Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit...
Transcript of Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit...
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
1/25
ORGANIZAREA I DERULAREA PROCESULUI DECULEGERE A PROBELOR N CADRUL UNEI MISIUNI DE
AUDIT INFORMATIC
Nacu Anda Gabriela
An III, Grupa 2
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
2/25
CUPRINS
INTRODUCERE........................................................................................................................................... 3
1.TEORIE I DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE ............................................. 4
REFERITOARE LA O MISIUNE DE AUDIT ............................................................................................ 4
1.1Cadrul general al unei misiuni de audit ................................................................................................ 4
1.2 Planificarea sau contruirea de liste ..................................................................................................... 6
1.3 Evaluarea sistemului informatic .......................................................................................................... 8
1.4Probe i teste de audit ....................................................................................................................... 12
2.AUDITUL SPECIFICAIILOR.............................................................................................................. 14
4.AUDITUL TEXTELOR SURS ............................................................................................................. 18
5.AUDITUL DATELOR............................................................................................................................. 21
Bibliografie:................................................................................................................................................. 25
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
3/25
INTRODUCERE
Informaiile furnizate de ntreprinderi stau la baza a numeroase decizii economice i
politice de importan considerabil. Din acest motiv, situaiile financiare ntocmite i publicate
de organizaii intereseaz o gam larg de utilizatori: investitori, manageri,salariai, clieni,
creditori bancari, stat. Practica a demonstrat, n mod explicit, c exist un conflict de interese
ntre cei care culeg, prelucreaz i sintetizez informaiile contabile i utilizatorii acestor
informaii. Adesea, utilizatorii manifest o lips de ncredere ninformaiile furnizate de
contabilitate, deoarece productorii de informaii contabile nusunt, de regul, independeni n
raport cu operaiunile efectuate i situaiile prezentate.Consecinele economice majore care pot
rezulta, au fcut necesar interpunerea activitii auditorilor financiari, acetia avnd menirea de a
mri credibilitatea situaiilor financiarepublicate de ctre ntreprinderi.
Analiza elementelor prezentate relev faptul c, adesea societile profit de breeleexistente n norme i de flexibilitatea acestora n vederea distorsionrii informaiilor publicate.
Dei exist o diferen clar ntre contabilitatea creativ i nclcarea deliberat a legii, ambele
fenomene apar n condiii de dificultate financiar a ntreprinderilor i au la baz intenia de a
nela. n consecin, chiar dac utilizarea contabilitii creative nu este ilegal, ea indic faptul c
managerii, aflai sub presiune financiar, caut soluii fr a-i mai pune problema respectrii
unor standarde etice.
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
4/25
1.TEORIE I DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE
REFERITOARE LA O MISIUNE DE AUDIT
1.1Cadrul general al unei misiuni de audit
Definirea unei imagini de ansamblu asociat procesului de audit impune prezentarea succint aetapelor de desfurare a acestei misiuni:
Acceptarea misiunii - prin care se realizeaz colectarea i evaluarea iniial a informaiilor
despre organizaie, a riscurilor sectorului de activitate din care aceasta face parte (domeniul de
activitate, mrimea, reglementrile specifice, date despre polititica entitii).
Planificarea misiunii de audit - care are drept finalitate realizarea unui plan de audit detaliat pe
obiective, termene, responsabili i realizarea unui program de audit ce include bugetul financiar,fondul de timp necesar realizrii misiunii, precum i ansamblul procedurilor, tehnicilor ce vor fi
implementate pe parcursul acesteia.
Evaluarea sistemului de control intern i contabilitate, etap ce include i o evaluare a
sistemului informatic, analizat ca instrument care confer ncredere informaiilor ce urmeaz a fi
auditate.
Aplicarea testelor de detaliu asupra conturilor clientuluiconcretizat n ansamblul tehnicilori procedeelor aplicate de auditor n vederea colectrii probelor necesare justificrii opiniei
formulate de acesta (teste de detaliu, proceduri analitice), redactarea concluziilor iniiale, n
conformitate cu planul iniial.
Formularea opiniei i ntocmirea raportului de auditrecunoscut ca etapa final a unei
misiuni de audit, se rezum la analiza concluziilor i formularea opiniei auditorului.
Urmrirea implementrii recomandrilor raportului de audit (follow-up) - o activitateulterioar misiunii, n care auditorul solicit i evalueaz concluziile anterioare relevante i
recomandrile pentru a stabili dac aciunile necesare au fost implemenate la timp.
Etapele unei misiuni de audit sunt sintetizate n figura 1.1:
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
5/25
http://www.youtube.com/watch?v=27H07
1.Acceptarea misiunii
Colectarea informaiilor
Evaluarea informaiilor
Scrisoare de
angajament
2.Planificarea
Culegerea informaiilor n detaliu
Calculul pragului de semnificaie
Evaluarea riscului de audit
Desfurarea procedeelor
analitice
Dezvoltarea planului de audit i a
programului de lucru n detaliu
Elaborarea planului de audit
3.Evaluarea controlului intern i
a sistemului contabil
Identificarea controalelor
Evaluarea preliminara a riscului
de control
Selecia eantioanelorRealizarea testelor de control
4.Aplicarea testelor de detaliu
Teste de detaliu privind
tranzaciile
Teste de detaliu privind soldurile
Proceduri analitice
5.Formularea opiniei i intocmirea
raportului de audit
6.Activitatea de urmrire a
recomandarilor auditorului
(follow-up)
Plan de audit
Program de audit
Probe de audit
Raport interimar
asupra controluluiintern
Probe de audit
Raport de audit
detaliat
Raport de audit
simplificat
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
6/25
n continuare vom prezenta n detaliu doar trei din etapele unei misiuni de audit:
PlanificareaEvaluarea sistemului informatic parte a evalurii controlului internProbe i teste de audit
1.2 Planificarea sau contruirea de liste
Dup o cunoatere global a entitii, auditorul are posibilitatea s-i formuleze o strategie
general de audit, concretizat ntr-un plan orientativ al activitii sale, care larndul su,
reprezint baza elaborrii programului de audit.
