UNIVERSITATEA „SPIRU HARET”
FACULTATEA DE MANAGEMENT FINANCIAR CONTABIL CRAIOVA
Specializarea: Contabilitate şi Informatică de gestiune
AUDITAREA SISTEMELOR INFORMATICE
Titular curs: Conf. univ. dr. Rotaru Simona
CONŢINUTUL TEMATIC AL DISCIPLINEI
INFLUENŢELE TEHNOLOGIEI INFORMAŢIONALE ÎN CADRUL ORGANIZAŢIEI
OBIECTUL AUDITULUI PENTRU SISTEME INFORMATICE
RISCURILE ASOCIATE SISTEMELOR INFORMATICE
CONTROALELE CICLULUI DE VIAŢĂ A DEZVOLTĂRII SISTEMELOR INFORMATICE
CONTROLUL SECURITĂŢII SISTEMELOR INFORMATICE
CONTROLUL APLI CATI I LOR
BIBLIOGRAFIE MINIMALĂ
1. Andronie Maria, Auditarea sistemelor informatice, Editura Fundaţiei România de Mâine,
Bucureşti, 2006.
2. Ghiță Emil(coordonator), Rotaru Simona – colectiv, Misiune de audit intern privind
managementul resurselor umane, Editura Sitech, 2011, Craiova.
3. Munteanu, A., Auditul sistemelor informaţionale contabile, Editura Polirom, Iaşi, 2001
4. Rotaru Simona, Ghiţă Mirela, Ghiţă Ştefan, Analiza şi modelarea sistemelor informatice,
Editura Sitech, Craiova, 2006.
5. Rotaru Simona, Ghiţă Mirela, Ghita Stefan, Proiectarea si implementarea sistemelor
informatice, Ed. Universitaria, 2006, Craiova.
6. Rotaru Simona, Sisteme informatice de gestiune economică, Editura Sitech, 2010,
Craiova.
INFLUENŢELE TEHNOLOGIEI INFORMAŢIONALE ÎN CADRUL ORGANIZAŢIEI
Tehnologiile informaţionale cercetează şi transformă informaţia din punct de vedere calitativ,
ele ameliorează şi completează inteligenţa umană. Oamenii au posibilitatea ca prin intermediul lor să
sporească volumul de informaţii, să-şi partajeze cunoştinţele şi să se angajeze în interacţiune.
Unii autori sugerează înlocuirea sintagmei Information Technology cu Information and
Comunication Tehnology, pentru a pune în evidenţă tocmai dimensiunea comunicaţională. Astfel
accesul la informaţie devine din ce în ce mai rapid în condiţiile în care toate marile puteri (Statele
Unite, Japonia, Uniunea Europeană) sunt angajate în programe de infrastructură a transmisiilor cu debit
înalt, cunoscute sub numele de autostrăzi informaţionale. Ca urmare, cele mai importante organizaţii
internaţionale şi guvernele unui număr mare de state, mai ales cele dezvoltate, se preocupă constant de
analizarea şi previzionarea evoluţiilor informaticii şi comunicaţiilor.
Extinderea utilizării tehnologiilor informaţionale şi comunicaţiilor are un efect sinergic asupra
activităţilor organizaţiilor şi a performanţelor acestora.
Influenţele directe şi indirecte ale tehnologiei informaţionale în cadrul organizaţiilor sunt redate
sugestiv în figura 1:
Schimbări organizaţionale
Structură organizaţională
Flexibilitatea organizaţională
Reproiectarea procedeelor
economice
Tehnologia informaţională
Management organizaţional
procesul decizional
ascensiunea profesională
supervizarea
activităţii
Cerinţe organizaţionale
obiective
strategii
Figura 1 Influenţele tehnologiei informaţionale în cadrul organizaţiei
Structura organizaţională
TI favorizează productivitatea sporită a managerilor, lărgirea controlului (numărul de angajaţi
pe supervizor) şi reducerea numărului de experţi (datorată sistemelor expert). Legat de aceasta,
impactul principal îl reprezintă aplatizarea ierarhiilor organizaţionale, adică, în multe organizaţii, vor
exista mai puţine niveluri manageriale şi mai puţini manageri. De asemenea, aplatizarea ierarhiilor va
rezulta şi într-o reducere a numărului total de personal, ca urmare a productivităţii mărite şi posibilităţii
ca personalul cu pregătire generală să execute activităţi ce necesită pregătire de specialitate (de
exemplu, folosind sistemele expert).
Flexibilitatea organizaţională
O organizaţie flexibilă are capacitatea de a se adapta noilor condiţii ale mediului
de afaceri şi de a răspunde cu rapiditate forţelor pieţei, profitând de oportunităţile ivite.
Utilizarea tehnologiei informaţionale determină scurtarea timpului de realizare a anumitor
activităţi, reduce ciclul de dezvoltare a produselor, face comunicarea mai rapidă, altfel spus
accelerează ritmul desfăşurării activităţii firmelor şi sporeşte capacitatea lor de a prelucra
informaţiile. De asemenea, TI modifică graniţele temporale şi spaţiale ale activităţii. Astfel, prin
folosirea poştei electronice şi a video sau teleconferinţelor, cei care lucrează la un proiect nu trebuie să
se afle în acelaşi loc sau să lucreze în acelaşi timp. Pe de altă parte, cu ajutorul unui modem sau a altor
dispozitive mobile răspândite pe scară din ce în ce mai largă, anumite activităţi pot fi realizate aproape
din orice loc de pe glob şi la orice oră din zi sau noapte.
Efectele utilizării tehnologiei informaţionale prezentate anterior contribuie la creşterea
flexibilităţii firmelor. Bazându-se pe sisteme informaţionale proiectate şi realizate în mod
corespunzător, organizaţiile îşi pot spori capacitatea de a răspunde cerinţelor clienţilor, furnizorilor şi
ale mediului în general.
Reproiectarea proceselor economice
Prin reproiectarea proceselor economice (Business Proces Reenginering – BPR) se obţine o
restructurare a muncii prin transformarea activităţilor cu ajutorul tehnologiei informaţionale. Această
reproiectare este definită ca o regândire fundamentală şi o remodelare radicală a activităţilor în vederea
de îmbunătăţiri substanţiale, precum cele privind costul, calitatea, serviciul şi serviciul (Hammer M,
1993). Astfel, reproiectarea priveşte toate aspectele legate de modul în care firmele “fac afaceri”,
vizând schimbări majore ale acestuia, dincolo de simpla reducere a costurilor sau automatizare a unui
proces.
Centralizarea autorităţii
Experienţa demonstrează ca TI pot sprijini atât eforturile de centralizare, cât şi cele de
descentralizare a procesului decizional din cadrul organizaţiei. Firma care doreşte o centralizare a
puterii decizionale poate opta pentru o bază de date centralizată, ce poate fi actualizată de la staţii de
lucru situate în diferite locuri din organizaţie şi legate prin intermediul unei reţele de calculatoare, în
vederea concentrării informaţiilor şi păstrării controlului acestora la anumite niveluri de conducere. Din
contră, o firmă care doreşte descentralizarea puterii decizionale poate apela la tehnologia sistemelor
distribuite şi arhitectura client/server pentru a oferi angajaţilor situaţi pe niveluri inferioare de
conducere sprijinul necesar luării deciziilor, permiţând astfel delegarea suplimentară a unor decizii.
Ascensiunea profesională a angajaţilor
Utilizarea crescândă a TI în organizaţii ar putea avea un impact semnificativ şi întrucâtva
neaşteptat asupra ascensiunii profesionale a angajaţilor. Multe persoane cu un grad ridicat de pregătire
profesională şi-au perfecţionat cunoştinţele şi şi-au dezvoltat aptitudinile pe parcursul a ani întregi de
experienţă, deţinând o serie de poziţii ce I-au pus progresiv în faţa unor situaţii din ce în ce mai dificile
şi complexe. Utilizarea TI şi în special a sistemelor expert ar putea “bloca” această curbă a învăţării,
dând naştere la diferite întrebări precum: În ce mod va fi dobândită experienţa profesională de nivel
ridicat, cu o experienţă minimă în domeniul sarcinilor de bază? Cum vor fi structurate programele de
perfecţionare a resurselor umane? Ce oportunităţi privind cariera le vor fi oferite angajaţilor?
Supervizarea activităţii
Faptul că munca unui angajat are loc on-line şi este înregistrată electronic oferă posibilitatea
unei supervizări electronice sporite. Pentru acei angajaţi a căror muncă este adesea măsurată prin
finalizarea proiectelor, supervizarea “de la distanţă” pune un accent mai mare pe munca dusă la bun
sfârşit şi mai puţin pe contactele personale. Acest lucru iese în evidenţă mai ales atunci când angajaţii
îşi desfăşoară activitatea în locuri dispersate geografic, departe de supervizorii lor. În general, procesul
de supervizare tinde să devină mai formalizat, punând o bază mai mare pe proceduri şi rezultate
măsurabile, decât pe procese informaţionale.
Stabilirea obiectivelor şi strategiilor organizaţionale
TI intervin atât în stabilirea obiectivelor strategice, cât şi în definirea dimensiunii şi direcţiilor
de schimbare ale firmei, ceea ce demonstrează locul important pe care âl ocupă determinismul
tehnologic în procesul de schimbare organizaţională. Relaţia dintre TI şi schimbările organizaţionale
determină adoptarea unei atitudini cât mai flexibile în definirea obiectivelor strategice, care adesea
implică schimbări fundamentale în structura şi cultura organizaţională a firmei. Aplicarea TI poate fi
rezultatul schimbării organizaţionale, dar şi catalizatorul acesteia, iar la rândul lor, TI pot influenţa
schimbarea obiectivelor strategice. Tot acest proces are un caracter ciclic şi iterativ.
In cadrul unei organizaţii, putem pune in evidenţă două tipuri de activităţi: cea de bază şi cea
auxiliară, de natură informaţională. Separând elementele care participă la activitatea informaţională de
cele care participă la activitatea de bază, productivă, vom obţine două sisteme: sistemul de bază si
sistemul informaţional.
Sistemul informaţional poate fi definit ca un instrument indispensabil, constituit din mijloace,
metode şi oameni prin care se asigură desfăşurarea activităţilor specifice procesului informaţional:
înregistrarea, transmiterea, prelucrarea, selecţionarea şi păstrarea informaţiilor despre resursele
existente, despre eventualele perturbaţii şi abateri de la traiectoria fixată.
Într-o formă mai detaliată, putem spune că sistemul informaţional reprezintă din ansamblu de
fluxuri şi circuite informaţionale organizate intr-o concepţie unitară, care utilizează modele, proceduri,
resurse umane si materiale pentru culegerea, înregistrarea şi/sau transmiterea datelor şi a informaţiilor
prin intermediul cărora se asigură interconexiunile dintre sistemul de conducere şi sistemul condus,
dintre mecanismul social-economic pe care îl deserveşte si mediul social economic extern, având drept
scop final realizarea obiectivelor proprii unităţi economice in condiţii de maximă eficienţă.
Un sistem informaţional modern trebuie să asigure: informarea la toate nivelele operativitatea
informării, selectarea informaţiilor adaptabilitatea la modificări (modificarea cererilor de informaţii, a
datelor de intrare, a structurii organizatorice, a metodelor de prelucrare a datelor), precizia si exactitatea
informaţiilor.
Apariţia şi dezvoltarea mijloacelor informatice permiţând automatizarea gestiunii informaţiei a
impulsionat cercetările asupra naturii si structurii sistemului informaţional.
Sistemul informaţional reprezintă latura dinamică a sistemului managerial, făcând legătura intre
sistemul conducător şi cel condus in cadrul unităţii economice, dar şi intre aceasta şi mediul in care-si
desfăşoară activitatea. Sistemul informaţional permite cunoaşterea situaţiei existente intr-o unitate
economică. a celei trecute, dar si anticipări ale evoluţiei viitoare. contribuind la elaborarea şi
îndeplinirea obiectivelor stabilite. Prin intermediul sau se obţin informaţiile necesare fundamentării
deciziilor implementării acestora, precum si cele necesare adaptării sistemului unităţii economice la
modificările interne si externe ei.
