organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit...

8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic

1/25

ORGANIZAREA I DERULAREA PROCESULUI DECULEGERE A PROBELOR N CADRUL UNEI MISIUNI DE

AUDIT INFORMATIC

Nacu Anda Gabriela

An III, Grupa 2


2/25

CUPRINS

INTRODUCERE........................................................................................................................................... 3

1.TEORIE I DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE ............................................. 4

REFERITOARE LA O MISIUNE DE AUDIT ............................................................................................ 4

1.1Cadrul general al unei misiuni de audit ................................................................................................ 4

1.2 Planificarea sau contruirea de liste ..................................................................................................... 6

1.3 Evaluarea sistemului informatic .......................................................................................................... 8

1.4Probe i teste de audit ....................................................................................................................... 12

2.AUDITUL SPECIFICAIILOR.............................................................................................................. 14

4.AUDITUL TEXTELOR SURS ............................................................................................................. 18

5.AUDITUL DATELOR............................................................................................................................. 21

Bibliografie:................................................................................................................................................. 25


3/25

INTRODUCERE

Informaiile furnizate de ntreprinderi stau la baza a numeroase decizii economice i

politice de importan considerabil. Din acest motiv, situaiile financiare ntocmite i publicate

de organizaii intereseaz o gam larg de utilizatori: investitori, manageri,salariai, clieni,

creditori bancari, stat. Practica a demonstrat, n mod explicit, c exist un conflict de interese

ntre cei care culeg, prelucreaz i sintetizez informaiile contabile i utilizatorii acestor

informaii. Adesea, utilizatorii manifest o lips de ncredere ninformaiile furnizate de

contabilitate, deoarece productorii de informaii contabile nusunt, de regul, independeni n

raport cu operaiunile efectuate i situaiile prezentate.Consecinele economice majore care pot

rezulta, au fcut necesar interpunerea activitii auditorilor financiari, acetia avnd menirea de a

mri credibilitatea situaiilor financiarepublicate de ctre ntreprinderi.

Analiza elementelor prezentate relev faptul c, adesea societile profit de breeleexistente n norme i de flexibilitatea acestora n vederea distorsionrii informaiilor publicate.

Dei exist o diferen clar ntre contabilitatea creativ i nclcarea deliberat a legii, ambele

fenomene apar n condiii de dificultate financiar a ntreprinderilor i au la baz intenia de a

nela. n consecin, chiar dac utilizarea contabilitii creative nu este ilegal, ea indic faptul c

managerii, aflai sub presiune financiar, caut soluii fr a-i mai pune problema respectrii

unor standarde etice.


4/25

1.TEORIE I DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE

REFERITOARE LA O MISIUNE DE AUDIT

1.1Cadrul general al unei misiuni de audit

Definirea unei imagini de ansamblu asociat procesului de audit impune prezentarea succint aetapelor de desfurare a acestei misiuni:

Acceptarea misiunii - prin care se realizeaz colectarea i evaluarea iniial a informaiilor

despre organizaie, a riscurilor sectorului de activitate din care aceasta face parte (domeniul de

activitate, mrimea, reglementrile specifice, date despre polititica entitii).

Planificarea misiunii de audit - care are drept finalitate realizarea unui plan de audit detaliat pe

obiective, termene, responsabili i realizarea unui program de audit ce include bugetul financiar,fondul de timp necesar realizrii misiunii, precum i ansamblul procedurilor, tehnicilor ce vor fi

implementate pe parcursul acesteia.

Evaluarea sistemului de control intern i contabilitate, etap ce include i o evaluare a

sistemului informatic, analizat ca instrument care confer ncredere informaiilor ce urmeaz a fi

auditate.

Aplicarea testelor de detaliu asupra conturilor clientuluiconcretizat n ansamblul tehnicilori procedeelor aplicate de auditor n vederea colectrii probelor necesare justificrii opiniei

formulate de acesta (teste de detaliu, proceduri analitice), redactarea concluziilor iniiale, n

conformitate cu planul iniial.

Formularea opiniei i ntocmirea raportului de auditrecunoscut ca etapa final a unei

misiuni de audit, se rezum la analiza concluziilor i formularea opiniei auditorului.

Urmrirea implementrii recomandrilor raportului de audit (follow-up) - o activitateulterioar misiunii, n care auditorul solicit i evalueaz concluziile anterioare relevante i

recomandrile pentru a stabili dac aciunile necesare au fost implemenate la timp.

Etapele unei misiuni de audit sunt sintetizate n figura 1.1:


5/25

http://www.youtube.com/watch?v=27H07

1.Acceptarea misiunii

Colectarea informaiilor

Evaluarea informaiilor

Scrisoare de

angajament

2.Planificarea

Culegerea informaiilor n detaliu

Calculul pragului de semnificaie

Evaluarea riscului de audit

Desfurarea procedeelor

analitice

Dezvoltarea planului de audit i a

programului de lucru n detaliu

Elaborarea planului de audit

3.Evaluarea controlului intern i

a sistemului contabil

Identificarea controalelor

Evaluarea preliminara a riscului

de control

Selecia eantioanelorRealizarea testelor de control

4.Aplicarea testelor de detaliu

Teste de detaliu privind

tranzaciile

Teste de detaliu privind soldurile

Proceduri analitice

5.Formularea opiniei i intocmirea

raportului de audit

6.Activitatea de urmrire a

recomandarilor auditorului

(follow-up)

Plan de audit

Program de audit

Probe de audit

Raport interimar

asupra controluluiintern

Probe de audit

Raport de audit

detaliat

Raport de audit

simplificat


6/25

n continuare vom prezenta n detaliu doar trei din etapele unei misiuni de audit:

PlanificareaEvaluarea sistemului informatic parte a evalurii controlului internProbe i teste de audit

1.2 Planificarea sau contruirea de liste

Dup o cunoatere global a entitii, auditorul are posibilitatea s-i formuleze o strategie

general de audit, concretizat ntr-un plan orientativ al activitii sale, care larndul su,

reprezint baza elaborrii programului de audit.

