AUDITUL APLICATIILOR

AUDITUL APLICATIILOR

Controlul general si controlul aplicatiilor

Auditul aplicatiei presupune:

Controlul conceperii

Controlul acuratetei, integritatii si completitudinii intrarilor,
prelucrarilor si iesirilor aplicatiei

Controlul integrarii datelor

Controlul functionalitatii

Controlul fiabilitatii

Controlul securitatii

Controlul perenitatii

Controlul exploatarii

Controlul documentatiei

Obiectivele auditului

Auditorul va trebui sa se pronunte asupra calitatii aplicatiei pe care o analizeaza. In acest scop el va trebui sa aiba in vedere urmatoarele probleme:

1. Controlul calitatii metodelor de realizare a aplicatiilor si controlul calitatii procedurilor de exploatare.

O deosebita atentie in procesul auditarii realizarii aplicatiei prezinta urmatoarele tipuri de controale:

Controlul datelor de intrare

Controlul prelucrarilor

Controlul integritatii fisierelor

Controlul iesirilor

Controlul securitatii aplicatiilor

Controlul fisierelor principale (Master Files).

2. Controlul adecvarii aplicatiei la specificatiile functionale precum si controlul adecvarii specificatiilor functionale la obiectivele unui control intern eficient.

In plus, se va urmari daca prin modul in care a fost gandita functionalitatea aplicatiei s-a respectat si principiul separarii functiilor incompatibile. Aceasta cerinta determina ca aplicatia sa ofere una din urmatoarele facilitati:

proceduri de validare a operatiilor de introducere a datelor de catre persoanele cu responsabilitati pe linia autorizarii intrarilor;

proceduri de generare a situatiilor pentru controlul datelor introduse in sistem (pentru analiza posteriori de catre un superior ierarhic);

o combinare a celor doua proceduri prezentate mai sus.

3. Identificarea fraudelor si a erorilor la nivelul aplicatiei

De regula riscurile privind pierderile generate de erorile de realizare sau de exploatare defectuoasa a aplicatiilor sunt mult mai importante decat riscurile generate de actiuni frauduloase. Auditorul nu va proceda la parcurgerea programelor sursa, in schimb va utiliza metode si instrumente informatice specifice pentru auditul aplicatiilor.

Anumite aplicatii prin natura prelucrarilor si sectoarelor de activitate in care sunt utilizate (sectorul bancar, institutiile financiare etc) impun auditorului derularea unor activitati de identificare a posibilelor operatiuni frauduloase.

4. Controlul fiabilitatii aplicatiei si controlul modului in care aceasta este utilizata.

Experinta practica a demonstrat ca o aplicatie poate sa fie fiabila dar prost utilizata (exploatata) sau invers, bine exploatata dar putin fiabila.

O aplicatie bine realizata licatiei - control ce trebuie efectuat chiar de catre utilizatorii ei.

In procesul auditarii aplicatiei se va tine seama de uprezinta proceduri de control care sa limiteze utilizarea sa necorespunzatoare , dar si instructiuni de control al fiabilitatii aprmatoarele aspecte:

Utilizatorii aplicatiei sunt reprezentati de:

- Proprietar care este utilizator principal, are responsabilitatea aplicatiei, dar nu este implicat in executarea aplicatiei ci deleaga sarcini.

- Administrator care are urmatoarele sarcini:

sa asigure functionarea controlului logic asa cum s-a prevazut

sa asigure actualizarea controlului logic

sa verifice existenta backup-ului aplicatiei

sa rezolve cerintele utilizatorilor

sa asigure identificarea, monitorizarea si raportarea problemelor

pastrarea si distributia documentatiei

asigura legatura intre departamentul IT, utilizatorii sistemului si firma software furnizoare a software-ului.

- Utilizatorii curenti pentru care:

Aplicatia reprezinta un instrument de lucru pentru realizarea sarcinilor lor.

Sunt instruiti cum sa foloseasca aplicatia pentru a-si realiza sarcinile de serviciu.

Probele in procesul auditarii

probele pe care auditorul se asteapta sa le obtina in urma auditului

amploarea (intinderea) testelor programate

ce se va considera drept esec al aplicatiei identificat in testarea aplicatiei de catre auditor

cate astfel de esecuri identificate in procesul testarii aplicatiei pot fi tolerate.

Probele pot fi sub forma :

Documente privind politicile si procedurile de securitate:

Listele de control al accesului

Limitele autorizarilor automate ale utilizatorilor

Jurnalele de securitate

Cererile de modificari si modul de solutionare a acestora etc.

Documente privind procedurile de lucru ale aplicatiei

Informatiile culese pe baza interviurilor, chestionarelor,

testelor efectuate

Flowchart-uri ale aplicatiei

Fisiere cu date utilizate in cadrul aplicatiei si fisiere de test

Fisiere jurnal pentru intrari, prelucrari, tratarea erorilor etc.