Abandonarea concepţiei tradiţionale in favoarea uneia noi, moderne, se explică prin
conştientizarea faptului că o utilizare corespunzătoare a informaţiilor permite raţionalizarea distribuţiei
mărfurilor in condiţiile în care este evident mai avantajos, mai ieftin, să mişti informaţia decât marfa.
Este unanim acceptată idea ca orice mişcare a mărfii generează o mişcare de informaţii. Proiectarea şi
realizarea unui sistem informaţional capabil sa capteze informaţii utile unei unităţi economice, permite
o mai bună adaptare a acesteia la mediu, oferind chiar posibilitatea adoptării unei strategii active de
influenţate a mediului în sensul dorit.
Sistemul informaţional economic cuprinde: modul de organizare şi culegere a datelor; sistemul
de indicatori; clasificarea produselor şi activităţilor; metodologia de calcul a indicatorilor purtătorii de
informaţii; modul şi reţeaua de transmitere a datelor; modul de prelucrare a informaţiilor; mijloacele şi
modul de stocare a datelor; căile de valorificare a informaţiilor.
In cadrul sistemului informaţional, o serie de activităţi se desfăşoară (sau se pot desfăşura)
automat cu ajutorul tehnicii de calcul.
Sistemul automatizat de prelucrare a datelor, ca o subliniere a perfecţionării şi îmbunătăţirilor
radicale care au fost aduse procesului de prelucrare şi furnizare a informaţiilor pentru a cărui
desfăşurare se utilizează tot mai multe elemente de automatizare, poartă denumirea de sistem
informatic. Acesta este parte componentă a sistemului informaţional prin care se asigură prin utilizarea
calculatoarelor electronice, culegerea, transmiterea, prelucrarea şi stocarea datelor in vederea exercitării
cu eficientă superioară a principalelor atribute ale conducerii: previziune, planificare, urmărire-control,
organizare şi comandă (decizie).
Obiectivele principale ale sistemelor informatice economice constau in:
• creşterea operativităţii in informarea conducerii si luarea deciziilor la toate nivelurile.
• creşterea eficienţei economice in toate domeniile de activitate.
• reducerea volumului documentelor şi corespondenţei scrise utilizarea eficientă a personalului cu
înaltă calificare prin eliberarea sa de activităţile de rutină.
Sistemul informatic preia şi dezvoltă o parte din baza informaţională şi operaţiile de prelucrare ale
sistemului unităţii economice, putând fi privit din acest punct de vedere ca un subsistem informaţional
automatizat.
Sistemul informatic asigură memorarea şi prelucrarea automata a unei părţi a informaţiilor dintr-o
unitate economică, pentru a asigura următoarele cerinţe:
• asigurarea, simplificarea şi ameliorarea lucrărilor şi procedurilor informaţionale care presupun
simpla execuţie a unor operaţii şi prelucrări de rutină;
• asistarea şi sprijinirea procesului de conducere, şi in mod deosebit a procesului decizional.
Având in vedere că decizia aparţine omului, sistemul informatic are rolul de a-i furniza toate
elementele necesare si de a-i permite să facă alegerea deciziei optime pe baza unui maxim de
informaţii. De asemenea, sistemul informatic poate servi ca instrument de simulare, permiţând
evaluarea rapidă a consecinţelor previzibile ale fiecărei decizii şi adoptarea celei mai eficiente.
Informatizarea poate cuprinde, in mod obiectiv, numai acele părţi din sistemul informaţional care
sunt formalizabile prin definirea unor funcţii de transformare a intrărilor în ieşiri.
Cercetările din domeniul modelării matematice a proceselor economice, cat si cele din domeniul
inteligentei artificiale conduc la lărgirea continuă a ariei de utilizare a informaticii in cadrul unităţilor
economice.
Utilizarea calculatorului pentru rezolvarea unui grup omogen de lucrări sau probleme ale unităţii
beneficiare constituie o aplicaţie informatică cu menţiunea ca un sistem informatic poate cuprinde una
sau mai multe aplicaţii informatice. Aria unei aplicaţii informatice este determinată de omogenitatea
funcţională a prelucrărilor realizate si de delimitarea dintre procesele formalizabile şi cele
neformalizabile.
In cadrul unui sistem informatic pot exista mai multe aplicaţii care folosesc aceleaşi informaţii sau
informaţii generate de alte aplicaţii. În asemenea situaţii, pentru a evita introducerea repetată a
informaţiilor comune, se apelează la integrarea sistemului.
Un sistem informatic integrat asigură preluarea unică a fiecărei informaţii si difuzarea acestora
tuturor aplicaţiilor care o solicită.
Integrarea sistemelor informatice se poate realiza pe următoarele căi:
• memorarea fiecărei informaţii. astfel încât, să corespundă integral tuturor cerinţelor specifice ale
aplicaţiilor si să fie disponibilă pentru fiecare dintre ele.
• transmiterea informaţiilor între aplicaţii sub forma fişierelor de interfaţă prin care se asigură
joncţiunea dintre aplicaţii.
Integrarea poate fi realizată la nivelul unui sistem informatic specific unei unităţi economice, sau
între sisteme informatice aparţinând unor unităţi intre care există relaţii de subordonare-coordonare şi
care pot fi dispersate teritorial (de exemplu o sucursală cu filialele sale se găseşte in relaţii de
subordonare -coordonare).
Din punct de vedere fizic integrarea poate fi realizată prin intermediul unei reţele de calculatoare,
să asigure distribuirea colecţiilor de date memorate între unităţile economice ce se află in relaţii de
subordonare, in vederea furnizării necesarului de informaţii pentru fiecare dintre acestea.
In aceste condiţii, integrarea conduce la arhitecturi de sisteme informatice ierarhizate, cu
prelucrare, manipulare si stocare distribuită a datelor, in care prelucrarea interactivă şi in timp real are o
pondere tot mai însemnată.
Sistemul informatic imprimă valenţe sporite sistemului informaţional sub aspect calitativ şi
cantitativ. Astfel, se manifestă o creştere a capacităţii de calcul, sub aspectul volumului datelor de
prelucrat şi a operaţiunilor de efectuat, creşterea exactităţii informaţiilor, sporirea operativităţii şi
complexităţii sistemului de informare.
Schematic, prin prisma activităţilor, un sistem informatic poate fi reprezentat prin triada: intrări
– prelucrări – ieşiri(fig.2).
Din reprezentarea grafică se observă componentele de bază ale oricărui sistem informatic, şi
anume: resursele umane, resursele hardware, resursele software, resursele de date şi resursele de reţele.
Resursele hardware cuprind totalitatea mijloacelor tehnice de culegere, transmitere, stocare şi
prelucrare a datelor.
Resursele software includ totalitatea programelor pentru funcţionarea sistemului informatic, în
concordanţă cu funcţiunile şi obiectivele ce i-au fost stabilite. Se au în vedere atât programele de bază
(SOFTWARE-ul de sistem), cât şi programele aplicative (SOFTWARE-ul aplicativ).
Resursele umane reprezintă toate categoriile de utilizatori care au acces la baza de date în
diverse faze ale ciclului de viaţă al acesteia.
Resursele de date cuprind datele supuse prelucrării, fluxurile informatice, sistemele şi
nomenclatoarele de coduri. Principalele structuri ale acestuia sunt bazele de date ce se regăsesc sub
forma colecţiilor de fişiere, tabele şi alte depozite de date, precum şi relaţiile dintre acestea.
Prelucrări
▪ hardware
▪ software
▪ resurse
umane
▪ stocare
date
Intrări
▪ date
▪ informaţii
▪ operaţiuni
Ieşiri
▪
liste/rapoar
te
▪ grafice
▪ indicatori
▪ alte ieşiri
Control
▪ analize
▪ decizii
Feed - back
Fig. 2 Structura unui sistem informatic
Resursele de reţele se referă la totalitatea echipamentelor şi tehnologiilor de comunicaţie a
datelor între sisteme.
În tabelul 1.1 este prezentată o sinteză pe care am realizat-o cu privire la resursele sistemului
informatic şi produsele informaţionale.
Tabelul 1.1 Resursele sistemului informatic şi produsele informaţionale
Resurse umane
Specialişti – analişti de sistem, programatori, operatori.
Utilizatori finali – orice altă persoană care utilizează sistemele informatice.
Resurse hardware
Calculatoare – microcalculatoare (calculatoare personale), minicalculatoare, calculatoare
miniframe.
Alte dispozitive – ecrane video, tastatură, mouse, scanner, imprimantă, plotter
Medii de stocare – dischete, benzi magnetice, discuri magnetice, optice, CD-ROM, DVD, cartele
de plastic, formulare de hârtie.
Resurse software
Programe – sisteme de operare, aplicaţii pentru procesarea textelor, calcul tabelar, prezentare,
pachete de aplicaţii pentru gestiunea clienţilor, salariilor.
Proceduri – proceduri pentru introducerea datelor, de corectare a erorilor.
Resurse de date
Descrieri ale produselor.
Înregistrări privind clienţii.
Fişe ale angajaţilor.
Baze de date cu stocurile, partenerii firmei etc.
Resurse de reţele
Medii de comunicaţii – cabluri UTP, coaxiale sau din fibră optică, sisteme cu microunde, sisteme
de comunicaţii prin satelit.
Suport de reţea – procesoare de comunicaţii (modem, router, server, hub), software de control şi
de acces la reţea (sisteme de operare de reţea, navigatoare Internet).
Produse informaţionale
Rapoarte pentru management, documente şi situaţii cuprinzând text, grafice.
Elemente audio şi video.
Analizând aceste componente, putem spune că performanţele unui sistem informatic se pot
aprecia în principal, pe baza următoarelor cerinţe:
să fie o colecţie de date corect proiectată şi implementată;
să conţină programe aplicative de transformare a datelor în informaţii;
să ofere informaţii centralizate pentru managementul producţiei.
OBIECTUL AUDITULUI PENTRU SISTEME INFORMATICE
Noţiunea de audit îşi are originile în limba latină( auditus inseamnă a asculta) şi a fost utilizată,
mai întâi, în ţările occidentale, în domeniul financiar – contabil. În acest sens, prin audit erau verificate
documente financiar – contabile: bilanţul contabil, declaraţia de profit şi pierderi. În aceste ţări, în
momentul de faţă, auditul este obligatoriu pentru societăţile pe acţiuni.
Auditul se poate defini în diverse moduri, dar, în esenţă, el înseamnă, activitatea unor persoane
competente, independente, care culeg şi evaluează probe, dintr-un anumit domeniu, pentru a-şi forma o
opinie privind comparaţia între aspectele observate şi cele prestabilite, conform anumitor criterii.
Adaptarea conceptului de audit şi pentru alte domenii, inclusiv informatică, a fost necesară
deoarece fiecare activitate are particularităţile ei. Pentru sistemele informatice, auditul s-a dezvoltat
datorită pătrunderii calculatorului în domeniul financiar – contabil, şi , ulterior, în toate domeniile de
activitate.
Auditul sistemelor informatice reprezintă procesul prin care se colectează şi se evaluează probe,
cu scopul de a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate
şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele
informaţionale.
În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaţii sunt
verificările, evaluările şi testările mijloacelor informaţionale, astfel:
- identificarea şi evaluarea riscurilor din sistem;
- evaluarea şi testarea controlului din sistem;
- verificarea şi evaluarea fizică a mediului informaţional;
- verificarea şi evaluarea administrării sistemului informatic;
- verificarea şi evaluarea aplicaţiilor informatice;
- verificarea şi evaluarea securităţii reţelelor de calculatoare;
- verificarea şi evaluarea planurilor şi procedurilor de recuperare în caz de dezastre şi
continuare a activităţii;
- testarea integrităţii datelor.
