Informatica
Sistemul informational si Sistemul informatic - metode si tehnici de realizare a Sistemelor InformaticeCap.I Sistemul Informational Sistemul informational cuprinde ansamblul informatiilor interne si externe utilizate in cadrul organizatiei precum si datele care au stat la baza obtinerii lor, procedurile si tehnicile de obtinere a informatiilor (plecand de la datele primare) si de difuzare a informatiilor, precum si personalul implicat in culegerea, transmiterea, stocarea si prelucrarea datelor. Sistemul informational are doua componente: componenta pentru stocarea (memorarea informatiilor); componenta pentru prelucrarea informatiilor. Orice organizatie interactioneaza cu alte organizatii externe ei primind informatii din exterior si furnizand informatii catre lumea exterioara. Functiile unui sistem informational sunt: sa colecteze informatii din sistemele operational si decizional precum si informatiile ce provin din mediul extern; sa memoreze aceste informatii precum si informatii rezultate din prelucrarea lor; sa asigure accesul la memorie in vederea comunicarii informatiilor stocate; sa prelucreze informatiile la cererea sistemului operational si a sistemului de conducere. Sistemul Informatic Un sistem informatic este un sistem utilizator-calculator integrat, care furnizeaza informatii pentru a sprijini activitatile de la nivel operational si activitatile de management intr-o organizatie, utilizand echipamente hardware si produse software, proceduri manuale, o baza de date si modele matematice pentru analiza, planificare, control si luarea deciziilor . Elaborarea sistemelor informatice impune modelarea sistemului informational al organizatiei cu ajutorul unui formalism prin care sa poata fi reprezentata cat mai sugestiv si fidel realitatea din cadrul sistemului informational. Sistemele informatice complexe pot fi descompuse in subsisteme, care la randul lor pot fi descompuse in aplicatii destinate unor categorii de utilizatori, aplicatii care la randul lor pot fi constituite din unul sau mai multe programe scrise in diverse limbaje de programare dupa cum este ilustrat in fig. 1.
Fig.1 Sistem informatic, subsisteme, aplicatii, programe Clasificarea sistemelor informatice Sistemele informatice se clasifica dupa mai multe criterii. a) In functie de domeniul de utilizare, sistemele informatice pot fi pentru : conducerea activitatilor economico-sociale conducerea proceselor tehnologice cercetare stiintifica si proiectare tehnologica activitati speciale. b) In functie de nivelul ierarhic ocupat de sistemul economic in structura organizatorica a societatii, conform caruia exista sisteme informatice: pentru conducerea activitatii la nivelul unitatilor economice pentru conducerea activitatii la nivelul organizatiilor economico-sociale cu structura de grup sisteme informatice teritoriale pentru conducerea ramurilor, subramurilor si activitatilor la nivelul economiei nationale sisteme informatice functionale generale . c) In functie de elementul supus analizei : sisteme informatice orientate spre functii; sisteme informatice orientate spre proces; sisteme informatice orientate spre date; sisteme informatice orientate spre obiecte; sisteme informatice orientate spre cunostinte. d) Dupa modul de organizare a datelor sisteme bazate pe fisiere; sisteme bazate pe tehnica bazelor de date: ierarhice, retea, relationale, orientate-obiect; sisteme mixte. Sistemul informatic de gestiune asigura obtinerea informatiei solicitate de utilizator, folosind mijloacele tehnologiei informatiei. Ele sunt sisteme integrate. Se caracterizeaza printr-o introducere unica a datelor, preluate din documentele primare care actualizeaza o baza de date unica a contabilitatii care va fi ulterior prelucrata pentru obtinerea situatiilor specifice fiecarui utilizator . Sistemul informatic de gestiune reuneste subsisteme informatice specializate pe domenii intre care se manifesta interactiuni specifice. Fiecare subsistem definit grupeaza procese informationale omogene, specifice unei anumite arii de interes. La nivelul fiecarui subsistem vor fi definite aplicatii distincte corespunzatoare acestor activitati. La randul lor aplicatiile sunt formate din proceduri descompunandu-se in module reprezentand secvente de cod prin care se realizeaza o functie independenta din cadrul procedurii. O procedura