datelor:
Aceste teste verifica daca datele sunt rezonabile in raport cu un standard sau date introduse anterior. Datele standard pot fi stocate intr-un fisier sau pot reprezenta constant definite la nivelul aplicatiei(ex: un standard poate fi reprezentat de numarul de ore lucratoare intr-o luna, stability in functie de zilele lucratoare si sarbatorile legale, nivelurile de dobanda practicate de banca ,etc)
Controlul acuratetei aritmetice
Pe baza unor date de intrare introduse de operator pot fi verificate elementele calculate din domeniul primar.
Ex: pe baza cantitatii si pretului unitar al unui articol inscris intr-o facture sistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoaraea cu TVA si apoi totalul facturii operandul putand confrunta aceste sume calculate cu cele inscrise in factura.
Controlul existentei datelor
Testul se refera in principal la validarea datelor de intrare reprezentand coduri. Este sufficient sa introduce codul unui client si pe ecran sa se afiseze numele acestuia sau un mesaj de eroare atentionand asupra introducerii unui cod incorect.
Testul cifrei de control
o Se aplica supra datelor de intrare reprezentand elemente codificate
o Urmareste rejectarea codurilor eronate introduse
o Cauza erorii la nivelul elementelor codificate poate fi:
Trunchierea
Adaugarea unui caracter suplimentar
Transcrierea incorecta a codului in documentul primar
Transpozitia caracterelor la introducerea codurilor
o Presupune determinarea cifrei de control aferente codului introdus prin aplicarea algoritmului prestabilit. In masura in care cifra de control determinata automat nu corespunde celei incluse in codul introdus sistemul va trebui sa atentioneze printr-un mesaj corespunzator asupra erorii aparute.
Testul tranzactiilor duplicate
Sistemul admite introducerea repetata a acelorasi date?
Ex: introducerea repetata a unui aceluiasi document(facture, bon de consum, etc)
Solutionarea tranzactiilor rejectate
o Cum se solutioneaza tranzactiile neacceptate de sistem(care nu au trecut testul de validare)?
o Cine raspunde de verificarea acestor date de intrare si de reintroducerea lor?
o Sunt generate liste continand intrarile rejectate?
IV. Daca aceste tranzactii sunt consemnate in documentele primare depistarii erorii este mai usoara si corectarea se poate face fara problem deosebite. Probleme particulare apar in cazul tranzactiilor online.
IV. Controlul prelucrarilor
Auditorul tine seama de:
Tipologia sistemului informatics:
o Sisteme de procesare a tranzactiilor(TPS- Transaction Processing Systems)
o Sisteme destinate conducerii curente(MIS- Management Information Systems)
o Sisteme suport de decizie(DSS- Decision Support Systems)
o Sisteme destinate conducerii strategice(EIS- Execitive Support Systems)
o Sisteme pentru automatizarea lucrarilor de birou(OAS- Office Automation Systems)
Modalitatilor de introducere a datelor in system si procesarea acestora:
o Introducerea pe loturi- procesare pe loturi
o Introducere online - procesare pe loturi
Natura prelucrarilor
In cadrul TPS-urilor, de exemplu, pot fi identificate procedure de :
Actualizara bazei de date
Sortare
Calcul
Consultare
Salvare si restaurare a bazei de date
Nivelul de descentralizare a prelucrarilor
Controlul fisierelor si al bazei de date:
Se verifica:
Continuitatea acestora
Versiunea- este ultima versiune? Cupreinde toate corelatiile?
Transferul fisierelor in momentul trecerii la exploatarea unui nou sistem informatics. Se verifica masura in care au fost autorizate procedurile de transfer al fisierelor din vehicul in noul sistem. Au fost aceste procedure realizate de persoanele imputernicite? Se verifica completitudinea si corectitudinea transferului.
Solutia aleasa pentru arhitectura bazei de date este cea mai buna(varianta baza de date centralizata sau baza de date distribuita )?
In cazul bazelor de date distribuite s-a realizat o corecta si eficienta distribuire a datelor in nodurile retelei? In ce masura s-a tinut seama de respectarea urmatoarelor cerinte:
o Nevoile de informare a utilizatorilor locali
o Asigurarea unui transfer minim al datelor in retea
o Necesitatea protectiei datelor transferate prin retea
Care au fost criteriile pentru alegerea SGBD-ului? Ofera SGBD-ul toate faclitatile privind implementarea controalelor automate, al controlului accesului la baza de date, tabelele bazei de date, etc.
Disponibilitatea datelor
Datele, in procesul prelucrarii, datorita reprezentarii binare sunt inaccesibile auditorului in aceasta forma. Mai mult, unele date sunt temporar stocate in memoria calculatorului(datelor intermediare de lucru).
Controlul prelucrarilor declansate automat
Auditorul trebuie sa verifice care sunt evenimentele care declanseaza aceste prelucrari
Controlul tranzactiilor generate automat
Functionalitatea aplicatiei
Exista anumite prelucrari pe care aplicatia trebuie sa le execute, dar nu le realizeaza sau le realizeaza greoi?
Sunt functionalitati care lipsesc?
In ce masura aplicatia raspunde stilului si metodei de lucru specific utilizatorului?