Auditul sistemelor informatice reprezintă un domeniu cuprinzător în care sunt incluse
următoarele tipuri de audit:
- audit organizaţional;
- auditul sistemului operaţional de calcul;
- audit tehnic(infrastructura, comunicaţii);
- auditul controlului şi securităţii informaţiilor;
- auditul strategiei tehnologiilor informaţionale.
Auditul informatic se poate referi la evaluarea riscurilor informatice ale securităţii fizice, securitatea
logică, managementul schimbărilor, planul de asistenţă. În cazul general, auditul informatic se referă
la un ansamblu de procese informatice pentru a răspunde la o cerere precisă a clientului.
De aceea, în cadrul procesului de audit informatic, planificarea şi alegerea metodei de audit este
esenţială. Alegerea unei metode neadecvate conduce la utilizarea de instrumente neadecvate, iar
rezultatele auditului au caracter speculativ.
Alegerea metodei presupune obţinerea unor informaţii privind contextul în care se derulează
procesele legate de produsul software, de aplicaţia informatică sau de sistemul informatic, obiecte ale
auditării.
Auditul informatic trebuie astfel planificat încât să se obţină rezultatele pe care le urmăresc atât
auditorul cât şi organizaţia auditată. În planificarea auditului, auditorul trebuie să înţeleagă
complexitatea sistemului informatic şi modul în care mediul unde evolueaază sistemul, influenţează
evaluarea şi controlul riscurilor.
Auditul sistemelor informatice implică:
- executarea unor serii de teste pentru a se asigura că există un control adecvat asupra
sistemului informatic;
- controale generale;
- controalele aplicaţiilor.
Controalele generale presupun controale care afectează mediul de procesare ale calculatorului
incluzând:
managementul resurselor calculatoarelor;
copii de arhivare şi salvare;
controlul schimbărilor în programul calculatorului;
controlul sistemului de operare.
Controale ale aplicaţiilor care pentru o aplicaţie includ:
acceptarea datelor autorizate;
procesarea este completă şi corectă;
output-urile sunt corecte şi credibile.
Auditul este o activitate complexă, realizată de specialişti cu înaltă calificare şi experienţă în
domeniu. Criteriile de competenţă pe care trebuie să le aibă un auditor de sisteme informatice, au fost
stabilite în 1977 de Biroul Naţional pentru Standarde din cadrul Departamentului de Comerţ al SUA şi
vizează cunoştinţe din următoarele domenii:
Sisteme informatice – datorită modificărilor rapide din domeniul informaticii, auditorul trebuie
să facă dovada cunoştinţelor minime despre:
- teoria sistemelor informatice;
- comunicaţii de date;
- structuri informatice;
- limbaje de programare;
- realizarea şi întreţinerea bazelor de date;
- echipamente de memorare;
- dezvoltarea, modificarea şi întreţinerea softului.
Management – începând cu secolul XX, managementul a cunoscut schimbări radicale. Pentru
un auditor de sisteme informatice, sunt necesare cunoştinţe despre:
- structura organizaţională;
- politici şi proceduri organizaţionale;
- analiza, proiectarea şi programarea funcţiilor organizaţiei;
- selecţia, instruirea şi conducerea angajaţilor.
Securitatea sistemelor informatice este reflectată prin :
- securitatea bazelor de date vizează :
elementele de control bazate pe calculator din mediul multiutilizator: autorizarea,
vederile, copiile de siguranţă, integritatea şi criptarea;
elementele de control care nu sunt bazate pe calculator: politica de securitate şi
planul pentru situaţii excepţionale, controlul personalului, amplasarea
echipamentelor în condiţii de siguranţă, acordurile de întreţinere şi controlul fizic al
accesului.
- securitatea calculatoarelor se referă la controlul accesului fizic şi vizează:
riscul infectărilor cu programe nedorite şi , posibil, dăunătoare cum ar fi virusurile;
utilizarea numai a elementelor de software autorizate.
Audit – competenţele profesionale ale auditorului produc adevărate beneficii pentru entitate,
printr-o evaluare sistematică, pe baza standardelor de audit şi a celor mai bune practici, a
politicilor, procedurilor şi operaţilor realizate de entitate.
Sistemul de evidenţă, prezentare şi prelucrare automată a datelor, în speţă calculatorul şi
programele instalate pe el reprezintă o unealtă care îi ajută pe specialiştii din diversele domenii în
activitatea lor.
În cadrul unui organism economic este necesar să se realizeze auditul sistemelor informatice
deoarece fundamentează deciziile de importanţă majoră pe care factorii de conducere trebuie să le ia de
urgenţă.
Pentru auditul informatic, sistemul informatic are funcţia de prelucrare automată a datelor
pentru obţinerea informaţiilor necesare procesului de conducere şi pentru informare.
Obiectivul auditului pentru un sistem informatic ia în analiză totalitatea elementelor pentru a
proba dacă produsul finit – sistemul informatic – răspunde cerinţelor formulate în contractul în baza
căruia s-a făcut investiţia.
Calitatea auditului este condiţionată de:
tehnicile şi metodele de auditare – să fie utilizate corect, folosind tot ceea ce este
necesar pentru a obţine rezultate reale, neafectate de factori perturbatori sau de
abordări parţiale;
exactitatea şi totalitatea informaţiilor care se constituie probe ale procesului de audit;
exprimarea clară a ceea ce trebuie să realizeze sistemul şi ceea ce realizează efectiv;
auditarea scoate în evidenţă diferenţele, efectuând şi unele cuantiifcări, pentru a reieşi
mai precis pentru fiecare cerinţă în parte, ponderea a ceea ce lipseşte sau ponderea a
ceea ce este în plus.
Auditul sistemelor informatice este o activitate de analiză şi sinteză care presupune un volum
important de muncă întrucât se reface întregul traseu parcurs de echipa de realizatori a sistemului
informatic şi, chiar mai mult, deoarece sunt analizate şi specificaţiile şi sursele pe baza cărora au fost
construite.
Pentru a se realiza un proces de auditare eficient este necesar să se parcurgă următorii paşi:
- stabilirea obiectivelor auditului. Întotdeauna există un obiectiv general şi mai multe
obiective specifice care să contribuie la atingerea obiectivului general;
- evaluarea riscurilor legate de influenţele negative care se manifestă asupra componentelor
sistemului informatic ce vor fi auditate, pe măsură ce se activează procedurile de control;
- elaborarea programului de audit general şi întocmirea planului de acţiune ;
- derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici şi metode stabilite;
- înregistrarea rezultatelor şi evaluarea fiecărei etape parcurse;
- regruparea documentaţiei provenite din diferite stadii ale procesului de auditare şi
construirea raportului final.
Din punct de vedere al echipelor de auditare, auditul sistemelor informatice se clasifică astfel:
- audit extern care include proceduri prin care se evidenţiază comportamentul sistemului
informatic, prin testări cu ajutorul cărora se evidenţiază cât de stabile, cât de fiabile, cât de
mentenabile sunt procedurile de control care intră în componenţa sistemului şi care
implementează toate cerinţele exprese incluse în legi, specificaţii, regulamente ;
- audit intern, prin care se confirmă respectarea procedurilor de transformare a datelor de
intrare în rezultate – urmărindu-se totodată, modul în care noul sistem în care se
implementează este mai eficient şi este însoţit de economisire de resurse.
Auditul intern trebuie organizat şi planificat astfel încât să conducă la îmbunătăţirea controlului
intern şi a proceselor de conducere.
Controlul intern reprezintă politicile, procedurile, practicile şi structurile organizatorice
proiectate cu scopul de a oferi o asigurare rezonabilă în ceea ce priveşte atingerea obiectivelor firmei,
precum şi prevenirea, detectarea sau corectarea evenimentelor care ar putea afecta într-un mod negativ
firma.
Obiectivele controlului intern sunt:
eficienţa şi eficacitatea operaţională;
încredere în raportările financiare;
respectarea reglementărilor legale;
Controlul intern are o structură piramidală şi este alcătuit din 5 elemente:
- mediul controlului,
- evaluarea riscului,
- procedee de control,
- monitorizare,
- informare/comunicare.
Mediul controlului constituie baza oricărei organizaţii şi este determinat de următorii factori:
- competenţa, integritatea morală şi valorile etice ale angajaţilor;
- filozofia managerială şi stilul de conducere;
- atribuţia responsabililor şi autorizarea activităţilor.
Evaluarea riscurilor este necesară pentru ierarhizarea acestora astfel încât organizaţia să-şi poată
asuma doar riscurile care trebuie asumate şi să le poată evita pe cele inutile. Evaluarea riscurilor
presupune identificarea şi analiza acelor evenimente care pot împiedica atingerea obiectivelor
propuse.
După ce a evaluat riscurile la care se supune, următorul pas pe care trebuie să îl facă orice
organizaţie îl reprezintă stabilirea, pe de o parte, a procedeelor prin care se exercită controlul, iar pe de
altă parte, a activităţilor care vor fi controlate .
Aceste procese vor fi monitorizate în permanenţă de către cei implicaţi în activităţile curente,
dar şi de persoane independente. Un sistem care este monitorizat cu regularitate poate reacţiona
dinamic la schimbările ce apar în mediul său.
Prin intermediul sistemului informaţional al organizaţiei, angajaţii au posibilitatea să identifice
informaţiile de care este nevoie şi să le comunice celor în drept. Comunicarea trebuie să fie posibilă în
toate sensurile: de sus în jos(de la şefi la subalterni), de jos în sus(de la subalterni la conducător) sau
partajarea informaţiilor la acelaşi nivel.
RISCURILE ASOCIATE SISTEMELOR INFORMATICE
Managementul, prin activităţile de control prestabilite, identifică riscurile şi prin soluţii
adecvate, în funcţie de gama de riscuri, caută să le elimine sau să le reducă impactul negativ.
Departamentul de audit intern, fiind o structură independentă, reia analiza riscurilor stabilite de
manageri şi caută să identifice care sunt pierderile materiale sau erorile din cadrul raportărilor
financiare, ca urmare a neregulilor descoperite pe parcursul desfăşurării auditului. Orice afirmaţie
făcută de auditor trebuie susţinută de probe. Nu întotdeauna însă, testele utilizate conduc la depistarea
erorilor reale sau potenţiale din cadrul sistemului. Astfel, auditorii se confruntă cu propriul risc: riscul
auditării.
AICPA, organizaţie ce grupează auditorii externi de pe noul continent, a elaborat în 1988 un
model de calcul al riscului auditării:
RA= RI * RC * RD ,unde:
RI – riscul inerent, RC – riscul controlului, RD – riscul detectării.
Acest model rămâne valabil şi în cazul auditării sistemelor informatice.
Riscurile inerente sunt reprezentate de totalitatea riscurilor care planează asupra organizaţiei şi
pot fi interne sau externe, măsurabile sau nemăsurabile.
De exemplu, RI asociat siguranţei accesului la reţea şi a comunicării datelor în reţea, poate fi
considerat un risc de gravitate mare, atâta timp cât nu există un responsabil desemnat cu monitorizarea
implementării procedurilor privind siguranţa accesului utilizatorilor în reţea. Consecinţele acestei erori
se poate propaga în întreaga organizaţie, prin modificarea şi divulgarea datelor, situaţiilor, se poate
schimba poziţia strategică a organizaţiei pe piaţa tranzacţiilor.
În analiza riscurilor inerente, auditorul trebuie să aibă în vedere următoarele obiective:
Organizarea şi funcţionarea departamentului IT
Pentru îndeplinirea acestui obiectiv sunt desfăşurate activităţile:
- analizarea organigramei departamentului IT;
- analizarea managementului resurselor umane la nivelul departamentului IT;
- analizarea planurilor de pregătire profesională continuă;
- verificarea existenţei unui sistem de evaluare a cunoştinţelor dobândite după
efectuarea cursurilor;
- analizarea realizării pregătirii profesionale a salariaţilor conform atribuţiilor şi
responsabilităţilor stabilite prin fişa postului;
- analizarea sistemului de evaluare a riscului;
- verificarea existenţei şi actualizării Registrului riscurilor.