pentru operatia de actualizare se va descompune in urmatoarele module: o modulul coordonator al functiei de actualizare; o modulul pentru realizarea functiei de adaugare de inregistrari; o modulul pentru functia de stergere inregistrari; o modulul pentru functia de modificare a inregistrarilor din baza de date. Realizarea sistemelor informatice reprezinta o actiune complexa, care imbina un numar mare de activitati: analiza, proiectare, implementare, exploatare . In plus, reclama resurse umane, materiale si financiare insemnate, pe o perioada considerabila de timp. Folosirea eficienta a acestor resurse, in scopul obtinerii unui sistem informatic performant a impus ordonarea acestui proces complex, intr-o succesiune bine stabilita de etape si subetape si utilizarea unor metode si tehnici adecvate. Acest lucru a dus deci, la conturarea unor metodologii de realizare a sistemelor informatice. Metode si tehnici de realizare a Sistemelor Informatice La realizarea sistemelor informatice se utilizeaza : metode, tehnici, instrumente, procedee de lucru. Metodele utilizate in proiectarea sistemelor informatice reprezinta modul unitar sau maniera comuna in care analistii de sisteme, programatorii si alte categorii de persoane implicate, realizeaza procesul de analiza a sistemului informational-decizional existent, proiectarea si introducerea sistemului informatic. Tehnicile de lucru utilizate in proiectarea sistemelor informatice reprezinta felul in care se actioneaza eficient si rapid, in cadrul unei metode, pentru solutionarea diferitelor probleme ce apar in procesul de proiectare. Prin aceste tehnici se imbina armonios cunostintele despre metode cu maiestria personala a celor chemati sa aplice metodele si sa utilizeze instrumentele adecvate Metodele de abordare a sistemelor informatice ar putea fi grupate prin prisma celor mai multi autori astfel : metode orientate spre functii, numite si metode ale descompunerii functionale; metode orientate spre fluxuri date, deci metode orientate spre procese, deoarece diagramele fluxurilor de date se intrebuinteaza pentru descrierea proceselor; metode orientate spre informatie sau date, orientate-informatii, aparute ca urmare a popularizarii puternice a ingineriei informatiei a lui JAMES MARTIN, dar si a diagramelor entitate-relatie ale lui CHEN ; metode orientate-obiect. Obiectivele Sistemelor Informatice Obiectivele sistemului informatic reprezinta scopuri imediate si de perspectiva ale perfectionarii activitatii economice si de conducere, in vederea ridicarii nivelului de informare operativa si previzionala a structurilor organizatorice, a perfectionarii metodelor si proceselor tehnico-informationale si de conducere pŁn*tru asigurarea maximalizarii eficientei economice si a rentabilitatii unitatii beneficiare. Obiectivele sistemului informatic presupun abordarea si rezolvarea inforjnatica a unor probleme cu caracter sintetic si analitic, intr-o maniera sistemica,. pentru asigurarea scopurilor propuse. Aceste obiective sint diferentiate in functie de nivelele micro, mezo si macroeconomice, avind caracteristici generale si specifice, subordonate cadrului legislativ-normativ, dotarii cu tehnica de calcul si cerintelor dezvoltarii economice, imediate si de perspectiva, a unitatii beneficiare. Obiectivele sistemului informatic pot fi. detaliate in obiective generale si obiective specifice. Obiectivele generale ale unui sistem informatic vizeaza probleme cu caracter global ale conducerii unitatii comerciale si structurale specifice compartimentelor functionale, in scopul realizarii atributelor conducerii si ale functiilor unitatilor economice. In raport de aceste aspecte, obiectivele generale pot fi:
a. de conducere (manageriale); b. functionale. Obiectivele de conducere urmaresc aspecte globale de conducere ale unitatii economice si au in vedere urmatoarele probleme: rentabilizarea permanenta a activitatii economice; realizarea glaobala si structurala a indicatorilor economico-financiari (cifra de afaceri, valoarea adaugata, profitul brut si net etc),calculul si planificarea rezultatelor; perfectionarea activitatii de conducere in vederea asigurarii unui optim global la nivelul intregii activitati economice, fundamentarea deciziilor de conducere tactica, strategica si operativa pe baza informatiilor obtinute ca urmare a prelucrarilor sistemului informativ; Obiectivele functionale ale unui sistem informatic au in vedere informatizarea activitatilor in conformitate cu anumite functii ale unitatii economice (comerciala, financiar-contabila si de personal), desfasurata la nivelul compartimentelor functionale. Aceste obiective sint fundamental dependente de specificul activitatii regiilor autonome sau al societatilor comerciale. Obiectivele specifice ale unui sistem informatic urmaresc rezolvarea unor probleme dependente strict de activitatea de baza (productie, comert, servicii etc.) si de cea auxiliara, in raport de functiile de cercetare si productie. Acestea au un caracter propriu si dependent de rolul unitatii economice in mecanismul economiei de piata. Privite sub acest aspect, obiectivele specifice ale unui sistem informatic pot fi structurate in: obiective specifice activitatii de baza; obiective specifice activitatii auxiliare. Obiectivele specifice activitatii de baza urmaresc realizarea sub aspect informatic a tuturor subactivitatilor de cercetare si productie ce constituie specificul activitatii regiei autonome sau al societatii comerciale. Aceste obiective sint diferentiate (au caracter particular), dar ele se pot incadra intr-o structura fundamentala, prin intermediul careia sistemul informatic trebuie sa realizeze: utilizarea eficienta a capacitatilor de productie; modernizarea utilajelor si a altor factori de productie; imbunatatirea continua a calitatii productiei; cresterea gradului de utilizare a capacitatilor de productie introducerea de tehnologii si produse noi la nivelul tehnicii actuale; realizarea ritmica si de calitate a lucarilor de investitii; Obiectivele specifice activitatii auxiliare vor avea in vedere realizarea sub aspect informatic a tuturor subactivitatilor secundare, desfasurate in cadrul unitatii economice. Aceste obiective au un caracter particular, o pondere si o importanta diferentiata de la un agent economic la altul. Aceste obiective urmaresc rezolvarea unor aspecte specifice, dintre care mentionam: urmarirea operativa a activitatii sectoarelor auxiliare a caror activitate determina in mod direct desfasurarea activitatilor principale; folosirea eficienta a capacitatilor auxiliare de productie; robotizarea, paleatizarea si containerizarea activitatilor auxiliare din unitatea economica; realizarea programelor de asimilare a noilor produse si de perfectionare a tehnologiilor de fabricatie in scopul generalizarii la nivelul activitatii de baza; asigurarea unei colaborari si specializari ale caror rezultate urmeaza a fi incluse in sectoarele de baza ale unitatii economice. Abordarea integrala a obiectivelor generale si specifice permite proiectarea unui sistem informatic integrat (total) la nivelul unei unitati economice in conditii de eficienta maxima. Obiectivele sistemului informatic urmeaza a fi concretizate in iesirile specifice ale acestuia: indicatori economico-financiari, liste/situatii de iesire, grafice, iesiri catre alte sisteme. Cap. II Auditarea Sistemelor Informatice 2.1Audit.Definire,clasificare si riscurile auditului Auditul reprezinta o examinare, de catre o persoana independenta, competenta, a fidelitatii reprezentarilor contabile si financiare apartinand unei anumite entitati economice. Auditul mai este definit ca o examinare profesionala a unor informatii in vederea exprimarii unei opinii responsabile si independente, prin raportarea acestora la un criteriu (standard). Notiunea de audit a aparut la noi in tara dupa anii 1990, din dorinta de a conexa reglementarile romanesti privind econimia de piata la reglementarile similare pe plan international si european. Astfel, a aparut auditul caliatatii si cel financiar. Auditul calitatii este exercitat de expertii in domeniul asigurarii, formati de Centrul National de Formare, Consultanta si Management pentru Asigurarea Calitatii. Auditul financiar se defineste ca o examinare efectuata de un profesionist competent si independent, expert contabil, cenzor sau contabil autorizat, in vederea exprimarii unei opinii motivante, asupra: validatii si corectei aplicari a procedurilor financiar-contabile interne, stabilite de conducerea intreprinderii; imaginii fidele, clare si complete a patrimoniului, a situatiei financiare si a rezultatelor obtinute de intreprindere. Conform International Federation of