Rapoarte generate

Fisiere cu erori

Rezultatele testelor controalelor interne din cadrul aplicatiei

Rezultatele evaluarii functionalitatii aplicatiei

Rezultatele testelor privind securitatea aplicatiei.

Probele se pot obtine prin combinarea tehnicilor:

Observarii directe

Intervievarii

Chestionarii

Examinarii

Esantionarii

Controlul intrarilor, prelucrarilor si iesirilor

Controalele aplicatiei

Auditorul, in urma documentarii desfasurate, trebuie sa cunoasca si sa poata evalua controalele manuale si automate existente in sistem. Complexitatea sistemelor informatice contabile impune necesitatea abordarii lor pe subsisteme. Pentru fiecare subsistem in parte auditorul realizeaza diagrame ale fluxurilor de date pentru evidentierea intrarilor, fisierelor utilizate, procesarilor, iesirilor, controalelor manuale si automate  implementate evaluand masura in care sunt suficiente si acoperitoare.

Auditorul va trebui sa raspunda la urmatoarele intrebari:

Care sunt controalele de baza?

Se suprapun, in unele cazuri, controalele manuale peste cele automate? Acest lucru creste gradul de incredere asupra controalelor?

Care sunt controalele interdependente din cadrul aplicatiei?

Exemplu: Creditul fixat pentru un credit card este controlat si in procedura de gestiune a tranzactiilor si trebuie sa fie acelasi cu cel retinut in fisierul CARDURI.

- verificarea procedurilor prin care sunt corectate erorile:

auditorul trebuie sa aiba certitudinea ca aceste proceduri

exista si functioneaza corect. O eroare este considerata o

inexactitate involuntara aparuta in situatiile financiare.

Tipurile de erori cele mai frecvent intalnite sunt erorile de: calcul, inregistrare, contare etc.

Determinarea gradului de incredere al controalelor automate se realizeaza in urma desfasurarii unor teste independente si a testarii controalelor existente in sistem.

Auditorul va trebui sa raspunda la urmatoarele intrebari:

Cine are responsabilitatea acestor controale?

Sunt cele mai adecvate controale ?

Intelegerea si documentarea privind aplicatiile financiare

Auditorul trebuie sa produca dovezi ca a inteles modul de functionare a aplicatiei si controalelor acesteia.

Auditorul a obtinut cunoastere si prin documentarea asupra:

Fluxului tranzactiilor prin sistem

Controalele aplicate intrarilor, prelucrarilor, iesirilor.

- Auditorul trebuie sa identifice si sa cunoasca orice documentatie a aplicatiei existenta la client.

. Controlul intrarilor este folosit pentru a se asigura faptul ca toate tranzactiile sunt:

introduse corect

- complete

valide

autorizate

aferente perioadei de gestiune curente

inregistrate corect in conturi (in cazul aplicatiilor contabile).

Autorizarea

Autorizarea intrarilor reduce riscul erorilor, fraudei si tranzactiilor ilegale.

Autorizarea poate fi controlata prin identificarea utilizatorului, care a introdus datele in sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor. Auditorul va trebui sa verifice daca se introduc doar date autorizate in sistem, cine si cum se autorireaza datele de intrare.

Validarea intrarilor:

se poate realiza manual sau automat

controalele de validare trebuie sa asigure indeplinirea criteriilor
de validare prestabilite a datelor

reduce riscul introducerii de date incorecte.

Controlul datelor de intrare trebuie adaptat la modalitatile diferite de introducere a datelor in sistem :

de la tastatura (unde riscul erorilor este mai mare)

scanarea documentelor

utilizarea perifericelor senzoriale

citirea barelor de cod

ATM-uri si terminale POS

EDI (Electronic Data Interchange) schimb electronic de date

generarea automata a tranzactiilor (exemplu : plati planificate,
calcularea lunara a dobanzilor).

O particularitate a aplicatiilor de gestiune consta in faptul ca nu toate intrarile prezinta un suport material (documente pe suport hartie), multe fiind in format electronic. In cazul preluarii automate sau generarii automate exista riscuri mai mici de eroare fata de preluarea datelor prin tastare.

Tipuri de controale aplicate asupra datelor de intrare

A. Controlul formatului

Se verifica:

Natura datelor

Lungimea datelor (evitarea producerii de trunchieri)

Numarul de zecimale admis

Acceptarea valorilor negative sau doar a celor pozitive

Formatul datei calendaristice

Aplicarea semnului monetar.

B. Controlul domeniului de definitie a atributelor

Urmareste :

incadrarea intr-o multime de valori prestabilita (exemplu:
abrevierile judetelor, tipuri de unitati de masura, tipuri de
documente).

incadrarea intr-un interval de valori prestabilit (exemplu: salariul
angajatilor ia valori in intervalul [2.500.000, 30.000.000]).

validari ale realizarilor unor atribute diferite, numit si testul dependentei logice dintre campuri. Exemplu: validarile privind corespondenta conturilor - contul X se poate debita doar prin creditarea conturilor A,B sau C.

testul 'rezonabilitatii' datelor :

Acest test verifica daca datele sunt rezonabile in raport cu un standard sau date introduse in perioade anterioare. Datele standard pot fi stocate intr-un fisier sau pot reprezenta constante definite la nivelul aplicatiei (exemplu: un standard poate fi reprezentat de numarul de ore lucratoare intr-o luna, stabilit in functie de zilele lucratoare si sarbatorile legale, nivelurile de dobanda practicate de banca etc).

