CATEGORII DOCUMENTE |
AUDITUL APLICATIILOR
Controlul general si controlul aplicatiilor
Auditul aplicatiei presupune:
Controlul conceperii
Controlul acuratetei, integritatii si completitudinii intrarilor,
prelucrarilor si iesirilor aplicatiei
Controlul integrarii datelor
Controlul functionalitatii
Controlul fiabilitatii
Controlul securitatii
Controlul perenitatii
Controlul exploatarii
Controlul documentatiei
Obiectivele auditului
Auditorul va trebui sa se pronunte asupra calitatii aplicatiei pe care o analizeaza. In acest scop el va trebui sa aiba in vedere urmatoarele probleme:
1. Controlul calitatii metodelor de realizare a aplicatiilor si controlul calitatii procedurilor de exploatare.
O deosebita atentie in procesul auditarii realizarii aplicatiei prezinta urmatoarele tipuri de controale:
Controlul datelor de intrare
Controlul prelucrarilor
Controlul integritatii fisierelor
Controlul iesirilor
Controlul securitatii aplicatiilor
Controlul fisierelor principale (Master Files).
2. Controlul adecvarii aplicatiei la specificatiile functionale precum si controlul adecvarii specificatiilor functionale la obiectivele unui control intern eficient.
In plus, se va urmari daca prin modul in care a fost gandita functionalitatea aplicatiei s-a respectat si principiul separarii functiilor incompatibile. Aceasta cerinta determina ca aplicatia sa ofere una din urmatoarele facilitati:
proceduri de validare a operatiilor de introducere a datelor de catre persoanele cu responsabilitati pe linia autorizarii intrarilor;
proceduri de generare a situatiilor pentru controlul datelor introduse in sistem (pentru analiza posteriori de catre un superior ierarhic);
o combinare a celor doua proceduri prezentate mai sus.
3. Identificarea fraudelor si a erorilor la nivelul aplicatiei
De regula riscurile privind pierderile generate de erorile de realizare sau de exploatare defectuoasa a aplicatiilor sunt mult mai importante decat riscurile generate de actiuni frauduloase. Auditorul nu va proceda la parcurgerea programelor sursa, in schimb va utiliza metode si instrumente informatice specifice pentru auditul aplicatiilor.
Anumite aplicatii prin natura prelucrarilor si sectoarelor de activitate in care sunt utilizate (sectorul bancar, institutiile financiare etc) impun auditorului derularea unor activitati de identificare a posibilelor operatiuni frauduloase.
4. Controlul fiabilitatii aplicatiei si controlul modului in care aceasta este utilizata.
Experinta practica a demonstrat ca o aplicatie poate sa fie fiabila dar prost utilizata (exploatata) sau invers, bine exploatata dar putin fiabila.
O aplicatie bine realizata licatiei - control ce trebuie efectuat chiar de catre utilizatorii ei.
In procesul auditarii aplicatiei se va tine seama de uprezinta proceduri de control care sa limiteze utilizarea sa necorespunzatoare , dar si instructiuni de control al fiabilitatii aprmatoarele aspecte:
Utilizatorii aplicatiei sunt reprezentati de:
- Proprietar care este utilizator principal, are responsabilitatea aplicatiei, dar nu este implicat in executarea aplicatiei ci deleaga sarcini.
- Administrator care are urmatoarele sarcini:
sa asigure functionarea controlului logic asa cum s-a prevazut
sa asigure actualizarea controlului logic
sa verifice existenta backup-ului aplicatiei
sa rezolve cerintele utilizatorilor
sa asigure identificarea, monitorizarea si raportarea problemelor
pastrarea si distributia documentatiei
asigura legatura intre departamentul IT, utilizatorii sistemului si firma software furnizoare a software-ului.
- Utilizatorii curenti pentru care:
Aplicatia reprezinta un instrument de lucru pentru realizarea sarcinilor lor.
Sunt instruiti cum sa foloseasca aplicatia pentru a-si realiza sarcinile de serviciu.
Probele in procesul auditarii
probele pe care auditorul se asteapta sa le obtina in urma auditului
amploarea (intinderea) testelor programate
ce se va considera drept esec al aplicatiei identificat in testarea aplicatiei de catre auditor
cate astfel de esecuri identificate in procesul testarii aplicatiei pot fi tolerate.
Probele pot fi sub forma :
Documente privind politicile si procedurile de securitate:
Listele de control al accesului
Limitele autorizarilor automate ale utilizatorilor
Jurnalele de securitate
Cererile de modificari si modul de solutionare a acestora etc.
Documente privind procedurile de lucru ale aplicatiei
Informatiile culese pe baza interviurilor, chestionarelor,
testelor efectuate
Flowchart-uri ale aplicatiei
Fisiere cu date utilizate in cadrul aplicatiei si fisiere de test
Fisiere jurnal pentru intrari, prelucrari, tratarea erorilor etc.