Accountants, auditul financiar constituie forma cea mai inalta de asigurare pe care o poate da un profesionist asupra unei informatii, in opozitie cu misiunea de examinare limitata care nu presupune decat o asigurare negativa. Auditul financiar reprezinta un control independent al carui rezultat se consemneaza intr-un raport adresat agentului economic sau institutiei autoritatii care a mandatat auditorului sau a contractat cu acesta exercitarea aceste activitati. Planul general de audit trebuie sa cuprinda urmatoarele aspecte esentiale: cunoasterea activitatii clientului; sistemul contabil si de control; riscul si pragul de semnificatie; natura, durata si intinderea procedurilor si alte aspect. Principalele obiective ale agentului economic pot sa rezultate in urma auditului financiar si anume: obtinerea unor avize si recomandari obiective privind evaluarea rezultatelor exploatarii si a respectarii politicii administratiei intreprinderii si asigurarea credibilitatii informatiilor; verificarea si certificarea bilatului contabil anual. Riscurile auditului sunt constituite din posibiltatea ca un auditor sa exprime o opinie necorespunzatoare cu privire la bilantul contabil sau la o alata informatie financiara. Cel mai important risc pentru client si alti beneficiari este ca auditorul sa exprime o opinie fara rezerve in conditiile in care activitatea analaizata contine inexactitati semnificative. In general sunt cunoscute doua tipuri de risc: riscul potential este format din posibilitatea teoretica de aparitie susceptibila de a se produce daca are loc un eveniment care sa o impiedice sau sa ii detecteze cauza care l-a determinat in scopul corectarii erorilor pe care ar putea sa le genereze. Acest tip de risc este comun tuturor intreprinderilor. riscul posibil este format din ansamblul evenimentelor potentiale pentru care intreprinderea nu a prevazut mijloacele de limitare a actiunii acestora. In cazul in care aceste mijloace nu sunt puse in aplicare, probabilitatea de producere a erorilor si cea de nedetectare a acestora ramane la un nivel semnificativ. Pe parcursul executarii lucrarilor, auditorul incearca sa identifice riscurile posibile pentru a-si adapta controalele in vederea evaluarii incidentei erorilor asupra bilantului contabil sau a altor activitati financiar-contabile analizate. Dupa modul de manifestare si sfera de actiune, riscurile se impart in mai multe categorii, astfel a) Riscuri generale legate de activitatea intreprinderii In aceasta categorie sunt incluse riscurile care pot influenta ansamblul operatiilor intreprinderii. Fiecarei intreprinderi, in functie de sectorul de piata in care activeaza ca si de modul sau de organizare ii sunt proprii caracteristici care determinam intr-o masura mai mare sau mai mica, probabilitatea de concretizare a riscului potential. De aici rezulta necesitatea identificarii si analizei acelor caracteristici care le deosebesc de cele ale altor intreprinderi putand, astfel, aprecia riscurile generale. b) Riscuri legate de natura operatiilor efectuate Toate datele rezultate din operatiile efectuate in cadrul unei intreprinderi pot fi purtatoarele unor riscuri particulare. In general, datele, inregistrate in evidentele financiare si contabile se impart in trei mari categorii: date repetitive, formate din informatiile care rezulta din activitatea obisnuita a intreprinderii, cum sunt cumparaturile, vanzarile, plata salariilor si care sunt tratate uniform in functie de sistemele utilizate. In acest caz riscurile sunt legate de fiabilitatea acestor sisteme; date punctuale, sunt acele date complentare celor repetitive, sunt formate din informatiile care apar la intervale de timp mai mult sau mai putin regulate cum sunt inventarele fizice, evaluarile de sfarsit de exercitiu, etc. Aceste date pot purta riscuri semnificative de erori ce nu se descopera la timp. date exceptionale, rezultate din operatiile efectuate ca urmare a unor decizii luate pentru evenimente care nu intra in activitatea curenta, cum sunt reevaluarea, fuziunea, sau restructurarea intreprinderii. Nu exista personal suficient de bine pregatit pentru aceste situatii care nu s-a confruntat inca cu aceasta situatie si nu exista elemente comparative, deci exista riscul aparitiei unei erori. Erorile aparute in cadrul datelor repetitive, punctule sau exceptionale pot avea influente