Determina aplicatia un mod de lucru ineficient, o gandire rigida, nenaturala?
Controlul fluxului prelucrarilor
Presupune sa verificam ce prelucrari urmeaza sa se declanseze in anumite circumstante.
Testul load conditions: un program poate functiona nesatisfacator cand este suprasolicitat(vouluml mare de date de prelucrat intr-un interval scurt de timp sau incarcare maxima intr-un anumit moment).
Comunicarea sistemului cu utilizator
Este usor "sa te pierzi" in program?
Exista optiuni de lucru care pot fi confundate cu altele?
Care sunt mesajele de eroare? Sunt utile, explicite?
Ce informatie este disponibila pe ecran? Este suficienta, clara?
Calitatea asistentei oferite utilizatorului(informatia returnata de tasta HELP de exemplu).
Performante
In cazul sistemelor in timp real este foarte important timpul de raspuns.
Integrarea prelucrarilor
Alegerea tehnologiilor de prelucrare
Tehnologiile pot fi clasificate in functie de: -metodele, tehnicile si echipamentele utilizate; -modul in care se structureaza si se organizeaza datele pentru prelucrare; -procedeele de introducere a datelor in calculator; -metodele si tehnicile de prelucrare si de redare a rezultatelor obtinute.
Din punct de vedere al performantelor tehnico-functionale respectiv, dupa timpul de raspuns al sistemelorinformatice, tehnologiile se pot diferentia in: -tehnologii cu raspuns intarziat; -tehnologii in timp real.
Dupa modul de structurare si organizare a datelor tehnologiile de preluare automata a datelor se clasif in: -tehnologii care utilizeaza fisierele clasice; -tehnologii care utilizeaza fisierele clasice si/sau fisiere integrate; -tehnol care utiliz baze de date.
Dupa locul amplasarii calculatorului electronic in raport cu punctele de generare a datelor si cu functiile de valorificare a informatiilor obtinute din prelucrare: -tehnol pt sisteme informatice centralizate; -tehnol pt sist informatice distribuite
Estimarea necesarului de resurse -elem determinate pt configuratia fiecarui echipament de prelucrare sunt:
1.Memoria interna - estimarea necesarului de memorie interna se face pe baza relatiei de calcul: M=M1+M2 unde: M=necesarul total de memorie, M1=neces de memorie pt fol sistem de operare ales, M2=neces de memorie pt executia programelor aplicative. Necesarul de memorie interna pentru programe aplicative este: M2=max(Ma,Mb, ..,Mn)
2.Estimarea necesarului de echipamente periferice ale sistemului central de prelucrare se realiz in functie de echipam de intrare-iesire si de unitatile de memorie externa. Numarul echipamentelor periferice necesare se stabileste in raport de factorii: -fluxul de intrare-iesire; -volumul de date ce se cere a fi stocat in memoria externa; -modul de exploatare; -nr de programe ce se executa in paralel.
3.Estimarea personalului de personal de specialitate - personalul de specialitate necesar realizarii si exploatarii sistemului informatic, se determina in raport cu: -volumul de munca cerut de complexitatea proiectului si volumul de munca cerut de intretinerea si exploatarea sistemului informatic.
4.Estimarea necesarului de produse-program pot fi asigurate: -din ansamblul de programe care insotesc calculatorul electronic; -prin preluarea de elemente tipizate; -prin preluarea altor programe, de la alte centre de informatica; -prin elaborarea softului, cu eforturi proprii.
Planificarea realizarii sistemelor informatice Aceasta etapa are la baza principiul proiectarii si implementarii esalonate. Esalonare reprezinta ordinea in care vor fi abordate componentele sistemului. Esalonarea se reprezinta sub forma unui grafic detaliat in care se specifica fiecare modul component, etapele de realizare si durata fiecareia. Criterii: a- prioritatea obiectivelor componente; b- asigurarea legaturilor intre componente. Aceste relatii sunt de 2 tipuri, relatii de precedenta si relatii de succesiune; c- disponibilitatea resurselor
V. Controlul datelor de iesire
Urmareste:
Completitudinea si acuratetea iesirilor
Respectarea termenelor prevazute pentru obtinerea iesirilor
Masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta, monitor sau fisier
Distribuirea iesirilor catre persoanele autorizate:
o Cine primeste situatiile? Exista personae imputernicite in acest sens?
o Situatiile continand date sensibile sunt preluate pe baza de semnatura?
o Cum este asigurata protectia informatiilor confidential?
Iesirile catre alte aplicatii se realizeaza in formatul pe care acestea il necesita?
Masura in care se realizeaza inregistrarea, raportarea si corectitudinea erorilor identificate.
In ce masura exista din partea managementului un control asupra acuratetei iesirilor si modul de distribuire al lor
VI. Bibliografie
https://www.dorin.craiova-maxima.ro/wp-content/uploads/2008/04/cap4.pdf
https://www.scritube.com/economie/contabilitate/Audit-financiar-contabil1424689.php
https://www.referatele.com/referate/informatica/online5/PROIECTAREA-DE-ANSAMBLU-A-SISTEMELOR-INFORMATICE-referatele-com.php