O planificare adecvat a activitii de audit permite identificarea domeniilorsemnificative

de audit, a punctelor slabe i forte din cadrul sistemului.

n acest sens, demersul metodologic impune parcurgerea urmtorilor pai:1.Analiza i documentarea modelului de audit2.Alegerea membrilor echipei3.Repartizarea lucrrilor pe oameni, n timp i spaiu4.Aprobarea planului de audit din partea partenerului i informarea n detaliu a

membrilor echipei de audit

Auditul sistemelor informatice, ca orice activitate complex, este o activitate de echip.

Consultingul n echip presupune:

Existena unui manager cu experieni cu reale caliti n domeniul lucrului cuoamenii, pentru a crea cadrul adecvat activitilor de audit, pentru a menine nivelul de exigen

la cote ridicate;

Stabilirea unor criterii riguroase de selecie a membrilor echipei;auditul unuisistem informatic este un proiect, ca orice proiect pentru care exist un management, o atribuie a

managerului este formarea echipei;realizarea unei discipline a lucrului n echip; este cunoscut faptulc n activitatea

unei echipe exist patru momente: primul moment corespunde definirii problemei de rezolvat, al

doilea moment corespunde formulrii de soluii, al treilea moment este activitatea propriu-zis,

pentru a transpune soluiile n practic, iar ultimul moment, al patrulea, corespundeevalurii

rezultatului muncii echipei;


7/25

elaborarea de rapoarte n timp real;adoptarea unui standard de auditare i folosirea unei singure metode;

Toate aceste elemente creeaz un cadru favorabil nceperii activitii echipei de audit

sisteme informatice.

Macrospecificaiile suntmateria prim a construirii listelor enumerative, de derulare, de prioriti,

de caracteristici i de evaluare ale sistemului informatic.

Listele enumerative conin, dispuse unele dup altele, componente omogene, precum

numele modulelor, numele fiierelor, numele entitilor, numele parametrilor, codurile asociate

mesajelor, numele asociate rapoartelor, parole de acces i rezultate ale evalurilor. Listele

enumerative se construiesc pe msur ce se proiecteaz sistemul informatic i se actualizeaz pe

msur ce se deruleaz etapele de realizare ale sistemului informatic .

Listele de derulare includ etape, activiti, operaii care trebuie parcurse ntr-o anumit

ordine pentru a atinge un anumit obiectiv. La fel ca n cazul gamei de operaii, sunt specificate

precedenele i, mai ales, restriciile de ncepere, de continuare i de ncheiere. Listele de derulare

se dovedesc a fi corect elaborate cnd, pe msur ce se execut etape ale ciclului de dezvoltare a

sistemului informatic, nu sunt necesare interschimburi de poziie i nici inserri de noi elemente

n liste.

Listele de prioriti reprezint o form concret de manifestare a viziunii managerului de

proiect. Prioritile vizeaz raportul dintre calitate icantitate, modaliti de elaborare a criteriilor

de selecie a membrilor echipeide dezvoltare a sistemului informatic i stabilirea poziiei pe care

o are managementul calitii sistemului informatic. Prioritile definite au caracterobligatoriu de

aplicabilitate. Fluctuaiile n timp sau pe compartimente naplicarea prioritilor au drept

consecin determinat creterea gradului de neomogenitate a componentelor sistemului

informatic.

Listele de caracteristici vizeaz extragerea dintr-o multitudine de caracteristici a acelora

pe care managerul proiectului le consider esenialei pe care le urmrete pe toat durata

procesului de dezvoltare a sistemului informatic. Listele de caracteristici in seama de destinaia

sistemului informatic. Orientarea sistemului informatic spre cerinele utilizatorului conduce la

includerea cu prioritate a caracteristicilor care vizeaz obinerea unui singur nivel maxim de


8/25

satisfacie la nivelul beneficiarului, pe msurce acesta exploateaz sistemul informatic. Pentru

gestionarea eficient a resurselor companiei de informatic, lista include i caracteristici tehnice,

interne ale sistemului informatic.

Listele de evaluare prezint importan att n procesul deelaborare, ct i n procesul de

auditare, ntruct creeaz premisele derulriimai nti a procesului de autoevaluare i dup aceeaa procesului de evaluare. n condiii normale nu trebuie s existe diferene semnificativentre

autoevaluarea i, respectiv, evaluarea sistemului informatic sau a componentelor acestuia.

Procesul de auditare se definete ca mod de traversare a listelor de liste prin completarea cu

informaii specifice rapoartelor. Procedurile deagregare sunt standard. Esenial este ca baza

privind procesul de auditare sfie solid, bazat pe msurtori i pe analize foarte riguroase.

Construirea listelor reprezint latura esenial a procesului de auditare planificare. Fr

un plan bine elaborat, articulat i fr o viziuneunitar, rezultatul final este afectat de factori

perturbatori. Acesta este motivul pentru care, nainte de a ncepe auditarea propriu-zis, se trece

la clarificarea tuturor aspectelor.