seminficative asupra conturilor anuale. c) Riscuri legate de conceptia si functionarea sistemelor Conceptia sistemelor de culegere si prelucrare a datelor primare trebuie sa dea posibilitatea prevenirii erorilor sau detectarii celor care se produc in vederea corectarii acestora. Deci, riscurile pot fi limitate, mai ales in cazul prelucrarii datelor respective, prin conceptia si exploatarea fiabila a sistemelor. Uneori este nevoie ca si sistemul sa fie controlat pentru a descoperii eventualele defectiuni. d) Riscuri de nedetectare a abaterilor prin control Riscul de nedetectare prin control este dat, in general, de urmatoarele: - alegerea de catre auditor a procedeelor si tehnicile; - modul de aplicare a acestora; - termenele stabilite pentru interventii. 2.2Auditul Sistemelor Informatice Auditul sistemelor informatice reprezinta activitatea de colectare si evaluare a unor probe pentru a determina daca sistemul informatic este securizat, mentine integritatea datelor prelucrate si stocate, permite atingerea obiectivelor strategice ale intreprinderii si utilizeaza eficient resursele informationale. In cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt verificarile, evaluarile si testarile mijloacelor informationale, astfe : identificarea si evaluarea riscurilor din sistem; evaluarea si testarea controlului din sistem; verificarea si evaluarea fizica a mediului informational; verificarea si evaluarea administrarii sistemului informatic; verificarea si evaluarea aplicatilor informatice; verificarea si evaluarea securitatii retelelor de calculatoare; verificarea si evaluarea planurilor si procedurilor de recuperare in caz de dezastre si continuare a activitatii; testarea integritatii datelor. Auditul informatic reprezinta o forma esentiala prin care se verifica daca un sistem informatic isi atinge obiectivul pentru care a fost elaborata. Standarde le definesc clar domeniul, activitatile, etapele, continutul auditarii si formele de finalizare. Respectand cerintele standardelor, rezultatul procesului de auditare informatica este eliberat de riscurile contestarii. Auditul informatic reprezinta un domeniu cuprinzator in care sunt incluse toate activitatile de auditare pentru : specificatii, proiecte, software, baze de date, procesele specifice ciclului de viata ale unui program, ale unei aplicatii informatice, ale unui sistem informatic pentru management si ale unui portal de maxima complexitate, asociat unei organizatii virtuale. In domeniul informatic exista mai multe directii de dezvoltare a auditului. Auditarea software consta in activitati prin care se evidentiaza gradul de concordanta dintre specificatii si programul elaborat. Auditul software da masura sigurantei pe care trebuie sa o aiba utilizatorul de programe atunci cand obtine rezultate. Siguranta se refera la corectitudinea si completitudinea rezultatelor finale atunci cand datele de intrare sunt, de asemenea, corecte si complete. Auditul bazelor de date, este un domeniu de maxima complexitate avand in vedere ca, de regula, lucrul cu bazele de date presupune atat datele ca atare insotite de relatiile create intre ele, cat si programele cu care datele se gestioneaza. De aceea se impune efectuarea unei reparari. Auditul datelor vizeaza definirea acelor elemente prin care se stabileste masura in care datele stocate indeplinesc cerintele de calitate: corectitudine, completitudine, omogenitate, comprehensibilitate, temporalitate, reproductibilitate. Pentru fiecare caracteristica exista o metrica elaborata, iar auditorul de date trebuie sa evalueze nivelul atins de caracteristica, pentru setul de date supus auditarii. In final, auditorul de date certifica faptul ca datele stocate in baze de date constituie intrari valabile pentru a obtine rezultate corecte. In cazul auditarii riscului de gestiune a datelor stocate in baze de date se verifica daca: programele refera corect campurile cu date stocate; operatiile de prelucrare sunt cele din specificatii; agregarile, sortarile, evaluarile de expresii de extragere a subseturilor de date sunt in concordanta cu specificatiile de obtinere a rezultatelor ca structura, dimensiune si continut. Auditul sistemelor informatice evalueaza riscurile unui mediu informatic sau ale unei aplicatii informatice, ca de exemplu calculul salariilor sau facturarea. Aceste misiuni se