Auditarea Sistemelor Informatice

TEMA 1

CONTROLUL INTERN ÎNTR-UN SISTEM INFORMATIC

Obiective:

- însuşirea unor metode şi tehnici de verificare a corectitudinii prelucrărilor efectuate într-un sistem informatic;

- folosirea controalelor generale şi a controalelor de aplicaţie într-un sistem informatic.

Concepte cheie: controale generale, controale organizatorice, documentaţia de sistem, controale hardware, controale de siguranţă, controale de aplicaţie, controale de intrare, controale de prelucrare, controale de ieşire.

Controlul intern într-un sistem informatic presupune utilizarea unor metode şi tehnici de verificare a corectitudinii rezultatelor prelucrărilor realizate în interiorul său, cunoscute, în literatura de specialitate, sub denumirea de controale. Altfel spus, controlul intern într-un sistem informatic se realizează cu ajutorul controalelor.

În literatura de specialitate, controalele sistemelor informatice sunt clasificate în controale generale şi controale de aplicaţie.

Controalele generale sunt măsuri de protecţie a echipamentelor, datelor şi programelor care privesc toate aplicaţiile unui sistem informatic şi pot fi de următoarele tipuri :

1) controale organizatorice: măsuri organizatorice folosite pentru protecţia la fraude, neatenţie şi/sau neglijenţă;

2) documentaţie de sistem, folosită pentru verificarea funcţionării sistemului, în conformitate cu cerinţele utilizatorului, specificate în proiectul de execuţie;

3) controale hardware (controale de echipament): măsuri de protecţie la defecţiunile tehnice;

4) controale de siguranţă (echipamente şi fişiere): măsuri de protecţie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamităţi (apă, foc etc.).

1. Controale organizatorice în sistemul informatic

Controalele organizatorice sunt metode şi tehnici de organizare a activităţilor desfăşurate de organismele economice, folosite pentru prevenirea pierderilor şi/sau alterărilor de date determinate de fraudă, neatenţie şi/sau neglijenţă, în vederea asigurării unui control intern eficient în sistemele de prelucrare a datelor utilizate de acestea.

Principalele tipuri de controale organizatorice sunt :

a) - definirea clară a funcţiilor, urmată de definirea şi separarea clară a sarcinilor angajaţilor pentru fiecare funcţie;

b) - rotaţia angajaţilor pe funcţii şi vacanţe obligatorii;

c) - selecţia angajaţilor care au acces la echipamentele şi programele sistemului informatic şi acordarea unui spor de fidelitate.

a) Definirea clară a funcţiilor, urmată de definirea şi separarea clară a sarcinilor angajaţilor pentru fiecare funcţie

Pentru folosirea eficientă a fiecărui calculator din dotare, organismele economice combină şi concentrează funcţiile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatică sau centru de calcul sau centru de prelucrare automată a datelor. Dacă funcţiile combinate şi/sau concentrate la nivelul departamentului de informatică sunt considerate incompatibile din punctul de vedere al unui control intern puternic, se realizează controale organizatorice compensatoare la nivelul planului de organizare al departamentului informatic respectiv, deoarece într-un sistem informatic programele şi datele pot fi schimbate, fără a se observa modificarea lor. Planul de organizare al departamentului informatic trebuie astfel conceput încât să prevină intervenţia neautorizată a factorului uman în procesul de prelucrare automată a datelor, să prevină accesul neautorizat al personalului la echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clară a funcţiilor în departament şi prin definirea şi separarea clară a sarcinilor angajaţilor pentru fiecare funcţie.

Directorul departamentului de informatică (managerul) are sarcinile de a

coordona activitatea departamentului de informatică şi de a autoriza tranzacţiile pentru prelucrarea automată a datelor; dacă, din punct de vedere organizatoric, nu este constituit un compartiment specializat de informatică, această funcţie poate lipsi.

Administratorul sistemului informatic are sarcinile de a supraveghea prelucrarea corectă a datelor şi stocarea (memorarea) acestora în sistem.

Grupul de analiză (proiectanţii), care există numai în cazul organismelor

economice cu domeniu de activitate specific sau cu putere economică mare, având, în principal, următoarele sarcini de proiectare şi realizare a sistemului informatic:

- analiza sistemului informatic existent, dacă există;

- definirea obiectivelor organismului economic şi a nevoilor de calcul aferente diferitelor compartimente ale acestuia;

- stabilirea mijloacelor necesare pentru realizarea sistemului informatic;

- descrierea sistemului informatic, folosind diagrame şi instrucţiuni detaliate.