O planificare adecvat a activitii de audit permite identificarea domeniilorsemnificative
de audit, a punctelor slabe i forte din cadrul sistemului.
n acest sens, demersul metodologic impune parcurgerea urmtorilor pai:1.Analiza i documentarea modelului de audit2.Alegerea membrilor echipei3.Repartizarea lucrrilor pe oameni, n timp i spaiu4.Aprobarea planului de audit din partea partenerului i informarea n detaliu a
membrilor echipei de audit
Auditul sistemelor informatice, ca orice activitate complex, este o activitate de echip.
Consultingul n echip presupune:
Existena unui manager cu experieni cu reale caliti n domeniul lucrului cuoamenii, pentru a crea cadrul adecvat activitilor de audit, pentru a menine nivelul de exigen
la cote ridicate;
Stabilirea unor criterii riguroase de selecie a membrilor echipei;auditul unuisistem informatic este un proiect, ca orice proiect pentru care exist un management, o atribuie a
managerului este formarea echipei;realizarea unei discipline a lucrului n echip; este cunoscut faptulc n activitatea
unei echipe exist patru momente: primul moment corespunde definirii problemei de rezolvat, al
doilea moment corespunde formulrii de soluii, al treilea moment este activitatea propriu-zis,
pentru a transpune soluiile n practic, iar ultimul moment, al patrulea, corespundeevalurii
rezultatului muncii echipei;
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
7/25
elaborarea de rapoarte n timp real;adoptarea unui standard de auditare i folosirea unei singure metode;
Toate aceste elemente creeaz un cadru favorabil nceperii activitii echipei de audit
sisteme informatice.
Macrospecificaiile suntmateria prim a construirii listelor enumerative, de derulare, de prioriti,
de caracteristici i de evaluare ale sistemului informatic.
Listele enumerative conin, dispuse unele dup altele, componente omogene, precum
numele modulelor, numele fiierelor, numele entitilor, numele parametrilor, codurile asociate
mesajelor, numele asociate rapoartelor, parole de acces i rezultate ale evalurilor. Listele
enumerative se construiesc pe msur ce se proiecteaz sistemul informatic i se actualizeaz pe
msur ce se deruleaz etapele de realizare ale sistemului informatic .
Listele de derulare includ etape, activiti, operaii care trebuie parcurse ntr-o anumit
ordine pentru a atinge un anumit obiectiv. La fel ca n cazul gamei de operaii, sunt specificate
precedenele i, mai ales, restriciile de ncepere, de continuare i de ncheiere. Listele de derulare
se dovedesc a fi corect elaborate cnd, pe msur ce se execut etape ale ciclului de dezvoltare a
sistemului informatic, nu sunt necesare interschimburi de poziie i nici inserri de noi elemente
n liste.
Listele de prioriti reprezint o form concret de manifestare a viziunii managerului de
proiect. Prioritile vizeaz raportul dintre calitate icantitate, modaliti de elaborare a criteriilor
de selecie a membrilor echipeide dezvoltare a sistemului informatic i stabilirea poziiei pe care
o are managementul calitii sistemului informatic. Prioritile definite au caracterobligatoriu de
aplicabilitate. Fluctuaiile n timp sau pe compartimente naplicarea prioritilor au drept
consecin determinat creterea gradului de neomogenitate a componentelor sistemului
informatic.
Listele de caracteristici vizeaz extragerea dintr-o multitudine de caracteristici a acelora
pe care managerul proiectului le consider esenialei pe care le urmrete pe toat durata
procesului de dezvoltare a sistemului informatic. Listele de caracteristici in seama de destinaia
sistemului informatic. Orientarea sistemului informatic spre cerinele utilizatorului conduce la
includerea cu prioritate a caracteristicilor care vizeaz obinerea unui singur nivel maxim de
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
8/25
satisfacie la nivelul beneficiarului, pe msurce acesta exploateaz sistemul informatic. Pentru
gestionarea eficient a resurselor companiei de informatic, lista include i caracteristici tehnice,
interne ale sistemului informatic.
Listele de evaluare prezint importan att n procesul deelaborare, ct i n procesul de
auditare, ntruct creeaz premisele derulriimai nti a procesului de autoevaluare i dup aceeaa procesului de evaluare. n condiii normale nu trebuie s existe diferene semnificativentre
autoevaluarea i, respectiv, evaluarea sistemului informatic sau a componentelor acestuia.
Procesul de auditare se definete ca mod de traversare a listelor de liste prin completarea cu
informaii specifice rapoartelor. Procedurile deagregare sunt standard. Esenial este ca baza
privind procesul de auditare sfie solid, bazat pe msurtori i pe analize foarte riguroase.
Construirea listelor reprezint latura esenial a procesului de auditare planificare. Fr
un plan bine elaborat, articulat i fr o viziuneunitar, rezultatul final este afectat de factori
perturbatori. Acesta este motivul pentru care, nainte de a ncepe auditarea propriu-zis, se trece
la clarificarea tuturor aspectelor.