Rapoarte generate
Fisiere cu erori
Rezultatele testelor controalelor interne din cadrul aplicatiei
Rezultatele evaluarii functionalitatii aplicatiei
Rezultatele testelor privind securitatea aplicatiei.
Probele se pot obtine prin combinarea tehnicilor:
Observarii directe
Intervievarii
Chestionarii
Examinarii
Esantionarii
Controlul intrarilor, prelucrarilor si iesirilor
Controalele aplicatiei
Auditorul, in urma documentarii desfasurate, trebuie sa cunoasca si sa poata evalua controalele manuale si automate existente in sistem. Complexitatea sistemelor informatice contabile impune necesitatea abordarii lor pe subsisteme. Pentru fiecare subsistem in parte auditorul realizeaza diagrame ale fluxurilor de date pentru evidentierea intrarilor, fisierelor utilizate, procesarilor, iesirilor, controalelor manuale si automate implementate evaluand masura in care sunt suficiente si acoperitoare.
Auditorul va trebui sa raspunda la urmatoarele intrebari:
Care sunt controalele de baza?
Se suprapun, in unele cazuri, controalele manuale peste cele automate? Acest lucru creste gradul de incredere asupra controalelor?
Care sunt controalele interdependente din cadrul aplicatiei?
Exemplu: Creditul fixat pentru un credit card este controlat si in procedura de gestiune a tranzactiilor si trebuie sa fie acelasi cu cel retinut in fisierul CARDURI.
- verificarea procedurilor prin care sunt corectate erorile:
auditorul trebuie sa aiba certitudinea ca aceste proceduri
exista si functioneaza corect. O eroare este considerata o
inexactitate involuntara aparuta in situatiile financiare.
Tipurile de erori cele mai frecvent intalnite sunt erorile de: calcul, inregistrare, contare etc.
Determinarea gradului de incredere al controalelor automate se realizeaza in urma desfasurarii unor teste independente si a testarii controalelor existente in sistem.
Auditorul va trebui sa raspunda la urmatoarele intrebari:
Cine are responsabilitatea acestor controale?
Sunt cele mai adecvate controale ?
Intelegerea si documentarea privind aplicatiile financiare
Auditorul trebuie sa produca dovezi ca a inteles modul de functionare a aplicatiei si controalelor acesteia.
Auditorul a obtinut cunoastere si prin documentarea asupra:
Fluxului tranzactiilor prin sistem
Controalele aplicate intrarilor, prelucrarilor, iesirilor.
- Auditorul trebuie sa identifice si sa cunoasca orice documentatie a aplicatiei existenta la client.
. Controlul intrarilor este folosit pentru a se asigura faptul ca toate tranzactiile sunt:
introduse corect
- complete
valide
autorizate
aferente perioadei de gestiune curente
inregistrate corect in conturi (in cazul aplicatiilor contabile).
Autorizarea
Autorizarea intrarilor reduce riscul erorilor, fraudei si tranzactiilor ilegale.
Autorizarea poate fi controlata prin identificarea utilizatorului, care a introdus datele in sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor. Auditorul va trebui sa verifice daca se introduc doar date autorizate in sistem, cine si cum se autorireaza datele de intrare.
Validarea intrarilor:
se poate realiza manual sau automat
controalele de validare trebuie sa asigure indeplinirea
criteriilor
de validare prestabilite a datelor
reduce riscul introducerii de date incorecte.
Controlul datelor de intrare trebuie adaptat la modalitatile diferite de introducere a datelor in sistem :
de la tastatura (unde riscul erorilor este mai mare)
scanarea documentelor
utilizarea perifericelor senzoriale
citirea barelor de cod
ATM-uri si terminale POS
EDI (Electronic Data Interchange) schimb electronic de date
generarea
automata a tranzactiilor (exemplu : plati planificate,
calcularea lunara a dobanzilor).
O particularitate a aplicatiilor de gestiune consta in faptul ca nu toate intrarile prezinta un suport material (documente pe suport hartie), multe fiind in format electronic. In cazul preluarii automate sau generarii automate exista riscuri mai mici de eroare fata de preluarea datelor prin tastare.
Tipuri de controale aplicate asupra datelor de intrare
A. Controlul formatului
Se verifica:
Natura datelor
Lungimea datelor (evitarea producerii de trunchieri)
Numarul de zecimale admis
Acceptarea valorilor negative sau doar a celor pozitive
Formatul datei calendaristice
Aplicarea semnului monetar.
B. Controlul domeniului de definitie a atributelor
Urmareste :
incadrarea intr-o multime de valori prestabilita (exemplu:
abrevierile judetelor, tipuri de unitati de masura, tipuri de
documente).
incadrarea
intr-un interval de valori prestabilit (exemplu: salariul
angajatilor ia valori in intervalul
[2.500.000, 30.000.000]).
validari ale realizarilor unor atribute diferite, numit si testul dependentei logice dintre campuri. Exemplu: validarile privind corespondenta conturilor - contul X se poate debita doar prin creditarea conturilor A,B sau C.
testul 'rezonabilitatii' datelor :
Acest test verifica daca datele sunt rezonabile in raport cu un standard sau date introduse in perioade anterioare. Datele standard pot fi stocate intr-un fisier sau pot reprezenta constante definite la nivelul aplicatiei (exemplu: un standard poate fi reprezentat de numarul de ore lucratoare intr-o luna, stabilit in functie de zilele lucratoare si sarbatorile legale, nivelurile de dobanda practicate de banca etc).