Implementarea sistemelor informatice
Activităţile sunt:
- verificarea realizării la termenele stabilite a subsistemelor informatice;
- analizarea activităţii de monitorizare a implementării subsistemelor informatice;
- evaluarea controlului datelor introduse în aplicaţie;
- evaluarea controlului pe parcursul procesării datelor;
- evaluarea controlului datelor rezultate în urma procesării;
- analizarea validităţii datelor transferate din alte aplicaţii;
- evaluarea controalelor care verifică înregistrările duble;
- verificarea autorizării electronice şi/sau manuale a tranzacţiilor;
- analizarea efectuării tranzacţiilor numai de la PC-uri definite în prealabil;
- verificarea situaţiei licenţelor pentru programele de calculator;
- asigurarea integrării subsistemelor componente;
- verificarea elaborării manualelor de utilizare şi a manualelor de operare;
- verificarea existenţei şi respectării programului de instruire a utilizatorilor sistemelor
informatice.
Securitatea sistemelor informatice Activităţi:
- verificarea existenţei unei politici de securitate a sistemelor informatice;
- verificarea actualizării politicii de securitate a sistemelor informatice;
- analizarea modului de întocmire şi transmitere sistematică a rapoartelor de
monitorizare;
- evaluarea controalelor fizice în domeniul sistemelor informatice(verificarea dotării
camerelor în care se află servere-le cu echipamente adecvate);
- verificarea siguranţei accesului la reţea şi a comunicării datelor în reţea;
- verificarea implementării programelor anti-virus conform procedurilor;
- monitorizarea sistematică a funcţionalităţii programelor anti-virus;
- verificarea sistemului de actualizare a programelor anti-virus;
- verificarea elaborării planului de recuperare a datelor în caz de dezastru;
- verificarea desemnării responsabililor cu monitorizarea implementării procedurilor
privind recuperarea datelor în caz de dezastru;
- verificarea efectuării monitorizării sistematice.
Riscul controlului este strâns legat de mediul de control şi de activităţile de control
implementate şi reprezintă riscul ca o eroare ce nu poate fi prevenită sau corectată de către sistemul de
control intern într-o perioadă scurtă de timp.
De exemplu, riscul pe care-l implică verificarea manuală a tabelelor de audit realizate de un
server Oracle va fi considerat mare, din cauza volumului mare de informaţii înmagazinate.
Riscul detecţiei reprezintă riscul ca un test independent efectuat de auditor să nu detecteze o
eroare care există în zona supusă auditării.
De exemplu, riscul detecţiei asociat identificării funcţionalităţii programelor anti-virus, va fi
mare în cazul reţelelor mari de calculatoare, deoarece testarea se realizează pe un eşantion care
reprezintă un anumit procent din totalul de calculatoare.
EVALUAREA RISCULUI
Evaluarea riscurilor reprezintă unul din principalele obiective ale auditorului. Utilizarea
sistemelor informatice în desfăşurarea activităţilor unei întreprinderi constituie un risc în sine.
Acest risc este independent de riscul fizic sau logic.
Riscul fizic este generat de defecte hardware, care pot determina pierderea datelor şi, implicit,
imposibilitatea de obţinere în timp util a informaţiilor bazate pe rezultatele prelucrării lor. Astăzi,
datorită dezvoltării tehnologiilor informaţionale este redusă probabilitatea apariţiei riscului fizic prin
integrarea în echipamente de protecţii speciale.
Riscul logic provine din aplicarea greşită a unor proceduri, a unor instrucţiuni greşite
(programare greşită, prelucrări necorespunzătoare) sau erori umane mai mult sau mai puţin
intenţionate.
Erorile software, la nivelul programelor de aplicaţie, pot conduce la rezultate incorecte,
neobservate de către utilizator, deoarece acesta nu are un control direct asupra prelucrării datelor.
Pentru depistarea şi eliminarea acestor erori, proiectanţii integrează în programele de aplicaţie protecţii
speciale.
Riscul economic este legat de utilizarea calculatorului în desfăşurarea activităţilor unei
întreprinderi.
Evaluarea riscurilor este o activitate importantă în activitatea de audit şi se efectuează pentru
elaborarea planului de audit şi a programului de audit.
Activitatea de evaluare a riscurilor se desfăşoară în următoarele etape:
a) Identificarea elementelor/obiectelor auditabile. În cazul sistemelor informatice se
face o inventariere a activităţilor ce se doresc a fi protejate: infrastructura reţelei, sistemul
de operare, aplicaţiile, informaţiile procesate în sistem, suporţii de memorare.
b) Stabilirea riscurilor pentru fiecare obiect auditabil pe baza analizei operaţiilor în
funcţie de anumite criterii concepute anticipat. Aici pot fi incluse: frecvenţa şi gravitatea
erorilor(fizice sau logice), pierderile financiare, pericole de genul incendiilor, întreruperi în
alimentarea cu energie electrică, cataclisme naturale, furtul sau alterarea aplicaţilor sau a
datelor/informaţilor procesate, probleme cauzate de incompetenţă profesională sau
managerială.
c) Măsurarea riscurilor care se face în funcţie de probabilitatea de apariţiei riscurilor şi
de gravitatea efectelor pe care le produc. În timp s-au dezvoltat mai multe modele de
cuantificare(calitative sau cantitative) a diferitelor tipuri de riscuri cărora trebuie să le facă
faţă o întreprindere, de la simple la complexe. În timp ce modelele cantitative sunt
cunoscute în literatura de specialitate ca fiind cele care se bazează pe experienţa auditorului,
modelele cantitative fac apel la formule matematice, încercând să introducă mai multă
rigoare în acest domeniu.
Cel mai utilizat model pentru măsurarea riscurilor este modelul factorilor de risc, care
stabileşte, în funcţie de importanţa şi greutatea factorilor de risc, ponderile şi nivelurile de
apreciere ale riscurilor.
Factori de risc (Fi)
Ponderea
Factorilor de
risc
(Pi)
Nivelul de apreciere al riscului(Ni)
N1 N2 N3
Aprecierea
Controlului
Intern
F1
P1 – 50%
Există
proceduri şi se
aplică
Există
proceduri, sun
cunoscute, dar
nu se aplică
Nu există
proceduri
Aprecierea
cantitativă
F2
P2 – 30%
Impact
financiar
scăzut
Impact
financiar
mediu
Impact
financiar
ridicat
Aprecierea
calitativă
F3
P3 – 20%
Vulnerabilitate
mică
Vulnerabilitate
medie
Vulnerabilitate
mare
Cei trei factori de risc sunt stabiliţi prin normele generale şi sunt acoperitori pentru domeniul
studiat, însă pot fi luaţi în calcul şi alţi factori de risc, cu nivel de apreciere corespunzător, dar
trebuie să se aibă în vedere că suma ponderilor factorilor de risc trebuie să fie 100.
d) Clasificarea riscurilor se realizează în practică prin 3 metode, şi anume:
- metode de clasificare absolută – riscurile sunt clasificate în ordinea scorului total,
valorile riscului fiind exprimate în procente sau printr-o medie, conform tabelului
de mai jos:
Obiecte auditabile Scor Risc
Existenţa controalelor generale la
subsistemelor informatice
2
Mediu
Funcţionalitatea subsistemelor în reţea
1,5
Mic
Situaţia licenţelor pentru programele
de calculator
2,3
Mare
Instruirea utilizatorilor
2,5
Mare
De regulă, riscurile mici vor fi ignorate temporar, iar riscurile semnificative(mari şi medii) vor
intra în faza de ierarhizare.
- metode de clasificare relative - riscurile sunt clasificate utilizând o scară de valori
determinată în prealabil, spre exemplu: scăzut, mediu, ridicat.
- metode de clasificare matriceale - riscurile sunt clasificate în funcţie de diverse
combinaţii posibile. În acest sens, se aleg criterii diverse aplicabile domeniilor care
vor fi evaluate, tot pe o scală cu 3 nivele: slab, mediu şi mare.
e) stabilirea controlului intern se realizează prin completarea tabelului realizat în
exemplul de mai sus cu activităţile de control şi constatările dacă acestea sunt sau nu
implementate în practică, conform modelului de mai jos.
Obiecte auditabile
Riscuri
Grad de
încredere al
auditorului în
controlul intern
Obs.
Existenţa controalelor generale
la
subsistemelor informatice
Implicaţiile evoluţiilor tehnologice
în domeniul IT
Scăzut
Funcţionalitatea subsistemelor
în reţea
Modificarea cadrului legal şi
procedural ce reglementează
activităţile pentru care se realizează
subsistemele informatice
Scăzut
Situaţia licenţelor pentru
programele
de calculator
Limitări bugetare pt. achiziţii licenţe Scăzut
Disfuncţionalităţi în procesul de
achiziţii
Mediu
Instruirea utilizatorilor Inexistenţa unui program de instruire
al utilizatorilor
Ridicat Nu
Neefectuarea instruirii sistematice a
utilizatorilor sistemelor informatice
Mediu
f) ierarhizarea riscurilor constă în evaluarea funcţionalităţii sistemelor de control intern, care
limitează efectele riscurilor şi care dau posibilitatea auditorilor interni să aprecieze acele obiecte
auditabile ca fiind „puncte tari”, celelalte riscuri pentru care nu există activitate de control sau acestea
sunt nefuncţionale vor fi considerate „puncte slabe”. Pe baza acestora, se va întocmi documentul:
„Tematica în detaliu a misiunii de audit” în care vor fi preluate numai operaţiile considerate a fi puncte
slabe.
CONTROALELE CICLULUI DE VIAŢĂ
A DEZVOLTĂRII SISTEMELOR INFORMATICE
Mutaţiile din domeniul tehnologiilor informaţionale şi al metodelor de abordare a sistemelor s-au
reflectat şi în ciclul de viaţă al dezvoltării sistemelor, fie prin schimbările etapelor acestuia, fie prin
modificarea ordinii de parcurgere a lor. Indiferent de numele şi de numărul etapelor ciclului de viaţă al
dezvoltării sistemelor, o problemă mult mai importantă este aceea a ordinii şi felului cum se parcurg
etapele respective, ceea ce în literatura de specialitate se tratează sub numele de „modele ale ciclului de
viaţa a sistemului informatic”.
Modelul cascadă este unul de referinţă asigurând trecerea de la o etapă la alta în ordinea
secvenţială a posibilităţii revenirii la etapele anterioare sau parcurgerii în paralel a mai multor etape.
Figura de mai jos redă activităţile parcurse pentru obţinerea unui sistem informatic.
Definirea
cerinţelor
Analiză
Proiectare
Implementare
Testare
Utilizare şi
întreţinere
Auditorul de sisteme informatice îşi poate exercita atribuţiile cu privire la dezvoltarea noilor
sisteme în două ipostaze ca membru al echipei de proiectare sau în cadrul unei misiuni de audit, timp în
care în organizaţie se lucrează la un nou proiect.
În cazul auditului informatic ciclul de viaţă al unui sistem informatic se derulează pe două
perioade distincte: perioada de concepere, realizare şi implementare a sistemului informatic; perioada
de exploatare, întreţinere şi dezvoltare a sistemului informatic
Definirea cerinţelor
În cadrul acestei etape se identifică problemele care trebuie soluţionate şi se
elaborează planul proiectului de dezvoltare a viitorului sistem informatic.
La început, se realizează un studiu complex privind activităţile, fluxurile informaţionale
existente, volumul informaţiilor prelucrate şi aria de cuprindere a sistemului. Se poartă discuţii cu
specialişti ai domeniului şi cu potenţialii utilizatori ai viitorului produs informatic.
Pe baza studiului realizat se obţin informaţii cu privire la cerinţele, restricţiile şi obiectivele
avute în vedere pentru asigurarea funcţionalităţii noului sistem.
Definirea clară a cerinţelor funcţionale şi tehnice reprezintă începutul formalizării proiectelor:
identificarea, organizarea şi iniţierea acestora.