1.3 Evaluarea sistemului informatic
Avand in vedere modificrile intervenite in economia romaneasc i european agenii
economici care folosesc in contabilitate i finane-bnci sisteme informatice au obligativitatea dea realiza periodic auditarea acestor sisteme.
Auditul SI este o ramur a auditului general care se ocup cu controlul tehnologiilor
informaiilor i comunicaiilor. Auditul SIstudiaz, n primul rnd, sistemele i reelele de calcul
din punct de vedere al examinrii eficienei controlului tehnic i procedural pentru a minimiza
riscurile. Auditarea SI presupune discuii cu personalul care stabiletespecificaiile, dezvolt,
testeaz, conduce, administreaz i utilizeaz sistemele de calcul
Auditul intern al oricrui agent economic include i auditul informatic. De cele mai multe
ori, se produce o confuzie intre auditul interni controlul intern, iar auditul informatic (auditul
tehnologiilor informaiei iale comunicaiilor, IT/&C)sau auditul sistemelor (aplicaiilor)
informaticeale agentului economic este considerat, in mod restrictiv, ca fiind limitat lalatura
tehnic a auditului financiar i a auditului intern. Practica a impus renunarea la semnificaia
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
9/25
auditului intern corelat numai defuncia financiar-contabil a agentului economic i creterea
importaneiacestuia prin includerea funciei de audit intern subordonat directconductorului
agentului economic, devenind astfel un instrument puternic de descoperire i monitorizare a
riscurilor.
Auditorul informatic este reprezentat de un informatician specializat in domeniul financiar-contabil. El este certificat ca auditor informatic (Certified Information Systems Auditor, CISA)
de ISACA in conformitate icu condiiile stabilite de Camera Auditorilor Financiari din
Romania. Jacques Renard arat, in Teoria i practica auditului intern, c auditorul informatician
nu este un auditor care a invat informatic, ci reprezintneaprat un informatician format dup
metodologia i instrumentele Auditului Intern. Acest auditor informatician ii folosete talentul i
competenele in cinci direcii fundamentale: auditul centrelor informatice, auditul biroticii,
auditul reelelor informatice, auditul sistemelor inexploatare i al programelor informatice de
aplicaie i auditul sistemelor in curs de dezvoltare. Acelai Jacques Renard, atunci cand
analizeaz funciileorganizaiei economice, precizeaz funcia informatic a organizaiei
economice, adic o funcie in integrum i nu doar un instrument specific informaticii de gestiune.
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe
pentru a determina dac sistemul informatic estesecurizat, menine integritatea datelor prelucrate
i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient
resursele informaionale.n cadrul unei misiuni de audit a sistemului informatic cele mai
frecvente operaii sunt verificrile, evalurile i testrile mijloacelorinformaionale, astfel:
- identificarea i evaluarea riscurilor din sistem;
- evaluarea i testarea controlului din sistem;
- verificarea i evaluarea fizic a mediului informaional;
- verificarea i evaluarea administrrii sistemului informatic;
- verificarea i evaluarea aplicailor informatice;
- verificarea i evaluarea securitii reelelor de calculatoare;
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
10/25
- verificarea i evaluarea planurilor i procedurilor de recuperare ncaz de dezastre i
continuare a activitii;
- testarea integritii datelor.
Pentru o evaluare corect a controlului intern, auditorul realizeaz o serie de investigaii:
Descrierea procedurilor de culegere i prelucrare a datelorn sistemul existent, cuscopul de a determina pentru fiecare domeniu semnificativ (vnzri, cumprri,etc.), ca re
sunt procedeele folosite de entitate pentru culegerea informaiilor, prelucrarea datelor,
nregistrarea operaiunilor n contabilitatea sintetic i analitic, modul de ntocmire a
documentelor primare i de verificare a lor, circulaia i arhivarea acestora.
n general, pentru a nelege sistemul contabil i de control intern, auditorul se bazeaz pe
experiena sa anterioar n entitate i recurge la diverse tehnici: discuii cu persoane dinconducere i salariai cu privire la documente (fia postului , organigrame), verificarea
documentelor i nregistrrilor contabile ct i observarea activitilor i operaiilor
entitii.
Testele de urmrire( teste de conformitate), ce au ca obiect obinerea confirmrii cdescrierea procedurilor din etapa anterioar a fost corect neleas i corespunde
procedurilor aplicate n entitatea respectiv (altfel spus, ele permit verificarea existenei
procedurii i nu asigurarea c ea este bine aplicat). Testul n sine implic un traseu al
tranzaciilor prin sistem i observarea controlalelor operaionale. Natura i ntinderea
testelor de urmrire efectuate de auditor potfurniza probe adecvate de audit, dar ele
singure nu sunt suficiente pentru a aprecia un risc de control la un nivel redus.
Evaluarea preliminar a riscului de controlDup o descriere a organizrii controlului intern n cadrul entitii, se poate realiza o evaluarea
preliminar a acestuia, punndu-se astfel n eviden punctele forte i slabe ale sistemului
existent, toate acestea concurnd la determinarea ariei testelor de control ce vor fi
realizate n faza urmtoare.
Testele de control (recunoscute i sub numele de teste de permanen) sunt efectuatepentru obinerea probelor de audit privind eficiena sistemului de contabilitate i de
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
11/25
control intern i a modului de desfurare al controalelor interne de-a lungul perioadei. Cu
titlu exemplificativ, Standardele de audit prevd c aceste teste de control pot include :
Verificarea documentelor justificative care vizeaz o operaie n vederea aprecieriiautorizrii acesteia;
Investigarea i observarea controalelor interne care nu au lsat nici o urm de audit (spre exmplu, auditorul trebuie s stabileasc persoana care exercit o anumit funcie,
deoarece n practic se poate ntmpla ca aceasta sfie diferit de cea prevzut n fia
postului);
Verificarea modului de funcionarea a controlului intern (de exemplu, prin solicitarea de confirmri de la banc, pentru a se asigura c aceste operaiuni au fost
corect nregistrate).