C. Controlul acuratetei aritmetice
Pe baza unor date de intrare introduse de operator pot fi verificate elementele calculate din documentul primar. De exemplu, pe baza cantitatii si pretului unitar al unui articol inscris intr-o factura sistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoarea cu TVA si apoi totalul facturii operatorul putand confrunta aceste sume calculate cu cele inscrise in factura.
D. Controlul existentei datelor
Testul se refera in principal la validarea datelor de intrare reprezentand coduri. Este suficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia sau un mesaj de eroare atentionand asupra introducerii unui cod incorect/inexistent.
E. Testul cifrei de control
Se aplica asupra datelor de intrare reprezentand elemente codificate si urmareste rejectarea codurilor eronate introduse. Cauza erorii la nivelul elementelor codificate poate fi:
Trunchierea
Adaugarea unui caracter suplimentar
Transcrierea incorecta a codului in documentul primar
Transpozitia caracterelor la introducerea codului.
Testul cifrei de control presupune determinarea cifrei de control aferente codului introdus prin aplicarea automata a algoritmului prestabilit. in masura in care cifra de control determinata automat nu corespunde celei incluse in codul introdus de operator sistemul va trebui sa atentioneze printr-un mesaj corespunzator asupra erorii aparute si sa nu permita salvarea datelor introduse.
F. Testul tranzactiilor duplicate
Auditorul va trebui sa verifice daca sistemul admite introducerea repetata a acelorasi date. De exemplu, introducerea repetata a unui aceluiasi document (factura, bon de consum etc).
Solutionarea tranzactiilor refuzate de sistem
Auditorul va trebui sa verifice:
Cum se solutioneaza tranzactiile neacceptate de sistem (care nu au trecut testul de validare)?
Cine raspunde de verificarea acestor date de intrare si de reintroducerea lor?
Daca sunt generate liste continand intrarile rejectate?
Daca aceste tranzactii rejectate sunt consemnate in documentele primare depistarea erorii este mai usoara si corectarea se poate face fara probleme deosebite. Probleme particulare apar in cazul tranzactiilor on-line.
Controlul prelucrarilor
In derularea procedurilor de control al prelucrarilor auditorul va trebui sa tina seama de:
Ø Tipologia sistemului informatic:
Sisteme de procesare a tranzactiilor (TPS - Transaction Processing Systems)
Sisteme destinate conducerii curente (MIS - Management Information Systems)
Sisteme suport de decizie (DSS - Decision Support Systems)
Sisteme destinate conducerii strategice (EIS - Executive Support Systems)
Sisteme pentru automatizarea lucrarilor de birou (OAS - Office Automation Systems).
Ø Modalitatile de introducere a datelor in sistem si procesarea acestora:
Introducere pe loturi - procesare pe loturi
Introducere on line - procesare pe loturi
Introducere on-line - procesare on-line
Ø Natura prelucrarilor:
In cadrul TPS-urilor, de exemplu, pot fi identificate proceduri de:
Actualizare a bazei de date
Sortare
Calcul
Regasirea si afisarea datelor
Generare de rapoarte, grafice etc.
Salvare si restaurare a bazei de date.
Ø Nivelul de descentralizare a prelucrarilor.
Metode de procesare a datelor
Introducere pe loturi/procesare pe loturi
Aceasta metoda se caracterizeaza prin faptul ca se
acumuleaza documente de un anumit tip (intrarile privesc acelasi tip de
tranzactii) si apoi se procedeaza la introducerea si prelucrarea lotului
respectiv de date.
Procesarea unor tranzactii similare asigura eficienta prelucrarii.
Procesarea pe loturi se realizeaza la momente de timp predefinite (zilnic, saptamanal,
lunar sau chiar de mai multe ori in cadrul aceleiasi zile), periodicitatea
fiind determinata de numarul tranzactiilor si de natura datelor supuse
prelucrarii. :
Un alt avantaj al metodei este reprezentat de posibilitatea utilizarii unor controale care sa verifice corectitudinea si completitudinea prelucrarilor. Se pot utiliza in acest sens urmatoarele tipuri de controale: controlul totalurilor (se realizeaza o insumare a valorilor pentru tranzactiile respective, inaintea procesarii iar acest total se compara cu cel generat automat ca urmare a procesarii tranzactiilor), controlul secventialitatii, fiecare tranzactie avand un numar atribuit in cadrul lotului din care face parte.