C. Controlul acuratetei aritmetice

Pe baza unor date de intrare introduse de operator pot fi verificate elementele calculate din documentul primar. De exemplu, pe baza cantitatii si pretului unitar al unui articol inscris intr-o factura sistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoarea cu TVA si apoi totalul facturii operatorul putand confrunta aceste sume calculate cu cele inscrise in factura.

D. Controlul existentei datelor

Testul se refera in principal la validarea datelor de intrare reprezentand coduri. Este suficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia sau un mesaj de eroare atentionand asupra introducerii unui cod incorect/inexistent.

E.         Testul cifrei de control

Se aplica asupra datelor de intrare reprezentand elemente codificate si urmareste rejectarea codurilor eronate introduse. Cauza erorii la nivelul elementelor codificate poate fi:

Trunchierea

Adaugarea unui caracter suplimentar

Transcrierea incorecta a codului in documentul primar

Transpozitia caracterelor la introducerea codului.

Testul cifrei de control presupune determinarea cifrei de control aferente codului introdus prin aplicarea automata a algoritmului prestabilit. in masura in care cifra de control determinata automat nu corespunde celei incluse in codul introdus de operator sistemul va trebui sa atentioneze printr-un mesaj corespunzator asupra erorii aparute si sa nu permita salvarea datelor introduse.

F. Testul tranzactiilor duplicate

Auditorul va trebui sa verifice daca sistemul admite introducerea repetata a acelorasi date. De exemplu, introducerea repetata a unui aceluiasi document (factura, bon de consum etc).

Solutionarea tranzactiilor refuzate de sistem

Auditorul va trebui sa verifice:

Cum se solutioneaza tranzactiile neacceptate de sistem (care nu au trecut testul de validare)?

Cine raspunde de verificarea acestor date de intrare si de reintroducerea lor?

Daca sunt generate liste continand intrarile rejectate?

Daca aceste tranzactii rejectate sunt consemnate in documentele primare depistarea erorii este mai usoara si corectarea se poate face fara probleme deosebite. Probleme particulare apar in cazul tranzactiilor on-line.

Controlul prelucrarilor

In derularea procedurilor de control al prelucrarilor auditorul va trebui sa tina seama de:

Ø      Tipologia sistemului informatic:

Sisteme de procesare a tranzactiilor (TPS - Transaction Processing Systems)

Sisteme destinate conducerii curente (MIS - Management Information Systems)

Sisteme suport de decizie (DSS - Decision Support Systems)

Sisteme destinate conducerii strategice (EIS - Executive Support Systems)

Sisteme pentru automatizarea lucrarilor de birou (OAS - Office Automation Systems).

Ø      Modalitatile de introducere a datelor in sistem si procesarea acestora:

Introducere pe loturi - procesare pe loturi

Introducere on line - procesare pe loturi

Introducere on-line - procesare on-line

Ø      Natura prelucrarilor:

In cadrul TPS-urilor, de exemplu, pot fi identificate proceduri de:

Actualizare a bazei de date

Sortare 

Calcul 

Regasirea si afisarea datelor

Generare de rapoarte, grafice etc.

Salvare si restaurare a bazei de date.

Ø         Nivelul de descentralizare a prelucrarilor.

Metode de procesare a datelor

Introducere pe loturi/procesare pe loturi

Aceasta metoda se caracterizeaza prin faptul ca se acumuleaza documente de un anumit tip (intrarile privesc acelasi tip de tranzactii) si apoi se procedeaza la introducerea si prelucrarea lotului respectiv de date.
Procesarea unor tranzactii similare asigura eficienta prelucrarii.
Procesarea pe loturi se realizeaza la momente de timp predefinite (zilnic, saptamanal, lunar sau chiar de mai multe ori in cadrul aceleiasi zile), periodicitatea fiind determinata de numarul tranzactiilor si de natura datelor supuse prelucrarii. :

Un alt avantaj al metodei este reprezentat de posibilitatea utilizarii unor controale care sa verifice corectitudinea si completitudinea prelucrarilor. Se pot utiliza in acest sens urmatoarele tipuri de controale: controlul totalurilor (se realizeaza o insumare a valorilor pentru tranzactiile respective, inaintea procesarii iar acest total se compara cu cel generat automat ca urmare a procesarii tranzactiilor), controlul secventialitatii, fiecare tranzactie avand un numar atribuit in cadrul lotului din care face parte.