Evaluarea final ariscului de control i redactarea unei scrisori preliminare privind eficiena sistemului de control intern. n baza tuturor probelor de audit,
auditorul contientizeaz carenele sistemului de contabilitate i de control intern i
informeaz conducerea ntreprinderii asupra erorilor semnificative pe care le-a depistat.
Principalele tipuri de audit informatic sunt:
- auditul sistemului operaional de calcul; revizia controalelor sistemelor operaionale de calcul
i reelelor, la diferite niveluri; de exemplu, reea, sistem de operare, software de aplicaie, baze
de date, controale logice/procedurale, controale preventive/detective/corective etc;
- auditul instalaiilor IT; include aspecte cum sunt securitatea fizic, controalele mediului de
lucru, sistemele de management i echipamentele IT;
- auditul sistemelor aflate n dezvoltare; acoper unul sau ambele aspecte: (1) controalele
managementului proiectului i (2) specificaiile,dezvoltarea, testarea, implementarea i operarea
controalelor tehnice i procedurale, incluznd controalele securitii tehnice i controalele
referitoare la procesul afacerii;
- auditul managementului IT; include: revizia organizaiei,structurii, strategiei, planificrii
muncii, planificrii resurselor, stabilirii bugetului, controlul costurilor etc.; n unele cazuri, aceste
aspecte pot fi auditate de ctre auditorii financiari i operaionali, lsnd auditorilor
informaticieni mai mult aspectele tehnologice;
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
12/25
- auditul procesului IT; revederea proceselor care au loc n cadrul IT cum sunt dezvoltarea
aplicaiei, testarea, implementarea, operaiile,mentenana, gestionarea incidentelor;
- auditul managementului schimbrilor; revizia planificrii icontrolului schimbrilor la
sisteme, reele, aplicaii, procese, facilitai etc., incluznd managementul configuraiei, controlul
codului de la dezvoltare, prin testare, la producie i managementul schimbrilor produse norganizaie ca rezultat al ICT;
- auditul controlului i securitii informaiilor; revizia controalelor referitoare la
confidenialitatea, integritatea i disponibilitateasistemelor i datelor;
- auditul conformitii cu legalitatea; copyright, conformitate cu legislaia, protecia datelor
personale;
- auditul accidentelor dezastruoase/planificrii continuitii afacerii/refacerii dup dezastre;
reviziile msurilor propuse pentrurestaurarea dup un dezastru care afecteaz sistemul i
evaluarea modului ncare organizaia abordeaz managementul riscurilor;
- auditul strategiei IT; revizia aspectelor variate ale strategiei IT, viziune i planuri, inclusiv
relaiile cu alte strategii, viziuni i planuri.
1.4Probe i teste de audit
1.4.1 Probe de audit
Cum sunt definite probele de audit- ISA 500
Probele de audit reprezint totalitatea informaiilor utilizate de auditor pentru emiterea
unei concluzii pe care este bazat opinia de audit, i includ toate informaiile coninute n
evidenele contabile care stau la baza situaiilor financiare i a altor informaii. Probele de audit,
care sunt cumulate ca natur, includ probe deaudit obinute din procedurile de audit efectuate pe
parcursul auditului i pot include probe de audit obinute din alte surse, cum ar fi angajamentelede audit anterioare i procedurile unei firme de control al calitii pentru acceptarea clienilor i
continuarea contractelor cu clienii deja existeni.
n cadrul procesului de audit, auditorul colecteaz elemente probante care pot susine,
justifica opinia sa de audit. Legislaia n vigoare, inclusiv Standardele de audit nu ofer un model
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
13/25
standardizat al raportului de audit, a chestionarelor utilizate, a dosarului de audit, foilor de lucru,
ci pune un accent deosebit pe raionamentul profesional al auditorului.Termenul "probe de audit"
nsumeaz toate informaiile obinute de auditor, dintr-o combinaieadecvat de teste de control
i proceduri de fond, att din interiorul societii auditate ct i din exteriorul acesteia.
Proceduri specifice pentru obinerea probelor de audit
Auditorul poate obine probe de audit prin aplicarea uneia sau mai multorproceduri :
inspecia, observaia, investigarea i confirmarea, calcule i proceduri analitice.
n viziunea Standardului de audit 500 Probe de audit , inspeciaconst n examinarea
documentelor, nregistrrilor sau imobilizrilor corporale. Inspecianregistrrilor i
documentelor furnizeaz probe de audit cu grade de credibilitate variate,depinznd de natura i
sursa lor, precum i de funcionarea efectiv a controalelor internen timpul procesrii
informaiilor.
Observaia este un instrument cu aplicare universal, deoarece totul este observabil.
Procedura const n urmrirea unui proces sau a unei proceduri efectuate de ctre alte persoane,
cum ar fi spre exemplu observarea de ctre auditor a inventarierii stocurilor, de ctre personalul
organizaiei.
Investigareaconst n obinerea de informaii prin adresarea de ntrebri, scrise sau verbale,
persoanelor din interiorul sau exteriorul entitii. Rspunsurile la investigaii pot oferi auditorilor
informaii noi, informaii care se coroboreaz cu alte probe de audit. O misiune de audit care s-ar
limita numai la interviuri ar putea fi considerat drept un sondaj de opinie.