Intrari on-line/procesare pe loturi
In cazul acestei metode de procesare datele se introduc direct, pe masura ce se primesc documentele primare. Datele se valideaza pe masura ce sunt introduse de la tastatura si stocate intr-un fisier de tranzactii temporar pe baza caruia se va proceda la actualizarea periodica a fisierului master.
Avantajul metodei este reprezentat de faptul ca validarea datelor se realizeaza imediat dupa introducerea acestora, mesajele de eroare fiind afisate operatorului. In cazul introducerii unor date incorecte (de exemplu: omisiuni sau inversiuni de caractere pentru codul clientului sau al unui produs) sau incomplete, in functie de mesajele de eroare afisate, operatorul reintroduce datele. Un alt avantaj este reprezentat de posibilitatea utilizarii controalelor de total si secventialitate prezentate si in cazul metodei anterioare.
Metoda intrari on-line/procesare pe loturi prezinta doua variante:
introducere
on-line cu validare imediata si acces la fisierul master cu
prelucrari periodice ale lotului de date introdus (figura 5. 2 ).
introducere
on-line cu validare imediata fara acces la fisierul master si
procesare periodica a lotului de date introduse (figura 5.3 ).
Varianta validarii imediate cu acces la fisierul master
Introducere on-line/procesare on-line
Aceasta metoda se deosebeste de metoda intrari on-line/prelucrare pe loturi prin urmatoarele:
Fisierele master se actualizeaza pe masura introducerii datelor Se creeaza un log al tranzactiilor al carui rol este de a inscrie cronologic toate tranzactiile cu scopul de a oferi posibilitatea urmaririi tranzactiilor, fiecare dintre acestea avand asignat un numar unic.
Aceasta metoda mai este cunoscuta si sub numele de on-line real time (OLRT).
Principalul dezavantaj al metodei este reprezentat de riscul erorilor care pot aparea in fisierul master in cazul unei erori hardware. Solutia pentru minimizarea acestor riscuri consta in introducerea on-line a intrarilor si memorarea actualizarilor fisierului master la momentul introducerii datelor. Aceasta presupune utilizarea unei copii a fisierului master. Jurnalul tranzactiilor va fi folosit periodic pentru actualizarea fisierului master. Din punctul de vedere al utilizatorului acest sistem nu este diferit de intrari on-line/ prelucrari on-line deoarece rezultatele procesarii sunt disponibile imediat, chiar daca validarea completa a tranzactiilor si actualizarea fisierului master sunt finalizate la un moment de timp viitor.
Controlul fisierelor si al bazei de date
Controlul fisierelor reprezinta o activitate laborioasa si deosebit de importanta in procesul auditarii aplicatiei. Acest lucru este urmarea faptului ca realitatea si corectitudinea informatiilor generate de aplicatia auditata sunt determinate in egala masura de acuratetea datelor prelucrate precum si de acuratetea prelucrarilor. De aceea auditorul va trebui sa verifice:
Continuitatea fisierelor
Versiunea fisierelor procesate -
Auditorul va
trebui sa verifice
daca se prelucreaza fisierul/fisierele precizate in documentatie si
daca se lucreaza cu ultima versiune a acestora. In egala masura
auditorul va verifica daca ultimele versiuni ale fisierelor cuprind
toate corectiile.
Transferul
fisierelor in momentul
trecerii la exploatarea unui nou
sistem informatic. Se verifica masura in care:
au fost autorizate procedurile de transfer ale fisierelor din vechiul in noul sistem;
procedurile au fost realizate de persoanele imputernicite;
s-a asigurat completitudinea si corectitudinea transferului.
- Solutia aleasa pentru arhitectura bazei de
date este cea mai buna
(varianta baza de date centralizata sau baza de date distribuita):
In cazul bazelor de date distribuite auditorul va analiza daca s-a realizat o corecta si eficienta distribuire a datelor in nodurile retelei. Auditorul va determina in ce masura s-a tinut seama de respectarea urmatoarelor cerinte:
Nevoile de informare identificate pentru utilizatorii locali
Asigurarea unui transfer minim al datelor prin retea
Necesitatea protectiei datelor transferate prin retea.
Care au fost criteriile pentru alegerea SGBD-ului Ofera SGBD-ul toate facilitatile privind implementarea controalelor automate, al controlului accesului la baza de date, tabelele bazei de date etc.