Auditorul, în calitate de membru al echipei de proiectare, va analiza următoarele aspecte:
- un utilizator din fiecare departament afectat de noul sistem a fost inclus în echipa de
proiectare;
- s-a făcut o planificare a proiectului;
- în proiect este implicat şi un reprezentant al conducerii;
- estimarea calitativ-cantitativă a costurilor şi beneficiilor s-a făcut pe baza unor studii de
fezabilitate;
- se are în vedere efectuarea unor studii de fezabilitate pe parcursul dezvoltării proiectului;
- se cunoaşte impactul pe care îl are noul sistem asupra organizaţiei;
- s-au estimat costurile sociale datorate schimbării sistemului.
Pe parcursul dezvoltării sistemului, auditorul intervine în următoarele puncte de control:
a) realizează o revizie finală a planurilor, echipamentelor mecanice, costurilor implicate pentru
a selecta cea mai bună variantă de proiect;
b) revizuieşte documentaţia prin care sunt descrise fişierele, interfeţele de dialog, formularele şi
rapoartele, pentru a se asigura că sunt complete, clare şi în raport cu standardele adoptate;
c) verifică respectarea specificaţiilor proiectării iniţiale sau dacă există posibilitatea aplicării
modificărilor intervenite pe parcursul derulării proiectului.
Analiza sistemului
Concluziile la care ajunge echipa de analişti, după parcurgerea etapei anterioare, se va regăsi în
proiectul de realizare a sistemului informatic.
În analiza sistemului informational trebuie sa regasim aspectele:
- aria de intinderea a sistemului informational care va deveni sistemul obiect pentru conceperea
şi realizarea unui sistem informatic.
- reflectarea activitatilor şi operatiilor economice specifice sistemului informational
- surprinderea modificarilor ce se impun în organizarea şi functionarea unui sistem informatic.
- fundamentarea unei solutii de principiu care sa precizeze activitatea şi operatiile ce urmeaza
a fi informatizate,
- costul antecalculat al sistemului.
În analiza sistemului economic ca etapă a ciclului de viaţă al unui sistem informatic auditorul
urmăreşte:
- întocmirea specificaţiilor de utilizator: definirea cerinţelor utilizatorului;
- întocmirea specificaţiilor sistemului informatic: prezentarea, în detaliu, a rezultatelor pe care
trebuie să le ofere sistemul informatic utilizatorilor săi; la acest nivel se stabileşte ce trebuie
să facă sistemul informatic;
- întocmirea specificaţiilor software: prezintă ce trebuie să facă produsul software de aplicaţie
şi condiţiile pe care trebuie să le respecte;
- se utilizează un model abstract de reprezentare, care lasă libertatea de proiectare,
implementare şi dezvoltare ulterioară a sistemului informatic respectiv
Proiectarea şi realizarea sistemului
Planificarea si coordonarea intregii activitati privind realizarea proiectului informatic revine
managerului de proiect. Acesta reprezinta persoana cea mai autorizata sa decida care este cea mai
buna strategie pentru realizarea proiectului, care este cea mai buna organizare a echipei, prin
pozitionarea membrilor acesteia in posturile adecvate pentru a-si indeplini sarcinile cit mai bine si
mai eficient.
Planificarea are drept scop indeplinirera obiectivelor proiectelor, obiective precizate mai jos:
Performanta si calitate. Rezultatul final trebuie sa corespunda scopului. In acest sens,
standardele de calitate joaca un rol important.
Incadrarea in bugetul alocat. Neincadrarea in buget poate conduce la reduceri ale profitului si
la rate de eficienta mai scazuta ale investitiei.
Incadrarea in durata de realizare. Trebuie urmarit ca toate etapele proiectului sa se incheie la
momentul prevazut, pentru a permite incheierea proiectului la sau inaintea datei prestabilite. Daca se
depaseste durata de realizare pot aparea doua aspecte negative: se depaseste, cu mare probabilitate
bugetul alocat si se afecteaza planificarea resurselor pentru urmatoarele proiecte.
Ca principiu de proiectare şi realizare a a unui sistem informatic, aplicarea celor mai moderne
tehnici de proiectare şi folosirea celor mai noi echipamente şi programe urmăreşte realizarea unui
sistem informatic performant şi cu un ciclu de viaţă maxim.
Proiectarea şi realizarea unui sistem informatic integrat trebuie să permită introducerea unică şi
exploatarea multiplă a datelor, în funcţie de nevoile utilizatorului, ştiut fiind faptul că volumul cel mai
mare de muncă constă înculegerea datelor.
Pentru ca managementul unui proiect sa fie cit mai eficient, elementele planului de realizare a
proiectului trebuie estimate cit mai corect si aranjate intr-o secventa logica de derulare cit mai
coerenta si logica.
In prima faza se procedeaza la inventarierea si intocmirea listei de activitati care trebuie
executate.
Lista de activitati trebuie sa fie cit mai cuprinzatoare si pentru elaborarea ei sa se poate recurge
la o sesiune de braistorming cu alti conducatori de proiecte si cu conducerea firmei beneficiare. Cu
aceasta ocazie se va urmari in mod deosebit mentionarea activitatilor, nu si succesiunea acestora.
In faza urmatoare, activitatile inventariate vor fi descompuse in subactivitati stabilind
succesiunea logica a lor si apoi planificate in timp.
Pe baza normativelor existente, dar mai ales a experientei acumulate, se trece la stabilirea
duratei activitatilor din lista. Durata fiecarei activitati depinde de etapa de realizare in care ne gasim.
Unitatea de exprimare a duratei este, de regula, ziua sau saptamina si este recomandat ca durata unei
activitati sa fie multiplu de acea unitate
In cazul proiectelor foarte simple, este posibil ca durata acestora sa fie egala cu suma duratelor
activitatilor componente. Aceasta se poate intimpla cind o singura persoana se ocupa de analiza,
proiectare, programare si implementare. Situatia normala insa este cind lucreaza o echipa formata din
mai multe persoane si fiecare cite o sarcina distincta. Durata generala depinde de interconditionarile
dintre aceste sarcini si de ordinea in care sunt realizate. Numarul de activitati care se pot realiza in
paralel depindeee de numarul de membri care sunt in echipa si de faza in care se gaseste proiectul.
Dupa estimarea duratei activitatilor, lista activitatilor se poate completa cu duratele
corespunzatoare si apoi se face cunoscuta tuturor membrilor echipei astfel incit distribuirea sarcinilor
sa fie pe cit posibil echitabilă.
Analizele utilizate pentru planificarea timpului nu pot pune in evidenta si volumul resurselor
necesare la un moment dat pentru derularea proiectului.
In general exista sase categorii de resurse care trebuie evaluate si planificate de catre managerul
de proiect, si anume:
resursele umane;
echipamentele si materialele;
serviciile;
transportul;
instalatiile necesare pentru realizarea proiectului;
resursele financiare.
Unele proiecte pot necesita numai o parte din aceste resurse, altele pot necesita toate cele
sase categorii de resurse s.a.m.d.
Resursele umane, echipamentele si materialele sunt de mare importanta pentru performantele
oricui proiect.
Controlul proiectelor
Prin controlul proiectelor trebuie sa se urmărească progresele realizate in dezvoltarea proiectelor, in
raport de obiectivele stabilite. Trebuie sa ne asiguram ca proiectul va fi finalizat la data prevăzută in
contract, ca se incadrează in bugetul specificat si ca furnizează ce s-a stabilit, la o calitate ridicata.
Controlul iniţierii proiectului de dezvoltare a sistemului informatic asigură auditorii că decizia
privind realizarea sau achiziţia unui nou sistem este în conformitate cu obiectivele şi planurile
organizaţiei.
Controlul consta din doua părţi:
-urmărirea;
- luarea masurilor.
Este cunoscut faptul ca niciodata lucrurile nu evolueaza asa cum sunt planificate.
Factorii care produc modificări in derularea proiectelor pot fi urmatorii:
- estimările făcute la planificarea proiectului pot fi greşite;
- cerinţele se pot schimba;
- termenul final se poate schimba (de obicei, mutindu-se mai devreme);
- bugetul se poate micsora;
- prioritatea proiectului se poate schimba;
- rezistenta la schimbări;
- greşelile oamenilor.
Gradul de complexitate a proiectelor sunt factori care determina metoda de control si raportare. Din
acest punct de vedere distingem mai multe situaţii posibile: proiecte simple, proiecte de dimensiune
medie si proiecte complexe.
Auditorul verifică dacă metodele de proiectare a sistemelor informatice reduc prelucrarea unor
volume mari de date obţinute într-un interval mare de timp.
În realizarea sistemului informatic ca etapă a ciclului de viaţă auditorul urmăreşte:
- realizarea componentelor sistemului informatic din arhitectura sistemului informatic, pe baza
soluţiilor oferite de proiectarea în detaliu;
- testarea componentelor şi verificarea modului de funcţionare;
- verificarea îndeplinirii cerinţelor utilizatorului; verificarea fiabilităţii în utilizare;
- integrarea componentelor în sistemul informatic şi testarea finală a acestuia-reunirea
componentelor în produsul final şi verificarea funcţionării acestuia, în ansamblul său.
. Dezvoltarea unui sistem informatic alegând soluţia outside, presupune că achiziţia
echipamentului se va face de către organizaţie, iar aplicaţiile vor fi dezvoltate si achiziţionate de la
furnizor.
Dezvoltarea unui sistem informatic alegând soluţia outsourcering, apelează la servicii externe
pentru tot ceea ce înseamnă sistem informatic.
Implementarea şi testarea sistemului
Implementarea sistemului informatic este acea etapă în care se realizează efectiv trecerea de la vechiul
sistem de lucru la cel nou. Este o etapă foarte dificilă, deoarece necesită conlucrarea strânsă dintre
realizatorii sistemului informatic şi beneficiarii acestuia. Este etapa în care sistemul este supus la cea
mai dificilă testare, cea a condiţiilor reale de funcţionare. Acum pot apărea cazuri care nu au fost
prevăzute de proiectanţi, la care sistemul nu este protejat.
Implementarea sistemului constă în punerea în practică a specificaţiilor logice şi are în vedere:
corelarea modulelor din punct de vedere al funcţiilor logice realizate (invocări, utilizări);
crearea interferenţei dintre module conform standardelor de intrare/ieşire;
ordinea în care modulele sunt codificate, testate şi implementate;
calitatea datelor şi destinaţia rapoartelor;
cerinţele fişierelor şi ale bazei de date (număr, conţinut, tipuri de date, tipuri de acces, tipuri de
înregistrări, etc.);
ordonanţa activităţilor de implementarea, instalarea şi de instruire specifice sistemului
considerat.
În cadrul acestei etape se testează, se verifică şi se asimilează de către beneficiar toate soluţiile
stabilite în etapele anterioare şi se validează rezultatele obţinute.
Controlul implementării noului sistem informatic prevede:
- atribuirea responsabilităţilor persoanelor care se vor ocupa de implementare;
- stabilirea unor standarde prin care să se asigure eficienţa şi eficacitatea procesului de
implementare;
- existenţa unui plan al implementării, pe baza căruia să se poată evalua progresele făcute.
În timpul implementării, numeroase activităţi vor fi executate simultan. De aceea, ele trebuie să fie
planificate şi programate de către o echipă de implementare formată din utilizatori, manageri şi
specialişti în proiectarea sistemelor.
Planificarea implementarii, firesc, începe anterior demarării unei astfel de acţiuni. De fapt,
problemele implementării sunt abordate chiar la începutul proiectului, iar aspectele conceptuale şi
strategiile implementării şi conversiei sistemelor trebuie luate în discuţie în fiecare stadiu al ciclului de
viaţă al sistemelor. Totuşi, planurile detaliate de implementare nu pot fi finalizate până când
conducerea nu aprobă proiectul noului sistem.
Un plan de implementare evidenţiază toate activităţile necesare, ajutând pe cei ce-l întocmesc să
fie siguri că totul a fost prezentat corect. Prin el se vor consemna toate activităţile de efectuat, precum şi
timpul alocat. Responsabilităţile de execuţie trebuie să fie foarte clare. De asemenea, trebuie estimate
costurile fiecărei activităţi astfel încât să poată fi elaborat un buget special. În acelaşi timp trebuie
determinate reperele de execuţie în timp, pentru a se putea exercita controlul. Mai dificil este de estimat
momentul când se va finaliza implementarea. De fiecare dată utilizatorii sunt cei care îşi dau acceptul
final, iar procesul, teoretic, poate fi considerat ca desfăşurându-se pe o perioadă nedefinită.