Confirmareaconst n rspunsul la o investigaie pentru a corobora informaiile coninute
n documentele contabile justificative. Aceste confirmri sunt adresate, n general, terilor, un
exemplu n acest sens, frecvent ntlnit n cadrul unei misiuni de audit, fiind confirmarea
creanelor existente prin consultarea debitorilor sau confirmarea disponibilitilor din banc, prin
solicitarea unor extrase de conturi (confirmri bancare).
Calcululconst n verificarea manual sau informatizat a acurateei matematice a sumelor
cuprinse n documentele primare, a ecuaiilor contabile.
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
14/25
Procedurile analiticese refer la analiza indicatorilor economico-financiari, analiza
fluxurilor nete.
2.AUDITUL SPECIFICAIILOR
Specificaiile sistemului informatic, asemenea unei case, constituie temelia sistemului. De
aceea auditul sistemului trebuie s nceap cu auditul specificaiilor. Specificaiile au la baz
surse precum:
- legi i acte guvernamentale;
- norme de aplicare a unor acte oficiale;
- documentaii tehnice privind echipamentele de producie i auxiliare;
- documentele de creare i funcionare a companiei;
- monografii, referate i prezentri;
- documente contabile i de patrimoniu;
- documente programatice: strategii i planuri pe termene diferite;
- rapoarte privind dinamica evoluiei;
- rapoarte privind conexiunile cu mediul de afaceri;
- documentaii privind publicitatea i definirea imaginii de pia;
- documentaia privind fora de munc;
- documentaia privind activitile de cercetare, studiile de pia, activitile sociale.
Auditul are menirea de a defini gradul de cuprindere al documentelor necesare dezvoltrii
unor specificaii complete, corecte i n concordan cu obiectivul definit pentru sistemul
informatic.
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
15/25
Se ntocmesc mai multe liste i tabele i anume:
- lista tipurilor de documente;
- listele claselor de documente aparinnd fiecrui tip;
- listele grupurilor de documente aparinnd fiecrei clase:
- tabelele de descriere cantitativ a elementelor care alctuiesc grupurile; pentru fiecare grup se
definete un tabel.
3.AUDITUL PROIECTULUI DE SISTEM INFORMATIC
Proiectul sistemului informatic este realizat pe baza specificaiilor. Cele mai multe dintre
proiecte sunt structurate pe subsisteme. Exist numeroase produse informatice complexe care,printr-o bun parametrizare,genereaz un sistem informatic customizat, capabil s rspund
cerinelor companiei.Indiferent de metoda folosit, indiferent de mediul de dezvoltare utilizat,
numai un proiect bun are menirea de a dezvolta un sistem informatic operaional. Metodele,
tehnicile i instrumentele au menirea de a uura munca, de a sistematiza informaii, de a minimiza
inconsistenele. Eforturile cele mai importantedestinate definirii de entiti, gruprii acestora,
realizarea modulelor, specificarea conexiunilor, aparin designerilor sistemului informatic.
Un proiect de sistem informatic este dezvoltat pe mai multe niveluri. Primul nivel, cu
gradul de agregare cel mai ridicat, identificsubsistemele care intr n componena sistemului.Al
doilea nivel, corespunde unei detalieri mai accentuate, n care sedisting prile ce alctuiesc
subsistemele i fluxurile care au fost definite.Al treilea nivel conine detalii de organizare a
operaiilor i aoperatorilor. Diagramele difer n funcie de modul n care este abordat
soluionarea din punctul de vedere al tehnologiei abordate. Gruparea operanzilor i operatorilor
prezint o importan special ntructinflueneaz definirile specifice implementrii algoritmilor
de regsire ainformaiei dup una sau mai multe chei.Al patrulea nivel conine reprezentri
suficient de detaliate care se constituie nspecificaii de programare.
Activitatea de auditare a proiectului trebuie s traverseze toate cele patru niveluri de
detaliere. Se stabilete msura n care nivelul urmtor este rezultatul direct al detalierii
elementelor definite n nivelul precedent. ncazul n care pe nivelul precedent sunt elemente
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
16/25
nedetaliate pe nivelul urmtor sau detalii de pe nivelul curent nu au corespondent pe nivelul
precedent, se semnaleaz ca element de contradicie n proiect.n dezvoltarea unui proiect trebuie
respectate o serie de reguli, iar procesul de auditare are menirea de a analiza dac aceste reguli au
fost respectate.
Se observ c n auditul proiectului sunt preluate numeroaseelemente din specificaii.Elaboratorul sistemului informatic dispune de o echip de designeri de sistem care, prin
modaliti eficiente de comunicare,dezvolt proiectul, verific de fiecare dat specificaiile cu
cerinele reale aleutilizatorilor. n mod normal, ntre toate construciile existente ndocumentaie
i ceea ce rezult n procesul de auditare, diferenele trebuie sfie nesemnificative. n realitate
apar diferene care, dac nu semnificative,sunt diferene numeroase, genernd neconcordane,
unele afectndsemnificativ utilizabilitatea sistemului informatic. Documentaia de auditare a
proiectului de sistem informatic conine liste care permit agregarea deindicatori, conducnd n
final la un singur indicator, care clasific proiectulca fiind foarte bun, bun, satisfctor sau
nesatisfctor.
n faza de definire a proiectului apar o serie de detalii privind:
- stabilirea domeniilor de variaie a variabilelor de intrare i domeniile variabilelor rezultative;
- dimensiunile seturilor de date;
- cheile de regsire a datelor;
- funciile de prelucrare care se dispun pe o structur arborescentiniial;
- fluxurile de date;
- amplasarea punctelor de colectare a datelor n locuri precizate din companie;
- stabilirea nivelurilor de securitate pentru fiecare punct de colectare/extragere a datelor;
- definirea formatelor de prezentare a rezultatelor;
- stabilirea nivelului de validare a datelor de intrare;
- stabilirea arhitecturii pe care se dezvolt sistemul informatic;
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
17/25
- definirea echilibrului dintre outputurile imprimate i cele n format electronic;
- stabilirea modului de arhivare a informaiilor referitoare la perioade trecute de timp.