realizeaza alegand, impreuna cu clientul, procesul de evaluare. Auditul informatic se poate referi la evaluarea riscurilor informatice ale securitatii fizice, securitatea logica, managementul schimbarilor, planul de asistenta etc. In cazul general, auditul informatic se refera la un ansamblu de procese informatice pentru a raspunde la o cerere precisa a clientului. Principalele tipuri de audit informatic sunt : auditul sistemului operational de calcul; revizia controalelor sistemelor operationale de calcul si retelelor, la diferite niveluri; de exemplu, retea, sistem de operare, software de aplicatie, baze de date, controale logice/procedurale, controale preventive/detective/corective; auditul instalatiilor IT; include aspecte cum sunt securitatea fizica, controalele mediului de lucru, sistemele de management si echipamentele IT; auditul sistemelor aflate in dezvoltare; acopera unul sau ambele aspecte: (1) controalele managementului proiectului si (2) specificatiile dezvoltarea, testarea, implementarea si operarea controalelor tehnice si procedurale, incluzand controalele securitatii tehnice si controalele referitoare la procesul afacerii; auditul managementului IT; include: revizia organizatiei, structurii, strategiei, planificarii muncii, planificarii resurselor, stabilirii bugetului, controlul costurilor etc.; in unele cazuri, aceste aspecte pot fi auditate de catre auditorii financiari si operationali, lasand auditorilor informaticieni mai mult aspectele tehnologice; - auditul procesului IT; revederea proceselor care au loc in cadrul IT cum sunt dezvoltarea aplicatiei, testarea, implementarea, operatiile, mentenanta, gestionarea incidentelor; - auditul managementului schimbarilor; revizia planificarii si controlului schimbarilor la sisteme, retele, aplicatii, procese, facilitati ; incluzand managementul configuratiei, controlul codului de la dezvoltare, prin testare, la productie si managementul schimbarilor produse in organizatie ca rezultat al ICT; - auditul controlului si securitatii informatiilor; revizia controalelor referitoare la confidentialitatea, integritatea si disponibilitatea sistemelor si datelor; - auditul conformitatii cu legalitatea; copyright, conformitate cu legislatia, protectia datelor personale; - auditul accidentelor dezastruoase/planificarii continuitatii afacerii/refacerii dupa dezastre; reviziile masurilor propuse pentru restaurarea dupa un dezastru care afecteaza sistemul si evaluarea modului in care organizatia abordeaza managementul riscurilor; - auditul strategiei IT; revizia aspectelor variate ale strategiei IT, viziune si planuri, inclusiv relatiile cu alte strategii, viziuni si planuri. Auditul sistemelor informatice nu este un audit financiar. Nu se testeaza date din punct de vedere al formularelor financiare pentru a determina completitudinea, drepturi si obligatii, evaluari sau alocari, prezentari sau divulgari. Auditul sistemelor informatice implica: - executarea unei serii de teste pentru a se asigura ca exista un control adecvat asupra sistemului informatic; - controale generale; - controalele aplicatiilor. Controlul General Controalele generale sunt masuri de protectie a echipamentelor, datelor si programelor care privesc toate componentele unui sistem informatic (hardware si software) si pot fi de urmatoarele tipuri: - controale organizatorice: masuri organizatorice folosite pentru protectia la fraude, neatentie si/sau neglijenta; - documentatie de sistem, folosita pentru verificarea functionarii sistemului, in conformitate cu cerintele utilizatorului, specificate in proiectul de executie; - controale hardware (controale de echipament): masuri de protectie la defectiunile tehnice; - controale de siguranta (echipamente si fisiere): masuri de protectie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamitati Contrilul Aplicatiilor Controalele de aplicatie sunt tehnici de control specifice, integrate in software-ul de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea si protectia datelor stocate in sistemul respectiv si a rezultatelor prelucrarilor efectuate asupra acestor date. Se proiecteaza si se realizeaza o data cu fiecare sistem informatic. Principalele tipuri de controale de aplicatie sunt: controale de intrare: masuri de asigurare a corectitudinii intrarilor sistemului; controale de prelucrare: masuri de asigurare a corectitudinii prelucrarilor efectuate in interiorul sistemului; controale de iesire: masuri de asigurare a corectitudinii iesirilor sistemului. 