Disponibilitatea datelor
Datele, in procesul prelucrarii, datorita reprezentarii binare sunt inaccesibile auditorului in aceasta forma. Mai mult, unele date sunt temporar stocate in memoria calculatorului (datele intermediare de lucru). Acestea reprezinta, in egala masura, particularitati ale prelucrarii automate a datelor dar si un context special in care auditorul isi desfasoara activitatea. In procesul auditarii aplicatiei auditorul verifica acuratetea prelucrarilor si a datelor de intrare, a datelor intermediare de lucru din momentul in care el desfasoara procedurile de audit. De aceea el trebuie sa verifice daca fisierele de intrare folosite au fost cele corecte si s-au executat procedurile de prelucrare cerute de documentatie. Sa luam urmatorul exemplu: in mod voit in derularea unor prelucrari s-au utilizat fisiere al caror continut a fost alterat (modificat) si apoi adus la starea initiala, corecta. Rezultatul prelucrarii va fi bineinteles alterat. Auditand aplicatia, auditorul va obtine alte rezultate ale prelucrarii si va trebui sa determine cauza erorii. El va constata ca programele sunt corecte, fisierele de intrare sunt corecte dar datele intermediare din procesul de prelucrare pe care le verifica acum nu sunt aceleasi din momentul executiei aplicatiei cand informatiile generate au fost incorecte. Auditorul va trebui sa demonstreze ca aplicatia functionand corect fie s-au produs modificari voite in cadrul programelor (care ulterior au fost corectate) fie au fost afectate voit fisierele de intrare.
Controlul prelucrarilor declansate automat
In cazul prelucrarilor declansate automat auditorul trebuie sa verifice:
care sunt evenimentele care declanseaza aceste prelucrari;
cum se realizeaza controlul tranzactiilor generate automat.
Functionalitatea aplicatiei
Auditorul va trebui sa determine masura in care:
Exista anumite prelucrari pe care aplicatia trebuie sa le execute, dar nu le realizeaza sau le realizeaza greoi.
Sunt functionalitati care lipsesc si sa precizeze care sunt acestea.
Aplicatia raspunde stilului si metodei de lucru specifice utilizatorului.
Aplicatia impune un mod de lucru ineficient, o gandire rigida, nenaturala.
Exista un controlul al fluxului prelucrarilor. Auditorul va verifica ce prelucrari trebuie sa se declanseze in anumite circumstante si daca aceste prelucrari se si declanseaza.
S-a realizat testul de load conditions : un program poate functiona nesatisfacator cand este suprasolicitat (volum mare de date de prelucrat intr-un interval scurt de timp sau incarcare maxima intr-un anumit moment).
Verificarea autorizarii programelor
Auditorul va trebui sa raspunda la urmatoarele intrebari:
Se foloseste doar soft autorizat?
Se exploateaza versiunea corecta (autorizata) a aplicatiei? Exista soft freeware instalat? Este autorizat de persoanele imputernicite din firma?
Sunt stabilite persoanele care au dreptul sa faca instalari de noi programe, modificari in programele exploatate si modificari in fisiere? Se respecta aceste restrictii?
Comunicarea sistemului cu utilizatorul
Auditorul va trebui sa formuleze si o opinie privitoare la modul in care se realizeaza comunicarea cu utilizatorul. In acest sens el va trebui sa gaseasca raspuns la urmatoarele intrebari:
Este usor 'sa te pierzi' in program?
Exista optiuni de lucru care pot fi confundate cu altele?
Care sunt mesajele de eroare? Sunt utile, explicite?
Ce informatie este disponibila pe ecran? Este suficienta, clara?
Calitatea asistentei oferite utilizatorului (informatia returnata de tasta HELP de exemplu) este corespunzatoare?
Performante
Auditorul va trebui sa evalueze si performantele sistemului. In cazul sistemelor in timp real, spre exemplu, este foarte important timpul de raspuns al sistemului.
. Controlul datelor de iesire
Controlul datelor de iesire urmareste:
Completitudinea si acuratetea iesirilor
Respectarea termenelor prevazute pentru obtinerea iesirilor
Masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta, monitor sau un anumit fisier.
Distribuirea iesirilor catre persoanele autorizate :
Cine primeste situatiile? Exista persoane imputernicite in acest sens?
Situatiile continand date sensibile sunt preluate pe baza de semnatura?
Cum este asigurata protectia informatiilor confidentiale?
Daca iesirile catre alte aplicatii se realizeaza in formatul pe care acestea il necesita.
Masura in care se realizeaza inregistrarea, raportarea si corectarea erorilor identificate.
In ce masura exista din partea managementului un control asupra acuratetei iesirilor si modului de distribuire a lor.
Controlul securitatii aplicatiei
Controalele securitatii aplicatiei sunt folosite pentru asigurarea :
Integritatii tranzactiilor si fisierelor;
Acuratetei prelucrarilor;
Separarii sarcinilor incompatibile intre persoanele implicate in procesarea datelor;
Controlul utilizatorilor.
Modalitati de realizare a controlului securitatii aplicatiei:
Controlul securitatii aplicatiei se poate realiza prin:
Identificarea si autorizarea utilizatorilor
Controlul accesului
Monitorizarea activitatii utilizatorilor.
1. Controlul accesului
Impune verificarea de catre auditor a urmatoarelor aspecte:
Controlul accesului la aplicatie prin log-are.
Restrictionarea accesului la modulele aplicatiei.
Exemplu: gestionarul poate sa incarce notele de receptie si constatare de diferente precum si bonurile de consum in modulul de gestiune dar nu poate avea acces la modulul de contabilitate sau cel de calcul al salariilor.