Auditul acestui proiect ia n analiz toate aspectele. De exemplu, n cazul analizei
sistemului de parole se inventariaz punctele de acces care seamplaseaz la nivelul companiei.
Amplasamentul fizic este corelat i cuutilizarea. Posturile de lucru dedicate, restricionate prin
anumite tipologii de acces, permit o bun disciplinare a utilizatorilor sistemului. Fiecare utilizator
are drept de acces la resursele sistemului numai n anumite puncte de lucru. Se are n vedere
apropierea de locul n care utilizatorul idesfoar activitatea.
n mod curent, n practic, exist mai multe tipologii de parole deacces, n raport cu
drepturile asupra resurselor sistemului i anume:
- chei de acces total la dispoziia administratorului sistemului; acest tip de acces permite lucrul pe
componente, schimbarea drepturilor de acces pentru toi ceilali utilizatori; administratorul este
cel care realizeazinterfaa sistemului, inclusiv cu cei care asigur ntreinereasa curent;
- chei de acces la operaii de mare risc asupra bazei de date;
- chei de acces pentru efectuarea unei singure operaii;
- chei de acces consultare ntreaga colecie de informaii,
- chei de acces pentru consultare parial a bazelor de date;
- chei de acces la informaii de interes general;
- chei de acces personale care permit accesul strict la datele personale ale individului;
Accesul la informaia public este liber. Auditul parolelor stabiletemsura n care
persoanele din companie, n calitate de utilizatori, au o singur parol. Modul de distribuire a
parolelor i de gestionare a acestoraconstituie, de asemenea, obiectul auditului. Este important s
se defineascun sistem de parolare i gestiune a parolelor. n cazul n care se acord o parol i
utilizatorul i definete parola sa, se impune definirea unui alfabet propriu de construire a
parolelor, astfel nct prin regulile definite s se asigure un nivel de securitate ridicat. Auditul
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
18/25
sistemului de parole este important prin modul cum calific protecia sistemului informatic fa
de operaiile accidentale.
4.AUDITUL TEXTELOR SURS
A audita un produs software, nseamn a parcurge etapele codului deaudit avnd ca obiect,
mai nti un text surs care, dac trece de etapele deanaliz, dup compilare i editare de legturi,
este lansat n execuie i esteauditat ca produs finit, validat pentru a obine o anumit funcie de
prelucrare. Textul surs este analizat prin revizii, avnd ca rezultat o serie de comentarii, din
partea membrilor echipei sau a clienilor, asupra modului ncare a fost conceput i elaborat.
n cazul n care se caut disfuncionaliti, prin parcurgerea textuluisurs sau prin discuii asupra
locului i rolului unor instruciuni, seevideniaz comportamnentul statistic al programului, privit
ca automat nedeterminat, caracteristic datorat absenei unor teri, se obine o orientare peauditul bazat pe walk-through.
Un rol special l are inspecia textului surs, care const n parcurgerea textului pas cu pas,
evideniind etapele algoritmului i evalund capacitatea de generare a erorilor.
Pornind de la specificaiile de programare unde se prezint:datele de intrare , rezultatele, modelele
de calcul, seturile de date de test i rezultatele ce trebuie obinute.Prin inspecie, se pun fa n
fa componentele specificaiilor cusecvenele corespondente din program.
Se identific urmtoarele situaii:
- mulimii secvenelor de texte din specificaii le corespundsecvene de instruciuni n programul
de surs; auditul consemneaz cprogramul realizeaz cerinele definite n specificaii;
- n mulimea secvenelor, unora le corespund secvene de textsurs, iar altor secvene le
corespund astfel de pri de program surs;nseamn c programatorii nu au dezvoltat un produs
care s realizeze toatefunciile de prelucrare care sunt descrise prin specificaii;
- pe coloana mulimii secvenelor de program surs apar mai multesecvene care sunt cerute prin
specificaii; sunt situaii n care programatorii intuiesc o serie de prelucrri necesare programului,
neincluse n specificaiidatorit abordrii de suprafa a problematicii n textele specificaiilor.
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
19/25
Dup analiza parametrilor este important ca n procesul de auditares se analizeze modul n
care au fost iniializate variabilele. Exist softwarecare evideniaz dac n program sunt utilizate
variabile neiniializate.Auditarea prelucrrilor presupune stabilirea corespondenei dintre
formulele date n specificaii i secvenele de program scrise.