Intrari on-line/procesare pe loturi

In cazul acestei metode de procesare datele se introduc direct, pe masura ce se primesc documentele primare. Datele se valideaza pe masura ce sunt introduse de la tastatura si stocate intr-un fisier de tranzactii temporar pe baza caruia se va proceda la actualizarea periodica a fisierului master.

Avantajul metodei este reprezentat de faptul ca validarea datelor se realizeaza imediat dupa introducerea acestora, mesajele de eroare fiind afisate operatorului. In cazul introducerii unor date incorecte (de exemplu: omisiuni sau inversiuni de caractere pentru codul clientului sau al unui produs) sau incomplete, in functie de mesajele de eroare afisate, operatorul reintroduce datele. Un alt avantaj este reprezentat de posibilitatea utilizarii controalelor de total si secventialitate prezentate si in cazul metodei anterioare.

Metoda intrari on-line/procesare pe loturi prezinta doua variante:

introducere on-line cu validare imediata si acces la fisierul master cu
prelucrari periodice ale lotului de date introdus (figura 5. 2 ).

introducere on-line cu validare imediata fara acces la fisierul master si
procesare periodica a lotului de date introduse (figura 5.3 ).

Varianta validarii imediate cu acces la fisierul master

Introducere on-line/procesare on-line

Aceasta metoda se deosebeste de metoda intrari on-line/prelucrare pe loturi prin urmatoarele:

Fisierele master se actualizeaza pe masura introducerii datelor Se creeaza un log al tranzactiilor al carui rol este de a inscrie cronologic toate tranzactiile cu scopul de a oferi posibilitatea urmaririi tranzactiilor, fiecare dintre acestea avand asignat un numar unic.

Aceasta metoda mai este cunoscuta si sub numele de on-line real time (OLRT).

Principalul dezavantaj al metodei este reprezentat de riscul erorilor care pot aparea in fisierul master in cazul unei erori hardware. Solutia pentru minimizarea acestor riscuri consta in introducerea on-line a intrarilor si memorarea actualizarilor fisierului master la momentul introducerii datelor. Aceasta presupune utilizarea unei copii a fisierului master. Jurnalul tranzactiilor va fi folosit periodic pentru actualizarea fisierului master. Din punctul de vedere al utilizatorului acest sistem nu este diferit de intrari on-line/ prelucrari on-line deoarece rezultatele procesarii sunt disponibile imediat, chiar daca validarea completa a tranzactiilor si actualizarea fisierului master sunt finalizate la un moment de timp viitor.

Controlul fisierelor si al bazei de date

Controlul fisierelor reprezinta o activitate laborioasa si deosebit de importanta in procesul auditarii aplicatiei. Acest lucru este urmarea faptului ca realitatea si corectitudinea informatiilor generate de aplicatia auditata sunt determinate in egala masura de acuratetea datelor prelucrate precum si de acuratetea prelucrarilor. De aceea auditorul va trebui sa verifice:

Continuitatea fisierelor

Versiunea fisierelor procesate - Auditorul va trebui sa verifice
daca se prelucreaza fisierul/fisierele precizate in documentatie si
daca se lucreaza cu ultima versiune a acestora. In egala masura
auditorul va verifica daca ultimele versiuni ale fisierelor cuprind
toate corectiile.

Transferul fisierelor in momentul trecerii la exploatarea unui nou
sistem informatic. Se verifica masura in care:

au fost autorizate procedurile de transfer ale fisierelor din vechiul in noul sistem;

procedurile au fost realizate de persoanele imputernicite;

s-a asigurat completitudinea si corectitudinea transferului.

- Solutia aleasa pentru arhitectura bazei de date este cea mai buna
(varianta baza de date centralizata sau baza de date distribuita):

In cazul bazelor de date distribuite auditorul va analiza daca s-a realizat o corecta si eficienta distribuire a datelor in nodurile retelei. Auditorul va determina in ce masura s-a tinut seama de respectarea urmatoarelor cerinte:

Nevoile de informare identificate pentru utilizatorii locali

Asigurarea unui transfer minim al datelor prin retea

Necesitatea protectiei datelor transferate prin retea.

Care au fost criteriile pentru alegerea SGBD-ului Ofera SGBD-ul toate facilitatile privind implementarea controalelor automate, al controlului accesului la baza de date, tabelele bazei de date etc.