2.2.2.1 Controlul intrarilor Controlul intrarilor consta in tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora in sistemul informatic. Aceste tehnici, numite controale de intrare, permit introducerea in sistemul informatic numai a datelor care sunt autorizate, corecte si complete din punctul de vedere al evidentei si controlului activitatilor desfasurate in cadrul organismului economic sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv. Autorizarea introducerii datelor in sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai: personalului departamentului la care s-a intocmit documentul de evidenta si control (suport material sau) pe care sunt inregistrate datele initial; personalului cu nivelul de acces corespunzator, pentru sistemele on-line in care datele se introduc direct, de la terminale aflate in locatii diferite, la distanta de sistemul de calcul in care sunt stocate si/sau prelucrate; Validarea intrarilor consta in aplicarea unor tehnici de verificare a corectitudinii si completitudinii datelor, pe masura introducerii lor in sistemul informatic; aceste tehnici, controale de validitate, pot fi de urmatoarele tipuri: test de limita: verifica corectitudinea datelor prin verificarea incadrarii acestora intre limitele (inferioara si/sau superioara) prestabilite pentru fiecare tip de date, pe baza regulilor de gestiune proprii organismului economic sau legislatiei in vigoare; test de validitate: verifica autenticitatea datelor care se introduc in sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate intr-un tabel numit tabel master; numar de autocontrol: verifica precizia unui numar la introducerea in sistem sau dupa ce a fost transmis de la un terminal la altul, prin memorarea unei informatii redundante; mecanism de testare dubla: verifica corectitudinea unei date prin introducerea acesteia in sistem de doua ori, in mod independent. Validarea intrarilor, prin aplicarea unor tehnici de verificare asupra datelor, la introducerea lor in sistem, asigura: corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de verificare, fiind rejectate toate cele care nu indeplinesc conditiile impuse de testele de verificare respective; completitudinea datelor: sunt identificate datele care lipsesc si sunt solicitate, pana cand sunt introduse, intrucat absenta lor nu permite obtinerea rezultatelor sau evidentelor corecte pe care trebuie sa le ofere sistemul informatic utilizatorilor sai in vederea fundamentarii deciziilor sau pentru informare. Intrucat majoritatea erorilor identificate in rezultatele finale ale prelucrarilor sau evidentelor efectuate de sistemele informatice provin din introducerea eronata a datelor, nu se poate asigura un control intern puternic in cadrul unui asemenea sistem fara implementarea unor controalele de intrare eficiente. Controlul procesarii Controlul procesarii, care asigura fiabilitatea si precizia prelucrarilor efectuate asupra datelor introduse in sistemul informatic, consta in folosirea urmatoarelor tipuri de controale: Controale de program, integrate in programul de aplicatie, care pot fi: a) controale de intrare, implementate sub forma de controale de procesare: teste de limite, teste de validitate, numere de autocontrol, numar de inregistrari, totaluri etc.; b) etichete externe: identifica in mod unic fisierele de date folosite in fiecare tip de prelucrari, pentru a preveni greselile de utilizare a acestora; c) etichete interne care, impreuna cu etichete externe, previn greselile de utilizare a fisierelor de date in prelucrari. Jurnale de activitate sau de prelucrare, care se pun la dispozitia personalului autorizat sau grupului de control din cadrul organismului economic sau Departamentului de informatica constituit in cadrul acestuia, daca exista, pentru analiza activitatilor desfasurate de sistemul de prelucrare automata a datelor, si care descriu: activitatea fiecarui operator: secventa de operatiuni efectuate; fiecare executie a programului . Liste de erori, care se tiparesc in cazuri exceptionale, cand sistemul detecteaza erori grave si opreste sau nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care utilizeaza sistemul informatic respectiv, pentru investigatii si