Restrictionarea accesului la anumite functii ale aplicatiei.
Existenta listelor de control al accesului.
Identificarea si autorizarea utilizatorilor
Se realizeaza prin controlul jurnalelor aplicatiei:
Jurnalul ID-urilor si parolelor utilizatorilor: auditorul trebuie sa evalueze politicile de securitate ale aplicatiei si procedurilor din cadrul acesteia.
Controalele efectuate asupra jurnalelor difera de la o aplicatie la alta (nu sunt intotdeauna aceleasi).
Monitorizarea activitatii utilizatorilor
Utilizatorii trebuie urmariti (controlati) cu privire la actiunile pe care le desfasoara.
Monitorizarea actiunilor utilizatorilor asigura:
limitarea erorilor si fraudelor
identificarea utilizatorilor si actiunilor lor
responsabilitatea utilizatorilor pentru rezultatele obtinute in urma procesarii
datelor.
Monitorizarea actiunilor utilizatorilor se realizeaza prin intermediul jurnalelor.
Auditorul poate culege probe deosebit de utile prin verificarea jurnalelor realizate de aplicatie. Auditorul are obligatia sa verifice modul in care este asigurata protectia acestor jurnale pentru ca probele obtinute pe baza lor sa fie credibile.
Identificarea si evaluarea probelor
In identificarea si evaluarea probelor sunt posibile doua abordari:
Abordarea orientata catre date
Abordarea orientata catre sistem.
Misiunea de audit impune, chiar daca predominant sunt desfasurate proceduri orientate catre date, si studierea sistemului informatic in ansamblul sau.
In cazul abordarii orientate catre date :
Se pune accent pe testele datelor de iesire
Daca acuratetea iesirilor, dovedita in urma testelor desfasurate de auditor, este satisfacatoare atunci exista si increderea asupra inregistrarilor si procesarilor din cadrul sistemului.
Este recomandata in cazul sistemelor informatice prezentand o arie restransa si o complexitate redusa.
In cazul abordarii orientate catre sistem auditorul isi focalizeaza atentia asupra sistemului informatic in ansamblul sau: testele asupra controalelor preventive si corective precum si asupra prelucrarilor si securitatii sistemului pot constitui probe pentru auditor ca rezultatele generate de sistem sunt corecte.
Raman valabile prevederile Standardului de audit 500 - Probe de audit care precizeaza
Necesitatea unor probe de audit
adecvate si suficiente.
Suficienta indica masura cantitatii probelor de audit.
Gradul de adecvare indica masura calitatii probelor si a relevantei lor.
Rationamentul auditorului privitor la ce inseamna o proba de audit adecvata si suficienta precum si factorii de influenta asupra rationamentului.
Tehnici de audit ale aplicatiilor
Tehnica incercarii
Consta in crearea unui mediu de test, incluzand o copie a aplicatiei si a fisierelor specifice. Se poate astfel controla, in detaliu, modul de functionare a aplicatiei.
Aceasta metoda se recomanda chiar in situatiile in care se doreste testarea unei aplicatii inainte ca aceasta sa fie pusa in exploatarea curenta.
Tehnica incercarii se utilizeaza mai rar datorita greutatii cu care se poate realiza. Ea implica adesea sarcini deosebite pentru informaticienii responsabili cu realizarea bazei de date de test si totodata pentru auditori care trebuie sa cunoasca perfect functionalitatea aplicatiei.
Dintre limitele acestei tehnici de audit amintim:
permite testarea doar a aplicatiei nu si a continutului fisierelor aflate in exploatare;
este dificil sa se realizeze teste exhaustive pentru multitudinea de situatii posibile la care aplicatia trebuie sa faca fata;
nu permite intotdeauna identificarea operatiunilor frauduloase atat timp cat acestea sunt realizate fie prin interventia directa asupra fisierelor, fie prin modificarea temporara a aplicatiei.
Controlul mediului informatic al aplicatiei
Vor fi studiate pentru aplicatia auditata:
Procedurile de dezvoltare si intretinere: instrumente, metodologie, norme, documentatie, proceduri de implementare.
Procedurile de exploatare: securitatea accesului, proceduri de backup, lansarea si controlul prelucrarilor, proceduri de reluare in caz de esec, rezolvarea incidentelor.
Functii tehnice: gestiunea retelei, calculatoarele utilizate.
Organizarea departamentului IT.
Pentru auditor absenta unei metodologii de dezvoltare, lipsa unei documentatii actualizate, lipsa unei monitorizari a incidentelor, "larghetea' in acordarea drepturilor de acces, o politica inadecvata de backup reprezinta semnale importante privitoare la calitatea aplicatiei.
Examinarea controlului intern
Aceasta tehnica presupune:
Realizarea de catre utilizatori de controale de coerenta asupra prelucrarilor. Spre exemplu, in cazul unor aplicatii de contabilitate soldul conturilor din Registrul Cartea mare sa corespunda celor din Balanta de verificare sintetica.