Planul de implementare este revizuit şi modificat la intervenţiile comitetului de informatizare, ale
utilizatorilor, ale conducătorilor sistemului, înainte de a începe operaţiunea de implementare.
Ca membru al echipei ce răspunde de implementarea noului proiect, auditorul are sarcina de a
proiecta şi evalua controalele implementate la nivelul sistemului.
Testarea este efectuată, de regulă, de personal specializat, care coordonează întreaga activitate.
Auditorii pot folosi pentru testarea şi monitorizarea controalelor interne implementate într-un
sistem informatic sistem integrat de testare, care constă în integrarea unui set de fişiere de testare,
programe şi date de testare în sistemul informatic respectiv.
La testare un rol important revine şefului echipei de programare care trebuie să integreze fiecare
modul testat separat şi apoi să testeze întregul program. Întotdeauna testarea va produce mai multe
versiuni de module şi de produse program, ultima fiind cea acceptată. La fiecare versiune se face o
evaluare şi se operează corecţia.
Testarea nu se încheie decât atunci când se efectuează lansarea prelucrării de către întreaga
aplicaţie informatică cu un set complet de date. Acest set va include toate datele posibile, corecte şi
eronate pentru a urmări reacţia întregului pachet de programe. În această testare globală se urmăreşte:
validarea datelor de intrare şi a rezultatelor, dialogul din sistemul informatic, modul de operare la
execuţie. Se urmăresc atât aspectele formale cât şi cele de fond.
În urma testării, auditorul trebuie să se asigure că:
- sistemul funcţionează corect;
- în cazul întreruperii prelucrărilor, sistemul transmite mesaje de avertizare utilizate;
- nu există prelucrări neefectuate.
Un test complet de acceptare constă în efectuarea testării pilot şi a testării paralelă.
În cazul testării paralele datele vor fi preluate atât prin intermediul vechiului sistem cât şi cu
ajutorul sistemului nou.
Testarea pilot presupune că noul sistem va procesa o cantitate mare de date reale sau de test.
Mentenanţa sistemului
Activitatea de mentenanţă include un proces de revizuire post-implementară pentru a se asigura că
sistemele informatice nou implementate corespund obiectivelor, cerinţelor şi performanţelor
prestabilite.
Pe timpul mentenanţei un grup de persoane se va ocupa de colectarea cererilor de
întreţinere lansate de utilizatori sau de alte părţi implicate în exploatarea sistemului sau
verificarea modului în care acesta funcţionează. Activităţile implicate de mentenanţa sistemului
sunt:
obţinerea cererilor de întreţinere;
transformarea cererilor în propuneri de schimbări;
proiectarea schimbărilor;
implementarea schimbărilor. Auditorul trebuie să verifice dacă există proceduri prin care se asigură executarea numai a
modificărilor autorizate în cadrul controlului întreţinerii sistemului
Întrucât cheltuielile de mentenanţă au o pondere substanţială în structura costurilor totale
ale sistemelor, considerăm relevantă prezentarea tipurilor de mentenanţă: corectivă, adaptativă,
perfectivă, preventivă
Mentenanţa corectivă constă în efectuarea unor lucrări de reparaţii pentru îndepărtarea
unor defecte produse în timpul proiectării, scrierii programelor sau implementării sistemului. În
majoritatea cazurilor, întreţinerea corectivă intervine imediat ce se pune în funcţiune noul
sistem sau o componentă a acestuia. Cât timp o astfel de întreţinere îşi propune doar să
îndepărteze defecte, ea nu adaugă valoare decât într-o pondere derizorie, în pofida celor 75 de
procente alocate întreţinerilor corective din totalul activitătilor de întreţinere a sistemului.
Mentenanţa adaptativă presupune efectuarea unor schimbări în sistem, condiţionate de:
intenţia de îmbunătăţire a performanţelor funcţionale; adaptarea la schimbările organizaţionale;
deplasarea sferei de activitate a unităţii în alt mediu.
Dacă întreţinerea corectivă presupune o intervenţie cât mai urgentă în urma sesizărilor
venite din sistem, cea adaptivă nu este la fel de presantă, întrucât factorii care o condiţionează
nu au apariţii spontane. O altă diferenţă constă în faptul că întreţinerea adaptivă, spre deosebire
de cea corectivă, adaugă valoare organizaţiei.
Mentenanţa perfectivă are ca scop efectuarea unor schimbări pentru îmbunătăţirea
diverselor prelucrări, modificarea cu scopul folosirii mai uşoare a interfeţelor sau pentru a i se
adăuga noi elemente, care însă nu sunt strict necesare. O astfel de operaţiune de întreţinere
constituie mai curând o dezvoltare a sistemului şi face parte din categoria activităţilor care
adaugă valoare organizaţiei.
Mentenanţa preventivă se efectuează cu scopul diminuării substanţiale a posibilităţilor
de defectare a sistemului, adaugă valoare organizaţiei.
Activitatea de mentenanţă trebuie evaluată pentru a observa dacă, la un moment dat,
cheltuielile implicate nu depăşesc limitele acceptabile. Dacă la un moment dat se constată că
beneficiarele sunt puternic afectate de cheltuielile cu mentenanţa, se poate concluziona că
sistemul nu mai răspunde necesităţilor şi este necesară înlocuirea sa parţială sau totală. În felul
acesta se reia ciclul de viaţă al dezvoltării sistemului.
CONTROLUL SECURITĂŢII SISTEMELOR INFORMATICE
În sistemele de bază de date, protecţia datelor se asigură sub două aspecte: securitatea şi
integritatea.
Securitatea (confidenţialitatea) datelor semnifică faptul că accesul la date se face numai printr-o
autorizare corespunzătoare şi doar controlat(sarcina administratorului bazei de date cu ajutorul SGBD-
ului).
În acest sens, SGBD-ul permite: autorizarea şi controlul accesului la date, utilizarea viziunilor,
realizarea unor proceduri speciale, criptarea datelor.
a) Autorizarea şi controlul accesului la date este realizat de SGBD prin intermediul parolelor. Acestea
identifică clasele de utilizatori, cu anumite drepturi de acces, la anumite date.
Clasele de utilizatori pentru care se poate autoriza accesul la baza de date sunt:
- Utilizatorii obişnuiţi care nu au în proprietate obiecte şi nu au alte privilegii decât cele date de
administratorul BD.
- Proprietarii de obiecte (tabele, viziuni, proceduri etc.) sunt utilizatorii care îşi creează anumite
obiecte. Implicit proprietarul unui obiect are toate privilegiile asupra acestuia, putând să le revoce sau
să le transmită altor utilizatori.
- Administratorul BD este utilizatorul care are implicit toate drepturile asupra datelor şi dreptul de a
revoca sau stabili privilegii pentru ceilalţi utilizatori.
Privilegiile diferiţilor utilizatori sunt gestionate de SGBD astfel: un anumit subiect (utilizator) poate
realiza anumite acţiuni, asupra anumitor obiecte, în limita anumitor restricţii (condiţii suplimentare).
Profilul utilizator este dat de nume (NAME), parola (PASS), nume grup, număr nivel de acces.
b).Utilizarea viziunilor (view) este asigurată de SGBD pentru reprezentarea schemelor externe ale
bazei de date. Cu ajutorul viziunilor, SGBD-ul permite să se definească partiţii logice ale bazei de date,
definite pentru diferiţi utilizatori, în raport cu cerinţele acestora de acces la date. Securitatea datelor este
asigurată de SGBD prin definirea tuturor drepturilor necesare unui utilizator pentru o viziune şi
revocarea drepturilor pentru obiectele iniţiale.
c) Realizarea unor proceduri speciale de acces asupra datelor este permisă de SGBD. Aceste proceduri
scrise în LMD se păstrează în formă precompilată, iar anumitor utilizatori li se va acorda dreptul de
execuţie şi li se va interzice accesul direct la obiectele bazei de date.
d) Criptarea este asigurată de SGBD prin oferirea unor rutine de criptare (codificare) a datelor
apelate automat sau la cerere şi prin existenţa unor instrumente care permit utilizatorului să realizeze
propriile rutine de criptare. Criptarea şi decriptarea se realizează după algoritmi specifici, cu o cheie
(parolă) de acces la rutină.
Componentele unui sistem de criptare sunt:
- Algoritmul de criptare este o rutină care transformă datele iniţiale într-o
formă cifrată (codificată);
- Cheia de criptare este o valoare secretă (parola) care permite intrarea în
algoritmul de criptare;
- Algoritmul de decriptare este o rutină care transformă datele din forma
criptată în cea iniţială:
- Cheia de decriptare este o parolă de intrare în algoritmul de decriptare.
Controlul securitatii sistemului este in masura sa ofere organizatiei protectia impotriva:
accesorii neautorizate a informatiilor organizatiei de catre personae din afara acesteia;
accesului si folosirii neautorizate a resurselor sistemului de catre angajatii organizatiei
intreruperii prelucrarilor sistemului.
Integritatea datelor se referă la corectitudinea (coerenţa) datelor şi este asigurată prin protejarea
acestora împotriva unor incidente intenţionate sau neintenţionate.
In cadrul sistemului este obligat existenta cu copii siguranta ale datelor si software-ului.
Auditorul trebuie sa verifice daca la nivelul organizatiei exista :
proceduri prin care sa se asigure functia sistemului in cazul întreruperii alimentarii cu energie
electrică.
planuri documentate si testate in mod regulat, prin care sa asigure operationaliatea
activitatilor de realizare a copiilor de siguranta si refacerea prelucrarii in caz de intrerupere a
functiei sistemului.
personalul este suficient instruit si verificat in ceea ce priveste procedurile aplicabile in cazul
copiilor de siguranta.
Componentele SGBD-ului asigură integritatea datelor tratând separat cauzele care pot altera baza de
date: integritatea semantică, controlul accesului concurent, salvarea/restaurarea.
a) Integritatea semantică este asigurată prin operaţii efectuate de SGBD asupra datelor ţi a
prelucrărilor. Aceste operaţii alcătuiesc un set de reguli numit restricţii de integritate. SGBD-ul asigură
astfel de restricţii implicite (rezultă din modelul de date implementat) şi explicite (proceduri incluse în
programele de aplicaţie).
b) Accesul concurent asigură coerenţa datelor şi este un obiectiv al SGBD-ului care se pune cu
acuitate mai ales la baze de date distribuite. În acest sens SGBD-ul are o unitate distinctă de prelucrare
a datelor numită tranzacţie, care este constituită dintr-o secvenţă de operaţii marcată de puncte de
început şi sfârşit. Tranzacţia poate fi controlată de SGBD implicit, când punctele de început şi de sfârşit
sunt automat definite, sau explicit, când punctele de început şi de sfârşit sunt definite prin comenzi
specifice.
La execuţia concurentă a tranzacţiilor SGBD-ul trebuie să asigure blocarea datelor utilizate la un
moment dat. Aceasta înseamnă că se interzice accesul celorlalte tranzacţii concurente la aceleaşi date,
până se termină tranzacţia curentă.
Tehnica de blocare utilizată de SGBD se poate aplica la nivelul întregii baze de date, a unui fişier,
a unei înregistrări sau chiar a unui câmp.Ea poate fi pentru citire (partajabilă) sau pentru scriere
(exclusivă).
Cele mai multe SGBD-uri realizează blocarea la nivel de înregistrare şi fişier, prin diferite
metode: setarea unui bit pentru resursa respectivă, construirea unei liste cu resursele blocate,
menţinerea resurselor blocate într-o zonă specială etc.
Disponibilitatea presupune asigurarea accesibilitatii sistemului ori de cate ori utilizatorii
utilizati lanseaza astfel de cereri.