Cnd se analizeaz secvenelede program trebuie cutate sursele deerori care afecteazfluxurile de prelucrare, dintre care se enumr:
- lucrul cu variabile neiniializate;
- traversarea unor structuri de date n afara limitelor pentru care au fost definite;
- neincluderea de teste care s evite mprirea prin zero saublocarea unor funcii care au
restricii asupra intervalelorparametrilor;
- construirea unor expresii care filtreaz parial sau incorectsubmulimi de elemente;
- restructurarea expresiilor prin schimbarea ordinei de evaluare a unor subexpresii diferite de cele
date de specificaii;
- efectuarea de conversii intermediare deformeaz rezultatele finale;
- construirea expresiilor de referire a elementelor unei structuri care dezvolt procese de
cutare/regsire neconcordante cu specificaiile;
- absena manipulrii variabilelor de stare a prelucrrilor;
- atribuirea de coduri variabilelor de stare dup alte reguli dect celedate n specificaiile de
programe;
- alocarea dinamic a unor variabile fr a exista i procesul de dealocare;
- introducerea unor elemente de neomogenitate; precum citiri, scrieri de date;
- definirea de invariani n structuri repetitive, n principal, prininexistena incrementrilor sau
decrementrilor;
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
20/25
- neincluderea n secvene a unor instruciuni corespunztoareevalurii unui model sau filtrrii,
ceea ce conduce la o tratare parial a problemei;
- atribuirea altei semnificaii variabilelor cu consecine directeasupra rolului i locului pe care
acestea le au n program;
- introducerea de expresii de atribuire care anuleaz prelucrrile precedente;
- compunerea unor construcii fr a exista o echivalen ntreformulele finale i cele iniiale ale
acestora.
Sunt cteva reguli pe care auditorul desoftware trebuie s le aplice pentru a califica o
procedur supus analizei.Prima reguleste legat de preluarea i predarea parametrilor. Se
analizeaz corespondenele dintre listele de parametri i modul cum suntfolosii acetia.A doua
regulvizeaz omogenitatea secvenelor de program existente. Aceast omogenitate se refer la
gruparea n secvene compacte ainstruciunilor dar i la utilizarea unor modaliti ca nume n
ntreg textulsurs. A treia regulvizeaz stilul de programare. Exist multe modaliti de a
ordona activitatea programatorilor. Una dintre acestea se refer la stilul de programare. Stilul de
programare se constituie prin reguli definite i pecare programatorii i le autoimpun. n final, se
obin construcii softwarecare nu difer semnificativ unele de altele, dei au fost scrise de foarte
muli programatori.
Auditul software nu are menirea de a analiza ct de mult sau ct depuin au fost respectate
regulile definite ca stil de programare. Se supun analizei secvene sau proceduri. Au importan
din punctul de vedere al auditorului nu formule de realizare a prelucrrilor ci, elemente de esen,
adic rezultatele, fluxurile pe care le genereaz. Un program este corect sau incorect prin ce
prelucrri realizeaz.
Auditul software, dezvoltat ca input pe textul surs identific:
- structura rezultatelor intermediare; un element, un ir omogn deelemente, un ir de elemente
diferite, un tablou de elemente omogene, un tablou de elemente diferite;
- numrul de elemente diferite care se calculeaz;
- locul unde se calculeaz fiecare element diferit din structura de rezultate intermediare;
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
21/25
- modul n care sunt manipulate rezultatele obinute, conversiile la care se supun, unde sunt
stocate i, mai ales, cum sunt prelucrate de alteproceduri, n continuare.
n derularea auditului textului surs, atunci cnd se comparstructura rezultatelor cu secvenele
de prelucrare, apar urmtoarele situaii:
- fiecrei componente din structura de rezultate i corespunde osecven de instruciuni n
procedur; se auditeaz secvenele pentru a vedeadac procedurile sunt corecte;
- exist componente n structura de rezultate care nu au secvene nprocedur; nseamn c
procedura rezolv parial problema; trebuie cutatesecvene n alte proceduri pentru a vedea dac
tratarea este complet.Dac procedura realizeaz n plus i alte prelucrri, este o altproblem.
Ceea ce trebuie s evidenieze procesul de auditare este strict legat de obiectivul propus.
n acelai fel se procedeaz i cu structura datelor de intrare.Rezultatele intermediare se obin cu
date intermediare de intrare.Acestea au forma:
- unei variabile;
- unui grup de variabile dat sub forma unui masiv unidimensional sau multidimensional;
- unei structuri de date dinamice;
- unui fiier;
- unei baze de date.
5.AUDITUL DATELOR
Datele care se stocheaz n mod sistematic n fiiere sau sunt gestionate prin sisteme de
gestiune a bazelor de date, sunt supuse auditului ca orice alt component a sistemului
informatic. Auditul datelor este un proces complex ntruct vizeaz acele componente ale
sistemului informatic care au ca obiectiv crearea iactualizarea fiierelor sau bazelor de date.
Auditul acestor componente permite obinere unei imagini completen legtur cu capacitatea
software de a contribui la realizarea unui nivel ct mai ridicat al calitii datelor.
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
22/25
Orice variabil este iniializat prin:
- atribuirea unei constante;
- atribuirea unui rezultat dup evaluarea unei expresii;
- suprapunerea zonelor de memorie cu ajutorul operaiei union;
- copierea variabilelor de tip articol tratate ca iruri de caractere;
- transfer cu conversie din buffere prin apariii de citire a fiierelor;
- transmiterea prin valoare a parametrilor cu condiia ca ntre lista de parametri reali i lista de
parametri formali s existe o perfect concordan.
Exist numeroase cauze generatoare de erori atunci cnd este vorba de iniializarea
variabilelor. n cazul n care modulele au un grad ridicat de specializare se produce localizarea
distinct a iniializrii variabilelor prin citire din fiiere, indiferent care estetipul de fiier.
Auditorii trebuie s stabileasc despre care dintre situaii este vorba.Exist situaii n care
programele genereaz numere de identificare aevenimentelor i acestea devin i chei de regsire.