Respectarea principiului separarii functiilor incompatibile.
Existenta unor proceduri de autorizare a accesului.
Competenta personalului implicat: informaticieni si utilizatori curenti.
Existenta 'urmelor de audit' (audit trail) care sa permita furnizarea elementelor necesare reconstituirii, pas cu pas, a prelucrarilor desfasurate.
Existenta unor controale ierarhice, mai ales in cazul procedurilor de validare a datelor introduse in sistem.
Utilizarea de programe de audit specializate
Normele de practica de audit recomanda urmatoarele tehnici de audit asistate de calculator:
Auditarea cu ajutorul calculatorului
Auditarea in afara calculatorului
Auditarea prin calculator
Auditarea cu ajutorul calculatorului
Include testarea calculelor executate in timpul procesarii tranzactiilor, compararea datelor din fisiere diferite atunci cand datele respective ar trebui sa prezinte valori identice etc.
Programul auditorului selecteaza esantionul de test pe baza unor variabile precizate de auditor, datele esantionului generand un fisier de lucru asupra caruia se aplica prelucrarile continute in programul auditorului, auditorului generandu-i-se un raport.
Un esantion de test reprezinta un set de tranzactii selectate aleator, concluziile desprinse din analiza acestora putand fi generalizate la nivelul tuturor tranzactiilor din sistem.
Auditarea in afara calculatorului
Se pleaca de la tranzactiile de intrare ale perioadei auditate, prelucrarea acestora realizandu-se manual. Daca rezultatele obtinute sunt aceleasi cu cele generate de aplicatia auditata inseamna ca logica interna a aplicatiei produce rezultate corecte, acceptate de auditor.
Avantaje:
Este usor de realizat
Nu impune costuri mari
Nu necesita cunostinte privind prelucrarea automata a datelor.
Dezavantaje:
- Calitatea opiniei formulate de auditor depinde de esantionul pe care s-a facut testul (rationamentul auditorului care a condus spre respectivul esantion). Esantionul poate sa nu cuprinda tranzactii capabile sa evidentieze erori de procesare si lipsa unor controale.
Priveste mai mult procesarile finalizate decat prevenirea problemelor legate de prelucrarea in viitor a datelor. Doar daca se identifica o eroare logica auditul conduce la efecte pozitive privind procesarea datelor in viitor.
Realizarea manuala a procedurilor de audit conduce la consum mare de timp.
Auditarea prin calculator
Pleaca de la presupunerea ca anumite date,
prelucrate dintr-o anumita
aplicatie, produc anumite iesiri.
Foloseste teste care sa arate cum sunt prelucrate datele.
Auditorul stabileste datele de test (deci nu se lucreaza cu date reale), simuland tranzactii care prin cazuistica lor pot evidentia eventualele carente ale controalelor si prelucrarilor urmarind sa verifice daca datele de test declanseaza controalele corespunzatoare. Auditorul compara rezultatele prelucrarii datelor de test prin sistemul auditat cu iesirile anticipate de el.
Se pleaca de la ideea ca cea mai buna testare este cea realizata in conditii reale de exploatare. Auditorul va trebui sa raspunda si la urmatoarele intrebari :
- Au operatorii la dispozitie doar versiunea executabila a aplicatiei sau si programul sursa?
- Au programatorii acces doar la modulele in lucru (activitatea de dezvoltare a aplicatiilor) si de test ale aplicatiilor sau au acces si la aplicatia curenta aflata in exploatare?
Testele auditorului trebuie sa se efectueze fara a fi anuntate. Se evita astfel posibilitatea ca persoanele implicate in fraudare sa stearga urmele interventiei lor refacand fisierele si aducand aplicatia la versiunea corecta.
Atunci cand auditorul are anumite temeri legate de acuratetea prelucrarilor poate opta pentru aplicarea urmatoarelor teste :
Testul lungimii fisierului aplicatiei (testul byte-count)
Compara lungimea in bytes a fisierului continand aplicatia aflata in exploatare cu backup-ul aplicatiei. Testul este elocvent pentru ca este imposibil sa realizezi modificari intr-un program fara ca lungimea acestuia sa nu se modifice.
Eventualele diferente intre lungimile celor doua aplicatii impun identificarea modificarilor si estimarea consecintelor acestora.
Testul logicii programului
Se executa atunci cand auditorul are convingerea ca in program s-au facut modificari neautorizate.
Copia de siguranta a aplicatiei se considera autentica si va constitui proba martor.
Presupune executarea unui program care compara byte cu byte aplicatia aflata in exploatare cu backup-ul.
Ansamblul programelor folosite de auditor in realizarea misiunii sale se cuprind in conceptul generic de tehnici de audit asistate de calculator (CAAT).
Definirea, descrierea si prezentarea modului de utilizare a CAAT se gaseste in Standardul de audit nr. 1009 - Tehnici de audit asistate de calculator.