1.3 Evaluarea sistemului informatic

Avand in vedere modificrile intervenite in economia romaneasc i european agenii

economici care folosesc in contabilitate i finane-bnci sisteme informatice au obligativitatea dea realiza periodic auditarea acestor sisteme.

Auditul SI este o ramur a auditului general care se ocup cu controlul tehnologiilor

informaiilor i comunicaiilor. Auditul SIstudiaz, n primul rnd, sistemele i reelele de calcul

din punct de vedere al examinrii eficienei controlului tehnic i procedural pentru a minimiza

riscurile. Auditarea SI presupune discuii cu personalul care stabiletespecificaiile, dezvolt,

testeaz, conduce, administreaz i utilizeaz sistemele de calcul

Auditul intern al oricrui agent economic include i auditul informatic. De cele mai multe

ori, se produce o confuzie intre auditul interni controlul intern, iar auditul informatic (auditul

tehnologiilor informaiei iale comunicaiilor, IT/&C)sau auditul sistemelor (aplicaiilor)

informaticeale agentului economic este considerat, in mod restrictiv, ca fiind limitat lalatura

tehnic a auditului financiar i a auditului intern. Practica a impus renunarea la semnificaia


9/25

auditului intern corelat numai defuncia financiar-contabil a agentului economic i creterea

importaneiacestuia prin includerea funciei de audit intern subordonat directconductorului

agentului economic, devenind astfel un instrument puternic de descoperire i monitorizare a

riscurilor.

Auditorul informatic este reprezentat de un informatician specializat in domeniul financiar-contabil. El este certificat ca auditor informatic (Certified Information Systems Auditor, CISA)

de ISACA in conformitate icu condiiile stabilite de Camera Auditorilor Financiari din

Romania. Jacques Renard arat, in Teoria i practica auditului intern, c auditorul informatician

nu este un auditor care a invat informatic, ci reprezintneaprat un informatician format dup

metodologia i instrumentele Auditului Intern. Acest auditor informatician ii folosete talentul i

competenele in cinci direcii fundamentale: auditul centrelor informatice, auditul biroticii,

auditul reelelor informatice, auditul sistemelor inexploatare i al programelor informatice de

aplicaie i auditul sistemelor in curs de dezvoltare. Acelai Jacques Renard, atunci cand

analizeaz funciileorganizaiei economice, precizeaz funcia informatic a organizaiei

economice, adic o funcie in integrum i nu doar un instrument specific informaticii de gestiune.

Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe

pentru a determina dac sistemul informatic estesecurizat, menine integritatea datelor prelucrate

i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient

resursele informaionale.n cadrul unei misiuni de audit a sistemului informatic cele mai

frecvente operaii sunt verificrile, evalurile i testrile mijloacelorinformaionale, astfel:

- identificarea i evaluarea riscurilor din sistem;

- evaluarea i testarea controlului din sistem;

- verificarea i evaluarea fizic a mediului informaional;

- verificarea i evaluarea administrrii sistemului informatic;

- verificarea i evaluarea aplicailor informatice;

- verificarea i evaluarea securitii reelelor de calculatoare;


10/25

- verificarea i evaluarea planurilor i procedurilor de recuperare ncaz de dezastre i

continuare a activitii;

- testarea integritii datelor.

Pentru o evaluare corect a controlului intern, auditorul realizeaz o serie de investigaii:

Descrierea procedurilor de culegere i prelucrare a datelorn sistemul existent, cuscopul de a determina pentru fiecare domeniu semnificativ (vnzri, cumprri,etc.), ca re

sunt procedeele folosite de entitate pentru culegerea informaiilor, prelucrarea datelor,

nregistrarea operaiunilor n contabilitatea sintetic i analitic, modul de ntocmire a

documentelor primare i de verificare a lor, circulaia i arhivarea acestora.

n general, pentru a nelege sistemul contabil i de control intern, auditorul se bazeaz pe

experiena sa anterioar n entitate i recurge la diverse tehnici: discuii cu persoane dinconducere i salariai cu privire la documente (fia postului , organigrame), verificarea

documentelor i nregistrrilor contabile ct i observarea activitilor i operaiilor

entitii.

Testele de urmrire( teste de conformitate), ce au ca obiect obinerea confirmrii cdescrierea procedurilor din etapa anterioar a fost corect neleas i corespunde

procedurilor aplicate n entitatea respectiv (altfel spus, ele permit verificarea existenei

procedurii i nu asigurarea c ea este bine aplicat). Testul n sine implic un traseu al

tranzaciilor prin sistem i observarea controlalelor operaionale. Natura i ntinderea

testelor de urmrire efectuate de auditor potfurniza probe adecvate de audit, dar ele

singure nu sunt suficiente pentru a aprecia un risc de control la un nivel redus.

Evaluarea preliminar a riscului de controlDup o descriere a organizrii controlului intern n cadrul entitii, se poate realiza o evaluarea

preliminar a acestuia, punndu-se astfel n eviden punctele forte i slabe ale sistemului

existent, toate acestea concurnd la determinarea ariei testelor de control ce vor fi

realizate n faza urmtoare.

Testele de control (recunoscute i sub numele de teste de permanen) sunt efectuatepentru obinerea probelor de audit privind eficiena sistemului de contabilitate i de


11/25

control intern i a modului de desfurare al controalelor interne de-a lungul perioadei. Cu

titlu exemplificativ, Standardele de audit prevd c aceste teste de control pot include :

Verificarea documentelor justificative care vizeaz o operaie n vederea aprecieriiautorizrii acesteia;

Investigarea i observarea controalelor interne care nu au lsat nici o urm de audit (spre exmplu, auditorul trebuie s stabileasc persoana care exercit o anumit funcie,

deoarece n practic se poate ntmpla ca aceasta sfie diferit de cea prevzut n fia

postului);

Verificarea modului de funcionarea a controlului intern (de exemplu, prin solicitarea de confirmri de la banc, pentru a se asigura c aceste operaiuni au fost

corect nregistrate).