In evaluarea controlului accesului auditorul terbuie sa verifice existenta unei clasificari a
informatiilor in functie de :
senzitivitate
timpul de accces
autorizarea utilizatorilor
Interblocareaeste situaţia in care două tranzacţii blochează anumite resurse, apoi solicită fiecare
resursele blocate de cealaltă. La nivelul de SGBD trebuie să existe facilitatea de prevenire sau
rezolvare a interblocării.
Prevenirea interblocării presupune că programele bochează toate resursele de care au nevoie
încă de la începutul fiecărei tranzacţii (greu de precizat).
Soluţionarea interblocării presupune că există nişte mecanisme pentru detectarea şi eliminarea
interblocării (de exemplu graful dependenţelor proceselor de executat).
c) Salvarea/restaurarea (backup/recovery) ca facilitate a SGBD-ului permite refacerea
consistenţei datelor care au fost alterate fizic din diferite motive.
Salvarea datelor este un proces de stocare prin realizarea de copii de siguranţă şi prin
jurnalizarea tranzacţiilor şi a imaginilor. SGBD-ul poate asigura salvarea automat sau la cererea
administratorului bazei de date.
Jurnalul tranzacţiilor este un fişier crat şi întreţinut de SGBD, în care se memorează
informaţiile despre tranzacţiile efectuate asupra bazei de date. Aceste informaţii sunt: codul tranzacţiei,
momentul începerii tranzacţiei, identificatorul utilizatorului care a lansat tranzacţia, actualizările
efectuate pe BD.
Jurnalul imaginilor se deosebeşte de cel al tranzacţiilor prin aceea că nu conţine descrierea
operaţiilor efectuate asupra BD, ci efectul acestora.
Există următoarele veriante:
Jurnalul cu imaginea înregistrărilor după actualizarea (after image), ce conţine copia fiecărei
înregistrări în forma de după efectuarea unei actualizări asupra ei.
Jurnalul cu imaginea înregistrărilor înainte de efectuarea unei actualizări (before image), ce
conţine copia fiecărei înregistrări ăn forma de dinaintea efectuarii unei actualizări asupra ei.
Jurnalul mixt ce conţine atât imaginea înregistrărilor dinainte de actualizare cât şi după
actualizare.
Planurile de reluare a activitatilor, in urma unor evenimente neprevazute, presupune:
asigurarea unui plan de actiune in cazul aparitiei unor evenimente neprevazute de tipul
dezastrelor naturale.
existenta unui contract de asigurare a companiei, astfel incat reinceperea activitatii in urma
unui dezastru natural sa nu implice ’’ ruinarea ’’ financiara a firmei.
atribuirea responsabilitatilor persoanelor care vor fii implicate in planul de actiune.
Restaurarea porneşte de la colecţii de date stocate prin salvare şi reface consistenţa bazei de
date, minimizând prelucrările pierdute. Restaurarea este asigurată de SBGD, dar se poate realiza şi
manual.
Restaurarea automată a BD este realizată de SGBD cu ajutorul fişierelor jurnal. Pentru a se
putea realiza acest lucru, SGBD realizează o paginare a BD şi la o cerere de regăsire,transferă o astfel
de pagină în memoria internă. Aici are loc prelucrarea ei şi abia după ce această prelucrare s-a terminat
complet, se face transferul paginii înapoi pe disc.Sincronizarea memoriei interne cu baza de date şi
fişierele jurnal, se realizează prin diferite tehnici: algoritmi specifici, executarea unor puncte de
verificare (check point) la intervale de timp sau la cerere etc.
La nivelul SGBD-ului pot exista o serie de parametrii de configurare care influenţează procesul
de restaurare automată. Aceşti parametrii se referă la: intervalul de restaurare, indicatorul de restaurare
(ce informaţii vor fi scrise în fişierul de erori) etc.
Restaurarea manuală a BD implică intervenţia administratorului pentru refacerea bazei de date
de pe un suport tehnic care a fost distrus. Cea mai recentă copie de siguranţă efectuată pentru o BD
afectată este încărcată şi se reiau prelucrările efectuate din momentul copierii până la producerea
defecţiunii. Restaurarea manuală se face prin deconectarea tuturor utilizatorilor de la BD, încărcarea
copiei şi reluarea lucrului.
In cadrul controlului securitatii fizice, auditorul are in vedere urmatoarele aspecte:
echipamentele sistemului de procesare automata a datelor trebuie sa fie separate fizic de
celelalte compartimente/departamente ale organizatiei.
echipamentelor trebuie sa li se asigure conditiile de mediu specifice in documentatiile de
utilizare si cartile tehnice.
existenta unei documentatii cat mai complete care sa reprezinte o baza de instruire pentru
utilizatorii noi ai organizatiei
Partajabilitatea datelor Partajabilitatea datelor se referă nu numai la aspectul asigurării accesului mai multor utilizatori
la aceleaşi date, ci şi la posibilitatea dezvoltării unor aplicaţii fără a se modifica structura bazei de date.
Problema pertajabilităţii se pune la nivel superior pentru SGBD-urile care permit lucrul în reţea.
Legăturile între date
Legăturile între date corespund asocierilor care se pot realiza între obiectele unei aplicţii
informatice. Orice SGBD trebuie să permită definirea şi descrierea structurii de date, precum şi a
legăturilor dintre acestea, conform unui model de date. Fiecare tip de model de date permite anumite
legături între date. Un SGBD, care implementează un anumit model de date, va trebui să asigure şi
realizarea legăturilor dintre datele corespunzătoare în conformitate cu schema conceptuală.
Performanţele globale
Performanţele globale ale aplicaţiei sunt influenţate de SGBD. Acesta trebuie să gestioneze un
volum mare de date de o complexitate ridicată, într-un anumit timp de acces rezonabil pentru diferiţi
utilizatori. Pentru toate aceste lucruri SGBD-ul foloseşte diferite metode de acces, tehnici de
optimizare, tipuri de date. Implementarea lor se face în componente specializate ale SGBD-ului.
Funcţia de administrare
Funcţia de administrare esteb complexă şi de competenţa administratorului bazei de date.
Administratorul, care are o bogată experirnţă de analiză, proiectare şi programare, organizează şi
administrează baza de date în toate etapele de realizare a acesteia.
Astfel el organizează baza de date conform unei anumite metodologii, realizează schema
(conceptuală) bazei de date, coordonează proiectarea bazei de date. Pentru toate aceste lucruri SGBD-ul
oferă o seri de elemente de CASE, precum şi o serie de utilitare specializate.
În etapa de exploatare a bazei de date, administratorul are rolul de a autoriza accesul la date (acordă
conturi, parole etc.), de a reface baza de date în caz de incidente (prin jurnalizare, copii), de a utilize
eficient spaţiul de memorie internă şi externă (prin organizare, rutine de optimizare), de a realiza o serie
de analize statistice din baza de date (numar şi tip şi utilizatori, numar de accese, numar de actualizari
etc.). Pentru fiecare dintre aceste activitaţi SGBD-ul oferă instrumente şi tehnici de lucru.
În cazul lucrului în reţea de calculatoare cu baze de date distribuite, SGBD-ul are dezvoltate foarte
mult componentele destinate administratorului. Acest lucru este determinat de faptul că baza de date
este, în acest caz, de mare complexitate, datele sunt distribuite pe calculatoarele din reţea, iar utilizatorii
sunt de toate tipurile şi în număr mare.
În principal pentru funcţia de administrare, dar parţial şi pentru celelalte funcţii, SGBD-ul asigură
protecţia bazei de date. Aici vor fi prezentate aspectele esenţiale, urmând ca în continuare la fiecare tip
de SGBD să se precizeze prin exemple şi aspectele specifice ce apar.
Toate sistemele trebuie sa ofere accesul utilizatorilor in cadrul unui proces ce cuprinde mai multe
etape :
identificarea este procesul prin calculatorul recunoaste prezenta unui potential utilizator al
sistemului
autentificarea este procesul prin care utilizatorul dovedeste ca este ceea ce pretinde ca este
autorizarea este procesul prin care utilizatorul a fost recunoscut de catre sistem ca autorizat sa
acceseze resursele acestuia
CONTROLUL APLI CATI I LOR
Controlul aplicatiilor asigura acuratetea, integritatea si completitudinea tranzactiilor.
Controlul aplicatiilor acorda o atentie deosebita activitatilor pe care le implica procesarea
tranzactiilor si identificarea tipurilor de erori care pot aparea in stabilirea procedurilor de
control ce au drept scop idntificarea si corectarea acestora.
Auditorii unei aplicaţii specifice domeniului lor de activitate (software de utilizator) trebuie să fie în
primul rând buni specialişti în domeniu, finanţişti, contabili, inspectori de resurse umane etc., care ştiu
să îşi facă bine meseria, cu sau fără ajutorul unui sistem informatic, pentru că rezultatele activităţii lor
trebuie să fie aceleaşi, indiferent de modul în care lucrează
TI PURI DE CONTROALE
- Controlul datelor de intrare
- Controlul prelucrarilor
- Controlul integritatii fisierelor
- Controlul securitatii aplicatiei
- Controlul iesirilor
- Controlul fisierelor principale (MASTER FI LES)
SARCI NI :
- sa sigure functionarea controlului logic asa cum s-a prevazut
- sa asigure actualizarea controlului logic
- sa verifice existenta backup-ului aplicatiei
- sa rezolve cerintele utilizatorilor
- sa asigure identificarea, monitorizarea si raportarea problemelor
- pastrarea si distributia documentatiei
- asigura legatura intre departementul I T, utilizatorii sistemului si firma software furnizoare.
CLASI FI CAREA APLI CATI I LOR
- Sisteme cu intrari de tip batch (loturi)
- Sisteme cu intrari de tip batch si consultare online
- Sisteme cu procesare pe loturi si consultare online
AUDI TOR – CONTROLUL APLI CATI EI
- Auditorul trebuie sa dopte o abordare eficienta si eficace a auditului
- Auditorul trebuie sa cunoasca si sa inteleaga sistemul si controalele interne
- Daca controalele acopera obiectivele auditului si par a fi robuste auditorul poate selecta testele
considerate ca necesare.
PROBELE
- Probele pot fi sub forma :
Listelor de control al accesului
Limitelor autorizarilor automate ale utilizatorilor
Jurnalelor de securitate
Cererile de modificari si modul de solutionare a acestora etc.
Controlul i ntrari lor, prelucrari lor si i esi ri lor
Auditorul trebuie sa produca dovezi ca a inteles modul de functionare a SI si controalele
acestuia
- Aceasta a obtinut cunoasterea si prin documentare asupra :
Fluxului tranzactiilor prin sistem
Controalele aplicate intrarilor, prelucrarilor, iesirilor.
- Auditorul trebuie sa identifice si sa cunoasca orice documentatie a aplicatiei existenta la client.
Controlul i ntrari lor Intrările sunt reprezentate de:
- tranzacţii externe care redau dinamica operatiilor economice, provin din exteriorul sistemului
informatic electronic de calcul şi sunt furnizate de proceduri automate. Exemplu: înregistrarea unei
operaţii de aprovizionare cu marfă;
- tranzacţii interne care redau modificările structurale din cadrul bazei de date; sunt asigurate
exclusiv în cadrul sistemului informatic prin intermediul procedeului de exploatare sau de actualizare a
bazei de date. Exemplu: totalul facturilor primite de la un furnizor care actualizează soldul furnizorului
respectiv.
Este folosit pentru a asigura ca toate tranzactiile sunt :
- introduse corect
- complete
- valide
- autorizate
- aferente perioadei de gestiune curente
- inregistrate corect in conturi (in cazul aplicatiilor contabile).
Auditorul unui sistem informatic trebuie să verifice dacă gestiunea unui organism economic are
în vedere introducerea şi exploatarea multiplă a datelor, în funcţie de nevoile utilizatorului în
instrucţiuni primite şi accesibile procesorului AUTORI ZAREA
- Autorizarea controalelor reduce riscul erorilor, fraudei si tranzactiilor ilegale
- Autorizarea poate fi controlata prin identificarea utilizatorului, care a introdus datele in sistem,
pe baza privilegiilor asociate I D-urilor utilizatorilor
- Se introduc doar date autorizate? Cine si cum autorireaza datele de intrare?