Disponibilitatea datelor

Datele, in procesul prelucrarii, datorita reprezentarii binare sunt inaccesibile auditorului in aceasta forma. Mai mult, unele date sunt temporar stocate in memoria calculatorului (datele intermediare de lucru). Acestea reprezinta, in egala masura, particularitati ale prelucrarii automate a datelor dar si un context special in care auditorul isi desfasoara activitatea. In procesul auditarii aplicatiei auditorul verifica acuratetea prelucrarilor si a datelor de intrare, a datelor intermediare de lucru din momentul in care el desfasoara procedurile de audit. De aceea el trebuie sa verifice daca fisierele de intrare folosite au fost cele corecte si s-au executat procedurile de prelucrare cerute de documentatie. Sa luam urmatorul exemplu: in mod voit in derularea unor prelucrari s-au utilizat fisiere al caror continut a fost alterat (modificat) si apoi adus la starea initiala, corecta. Rezultatul prelucrarii va fi bineinteles alterat. Auditand aplicatia, auditorul va obtine alte rezultate ale prelucrarii si va trebui sa determine cauza erorii. El va constata ca programele sunt corecte, fisierele de intrare sunt corecte dar datele intermediare din procesul de prelucrare pe care le verifica acum nu sunt aceleasi din momentul executiei aplicatiei cand informatiile generate au fost incorecte. Auditorul va trebui sa demonstreze ca aplicatia functionand corect fie s-au produs modificari voite in cadrul programelor (care ulterior au fost corectate) fie au fost afectate voit fisierele de intrare.

Controlul prelucrarilor declansate automat

In cazul prelucrarilor declansate automat auditorul trebuie sa verifice:

care sunt evenimentele care declanseaza aceste prelucrari;

cum se realizeaza controlul tranzactiilor generate automat.

Functionalitatea aplicatiei

Auditorul va trebui sa determine masura in care:

Exista anumite prelucrari pe care aplicatia trebuie sa le execute, dar nu le realizeaza sau le realizeaza greoi.

Sunt functionalitati care lipsesc si sa precizeze care sunt acestea.

Aplicatia raspunde stilului si metodei de lucru specifice utilizatorului.

Aplicatia impune un mod de lucru ineficient, o gandire rigida, nenaturala.

Exista un controlul al fluxului prelucrarilor. Auditorul va verifica ce prelucrari trebuie sa se declanseze in anumite circumstante si daca aceste prelucrari se si declanseaza.

S-a realizat testul de load conditions : un program poate functiona nesatisfacator cand este suprasolicitat (volum mare de date de prelucrat intr-un interval scurt de timp sau incarcare maxima intr-un anumit moment).

Verificarea autorizarii programelor

Auditorul va trebui sa raspunda la urmatoarele intrebari:

Se foloseste doar soft autorizat?

Se exploateaza versiunea corecta (autorizata) a aplicatiei? Exista soft freeware instalat? Este autorizat de persoanele imputernicite din firma?

Sunt stabilite persoanele care au dreptul sa faca instalari de noi programe, modificari in programele exploatate si modificari in fisiere? Se respecta aceste restrictii?

Comunicarea sistemului cu utilizatorul

Auditorul va trebui sa formuleze si o opinie privitoare la modul in care se realizeaza comunicarea cu utilizatorul. In acest sens el va trebui sa gaseasca raspuns la urmatoarele intrebari:

Este usor 'sa te pierzi' in program?

Exista optiuni de lucru care pot fi confundate cu altele?

Care sunt mesajele de eroare? Sunt utile, explicite?

Ce informatie este disponibila pe ecran? Este suficienta, clara?

Calitatea asistentei oferite utilizatorului (informatia returnata de tasta HELP de exemplu) este corespunzatoare?

Performante

Auditorul va trebui sa evalueze si performantele sistemului. In cazul sistemelor in timp real, spre exemplu, este foarte important timpul de raspuns al sistemului.

. Controlul datelor de iesire

Controlul datelor de iesire urmareste:

Completitudinea si acuratetea iesirilor

Respectarea termenelor prevazute pentru obtinerea iesirilor

Masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta, monitor sau un anumit fisier.

Distribuirea iesirilor catre persoanele autorizate :

Cine primeste situatiile? Exista persoane imputernicite in acest sens?

Situatiile continand date sensibile sunt preluate pe baza de semnatura?

Cum este asigurata protectia informatiilor confidentiale?

Daca iesirile catre alte aplicatii se realizeaza in formatul pe care acestea il necesita.

Masura in care se realizeaza inregistrarea, raportarea si corectarea erorilor identificate.

In ce masura exista din partea managementului un control asupra acuratetei iesirilor si modului de distribuire a lor.

Controlul securitatii aplicatiei 

Controalele securitatii aplicatiei sunt folosite pentru asigurarea :

Integritatii tranzactiilor si fisierelor;

Acuratetei prelucrarilor;

Separarii sarcinilor incompatibile intre persoanele implicate in procesarea datelor;

Controlul utilizatorilor.

Modalitati de realizare a controlului securitatii aplicatiei:

Controlul securitatii aplicatiei se poate realiza prin:

Identificarea si autorizarea utilizatorilor

Controlul accesului

Monitorizarea activitatii utilizatorilor.

1. Controlul accesului

Impune verificarea de catre auditor a urmatoarelor aspecte:

Controlul accesului la aplicatie prin log-are.

Restrictionarea accesului la modulele aplicatiei.

Exemplu: gestionarul poate sa incarce notele de receptie si constatare de diferente precum si bonurile de consum in modulul de gestiune dar nu poate avea acces la modulul de contabilitate sau cel de calcul al salariilor.