Evaluarea final ariscului de control i redactarea unei scrisori preliminare privind eficiena sistemului de control intern. n baza tuturor probelor de audit,

auditorul contientizeaz carenele sistemului de contabilitate i de control intern i

informeaz conducerea ntreprinderii asupra erorilor semnificative pe care le-a depistat.

Principalele tipuri de audit informatic sunt:

- auditul sistemului operaional de calcul; revizia controalelor sistemelor operaionale de calcul

i reelelor, la diferite niveluri; de exemplu, reea, sistem de operare, software de aplicaie, baze

de date, controale logice/procedurale, controale preventive/detective/corective etc;

- auditul instalaiilor IT; include aspecte cum sunt securitatea fizic, controalele mediului de

lucru, sistemele de management i echipamentele IT;

- auditul sistemelor aflate n dezvoltare; acoper unul sau ambele aspecte: (1) controalele

managementului proiectului i (2) specificaiile,dezvoltarea, testarea, implementarea i operarea

controalelor tehnice i procedurale, incluznd controalele securitii tehnice i controalele

referitoare la procesul afacerii;

- auditul managementului IT; include: revizia organizaiei,structurii, strategiei, planificrii

muncii, planificrii resurselor, stabilirii bugetului, controlul costurilor etc.; n unele cazuri, aceste

aspecte pot fi auditate de ctre auditorii financiari i operaionali, lsnd auditorilor

informaticieni mai mult aspectele tehnologice;


12/25

- auditul procesului IT; revederea proceselor care au loc n cadrul IT cum sunt dezvoltarea

aplicaiei, testarea, implementarea, operaiile,mentenana, gestionarea incidentelor;

- auditul managementului schimbrilor; revizia planificrii icontrolului schimbrilor la

sisteme, reele, aplicaii, procese, facilitai etc., incluznd managementul configuraiei, controlul

codului de la dezvoltare, prin testare, la producie i managementul schimbrilor produse norganizaie ca rezultat al ICT;

- auditul controlului i securitii informaiilor; revizia controalelor referitoare la

confidenialitatea, integritatea i disponibilitateasistemelor i datelor;

- auditul conformitii cu legalitatea; copyright, conformitate cu legislaia, protecia datelor

personale;

- auditul accidentelor dezastruoase/planificrii continuitii afacerii/refacerii dup dezastre;

reviziile msurilor propuse pentrurestaurarea dup un dezastru care afecteaz sistemul i

evaluarea modului ncare organizaia abordeaz managementul riscurilor;

- auditul strategiei IT; revizia aspectelor variate ale strategiei IT, viziune i planuri, inclusiv

relaiile cu alte strategii, viziuni i planuri.

1.4Probe i teste de audit

1.4.1 Probe de audit

Cum sunt definite probele de audit- ISA 500

Probele de audit reprezint totalitatea informaiilor utilizate de auditor pentru emiterea

unei concluzii pe care este bazat opinia de audit, i includ toate informaiile coninute n

evidenele contabile care stau la baza situaiilor financiare i a altor informaii. Probele de audit,

care sunt cumulate ca natur, includ probe deaudit obinute din procedurile de audit efectuate pe

parcursul auditului i pot include probe de audit obinute din alte surse, cum ar fi angajamentelede audit anterioare i procedurile unei firme de control al calitii pentru acceptarea clienilor i

continuarea contractelor cu clienii deja existeni.

n cadrul procesului de audit, auditorul colecteaz elemente probante care pot susine,

justifica opinia sa de audit. Legislaia n vigoare, inclusiv Standardele de audit nu ofer un model


13/25

standardizat al raportului de audit, a chestionarelor utilizate, a dosarului de audit, foilor de lucru,

ci pune un accent deosebit pe raionamentul profesional al auditorului.Termenul "probe de audit"

nsumeaz toate informaiile obinute de auditor, dintr-o combinaieadecvat de teste de control

i proceduri de fond, att din interiorul societii auditate ct i din exteriorul acesteia.

Proceduri specifice pentru obinerea probelor de audit

Auditorul poate obine probe de audit prin aplicarea uneia sau mai multorproceduri :

inspecia, observaia, investigarea i confirmarea, calcule i proceduri analitice.

n viziunea Standardului de audit 500 Probe de audit , inspeciaconst n examinarea

documentelor, nregistrrilor sau imobilizrilor corporale. Inspecianregistrrilor i

documentelor furnizeaz probe de audit cu grade de credibilitate variate,depinznd de natura i

sursa lor, precum i de funcionarea efectiv a controalelor internen timpul procesrii

informaiilor.

Observaia este un instrument cu aplicare universal, deoarece totul este observabil.

Procedura const n urmrirea unui proces sau a unei proceduri efectuate de ctre alte persoane,

cum ar fi spre exemplu observarea de ctre auditor a inventarierii stocurilor, de ctre personalul

organizaiei.

Investigareaconst n obinerea de informaii prin adresarea de ntrebri, scrise sau verbale,

persoanelor din interiorul sau exteriorul entitii. Rspunsurile la investigaii pot oferi auditorilor

informaii noi, informaii care se coroboreaz cu alte probe de audit. O misiune de audit care s-ar

limita numai la interviuri ar putea fi considerat drept un sondaj de opinie.