Validarea intrarilor
- se poate realiza manual sau automat
- controalele de validare trebuie sa asigure indeplinirea criteriilor de validare a datelor
stabilite
- reduce riscul introducerii incorecte de date de la tastatura dar nu se reduce probabilitatea
aparitiilor erorilor
Validarea intrarilor, prin aplicarea unor tehnici de verificarea asupra datelor in sistem, asigura:
- corectitudinea datelor: sunt acceptate numai datele corecte care trec testele de verificare;
- completitudinea datelor: sunt identificate datele care lipsesc si sunt solicitate pana cand sunt
introduce.
Controlul datelor de intrare trebuie adaptat la modalitatile diferite de introducere a datelor in
sistem :
- de la tastatura (unde riscul erorilor este mai mare)
- scanarea documentelor
- utilizarea perifericelor senzoriale
- citirea barelor de cod
- ATM-uri si terminale POS
- EDI (ELECTRONI C DATA I NTERCHANGE)
- generarea automata a tranzactiilor (ex. : plati planificate, calcularea lunara a
dobanzilor)
Nu toate intrarile prezinta un suport material (documente pe suport hartie), multe fiind
in format electronic.
Folosirea anumitor dispozitive pentru introducerea datelor in sistem (cititoare de cod-bara, ATM-uri,
scanner, terminale POS) reduce posibilitatea aparitiilor erorilor in aceasta etapa.
I n cazul preluarii automate sau generarii automate exista riscuri mai mici de eroare fata
de preluarea datelor prin tastare.
Cu cat creste intervalul dintre identificarea existentei unei anumite stari de lucruri sau evenimente si
inregistrarea acestora in sistem, tot atat creste posibilitatea aparitiilor erorilor in sistem.
Tipuri de controale aplicate asupra datelor de intrare
Controlul formatului
- Se verifica :
Natura datelor
Lungimea datelor ; trunchieri
Numarul de zecimale admis
Acceptarea valorilor negative sau doar a celor pozitive
Formatul datei calendaristice
Aplicarea semnului monetar
Controlul domeni ului de defi ni ti e a atri butelor
a) incadrarea intr-o multime de valori prestabilita (ex.: abrevierile j udetelor, tipuri de
unitati de masura, tipuri de documente)
b) incadrarea intr-un interval de valori prestabilit (ex.: salariul angajatilor ia valori in
intervalul [ 2.500.000, 30.000.000] )
c) validari ale realizarilor unor atribute diferite numit si testul dependentei logice dintre
campuri. Ex.: validarile privind corespondenta conturilor – contul X se poate debita doar prin
creditarea conturilor A,B,C.
d) testul “ rezonabilitatii” datelor :
- aceste teste verifica daca datele sunt rezonabile in raport cu un standard sau date introduse
anterior. Datele standard pot fi stocate intr-un fisier sau pot reprezenta constante definite
la nivelul aplicatiei (ex.: un standard poate fi reprezentat de numarul de ore lucratoare intr-o
luna, stabilit in functie de zilele lucratoare si sarbatorile legale, nivelurile de dobanda
practicate de banca etc.)
Controlul acuratetei ari tmeti ce
Pe baza unor date de intrare introduse de operator pot fi verificate elementele
calculate din documentul primar
Ex. : pe baza cantitatii si pretului unitar al unui articol inscris intr-o factura
sistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoarea cu TVA si
apoi totalul facturii operatorul putand confrunta aceste sume calculate cu cele inscrise in
factura.
Controlul exi stentei datelor - Testul se refera in principal la validarea datelor de intrare reprezentand coduri. Este
suficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia sau un mesaj de
eroare atentionand asupra introducerii unui cod incorect.
Testul ci frei de control - se aplica asupra datelor de intrare reprezentand elemente codificate
- urmareste rejectarea codurilor eronate introduse
- cauza erorii la nivelul elementelor codificate poate fi :
Trunchierea
Adaugarea unui caracter suplimentar
Transcrierea incorecta a codului in documentul primar
Transpozitia caracterelor la introducerea codului.
- presupune determinarea cifrei de control aferente codului introdus prin aplicarea
algoritmului prestabilit. I n masura in care cifra de control determinata automat nu
corespunde celei incluse in codul introdus sistemul va trebui sa atentioneze printr-un mesaj
corespunzator asupra erorii aparute.
Testul tranzacti i lor dupli cate - sistemul admite introducerea repetata a acelorasi date?
Ex. : introducerea repetata a unui aceluiasi document (factura, bon de consum
etc.).
Soluti onarea tranzacti i lor rejectate - cum se solutioneaza tranzactiile neacceptate de sistem (care nu au trecut testul de
validare)?
- cine raspunde de verificarea acestor date de intrare si de reintroducere lor?
- sunt generate liste continand intrarile rejectate?
- daca aceste tranzactii sunt consemnate in documentele primare depistarea erorii este mai usoara
si corectarea se poate face fara probleme deosebite. Probleme particulare apar
in cazul tranzactiilor online.
Controlul prelucrarilor
Prelucrările sunt asigurate de un ansamblu de proceduri automate care realizează actualizarea
şi exploatarea colecţiilor de date ca urmare a tranzacţiilor interne şi externe în vederea obţinerii
rapoartelor, listelor, situaţiilor de iesire ale sistemului informatic.
Auditorul unui sistem informatic trebuie să verifice dacă sistemul informatic de gestiune
prelucrează automat datele de evidenţă şi control vehiculate în cadrul oricărui tip de organism
economic sau compartiment specializat al acestuia, ţinând cont de particularităţile specifice fiecăruia şi
de legislaţia în vigoare.
Auditorul tine seama de:
Tipologia sistemului informatic:
- Sisteme de procesare a tranzactiilor (TPS – Transaction Processing Systems)
- Sisteme destinate conducerii curente (MI S – Management I nformation Systems)
- Sisteme suport de decizie (DSS – Decision Support Systems)
- Sisteme destinate conducerii strategice (EI S – Executive Support Systems)
- Sisteme pentru automatizarea lucrarilor de birou (OAS – Office Automation
Systems)
Modalitatilor de introducere a datelor in sistem si procesarea acestora:
- I ntroducere pe loturi – procesare pe loturi
- I ntroducere on line – procesare pe loturi
Natura prelucrarilor:
I n cadrul TPS-urilor, de exemplu, pot fi identificate proceduri de:
- Actualizare a bazei de date
- Sortare
- Calcul
- Consultare
- Salvare si restaurare a bazei de date etc.
- Nivelul de descentralizare a prelucrarilor.
În prelucrarea autonomă a datelor, următoarele functii trebuie sa fie exercitate de persoane diferite :
- operare calculatoarelor – programare
- pregatire date – procesare date
- operare calculator – gestiune suporti materiale
- codarea programelor – administrarea bazei de date
Controlul fisierelor si al bazei de date
Se verifica:
- Continuitatea acestora
- Versiunea – Este ultima versiune? Cuprinde ea toate corectiile?
- Transferul fisierelor in momentul trecerii la exploatarea unui nou sistem
informatic. Se verifica masura in care au fost autorizate procedurile de transfer al
fisierelor din vechiul in noul sistem. Au fost aceste proceduri realizate de persoanele
imputernicite? Se verifica completitudinea si corectitudinea transferului.
- Solutia aleasa pentru arhitectura bazei de date este cea mai buna (varianta baza
de date centralizata sau baza de date distribuita)?
- I n cazul bazelor de date distribuite s-a realizat o corecta si eficienta distribuire a datelor
in nodurile retelei? I n ce masura s-a tinut seama de respectarea urmatoarelor
cerinte:
Nevoile de informare a utilizatorilor locali
Asigurarea unui transfer minim al datelor prin retea
Necesitatea protectiei datelor transferate prin retea.
- Care au fost criteriile pentru alegerea SGBD-ului? Ofera SGBD-ul toate facilitatile
privind implementarea controalelor automate, al controlului accesului la baza de date,
tabelele bazei de date etc.
Disponibilitatea datelor
Datele, in procesul prelucrarii, datorita reprezentarii binare sunt inaccesibile auditorului in aceasta
forma. Mai mult, unele date sunt temporar stocate in memoria calculatorului (datele
intermediare de lucru).
Controlul prelucrarilor declansate automat
- Auditorul trebuie sa verifice care sunt evenimentele care declanseaza aceste prelucrari;
- Controlul tranzactiilor generate automat.
Functionalitatea aplicatiei
- Exista anumite prelucrari pe care aplicatia trebuie sa le execute, dar nu le realizeaza sau
le realizeaza greoi?
- Sunt functionalitati care lipsesc?
- I n ce masura aplicatia raspunde stilului si metodei de lucru specifice utilizatorului?
- Determina aplicatia un mod de lucru ineficient, o gandire rigida, nenaturala?
Controlul fluxului prelucrarilor
- Presupune sa verificam ce prelucrari urmeaza sa se declanseze in anumite circumstante.
- Controalele de aplicaţie asigură tehnicile de control, integrate în software-ul de aplicaţie dintr-un
sistem informatic, cu scopul de a asigura corectitudinea şi integritatea datelor stocate în sistemul
respectiv şi a rezultatelor prelucrărilor efectuate asupra acestor date .
- Testul load conditions : un program poate functiona nesatisfacator cand este
suprasolicitat (volum mare de date de prelucrat intr-un interval scurt de timp sau incarcare maxima
intr-un anumit moment).
Comunicarea sistemului cu utilizatorul
- Este usor “sa te pierzi” in program?
- Exista optiuni de lucru care pot fi confundate cu altele?
- Care sunt mesajele de eroare? Sunt utile, explicite?
- Ce informatie este disponibila pe ecran? Este suficienta, clara?
- Calitatea asistentei oferite utilizatorului (informatia returnata de tasta HELP de exemplu).
Performante
I n cazul sistemelor in timp real este foarte important timpul de raspuns.
I ntegrarea prelucrarilor
In cazul defectarii sistemul de procesare a datelor organizatia poate incheia un contract cu o alta
organizatie( sau mai multe) al carei sistem de procesare a datelor are acelesi facilitati si care poate sa
suporte prelucrarile firmei al carei sistem nu mai este functional sau poate apela la o alta firma care
ofera servicii in acest domenii.
Controlul datelor de iesi re
Ieşirile sistemului informatic sunt rezultatul prelucrării bazei de date şi sunt redate în funcţie de
conţinutul lor şi de structura lor sub formă de indicatori sintetici, rapoarte, liste, situaţii de ieşire,
grafice, stocare pe suporturi.
Urmareste : Completitudinea si acuratetea iesirilor Respectarea termenelor prevazute pentru obtinerea iesirilor
Masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta, monitor sau
un fisier.
Distribuirea iesirilor catre persoanele autorizate :
- Cine primeste situatiile? Exista persoane imputernicite in acest sens?
- Situatiile continand date sensibile sunt preluate pe baza de semnatura?
- Cum este asigurata protectia informatiilor confidentiale? I esirile catre alte aplicatii se realizeaza in formatul pe care acestea il necesita?
Masura in care se realizeaza inregistrarea, raportarea si corectarea erorilor identificate. I n ce masura exista din partea managementului un control asupra acuratetei
iesirilor si modului de distribuire a lor.
Controlul datelor de iesire presupune masuri si proceduri prin care se ofera asigurare cu privire
la :
- completitudinea si corectitudinea inforamtiilor generate cu ajutorul sistemului.
- distribuirea datelor doar persoanelor autorizate.
- jurnalizarea, urmarirea si corectarea erorilor raportate.
Controlul securi tati i aplicatiei
Controalele securitatii aplicatiei sunt folosite pentru asigurarea :
- I ntegritatii tranzactiilor si fisierelor;
- Acuratetei prelucrarilor;
- Separarii sarcinilor incompatibile intre persoanele implicate in procesarea datelor;
- Controlul utilizatorilor.