remedierea anomaliilor de functionare identificate. Dupa efectuarea corectiilor, grupul de control verifica corectitudinea prelucrarilor si eliminarea erorilor raportate de sistem. Pentru asigurarea unui control intern puternic si eficient, controalele de program pun la dispozitia grupului de control al organismului economic, a utilizatorilor si/sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrarilor efectuate in interiorul acestuia, compensand faptul ca nu da acces direct celor interesati la prelucrarile respective pentru a le verifica corectitudinea si/sau completitudinea. In plus, se impune, ca masura de control, monitorizarea activitatii operatorilor, cu scopul de a-i identifica pe cei care fac greseli si a le ridica dreptul de acces in sistemul informatic. 2.2.2.3 Controlul iesirilor Controlul iesirilor consta in masuri si tehnici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automata a datelor utilizatorilor sai. Acestea pot fi: Controale ale utilizatorului, care constau in: compararea rezultatelor sistemului, prezentate sub forma de liste, rapoarte, situatii etc. cu cerintele definite de utilizator; analize si teste efectuate de utilizatori specializati. Controale de program, care analizeaza si testeaza automat corectitudinea iesirilor sistemului informatic in raport cu cerintele definite de utilizatori. Sunt mai eficiente decat controalele utilizatorului, pentru ca, fiind integrate in sistem, verificarile pe care le efectueaza se fac automat. Controale ale grupului de control al sistemului informatic, care constau in masuri de verificare a iesirilor de catre personalul autorizat al organismului economic, cu sau fara departament specializat de informatica, care urmaresc: distributia rezultatelor prelucrarilor sau evidentelor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai catre utilizatorii autorizati; analiza erorilor raportate de sistem, identificarea cauzelor de aparitie a lor si verificarea eliminarii acestora din sistemul automat de prelucrare si evidenta respectiv. Scopul controlului intern intr-un sistem informatic il constituie verificarea corectitudinii rezultatelor prelucrarilor realizate in interiorul sau si distribuirea acestora, manual sau prin intermediul sistemului de prelucrare automata a datelor folosit, numai catre utilizatorii autorizati. Prin urmare, nu se poate vorbi de control intern intr-un sistem informatic fara controale de iesire, folosite de grupul de control al organismului economic, de utilizatori si/sau de auditori pentru a verifica daca sistemul informatic utilizat respecta cerintele utilizatorilor pentru care a fost proiectat si implementat. Controalele organizationale joaca rolul-cheie in asigurarea unui control intern puternic in cadrul unui sistem informatic, in vederea prevenirii fraudelor, care au implicatii majore asupra evolutiei oricarui tip de organism economic. Ele sunt destul de eficiente in prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele in complicitate, foarte dificil de depistat. Daca un angajat-cheie al organismului economic conspira cu alti angajati in vederea comiterii unei fraude, controalele organizationale interne care se bazeaza pe separarea sarcinilor si rotirea angajatilor pe functii devin inoperante. Daca nu sunt descoperite in timp util, fraudele in complicitate conduc la falimentul organismului economic respectiv. 2.3 Obiectivele Auditului Obiectivul auditului pentru un sistem informatic ia in analiza totalitatea elementelor pentru a proba daca produsul finit - sistemul informatic al companiei - raspunde cerintelor formulate in contractul in baza caruia s-a efectuat investitia. Pentru a avea un audit de calitate trebuie indeplinite urmatoarele conditii: - echipa de auditare trebuie sa primeasca totalitatea informatiilor care sa constituie intrari ale procesului de auditare; - tehnicile si metodele de auditare trebuie sa fie utilizate corect, folosind tot ceea ce este necesar pentru a obtine rezultate reale, neafectate de factorii perturbatori sau de abordari partiale; - sa existe clar delimitat ceea ce trebuie sa realizeze sistemul informatic si ceea ce realizeaza efectiv; auditarea scoate in evidenta diferentele, efectuand si unele cuantificari, pentru a reiesi mai precis pentru fiecare cerinta in parte, ponderea a ceea ce lipseste sau ponderea a ceea ce este in plus.
|