Confirmareaconst n rspunsul la o investigaie pentru a corobora informaiile coninute

n documentele contabile justificative. Aceste confirmri sunt adresate, n general, terilor, un

exemplu n acest sens, frecvent ntlnit n cadrul unei misiuni de audit, fiind confirmarea

creanelor existente prin consultarea debitorilor sau confirmarea disponibilitilor din banc, prin

solicitarea unor extrase de conturi (confirmri bancare).

Calcululconst n verificarea manual sau informatizat a acurateei matematice a sumelor

cuprinse n documentele primare, a ecuaiilor contabile.


14/25

Procedurile analiticese refer la analiza indicatorilor economico-financiari, analiza

fluxurilor nete.

2.AUDITUL SPECIFICAIILOR

Specificaiile sistemului informatic, asemenea unei case, constituie temelia sistemului. De

aceea auditul sistemului trebuie s nceap cu auditul specificaiilor. Specificaiile au la baz

surse precum:

- legi i acte guvernamentale;

- norme de aplicare a unor acte oficiale;

- documentaii tehnice privind echipamentele de producie i auxiliare;

- documentele de creare i funcionare a companiei;

- monografii, referate i prezentri;

- documente contabile i de patrimoniu;

- documente programatice: strategii i planuri pe termene diferite;

- rapoarte privind dinamica evoluiei;

- rapoarte privind conexiunile cu mediul de afaceri;

- documentaii privind publicitatea i definirea imaginii de pia;

- documentaia privind fora de munc;

- documentaia privind activitile de cercetare, studiile de pia, activitile sociale.

Auditul are menirea de a defini gradul de cuprindere al documentelor necesare dezvoltrii

unor specificaii complete, corecte i n concordan cu obiectivul definit pentru sistemul

informatic.


15/25

Se ntocmesc mai multe liste i tabele i anume:

- lista tipurilor de documente;

- listele claselor de documente aparinnd fiecrui tip;

- listele grupurilor de documente aparinnd fiecrei clase:

- tabelele de descriere cantitativ a elementelor care alctuiesc grupurile; pentru fiecare grup se

definete un tabel.

3.AUDITUL PROIECTULUI DE SISTEM INFORMATIC

Proiectul sistemului informatic este realizat pe baza specificaiilor. Cele mai multe dintre

proiecte sunt structurate pe subsisteme. Exist numeroase produse informatice complexe care,printr-o bun parametrizare,genereaz un sistem informatic customizat, capabil s rspund

cerinelor companiei.Indiferent de metoda folosit, indiferent de mediul de dezvoltare utilizat,

numai un proiect bun are menirea de a dezvolta un sistem informatic operaional. Metodele,

tehnicile i instrumentele au menirea de a uura munca, de a sistematiza informaii, de a minimiza

inconsistenele. Eforturile cele mai importantedestinate definirii de entiti, gruprii acestora,

realizarea modulelor, specificarea conexiunilor, aparin designerilor sistemului informatic.

Un proiect de sistem informatic este dezvoltat pe mai multe niveluri. Primul nivel, cu

gradul de agregare cel mai ridicat, identificsubsistemele care intr n componena sistemului.Al

doilea nivel, corespunde unei detalieri mai accentuate, n care sedisting prile ce alctuiesc

subsistemele i fluxurile care au fost definite.Al treilea nivel conine detalii de organizare a

operaiilor i aoperatorilor. Diagramele difer n funcie de modul n care este abordat

soluionarea din punctul de vedere al tehnologiei abordate. Gruparea operanzilor i operatorilor

prezint o importan special ntructinflueneaz definirile specifice implementrii algoritmilor

de regsire ainformaiei dup una sau mai multe chei.Al patrulea nivel conine reprezentri

suficient de detaliate care se constituie nspecificaii de programare.

Activitatea de auditare a proiectului trebuie s traverseze toate cele patru niveluri de

detaliere. Se stabilete msura n care nivelul urmtor este rezultatul direct al detalierii

elementelor definite n nivelul precedent. ncazul n care pe nivelul precedent sunt elemente


16/25

nedetaliate pe nivelul urmtor sau detalii de pe nivelul curent nu au corespondent pe nivelul

precedent, se semnaleaz ca element de contradicie n proiect.n dezvoltarea unui proiect trebuie

respectate o serie de reguli, iar procesul de auditare are menirea de a analiza dac aceste reguli au

fost respectate.

Se observ c n auditul proiectului sunt preluate numeroaseelemente din specificaii.Elaboratorul sistemului informatic dispune de o echip de designeri de sistem care, prin

modaliti eficiente de comunicare,dezvolt proiectul, verific de fiecare dat specificaiile cu

cerinele reale aleutilizatorilor. n mod normal, ntre toate construciile existente ndocumentaie

i ceea ce rezult n procesul de auditare, diferenele trebuie sfie nesemnificative. n realitate

apar diferene care, dac nu semnificative,sunt diferene numeroase, genernd neconcordane,

unele afectndsemnificativ utilizabilitatea sistemului informatic. Documentaia de auditare a

proiectului de sistem informatic conine liste care permit agregarea deindicatori, conducnd n

final la un singur indicator, care clasific proiectulca fiind foarte bun, bun, satisfctor sau

nesatisfctor.

n faza de definire a proiectului apar o serie de detalii privind:

- stabilirea domeniilor de variaie a variabilelor de intrare i domeniile variabilelor rezultative;

- dimensiunile seturilor de date;

- cheile de regsire a datelor;

- funciile de prelucrare care se dispun pe o structur arborescentiniial;

- fluxurile de date;

- amplasarea punctelor de colectare a datelor n locuri precizate din companie;

- stabilirea nivelurilor de securitate pentru fiecare punct de colectare/extragere a datelor;

- definirea formatelor de prezentare a rezultatelor;

- stabilirea nivelului de validare a datelor de intrare;

- stabilirea arhitecturii pe care se dezvolt sistemul informatic;


17/25

- definirea echilibrului dintre outputurile imprimate i cele n format electronic;

- stabilirea modului de arhivare a informaiilor referitoare la perioade trecute de timp.