Restrictionarea accesului la anumite functii ale aplicatiei.

Existenta listelor de control al accesului.

Identificarea si autorizarea utilizatorilor

Se realizeaza prin controlul jurnalelor aplicatiei:

Jurnalul ID-urilor si parolelor utilizatorilor: auditorul trebuie sa evalueze politicile de securitate ale aplicatiei si procedurilor din cadrul acesteia.

Controalele efectuate asupra jurnalelor difera de la o aplicatie la alta (nu sunt intotdeauna aceleasi).

Monitorizarea activitatii utilizatorilor

Utilizatorii trebuie urmariti (controlati) cu privire la actiunile pe care le desfasoara.

Monitorizarea actiunilor utilizatorilor asigura:

limitarea erorilor si fraudelor

identificarea utilizatorilor si actiunilor lor

responsabilitatea utilizatorilor pentru rezultatele obtinute in urma procesarii

datelor.

Monitorizarea actiunilor utilizatorilor se realizeaza prin intermediul jurnalelor.

Auditorul poate culege probe deosebit de utile prin verificarea jurnalelor realizate de aplicatie. Auditorul are obligatia sa verifice modul in care este asigurata protectia acestor jurnale pentru ca probele obtinute pe baza lor sa fie credibile.

Identificarea si evaluarea probelor

In identificarea si evaluarea probelor sunt posibile doua abordari:

Abordarea orientata catre date

Abordarea orientata catre sistem.

Misiunea de audit impune, chiar daca predominant sunt desfasurate proceduri orientate catre date, si studierea sistemului informatic in ansamblul sau.

In cazul abordarii orientate catre date :

Se pune accent pe testele datelor de iesire

Daca acuratetea iesirilor, dovedita in urma testelor desfasurate de auditor, este satisfacatoare atunci exista si increderea asupra inregistrarilor si procesarilor din cadrul sistemului.

Este recomandata in cazul sistemelor informatice prezentand o arie restransa si o complexitate redusa.

In cazul abordarii orientate catre sistem auditorul isi focalizeaza atentia asupra sistemului informatic in ansamblul sau: testele asupra controalelor preventive si corective precum si asupra prelucrarilor si securitatii sistemului pot constitui probe pentru auditor ca rezultatele generate de sistem sunt corecte.

Raman valabile prevederile Standardului de audit 500 - Probe de audit care precizeaza

Necesitatea unor probe de audit adecvate si suficiente.
Suficienta indica masura cantitatii probelor de audit.

Gradul de adecvare indica masura calitatii probelor si a relevantei lor.

Rationamentul auditorului privitor la ce inseamna o proba de audit adecvata si suficienta precum si factorii de influenta asupra rationamentului.

Tehnici de audit ale aplicatiilor

Tehnica incercarii

Consta in crearea unui mediu de test, incluzand o copie a aplicatiei si a fisierelor specifice. Se poate astfel controla, in detaliu, modul de functionare a aplicatiei.

Aceasta metoda se recomanda chiar in situatiile in care se doreste testarea unei aplicatii inainte ca aceasta sa fie pusa in exploatarea curenta.

Tehnica incercarii se utilizeaza mai rar datorita greutatii cu care se poate realiza. Ea implica adesea sarcini deosebite pentru informaticienii responsabili cu realizarea bazei de date de test si totodata pentru auditori care trebuie sa cunoasca perfect functionalitatea aplicatiei.

Dintre limitele acestei tehnici de audit amintim:

permite testarea doar a aplicatiei nu si a continutului fisierelor aflate in exploatare;

este dificil sa se realizeze teste exhaustive pentru multitudinea de situatii posibile la care aplicatia trebuie sa faca fata;

nu permite intotdeauna identificarea operatiunilor frauduloase atat timp cat acestea sunt realizate fie prin interventia directa asupra fisierelor, fie prin modificarea temporara a aplicatiei.

Controlul mediului informatic al aplicatiei

Vor fi studiate pentru aplicatia auditata:

Procedurile de dezvoltare si intretinere: instrumente, metodologie, norme, documentatie, proceduri de implementare.

Procedurile de exploatare: securitatea accesului, proceduri de backup, lansarea si controlul prelucrarilor, proceduri de reluare in caz de esec, rezolvarea incidentelor.

Functii tehnice: gestiunea retelei, calculatoarele utilizate.

Organizarea departamentului IT.

Pentru auditor absenta unei metodologii de dezvoltare, lipsa unei documentatii actualizate, lipsa unei monitorizari a incidentelor, "larghetea' in acordarea drepturilor de acces, o politica inadecvata de backup reprezinta semnale importante privitoare la calitatea aplicatiei.

Examinarea controlului intern

Aceasta tehnica presupune:

Realizarea de catre utilizatori de controale de coerenta asupra prelucrarilor. Spre exemplu, in cazul unor aplicatii de contabilitate soldul conturilor din Registrul Cartea mare sa corespunda celor din Balanta de verificare sintetica.