Sunt create condiii de a introduce datele despre un element din colectivitate de nenumrate ori cu
asocierea unei alte chei de regsire. Este important ca auditorii s dispun de software care
analizeaz coninutul datelor stocate pentru a identifica:
- articolele duble introduse;
- concordanele dintre evenimentele generate efectiv la un post de operare date i evenimentele
planificate.
Analiza datelor este una dintre cele mai dificile etape ale procesului de auditare ntruct
datele influeneaz direct, fr condiii, calitatea rezultatelor finale care se obin de ctre un
sistem informatic.
nregistrarea datelor trebuie efectuat pe formulare astfel proiectate,nct caracteristicile
colectivitilor s fie prezentate cu maxim claritate prin:
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
23/25
- gruparea tuturor caracteristicilor de difereniere ale unei colectiviti ntr-un singur formular;
rezult c pentru rcolectiviti distincte vor circula rformulare diferite, rseturi de proceduri
pentru nregistrarea caracteristicilor specifice;
- regruparea pe un formular a caracteristicilor mai multor colectiviti, mai ales atunci cnd datele
de identificare a elementelor corespondente sunt comune; manipularea unui numr mai restrnsde documente comparativ cu numrul caracteristicilor este nsoit de reducerea efortului de
nregistrare i de cretere a gradului de concentratrare asupra calitii procesului de nregistrare
date.
Descrierea procedurilor de nregistrare are n vedere totalitateasituaiilor de pe teren, astfel
nct completarea documentelor s fie integrali reluarea nregistrrilor prin sondaj s conduc
la rezultate identice, dnd caracter de reproductibilitate procesului de constituire a seturilor de
date asociate caracteristicilor.
Ortogonalitatea datelor este o caracteristic de calitate deosebit de important care arat msura
n care un element aij din colectivitate difer de un alt element aiksau msura n care elementul aij
difer de toate celelalte elemente care alctuiesc colectivitatea CVIi.
Consistena datelor vizeaz nregistrrile care privesc un element din colectivitate. Proprietile
elementelor se reflect i la nivelul nregistrrilor.
Omogenitatea datelor pentru aceeai caracteristic de difereniere vizeaz tipul datei, modul de
efectuare a msurtorilor i modul de nregistrare. Se stabilete un domeniu de defini ie pentru
fiecare caracteristic n parte, se stabilete unitatea de msur a caracteristicilor de difereniere.
Completitudineadatelor conduce la obinerea unui tablou care are toate irurile de pe linii sau de
pe coloane nregistrate n concordan cu domeniile fiecrei caracteristici de difereniere.
Accesibilitatea datelor presupune ca datele s fie disponibile uor, repede, iar algoritmii de
cutare i regsire s se ncheie cu succes folosind criterii dintre cele mai variate, inclusiv definiri
incomplete de chei de cutare.
Acurateea vizeaz exactitatea, nivelul acceptabil al erorilor coninute, ncadrate n limite
stabilite.
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
24/25
Credibilitatea are la baz acceptarea nregistrrilor ca reprezentnd un rezultat real al
nregistrrilor.
Interpretabilitatea datelor presupune definirea unui alfabet, a unor reguli de producie pentru
construirea de iruri consecutive de simboluri, iar punerea n coresponden a cuvintelor cu fapte,
evenimente, obiecte din lumea real aparin unui limbaj unanim acceptat i cunoscut.
Obiectivitatea vizeaz imparialitatea, lipsa de prejudeci, neprtinirea n a efectua msurtori, n
a prelua rezultatul obinut de la dispozitivele de msurare i din aplicarea procedurilor de
efectuare a msurtorilor.
Oportunitatea vizeaz neafectarea de uzura moral a datelor n raport cu un criteriu, cu un
moment de timp, cu un nivel de cuprindere, toate stabilite de la nceput.
Relevana este stabilit n raport cu cerine ale utilizatorilor i vizeaz corespondena dintre
rezultatele agregate i trendul de dezvoltare a colectivitii de la care provine setul de date.
Profitabilitatea datelor vizeaz valoarea adugat care se obine i care justific efortul de
definire de proceduri,
Programul de audit date este o construcie complex care presupune sarcini precise i care se
finalizeaz cu un raport de audit. Auditul datelor presupune:
- analiza procedurilor utilizate la nregistrarea datelor i validarea acestor proceduri;
- stabilirea dac dispozitivele utilizate pentru efectuarea de msurtori sunt calibrate i
ndeplinesc cerinele impuse de standardele cu care se lucreaz;
- stabilirea claselor de erori i, n interiorul clasei, a erorilor specifice.
Auditul datelor include elemente practice. Se stabilesc regulile cu care se calculeaz volumul
datelor care este verificat pentru a stabili latura cantitativ global a datelor. Latura cantitativ,
volumul de date, se stabilete difereniat, dup importana dat documentelor.
-
8/7/2019 Organizarea si derularea procesului de culegere a probelor in cadrul unei misiuni de audit informatic
25/25
Bibliografie:
Camera Auditorilor din Romnia - Auditul financiar contabil 2000, Standarde, norme privind
conduita etc i profesional, Ed. Economic, Bucureti, 2000
Camera Auditorilor din Romnia - Norme minimale de audit, Ed. Economic, Bucureti, 2001
Avram, G.: Auditul sistemelor informaionale, Referat tez de doctorat, Bucureti, ASE, 1997
Capisizu, S.: Caracteristicile de calitate a datelor, Referat doctorat, Bucureti, ASE, ianuarie
2001
Capisizu, S.: Metode de structurare i realizare a auditului de date, Referat doctorat, Bucureti,ASE, iulie 2002