Auditul acestui proiect ia n analiz toate aspectele. De exemplu, n cazul analizei

sistemului de parole se inventariaz punctele de acces care seamplaseaz la nivelul companiei.

Amplasamentul fizic este corelat i cuutilizarea. Posturile de lucru dedicate, restricionate prin

anumite tipologii de acces, permit o bun disciplinare a utilizatorilor sistemului. Fiecare utilizator

are drept de acces la resursele sistemului numai n anumite puncte de lucru. Se are n vedere

apropierea de locul n care utilizatorul idesfoar activitatea.

n mod curent, n practic, exist mai multe tipologii de parole deacces, n raport cu

drepturile asupra resurselor sistemului i anume:

- chei de acces total la dispoziia administratorului sistemului; acest tip de acces permite lucrul pe

componente, schimbarea drepturilor de acces pentru toi ceilali utilizatori; administratorul este

cel care realizeazinterfaa sistemului, inclusiv cu cei care asigur ntreinereasa curent;

- chei de acces la operaii de mare risc asupra bazei de date;

- chei de acces pentru efectuarea unei singure operaii;

- chei de acces consultare ntreaga colecie de informaii,

- chei de acces pentru consultare parial a bazelor de date;

- chei de acces la informaii de interes general;

- chei de acces personale care permit accesul strict la datele personale ale individului;

Accesul la informaia public este liber. Auditul parolelor stabiletemsura n care

persoanele din companie, n calitate de utilizatori, au o singur parol. Modul de distribuire a

parolelor i de gestionare a acestoraconstituie, de asemenea, obiectul auditului. Este important s

se defineascun sistem de parolare i gestiune a parolelor. n cazul n care se acord o parol i

utilizatorul i definete parola sa, se impune definirea unui alfabet propriu de construire a

parolelor, astfel nct prin regulile definite s se asigure un nivel de securitate ridicat. Auditul


18/25

sistemului de parole este important prin modul cum calific protecia sistemului informatic fa

de operaiile accidentale.

4.AUDITUL TEXTELOR SURS

A audita un produs software, nseamn a parcurge etapele codului deaudit avnd ca obiect,

mai nti un text surs care, dac trece de etapele deanaliz, dup compilare i editare de legturi,

este lansat n execuie i esteauditat ca produs finit, validat pentru a obine o anumit funcie de

prelucrare. Textul surs este analizat prin revizii, avnd ca rezultat o serie de comentarii, din

partea membrilor echipei sau a clienilor, asupra modului ncare a fost conceput i elaborat.

n cazul n care se caut disfuncionaliti, prin parcurgerea textuluisurs sau prin discuii asupra

locului i rolului unor instruciuni, seevideniaz comportamnentul statistic al programului, privit

ca automat nedeterminat, caracteristic datorat absenei unor teri, se obine o orientare peauditul bazat pe walk-through.

Un rol special l are inspecia textului surs, care const n parcurgerea textului pas cu pas,

evideniind etapele algoritmului i evalund capacitatea de generare a erorilor.

Pornind de la specificaiile de programare unde se prezint:datele de intrare , rezultatele, modelele

de calcul, seturile de date de test i rezultatele ce trebuie obinute.Prin inspecie, se pun fa n

fa componentele specificaiilor cusecvenele corespondente din program.

Se identific urmtoarele situaii:

- mulimii secvenelor de texte din specificaii le corespundsecvene de instruciuni n programul

de surs; auditul consemneaz cprogramul realizeaz cerinele definite n specificaii;

- n mulimea secvenelor, unora le corespund secvene de textsurs, iar altor secvene le

corespund astfel de pri de program surs;nseamn c programatorii nu au dezvoltat un produs

care s realizeze toatefunciile de prelucrare care sunt descrise prin specificaii;

- pe coloana mulimii secvenelor de program surs apar mai multesecvene care sunt cerute prin

specificaii; sunt situaii n care programatorii intuiesc o serie de prelucrri necesare programului,

neincluse n specificaiidatorit abordrii de suprafa a problematicii n textele specificaiilor.


19/25

Dup analiza parametrilor este important ca n procesul de auditares se analizeze modul n

care au fost iniializate variabilele. Exist softwarecare evideniaz dac n program sunt utilizate

variabile neiniializate.Auditarea prelucrrilor presupune stabilirea corespondenei dintre

formulele date n specificaii i secvenele de program scrise.

Cnd se analizeaz secvenelede program trebuie cutate sursele deerori care afecteazfluxurile de prelucrare, dintre care se enumr:

- lucrul cu variabile neiniializate;

- traversarea unor structuri de date n afara limitelor pentru care au fost definite;

- neincluderea de teste care s evite mprirea prin zero saublocarea unor funcii care au

restricii asupra intervalelorparametrilor;

- construirea unor expresii care filtreaz parial sau incorectsubmulimi de elemente;

- restructurarea expresiilor prin schimbarea ordinei de evaluare a unor subexpresii diferite de cele

date de specificaii;

- efectuarea de conversii intermediare deformeaz rezultatele finale;

- construirea expresiilor de referire a elementelor unei structuri care dezvolt procese de

cutare/regsire neconcordante cu specificaiile;

- absena manipulrii variabilelor de stare a prelucrrilor;

- atribuirea de coduri variabilelor de stare dup alte reguli dect celedate n specificaiile de

programe;

- alocarea dinamic a unor variabile fr a exista i procesul de dealocare;

- introducerea unor elemente de neomogenitate; precum citiri, scrieri de date;

- definirea de invariani n structuri repetitive, n principal, prininexistena incrementrilor sau

decrementrilor;


20/25

- neincluderea n secvene a unor instruciuni corespunztoareevalurii unui model sau filtrrii,

ceea ce conduce la o tratare parial a problemei;

- atribuirea altei semnificaii variabilelor cu consecine directeasupra rolului i locului pe care

acestea le au n program;

- introducerea de expresii de atribuire care anuleaz prelucrrile precedente;

- compunerea unor construcii fr a exista o echivalen ntreformulele finale i cele iniiale ale

acestora.

Sunt cteva reguli pe care auditorul desoftware trebuie s le aplice pentru a califica o

procedur supus analizei.Prima reguleste legat de preluarea i predarea parametrilor. Se

analizeaz corespondenele dintre listele de parametri i modul cum suntfolosii acetia.A doua

regulvizeaz omogenitatea secvenelor de program existente. Aceast omogenitate se refer la

gruparea n secvene compacte ainstruciunilor dar i la utilizarea unor modaliti ca nume n

ntreg textulsurs. A treia regulvizeaz stilul de programare. Exist multe modaliti de a

ordona activitatea programatorilor. Una dintre acestea se refer la stilul de programare. Stilul de

programare se constituie prin reguli definite i pecare programatorii i le autoimpun. n final, se

obin construcii softwarecare nu difer semnificativ unele de altele, dei au fost scrise de foarte

muli programatori.

Auditul software nu are menirea de a analiza ct de mult sau ct depuin au fost respectate

regulile definite ca stil de programare. Se supun analizei secvene sau proceduri. Au importan

din punctul de vedere al auditorului nu formule de realizare a prelucrrilor ci, elemente de esen,

adic rezultatele, fluxurile pe care le genereaz. Un program este corect sau incorect prin ce

prelucrri realizeaz.

Auditul software, dezvoltat ca input pe textul surs identific:

- structura rezultatelor intermediare; un element, un ir omogn deelemente, un ir de elemente

diferite, un tablou de elemente omogene, un tablou de elemente diferite;

- numrul de elemente diferite care se calculeaz;

- locul unde se calculeaz fiecare element diferit din structura de rezultate intermediare;


21/25

- modul n care sunt manipulate rezultatele obinute, conversiile la care se supun, unde sunt

stocate i, mai ales, cum sunt prelucrate de alteproceduri, n continuare.

n derularea auditului textului surs, atunci cnd se comparstructura rezultatelor cu secvenele

de prelucrare, apar urmtoarele situaii:

- fiecrei componente din structura de rezultate i corespunde osecven de instruciuni n

procedur; se auditeaz secvenele pentru a vedeadac procedurile sunt corecte;

- exist componente n structura de rezultate care nu au secvene nprocedur; nseamn c

procedura rezolv parial problema; trebuie cutatesecvene n alte proceduri pentru a vedea dac

tratarea este complet.Dac procedura realizeaz n plus i alte prelucrri, este o altproblem.

Ceea ce trebuie s evidenieze procesul de auditare este strict legat de obiectivul propus.

n acelai fel se procedeaz i cu structura datelor de intrare.Rezultatele intermediare se obin cu

date intermediare de intrare.Acestea au forma:

- unei variabile;

- unui grup de variabile dat sub forma unui masiv unidimensional sau multidimensional;

- unei structuri de date dinamice;

- unui fiier;

- unei baze de date.

5.AUDITUL DATELOR

Datele care se stocheaz n mod sistematic n fiiere sau sunt gestionate prin sisteme de

gestiune a bazelor de date, sunt supuse auditului ca orice alt component a sistemului

informatic. Auditul datelor este un proces complex ntruct vizeaz acele componente ale

sistemului informatic care au ca obiectiv crearea iactualizarea fiierelor sau bazelor de date.

Auditul acestor componente permite obinere unei imagini completen legtur cu capacitatea

software de a contribui la realizarea unui nivel ct mai ridicat al calitii datelor.


22/25

Orice variabil este iniializat prin:

- atribuirea unei constante;

- atribuirea unui rezultat dup evaluarea unei expresii;

- suprapunerea zonelor de memorie cu ajutorul operaiei union;

- copierea variabilelor de tip articol tratate ca iruri de caractere;

- transfer cu conversie din buffere prin apariii de citire a fiierelor;

- transmiterea prin valoare a parametrilor cu condiia ca ntre lista de parametri reali i lista de

parametri formali s existe o perfect concordan.

Exist numeroase cauze generatoare de erori atunci cnd este vorba de iniializarea

variabilelor. n cazul n care modulele au un grad ridicat de specializare se produce localizarea

distinct a iniializrii variabilelor prin citire din fiiere, indiferent care estetipul de fiier.

Auditorii trebuie s stabileasc despre care dintre situaii este vorba.Exist situaii n care

programele genereaz numere de identificare aevenimentelor i acestea devin i chei de regsire.

Sunt create condiii de a introduce datele despre un element din colectivitate de nenumrate ori cu

asocierea unei alte chei de regsire. Este important ca auditorii s dispun de software care

analizeaz coninutul datelor stocate pentru a identifica:

- articolele duble introduse;

- concordanele dintre evenimentele generate efectiv la un post de operare date i evenimentele

planificate.

Analiza datelor este una dintre cele mai dificile etape ale procesului de auditare ntruct

datele influeneaz direct, fr condiii, calitatea rezultatelor finale care se obin de ctre un

sistem informatic.

nregistrarea datelor trebuie efectuat pe formulare astfel proiectate,nct caracteristicile

colectivitilor s fie prezentate cu maxim claritate prin:


23/25

- gruparea tuturor caracteristicilor de difereniere ale unei colectiviti ntr-un singur formular;

rezult c pentru rcolectiviti distincte vor circula rformulare diferite, rseturi de proceduri

pentru nregistrarea caracteristicilor specifice;

- regruparea pe un formular a caracteristicilor mai multor colectiviti, mai ales atunci cnd datele

de identificare a elementelor corespondente sunt comune; manipularea unui numr mai restrnsde documente comparativ cu numrul caracteristicilor este nsoit de reducerea efortului de

nregistrare i de cretere a gradului de concentratrare asupra calitii procesului de nregistrare

date.

Descrierea procedurilor de nregistrare are n vedere totalitateasituaiilor de pe teren, astfel

nct completarea documentelor s fie integrali reluarea nregistrrilor prin sondaj s conduc

la rezultate identice, dnd caracter de reproductibilitate procesului de constituire a seturilor de

date asociate caracteristicilor.

Ortogonalitatea datelor este o caracteristic de calitate deosebit de important care arat msura

n care un element aij din colectivitate difer de un alt element aiksau msura n care elementul aij

difer de toate celelalte elemente care alctuiesc colectivitatea CVIi.

Consistena datelor vizeaz nregistrrile care privesc un element din colectivitate. Proprietile

elementelor se reflect i la nivelul nregistrrilor.

Omogenitatea datelor pentru aceeai caracteristic de difereniere vizeaz tipul datei, modul de

efectuare a msurtorilor i modul de nregistrare. Se stabilete un domeniu de defini ie pentru

fiecare caracteristic n parte, se stabilete unitatea de msur a caracteristicilor de difereniere.

Completitudineadatelor conduce la obinerea unui tablou care are toate irurile de pe linii sau de

pe coloane nregistrate n concordan cu domeniile fiecrei caracteristici de difereniere.

Accesibilitatea datelor presupune ca datele s fie disponibile uor, repede, iar algoritmii de

cutare i regsire s se ncheie cu succes folosind criterii dintre cele mai variate, inclusiv definiri

incomplete de chei de cutare.

Acurateea vizeaz exactitatea, nivelul acceptabil al erorilor coninute, ncadrate n limite

stabilite.


24/25

Credibilitatea are la baz acceptarea nregistrrilor ca reprezentnd un rezultat real al

nregistrrilor.

Interpretabilitatea datelor presupune definirea unui alfabet, a unor reguli de producie pentru

construirea de iruri consecutive de simboluri, iar punerea n coresponden a cuvintelor cu fapte,

evenimente, obiecte din lumea real aparin unui limbaj unanim acceptat i cunoscut.

Obiectivitatea vizeaz imparialitatea, lipsa de prejudeci, neprtinirea n a efectua msurtori, n

a prelua rezultatul obinut de la dispozitivele de msurare i din aplicarea procedurilor de

efectuare a msurtorilor.

Oportunitatea vizeaz neafectarea de uzura moral a datelor n raport cu un criteriu, cu un

moment de timp, cu un nivel de cuprindere, toate stabilite de la nceput.

Relevana este stabilit n raport cu cerine ale utilizatorilor i vizeaz corespondena dintre

rezultatele agregate i trendul de dezvoltare a colectivitii de la care provine setul de date.

Profitabilitatea datelor vizeaz valoarea adugat care se obine i care justific efortul de

definire de proceduri,

Programul de audit date este o construcie complex care presupune sarcini precise i care se

finalizeaz cu un raport de audit. Auditul datelor presupune:

- analiza procedurilor utilizate la nregistrarea datelor i validarea acestor proceduri;

- stabilirea dac dispozitivele utilizate pentru efectuarea de msurtori sunt calibrate i

ndeplinesc cerinele impuse de standardele cu care se lucreaz;

- stabilirea claselor de erori i, n interiorul clasei, a erorilor specifice.

Auditul datelor include elemente practice. Se stabilesc regulile cu care se calculeaz volumul

datelor care este verificat pentru a stabili latura cantitativ global a datelor. Latura cantitativ,

volumul de date, se stabilete difereniat, dup importana dat documentelor.


25/25

Bibliografie:

Camera Auditorilor din Romnia - Auditul financiar contabil 2000, Standarde, norme privind

conduita etc i profesional, Ed. Economic, Bucureti, 2000

Camera Auditorilor din Romnia - Norme minimale de audit, Ed. Economic, Bucureti, 2001

Avram, G.: Auditul sistemelor informaionale, Referat tez de doctorat, Bucureti, ASE, 1997

Capisizu, S.: Caracteristicile de calitate a datelor, Referat doctorat, Bucureti, ASE, ianuarie

2001

Capisizu, S.: Metode de structurare i realizare a auditului de date, Referat doctorat, Bucureti,ASE, iulie 2002

organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit...

Documents