Respectarea principiului separarii functiilor incompatibile.

Existenta unor proceduri de autorizare a accesului.

Competenta personalului implicat: informaticieni si utilizatori curenti.

Existenta 'urmelor de audit' (audit trail) care sa permita furnizarea elementelor necesare reconstituirii, pas cu pas, a prelucrarilor desfasurate.

Existenta unor controale ierarhice, mai ales in cazul procedurilor de validare a datelor introduse in sistem.

Utilizarea de programe de audit specializate

Normele de practica de audit recomanda urmatoarele tehnici de audit asistate de calculator:

Auditarea cu ajutorul calculatorului

Auditarea in afara calculatorului

Auditarea prin calculator

Auditarea cu ajutorul calculatorului

Include testarea calculelor executate in timpul procesarii tranzactiilor, compararea datelor din fisiere diferite atunci cand datele respective ar trebui sa prezinte valori identice etc.

Programul auditorului selecteaza esantionul de test pe baza unor variabile precizate de auditor, datele esantionului generand un fisier de lucru asupra caruia se aplica prelucrarile continute in programul auditorului, auditorului generandu-i-se un raport.

Un esantion de test reprezinta un set de tranzactii selectate aleator, concluziile desprinse din analiza acestora putand fi generalizate la nivelul tuturor tranzactiilor din sistem.

Auditarea in afara calculatorului

Se pleaca de la tranzactiile de intrare ale perioadei auditate, prelucrarea acestora realizandu-se manual. Daca rezultatele obtinute sunt aceleasi cu cele generate de aplicatia auditata inseamna ca logica interna a aplicatiei produce rezultate corecte, acceptate de auditor.

Avantaje:

Este usor de realizat

Nu impune costuri mari

Nu necesita cunostinte privind prelucrarea automata a datelor.

Dezavantaje:

- Calitatea opiniei formulate de auditor depinde de esantionul pe care s-a facut testul (rationamentul auditorului care a condus spre respectivul esantion). Esantionul poate sa nu cuprinda tranzactii capabile sa evidentieze erori de procesare si lipsa unor controale.

Priveste mai mult procesarile finalizate decat prevenirea problemelor legate de prelucrarea in viitor a datelor. Doar daca se identifica o eroare logica auditul conduce la efecte pozitive privind procesarea datelor in viitor.

Realizarea manuala a procedurilor de audit conduce la consum mare de timp.

Auditarea prin calculator

Pleaca de la presupunerea ca anumite date, prelucrate dintr_-o anumita
aplicatie, produc anumite iesiri.

Foloseste teste care sa arate cum sunt prelucrate datele.

Auditorul stabileste datele de test (deci nu se lucreaza cu date reale), simuland tranzactii care prin cazuistica lor pot evidentia eventualele carente ale controalelor si prelucrarilor urmarind sa verifice daca datele de test declanseaza controalele corespunzatoare. Auditorul compara rezultatele prelucrarii datelor de test prin sistemul auditat cu iesirile anticipate de el.

Se pleaca de la ideea ca cea mai buna testare este cea realizata in conditii reale de exploatare. Auditorul va trebui sa raspunda si la urmatoarele intrebari :

- Au operatorii la dispozitie doar versiunea executabila a aplicatiei sau si programul sursa?

- Au programatorii acces doar la modulele in lucru (activitatea de dezvoltare a aplicatiilor) si de test ale aplicatiilor sau au acces si la aplicatia curenta aflata in exploatare?

Testele auditorului trebuie sa se efectueze fara a fi anuntate. Se evita astfel posibilitatea ca persoanele implicate in fraudare sa stearga urmele interventiei lor refacand fisierele si aducand aplicatia la versiunea corecta.

Atunci cand auditorul are anumite temeri legate de acuratetea prelucrarilor poate opta pentru aplicarea urmatoarelor teste :

Testul lungimii fisierului aplicatiei (testul byte-count)

Compara lungimea in bytes a fisierului continand aplicatia aflata in exploatare cu backup-ul aplicatiei. Testul este elocvent pentru ca este imposibil sa realizezi modificari intr-un program fara ca lungimea acestuia sa nu se modifice.

Eventualele diferente intre lungimile celor doua aplicatii impun identificarea modificarilor si estimarea consecintelor acestora.

Testul logicii programului

Se executa atunci cand auditorul are convingerea ca in program s-au facut modificari neautorizate.

Copia de siguranta a aplicatiei se considera autentica si va constitui proba martor.

Presupune executarea unui program care compara byte cu byte aplicatia aflata in exploatare cu backup-ul.

Ansamblul programelor folosite de auditor in realizarea misiunii sale se cuprind in conceptul generic de tehnici de audit asistate de calculator (CAAT).

Definirea, descrierea si prezentarea modului de utilizare a CAAT se gaseste in Standardul de audit nr. 1009 - Tehnici de audit asistate de calculator.

In conformitate cu acest standard:

Software-ul pentru audit consta in programe utilizate de catre auditor, ca parte a procedurilor de audit, pentru a procesa date cu semnificatie pentru audit din sistemul contabil al firmei auditate.

El poate consta din :

Pachete de programe - programe generalizate, proiectate sa efectueze functii de procesare a datelor ca de exemplu: citirea fisierelor, selectarea informatiilor, executarea calculelor, crearea fisierelor, tiparirea de rapoarte in structura ceruta de auditor.

Programe realizate pentru un anumit scop - programe realizate sa execute sarcini de audit in circumstante specifice. Pot fi elaborate de auditor, de specialistii firmei auditate sau de un informatician angajat de auditor.

Programe utilitare - programe de utilitate generala, care nu sunt proiectate special pentru scopuri de audit. Realizeaza sortari, creari de fisiere, listari de fisiere, copieri etc.

- Se introduce in cadrul aplicatiei o procedura care sa insereze in prelucrare, la intervale aleatorii, datele de test.

- La sfarsitul testarii fisierele aplicatiei trebuie aduse in starea lor corecta (fara tranzactiile de test inserate de programul auditorului). 

	Figura 5.6 Auditare prin calculator (cu date de test)

- Pasii de parcurs in aplicarea unui CAAT:

Stabilirea obiectivului CAAT;

Determinarea continutului si accesibilitatii la fisierele sistemului auditat;

Definirea tipurilor de tranzactii ce vor fi testate;

Definirea procedurilor aplicate datelor;

Definirea cerintelor cu privire la iesiri;

Identificarea personalului de audit si operatorilor care pot participa la proiectarea si aplicarea CAAT;

Estimarea costurilor si beneficiilor;

Asigurarea ca utilizarea CAAT este controlata si documentata corespunzator;

- Organizarea activitatiilor administrative, asigurarea aptitudinilor necesare personalului implicat si a facilitatilor computerizate;

Executarea aplicatiei CAAT;

- Evaluarea rezultatelor.

Ce controale presupune auditul aplicatiei

Ce tipuri de controale presupune Controlul calitatii metodelor de realizare a aplicatiilor si controlul calitatii procedurilor de exploatare

Ce facilitati poate sa ofere aplicatia pentru a respecta principiul separarii functiilor incompatibile

De regula riscurile privind pierderile generate de erorile de realizare sau de exploatare defectuoasa a aplicatiilor sunt mult mai importante decat riscurile generate de actiuni frauduloase. Care sunt acele aplicatii care impun auditorului derularea unor activitati de identificare a posibilelor operatiuni frauduloase?

Ce demonstreaza experienta practica in legatura cu relatia dintre fiabilitatea aplicatiei si modul in care este ea utilizata? Ce proceduri si/sau instructiuni trebuie sa prezinte o aplicatie bine realizata pentru a permite exercitarea controlului fiabilitatii aplicatiei si controlul modului in care aceasta este utilizata?

De ce sarcini ale administratorului de retea se va tine seama in procesul auditarii aplicatiei

Sub ce forma poate acumula auditorul probele de care are nevoie pentru a-si sustine concluziile sale cu privire la auditul aplicatiei

Referitor la tranzactii ce se urmareste prin controlul intrarilor

Cum poate fi controlata autorizarea intrarii tranzactiilor

Ce se poate spune despre validarea intrarilor de date

Care sunt tipurile de controale aplicate asupra datelor de intrare

. Ce se verifica in cadrul controlului formatului

Ce urmareste controlul domeniului de definitie a atributelor

Cum pot fi verificate elementele calculate din documentul primar

Cum se face controlul existentei datelor

Ce stiti despre testul cifrei de control

Ce stiti despre testul tranzactiilor duplicate

. Ce trebuie sa verifice auditorul in legatura cu modul cum sunt solutionte tranzactiilor refuzate de sistem

Ce trebuie sa aiba auditorul in vedere cu ocazia derularii procedurilor de control al prelucrarilor

Ce va trebui sa verifice auditorul in cadrul controlului fisierelor si al bazei de date

Ce va trebui sa determine auditorul in legatura cu functionalitatea aplicatiei

. La ce intrebari legate de comunicarea sistemului cu utilizatorul va trebui sa gaseasca raspuns auditorul

196.Ce urmareste controlul datelor de iesire

Ce se asigura prin controalele securitatii aplicatiei

Prin ce se realizeaza controlul securitatii aplicatiei

. Ce aspecte trebuie sa verificarea auditorul refritor la controlul accesului

Printre tehnicile de audit ale aplicatiilor se afla si tehnica incercarii. In ce consta aceasta tehnica

BIBLIOGRAFIE

1. Ali Eden, Victoria Stanciu, "Auditul sistemelor informatice", ed. Dual Tech. Bucuresti, 2004

2. Gheorghe Popescu, "Auditul sistemelor informatice", note de curs si raspunsuri la intrebari, disponibile pe discheta.