In conformitate cu acest standard:
Software-ul pentru audit consta in programe utilizate de catre auditor, ca parte a procedurilor de audit, pentru a procesa date cu semnificatie pentru audit din sistemul contabil al firmei auditate.
El poate consta din :
Pachete de programe - programe generalizate, proiectate sa efectueze functii de procesare a datelor ca de exemplu: citirea fisierelor, selectarea informatiilor, executarea calculelor, crearea fisierelor, tiparirea de rapoarte in structura ceruta de auditor.
Programe realizate pentru un anumit scop - programe realizate sa execute sarcini de audit in circumstante specifice. Pot fi elaborate de auditor, de specialistii firmei auditate sau de un informatician angajat de auditor.
Programe utilitare - programe de utilitate generala, care nu sunt proiectate special pentru scopuri de audit. Realizeaza sortari, creari de fisiere, listari de fisiere, copieri etc.
- Se introduce in cadrul aplicatiei o procedura care sa insereze in prelucrare, la intervale aleatorii, datele de test.
- La sfarsitul testarii fisierele aplicatiei trebuie aduse in starea lor corecta (fara tranzactiile de test inserate de programul auditorului).
Figura 5.6 Auditare prin calculator (cu date de test)
- Pasii de parcurs in aplicarea unui CAAT:
Stabilirea obiectivului CAAT;
Determinarea continutului si accesibilitatii la fisierele sistemului auditat;
Definirea tipurilor de tranzactii ce vor fi testate;
Definirea procedurilor aplicate datelor;
Definirea cerintelor cu privire la iesiri;
Identificarea personalului de audit si operatorilor care pot participa la proiectarea si aplicarea CAAT;
Estimarea costurilor si beneficiilor;
Asigurarea ca utilizarea CAAT este controlata si documentata corespunzator;
- Organizarea activitatiilor administrative, asigurarea aptitudinilor necesare personalului implicat si a facilitatilor computerizate;
Executarea aplicatiei CAAT;
- Evaluarea rezultatelor.
Ce controale presupune auditul aplicatiei
Ce tipuri de controale presupune Controlul calitatii metodelor de realizare a aplicatiilor si controlul calitatii procedurilor de exploatare
Ce facilitati poate sa ofere aplicatia pentru a respecta principiul separarii functiilor incompatibile
De regula riscurile privind pierderile generate de erorile de realizare sau de exploatare defectuoasa a aplicatiilor sunt mult mai importante decat riscurile generate de actiuni frauduloase. Care sunt acele aplicatii care impun auditorului derularea unor activitati de identificare a posibilelor operatiuni frauduloase?
Ce demonstreaza experienta practica in legatura cu relatia dintre fiabilitatea aplicatiei si modul in care este ea utilizata? Ce proceduri si/sau instructiuni trebuie sa prezinte o aplicatie bine realizata pentru a permite exercitarea controlului fiabilitatii aplicatiei si controlul modului in care aceasta este utilizata?
De ce sarcini ale administratorului de retea se va tine seama in procesul auditarii aplicatiei
Sub ce forma poate acumula auditorul probele de care are nevoie pentru a-si sustine concluziile sale cu privire la auditul aplicatiei
Referitor la tranzactii ce se urmareste prin controlul intrarilor
Cum poate fi controlata autorizarea intrarii tranzactiilor
Ce se poate spune despre validarea intrarilor de date
Care sunt tipurile de controale aplicate asupra datelor de intrare
. Ce se verifica in cadrul controlului formatului
Ce urmareste controlul domeniului de definitie a atributelor
Cum pot fi verificate elementele calculate din documentul primar
Cum se face controlul existentei datelor
Ce stiti despre testul cifrei de control
Ce stiti despre testul tranzactiilor duplicate
. Ce trebuie sa verifice auditorul in legatura cu modul cum sunt solutionte tranzactiilor refuzate de sistem
Ce trebuie sa aiba auditorul in vedere cu ocazia derularii procedurilor de control al prelucrarilor
Ce va trebui sa verifice auditorul in cadrul controlului fisierelor si al bazei de date
Ce va trebui sa determine auditorul in legatura cu functionalitatea aplicatiei
. La ce intrebari legate de comunicarea sistemului cu utilizatorul va trebui sa gaseasca raspuns auditorul
196.Ce urmareste controlul datelor de iesire
Ce se asigura prin controalele securitatii aplicatiei
Prin ce se realizeaza controlul securitatii aplicatiei
. Ce aspecte trebuie sa verificarea auditorul refritor la controlul accesului
Printre tehnicile de audit ale aplicatiilor se afla si tehnica incercarii. In ce consta aceasta tehnica
BIBLIOGRAFIE
1. Ali Eden, Victoria Stanciu, "Auditul sistemelor informatice", ed. Dual Tech. Bucuresti, 2004
2. Gheorghe Popescu, "Auditul sistemelor informatice", note de curs si raspunsuri la intrebari, disponibile pe discheta.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 2078
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved