CONTROALELE APLICATIILOR

CONTROALELE APLICATIILOR

NECESITATEA CONTROALELOR APLICATIILOR

Controalele aplicatiilor privesc atat datele cat si prelucrarile legate de acestea, fiind specifice fiecarei aplicatii. Indiferent ca sunt manuale sau automate controalele aplicatiilor au rolul de a asigura completitudinea si acuratetea inregistrarilor si prelucrarilor. Controalele se aplica intrarilor, prelucrarilor si iesirilor aplicatiilor.

Inainte de a proceda la prezentarea controalelor aplicatiilor consideram necesar a preciza necesitatea intelegerii interdependentei dintre controlale generale si controalele aplicatiilor. Introducerea unui nou sistem poate determina deficiente la nivelul controalelor generale care, la randul lor, vor afecta in sens negativ functionarea eficienta a controalelor aplicatiilor. Chiar daca controalele aplicatiilor vor continua sa functioneze, daca controlele generale sunt inadecvate, riscul ca acestea (controalele aplicatiilor) sa fie ingradite este ridicat. Controlele generale sunt necesare ca suport in functionarea controlelor aplicatiilor, dar ambele -controlele generale si controalele aplicatiilor- sunt necesare pentru a asigura procesarea completa si corecta a informatiilor.

Controalele aplicatiilor trebuie sa asigure faptul ca :

Sunt introduse in aplicatii doar date valide, complete si corecte, asigurandu-se integritatea si credibilitatea datelor.

Procesarea datelor se desfasoara corect iar datele din sistem sunt corecte, relevante, protejate impotriva accesului neautorizat si disponibile la nevoie.

Iesirile prelucrarilor sunt corecte raspunzand specificatiilor.

Se asigura intretinerea datelor.

Controlele aplicatiilor sunt reprezentate de : teste de editare, totaluri, reconcilieri etc care vor permite identificarea si raportarea datelor incorecte, lipsa si exceptiile. Investigarea corecta a exceptiilor presupune derularea atat de controale automate cat si de proceduri amnuale.

Consistenta, acuratetea si continuitatea controalelor din sistem ofera auditorului certitudinea asupra acuratetei si completitudinii datelor, calitatii prelucrarilor ceea ce il va ajuta la determinarea naturii, intinderii si complexitatii testelor pe care urmeaza sa le desfasoare. Complexitatea sistemelor informatice de gestiune impune necesitatea abordarii lor pe subsisteme si o solida documentare a auditorului cu privire la sistemul auditat. Auditorul trebuie sa identifice si sa cunoasca orice documentatie a aplicatiei existenta la client sau sa valorifice orice sursa de documentare care-i poate furniza informatii suplimentare. In vederea realizarii sarcinilor sale, auditotul sistemului informatic trebuie sa :

Identifice componentele semnificative ale aplicatiei.

Sa inteleaga fluxul tranzactiilor. In acest sens el poate apela la realizarea de diagrame ale fluxurilor de date pentru evidentierea:

intrarilor

fisierelor utilizate

procesarilor

iesirilor

controalele manuale si automate implementate evaluand

masura in care sunt suficiente si acoperitoare.

Testarea controalelor pentru a avea certitudinea ca acestea functioneaza corect si eficient.

Auditorul va trebui sa raspunda la urmatoarele intrebari:

Care sunt controalele de baza?

Se suprapun, in unele cazuri, controalele manuale peste cele automate? Acest lucru creste gradul de incredere asupra controalelor?

Care sunt controalele interdependente din cadrul aplicatiei? Cine are responsabilitatea acestor controale?

Evaluarea adecvarii si eficientei controalelor, evidentiind punctele forte ale acestora, punctele slabe si consecintele ineficientei si inadecvarii acestora. Pentru aceasta se procedeaza la valorificarea rezultatelor testelor efectuate.

Compararea aspectelor operationale ale aplicatiei cu standardele de programare.

CONTROLUL INTRARILOR

Este folosit pentru a se asigura faptul ca toate datele sunt :

- introduse corect

- complete

- valide

- autorizate

- aferente perioadei de gestiune curente

- inregistrate corect in conturi (in cazul aplicatiilor contabile).

In egala masura trebuie sa subliniem faptul ca in cadrul mediilor de procesare integrata iesirile unui sistem devin intrari pentru un altul. De aceea auditorul trebuie sa cunoasca sistemul informatic in toata complexitatea sa si sa inteleaga corect fluxul tranzactiilor.

Autorizarea

Autorizarea intrarilor reduce riscul erorilor, fraudei si tranzactiilor ilegale. Autorizarea poate fi controlata prin identificarea utilizatorului, care a introdus datele in sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor. Auditorul va trebui sa verifice daca se introduc doar date autorizate in sistem, cine si cum se autorireaza datele de intrare.

Autorizarea se poate efectua online la momentul introducerii datelor. Principiul segregarii atributiilor determina efectuarea a doi pasi distincti de catre doi untilizatori autorizati sa aiba acces la aplicatie : introducerea datelor si respectiv autorizarea datelor. Este deosebit de importanta existenta unor controale care sa asigure ca datele autorizate raman neschimbate.

In cadrul apliactiilor pot fi identificate mai multe tipuri de autorizari :

Semnarea documentelor primare sau a formularelor de tip batch.

Controale ale accesului asigurand ca doar persoanele autorizate sa poata avea acces la aplicatie pentru interducere de date si respectiv executarea procesarilor.

Parole unice asigurand mijloace sigure de identificare a accesului autorizat.

Identificarea statiilor de lucru sau terminalelor : permite limitarea introducerilor de date de la anumite statii de lucru/terminale dar si a utilizatorilor (restrictionati sa lucreze pe anume terminale/statii).

Documente sursa : un document sursa poate fi un documet pe suport hartie sau un formular afisat online. Proiectarea corecta a documentelor asigura viteza la introducerea datelor, dar ceea ce este si mai important limiteaza riscul de eroare a datelor introduse, controleaza fluxul datelor, sporeste viteza si acuratetea cu care datele pot fi citite. Aceste documente sursa sunt pretiparite si se caracterizeaza prin :

Gruparea campurilor similare pentru facilitatea introducerii de date

Ofera coduri predefinite pentru introducerea datelor care sa permita limitarea erorilor

Contin identificatori utili in cautarea si urmarirea tranzactiilor

Asigura spatii rezervate autorizarii de catre management.

Validarea intrarilor:

se poate realiza manual sau automat

controalele de validare trebuie sa asigure indeplinirea criteriilor de validare prestabilite a datelor

- reduce riscul introducerii de date incorecte.

Maxima "garbage in - garbage out" atentioneaza asupra importantei acuratetei datelor de intrare. Este mai eficient sa aloci resurse pentru asigurarea acuratetei si completitudinii datelor de intrare decat sa fii nevoit sa le corectezi in timpul sau, mai grav, dupa incheierea procesului de prelucrare si chiar a depunerii situatiilor financiare.

Controlul datelor de intrare trebuie adaptat la modalitatile diferite de introducere a datelor in sistem :

- de la tastatura (unde riscul erorilor este mai mare)

- scanarea documentelor

- utilizarea perifericelor senzoriale

- citirea barelor de cod

- ATM-uri si terminale POS

- EDI (Electronic Data Interchange)

- generarea automata a tranzactiilor (exemplu : plati planificate, calcularea lunara a dobanzilor).

O particularitate a aplicatiilor de gestiune consta in faptul ca nu toate intrarile prezinta un suport material (documente pe suport hartie), multe fiind in format electronic. In cazul preluarii automate sau generarii automate exista riscuri mai mici de eroare fata de preluarea datelor prin tastare.

TIPURI DE CONTROALE APLICATE ASUPRA DATELOR DE INTRARE

Controale specifice introducerii de tranzactii pe loturi

Controale specifice introducerii de date pe loturi asigura controlul la nivelul totalurilor calculate pentru lotul respectiv de documente. Literatura de specialitate recomenda utilizarea urmatoarelor tipuri de astfel de controale:

Totalul inregistrarilor (total items): verificarea faptului ca totalul pozitiilor din documentele justificative apartinand unui lot de documente este egal cu totalul inregistrarilor introduse. Spre exemplificare sa presupunem ca un lot de facturi urmeaza a fi introdus in aplicatia de gestiune. Fiecare factura prezinta un numar de pozitii corespunzatoare produselor facturate. Controlul prin totalul numarului de inregistrari ne evidentiaza daca au fost introduse toate pozitiile inscrise in lotul de facturi ce trebuia procesat.

Totalul valorilor monetare (total monetary amount) presupune verificarea egalitatii intre totalul unui camp monetar dintr-o intrgistrare determinat in mod automat si totalul aceluiasi camp caculat independent pe baza documentelor existente in lot. In cazul identitatii celor doua totaluri inseamna ca toate documentele au fost introduse corect. Revenind la exemplu de mai sus acest control al valorilor monetare se poate aplica campului valoare produs aferent fiecarei pozitii din facturile lotului.

Totalul documentelor (total documents presupune verificarea egalitatii intre totalul numarului de documente procesate (existente in lot) si totalul documentelor introduse prin intermediul aplicatiei si determinat automat de catre aceasta.

Totaluri aplicate campurilor numemrice predeterminate (hash totals) presupune verificarea egalitatii intre totalul obtinut prin insumarea valorii campului predeterminat pentru tot lotul de documente si valoarea calculata prin sistem pentru acelasi camp. Revenind la exemplul cu lotul de facturi, in cazul unei aplicatii de contabilitate acest total poate fi aplicat simbolului contului de furnizor. Pentru un lot de 10 facturi totalul ar fi 4010 (10*401, unde 401 este simbolul contului de furnizori). Acest total arata daca s-au introdus toate facturile si/sau toate simbolurile de conturi s-au introdus corect (intotdeauna 401).

In cazul introducerii documentelor pe loturi este bine sa fie utilizate documente pretiparite, prezentand valori pretiparite pentru toate campurile care se preteaza la o astfel de atribuire de valori scopul urmarit fiind limitarea erorilor la introducerea datelor (ex. Codul tranzactiei, numar factura - pentru cele emise de firma etc).

Raportarea si corectarea erorilor

Aplicatiile trebuie sa dispuna de controalele necesare validarii datelor si identificarii tranzactiilor duplicate. Aceste erori de introducere a datelor pot afecta semnificativ compeltitudinea si acuratetea datelor. De aceea se procedeaza la :

Rejectarea tranzactiilor eronate, sunt rejectate doar tranzactiile eronate (care nu au trecut de controalele de validare), restul tranzactiilor fiind procesate.

Rejectarea intregului lot de tranzactii, intregul lot de tranzactii va fi rejectat.

Tinerea lotului in asteptare, lotul nu este rejectat dar trece in starea de asteptare pina la corectarea erorilor.

Acceptarea lotului si marcarea tranzactiilor continand erori. Lotul va fi introdus in intregime dar tranzactiile eronate vor fi marcate distinct pentru efectuarea ulterioara a corectiilor.

Tehinicile de control al intrarilor sunt:

Jurnalul tranzactiilor (transaction log) contine lista detaliata a tuturor actualizarilor. Jurnalul poate fi realiat manual sau automat. In practica se procedeaza la reconcilierea intre numarul de documente introduse si numatul tranzactiilor inscrise in jurnal (log).

Reconcilierea datelor permite verificarea faptului ca toate datele primite au fost inregistrate corect si procesate.

Documentatie: se refera la evidenta scrisa realizata de utilizator cu privire la datele introduse (numar de documente) si rezultatele controalelor procedurii.

Proceduri de corectare a erorilor includ:

inregistrarea erorilor

efectuarea corectiilor la timp

aprobarea corectiilor

suspendarea fisierului

validitatea corectiilor

Anticiparea: utilizatorul sau controlul de grup anticipeaza primirea datelor.

Jurnalul transmiterilor (transmital log) Documentele de transmitere sau primire a datelor.

Anularea documentelor sursa: marcarea documentelor care au fost introdese pentru a se evita introducerea duplica.

Controlul integritatii loturilor se aplica si in cazul sistemelor online sau a bazelor de date. Loturile pot fi stabilite in acest caz la nivelul tranzactiilor unei zile, tranzactiilor introduse de la un anume terminal sau de o anumita persoana.

PROCEDURI DE PRELUCRARE SI CONTROL

Auditorul sistemului informatic trebuie sa cunoasca si sa inteleaga procedurile si controalele cere se executa in cadrul acestora pentru a evalua masura in care aceste controale sunt adecvate, suficiente si eficiente.

Validarea datelor si proceduri de editare

Aplicatiile trebuie sa asigure faptul ca datele introduse sunt validate si editate cat mai aproape de momentul initierii operatiei de introducere. Utilizarea formatelor predefinite pentru introducerea datelor asigura introducerea corecta a datelor in campuri si respectarea formatului predefinit al campurilor. Daca procedurile de introducere a datelor permit supervizorilor sa "ocoleasca" validarea datelor si editarea este necesara generarea automata de jurnale ale tranzactiilor.

Validarea datelor permite identificarea erorilor, incompletitudinea, inconsistenta sau lipsa datelor. Editarea si validarea front-end a datelor se poate realiza si prin intermediul unor terminale inteligente.

Controalele de editare sunt controale preventive deoarece ele nu permit procesarea de date eronate. Daca aceste controale nu sunt eficiente este afectat procesul de prelucrare prin procesarea de date inexacte. Aplicatiile pot cuprinde urmatoarele tipuri de controale de validare si editare:

A. Controlul formatului

Se verifica :

Natura datelor

Lungimea datelor (evitarea producerii de trunchieri)

Numarul de zecimale admis

Acceptarea valorilor negative sau doar a celor pozitive

Formatul datei calendaristice

Aplicarea semnului monetar.

B. Controlul domeniului de definitie a atributelor

Urmareste :

incadrarea intr-o multime de valori prestabilita (validity check). Exemplu: abrevierile judetelor, tipuri de unitati de masura, tipuri de documente.

incadrarea intr-un interval de valori prestabilit (range check). Exemplu: salariul angajatilor ia valori in intervalul [2.500.000, 30.000.000].

respectarea unei valori limita (limit check). Exemplu : un camp nu poate lua valori peste o anumita limita (bursa unui student nu poate depasi 400 RON).

respectarea secventei de valori atribuite unui camp (sequence check). Exemplu : numarul facturii emise de catre firma trebuie sa respecte secventa numerelor aferente facturierului.

validari ale realizarilor unor atribute diferite, numit si testul dependentei logice dintre campuri (logical relationship check). Exemplu: validarile privind corespondenta conturilor - contul X se poate debita doar prin creditarea conturilor A,B sau C.

testul "rezonabilitatii" datelor (reasonableness check): Acest test verifica daca datele sunt rezonabile in raport cu un standard sau date introduse in perioade anterioare. Datele standard pot fi stocate intr-un fisier sau pot reprezenta constante definite la nivelul aplicatiei (exemplu: un standard poate fi reprezentat de numarul de ore lucratoare intr-o luna, stabilit in functie de zilele lucratoare si sarbatorile legale, nivelurile de dobada practicate de banca etc).

respectarea valorilor specificate in cadrul unor grile, tabele (table look-ups). Testul verifica masura in care datele introduse respecta criterii predefinite stabilite prin tabele de valori tetinute in aplicatie. Spre exemplu in cazul sporurilor de vechime aplicatia va retine sporul aferent fiecarui interval de vechime stabilit prin reglementarile in domeniu.

testul completitudinii (completness check) : campul trebuie sa cuprinda orice al caracter decat zero sau spatiu. Verificarea se realizeaza pentru fiecare digit din componenta campului.

C. Controlul acuratetei aritmetice

Pe baza unor date de intrare introduse de operator pot fi verificate elementele calculate din documentul primar. De exemplu, pe baza cantitatii si pretului unitar al unui articol inscris intr-o factura sistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoarea cu TVA si apoi totalul facturii operatorul putand confrunta aceste sume calculate cu cele inscrise in factura.

D. Controlul existentei datelor (existence check)

Testul se refera in principal la validarea datelor de intrare reprezentand coduri. Este suficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia sau un mesaj de eroare atentionand asupra introducerii unui cod incorect/inexistent.

E. Testul cifrei de control

Se aplica asupra datelor de intrare reprezentand elemente codificate si urmareste rejectarea codurilor eronate introduse. Cauza erorii la nivelul elementelor codificate poate fi :

Trunchierea

Adaugarea unui caracter suplimentar

Transcrierea incorecta a codului in documentul primar

Transpozitia caracterelor la introducerea codului.

Testul cifrei de control presupune determinarea cifrei de control aferente codului introdus prin aplicarea automata a algoritmului prestabilit. In masura in care cifra de control determinata automat nu corespunde celei incluse in codul introdus de operator sistemul va trebui sa atentioneze printr-un mesaj corespunzator asupra erorii aparute si sa nu permita salvarea datelor introduse.

F. Testul tranzactiilor duplicate (duplicate check)

Auditorul va trebui sa verifice daca sistemul admite introducerea repetata a acelorasi date. De exemplu, introducerea repetata a unui aceluiasi document (factura, bon de consum etc).

Solutionarea tranzactiilor rejectate

Auditorul va trebui sa verifice:

Cum se solutioneaza tranzactiile neacceptate de sistem (care nu au trecut testul de validare)?

Cine raspunde de verificarea acestor date de intrare si de reintroducerea lor?

Daca sunt generate liste continand intrarile rejectate?

Daca aceste tranzactii rejectate sunt consemnate in documentele primare depistarea erorii este mai usoara si corectarea se poate face fara probleme deosebite. Probleme particulare apar in cazul tranzactiilor on-line.

Controalele de procesare asigura completitudinea si acuratetea datelor si posibilitatea efectuarii doar de modificari autorizate. Tehnicile de asigurare a acuratetei si completitudinii datelor sunt:

1. Recalculari manuale: pentru un esantion de date se procedeaza la recalculari manuale pentru a se verifica daca s-au realizat corect prelucrarile prevazute rin aplicatie.
2. Editare: un control de editare se realizeaza printr-un program sau subrutina care pemite verificarea acuratetei, compltitudinii si validitatii datelor. Un astfel de program poate fi utilizat in verificarea datelor introduse sau dupa procesarea datelor.
3. Verificari de-a lungul stadiilor de prelucrare (run-to-run totals) ofera posibilitatea de a verifica valorile datelor in diferitele stadii de prelucrare. Exemplu numarul inregistrarilor citite este egal cu cel al inregistrarilor actualizate.
4. Controale programate (programmed controls): programele trebuie sa identifice si corecteze erorile in procesarea datelor. Spre exemplu in cazul procesarii unui fisier sau versiuni incorecte se va emite un mesaj de atentionare.
5. Rezonabilitatea valorilor calculate (reasonableness verification of calculated amounts): aplicatiile pot contine controale pentru verificarea rezonabilitatii valorilor calculate in raport cu unele criterii prestabilite. Tranzactiile care nu trec acest test vor fi rejectate si supuse unei verificari.
6. Valori limita pentru campuri calculate (limit ckecks on calculated amounts): valorile calculate sunt verificate in raport cu valori limita prestabilite. Tranzactiile care nu trec acest test vor fi rejectate si supuse unei verificari.
7. Reconcilierea totalurilor fisierului ( reconciliation of file totals): reconciliere se poate realiza in raport cu totaluri realizate manual, cu un fisier de control independent sau controlul inregistrarilor fisierului.
8. Lista inregistrarilor eronate (exception report): se procedeaza la listarea inregistrarilor care nu au trecut de controalele de validare.

Proceduri de control al fisierelor

Controalele asupra fisierelor urmaresc ca doar prelucrarile autorizate sa fie executate asupra datelor stocate. Fisierele supuse acestor controale sunt reprezentate de:

Parametrii de control ai sistemului (system control parameters): importanta controlului acestor intrari este data de faptul ca acesti paarmetrii pot schimba modul de lucru al sistemului si afecta controalele realizate de sistem. De aceea orice modificari in aceste fisiere trebuie controlete si autorizate la fel ca in cazul modificarilor de progarme.

Constante (standing data) reprezinta date care nu cunosc modificari frecvente in timp (simboluri de conturi, codul de identificare al angajatilor, codul si adresa furnizorilor si clientilor etc). De aceea orice modificari in aceste fisiere trebuie aprobate iar procesele de audit trail trebuie sa inregistreze toate modificarile.

Fisierele Master/balante (Master data/balance data): Executarea balantelor si totalurilor actualizate in baza tranzactiilor nu pot fi ajustate decat sub strict control.Procesele de audit trail sunt importante in acest caz deoarele rapoartele pot avea implicatii asupra datelor financiare ale firmei.

Fisiere de tranzactii (transaction files) sunt supuse controlului prin validari, controale ale totalurilor, litele inregistrarilor rejecatate etc.

Prezentam cateva dintre controalele asupra fisierelor:

1. Raportarea erorilor de intretinere si manipulare (maintenance errors reporting and handling): controalele procedurilor trebuie sa ofere siguranta ca toate erorile raportate au fost reconciliate la timp si corectate. Principiul segregarii functiilor incompatibile impune ca persoana care solutioneaza erorile sa fie diferita de cea care a introdus datele in sistem.
2. Retinerea documentelor sursa (source documentation retention): documetele sursa trebuie pastrate pe o perioada de timp adecvata in raport cu natura informatiilor continute (pentru unele dintre aceste documente exista prevederi legale privind perioada de pastrare). Pe baza documentelor sursa se poate proceda la regasire, rconstituirea si/sau varificarea datelor. De aceea este necesara elaborarea unei politici privind pastrarea documentelor si a procedurilor de distrugere a acestora dupa ce perioada de pastrare a expirat.
3. Etichetarea interna si externa (internal and external labeling): modul de etichetare a volumelor de memorie externa este extrem de important pentru identificarea si procesarea corecta a datelor stocatein acestea. Etichetarea interna exte utila verificarilor automate privind corectitudinea fisierelor supuse prelurarii.
4. Versiunea fisierelor (version usage) este necesara verificarea versiunii fisierului supus prelucrarii pentru a avea certitudinea ca este cea corecta.
5. Securitatea fisierelor (data file security) : controalele securitatii fisierului nu privesc acuratetea datelor ci dau siguranta ca nu a fost permis accesul persoanelor neautorizate la aplicatie pentru a se modifica datele stocate.
6. Reconcilierea listelor cu tranzactii cu documentele sursa (one-to-one checking): pentru a avea certitudinea ca s-au introdus corect toate documentele se procedeaza la verificerea jurnalului inregistrarilor cu fiecare document primar.
7. Intrari preinregistrate: anumite valori prezinta valori implicite in ecranele de introducere date pentru a se diminua riscul erorii de culegere a datelor de la tastatura.
8. Jurnalele tranzactiilor (transaction logs): se procedeaza la listarea tranzactiilor introduse de fiecare operator (jurnalul va cuprinde informatia privind ID-ul pesoanei care a introdus datele si statia de la care a lucrat).
9. Autorizarea actualizarii si intretinerii fisierelor (file updating and maintenance authorization): trebuie sa existe autorizarea actualizarilor efectuate pentru a avea certitudinea ca datele sunt protejate in mod adecvat. Aplicatiile trebuie sa cuprinda controale privind restrictiile de acces.
10. Verificarea de paritate (parity check) reprezinta o tehnica de control asupra datelor transmise prin caile de comunicatie. Transmisiile se verifica prin tehnici de detectare a erorilor de tipul verificarii prin lungimea masurata in biti a datelor transmise sau identificarea transmisiilor redundante.

Controlul fisierelor reprezinta o activitate laboriloasa si deosebit de importanta in procesul auditarii aplicatiei. Acest lucru este urmarea faptului ca realitatea si corectitudinea informatiilor generate de aplicatia auditata sunt determinate in egala masura de acuratetea datelor prelucrate precum si de acuratetea prelucrarilor. De aceea auditorul va trebui sa verifice si urmatoarele aspecte:

- Continuitatea fisierelor

- Modul de migrare a datelor de pe o aplicatie pe alta. Se verifica masura in care:

au fost autorizate procedurile de transfer al fisierelor din vechia in noua aplicatie;

procedurile au fost realizate de persoanele imputernicite;

s-a asigurat completitudinea si corectitudinea transferului.

- Solutia aleasa pentru arhitectura bazei de date este cea adecvata (varianta baza de date centralizata sau baza de date distribuita). In cazul bazelor de date distribuite auditorul va analiza daca s-a realizat o corecta si eficienta distribuire a datelor in nodurile retelei. Auditorul va determina in ce masura s-a tinut seama de respectarea urmatoarelor cerinte:

Nevoile de informare identificate pentru utilizatorii locali

Asigurarea unui transfer minim al datelor prin retea

Necesitatea protectiei datelor transferate prin retea.

Controlul prelucrarilor

In derularea procedurilor de control al prelucrarilor auditorul va trebui sa tina seama de:

Tipologia sistemului informatic

- Sisteme de procesare a tranzactiilor (TPS - Transaction Processing Systems)

- Sisteme destinate conducerii curente (MIS - Management Information Systems)

- Sisteme suport de decizie (DSS - Decision Support Systems)

- Sisteme destinate conducerii strategice (EIS - Executive Support Systems)

- Sisteme pentru automatizarea lucrarilor de birou (OAS - Office Automation Systems).

Modalitatile de introducere a datelor in sistem si procesarea acestora

- Introducere pe loturi - procesare pe loturi

- Introducere on line - procesare pe loturi

- Introducere on-line - procesare on-line

Natura prelucrarilor

In cadrul TPS-urilor, de exemplu, pot fi identificate proceduri de:

- Actualizare a bazei de date

- Sortare

- Calcul

- Regasirea si afisarea datelor

- Generare de rapoarte, grafice etc.

- Salvare si restaurare a bazei de date.

Nivelul de descentralizare a prelucrarilor.

Metode de procesare a datelor

Introducere pe loturi/procesare pe loturi

Aceasta metoda se caracterizeaza prin faptul ca se acumuleaza documente de un anumit tip (intrarile privesc acelati tip de tranzactii) si apoi se procedeaza la introducerea si prelucrarea lotului respectiv de date. Procesarea unor tranzactii similare asigura eficienta prelucrarii. Procesarea pe loturi se realizeaza la momente de timp predefinite (zilnic, saptamanal, lunar sau chiar de mai multe ori in cadrul aceleiasi zile), periodicitatea fiind determinata de numarul tranzactiilor si de natura datelor supuse prelucrarii.

Un alt avantaj al metodei este reprezentat de posibilitatea utilizarii unor controale care sa verifice corectitudinea si completitudinea prelucrarilor. Se pot utiliza in acest sens urmatoarele tipuri de controale: controlul totalurilor (se realizeaza o insumare a valorilor pentru tranzactii respective, inaintea procesarii iar acest total se compara cu cel generat automat ca urmare a procesarii tranzactiilor), controlul secventialitatii, fiecare tranzactie avand un numar atribuit in cadrul lotului din care face parte.

Intrari on-line/procesare pe loturi

In cazul acestei metode de procesare datele se introduc direct, pe masura ce se primesc documentele primare. Datele se valideaza pe masura ce sunt introduse de la tastatura si stocate intr-un fisier de tranzactii temporar pe baza caruia se va proceda la actualizarea periodica a fisierului master.

Avantajul metodei este reprezentat de faptul ca validarea datelor se realizeaza imediat dupa introducerea acestora, mesajele de eroare fiind afisate operatorului. In cazul introducerii unor date incorecte (de exemplu: omisiuni sau inversiuni de caractere pentru codul clientului sau al unui produs) sau incomplete, in functie de mesajele de eroare afisate, operatorul reintroduce datele. Un alt avantaj este reprezentat de posibilitatea utilizarii controalelor de total si secventialitate prezentate si in cazul metodei anterioare.

Metoda intrari on-line/procesare pe loturi prezinta doua variante:

- introducere on-line cu validare imediata si acces la fisierul master cu prelucrari periodice ale lotului de date introdus (figura 4. 2 ).

- introducere on-line cu validare imediata fara acces la fisierul master si procesare periodica a lotului de date introduse (figura 4.3 ).

Figura 4.2. Intrari on-line/prelucrare pe loturi Varianta validarii imediate cu acces la fisierul master

Introducere on-line/procesare on-line

Aceasta metoda se deosebeste de metoda intrari on-line/prelucrare pe loturi prin urmatoarele:

Fisierele master se actualizeaza pe masura introducerii datelor

Se creeaza un log al tranzactiilor al carui rol este de a inscrie cronologic toate tranzactiile cu scopul de a oferi posibilitatea urmaririi tranzactiilor, fiecare dintre acestea avand asignat un numar unic.

Aceasta metoda mai este cunoscuta si sub numele de on-line real time (OLRT).

Principalul dezavantaj al metodei este reprezentat de riscul erorilor care pot aparea in fisierul master in cazul unei erori hardware. Solutia pentru minimizarea acestor riscuri consta in introducerea on-line a intrarilor si memorarea actualizarilor fisierului master la momentul introducerii datelor. Aceasta presupune utilizarea unei copii a fisierului master. Jurnalul tranzactiilor va fi folosit periodic pentru actualizarea fisierului master. Din punctul de vedere al utilizatorului acest sistem nu este diferit de intrari on-line/ prelucrari on-line deoarece rezultatele procesarii sunt disponibile imediat, chiar daca validarea completa a tranzactiilor si actualizarea fisierului master sunt finalizate la un moment de timp viitor.

Disponibilitatea datelor

Datele, in procesul prelucrarii, datorita reprezentarii binare sunt inaccesibile auditorului in aceasta forma. Mai mult, unele date sunt temporar stocate in memoria calculatorului (datele intermediare de lucru). Acestea reprezinta, in egala masura, particularitati ale prelucrarii automate a datelor dar si un context special in care auditorul isi desfasoara activitatea. In procesul auditarii aplicatiei auditorul verifica acuratetea prelucrarilor si a datelor de intrare, a datelor intermediare de lucru din momentul in care el desfasoara procedurile de audit. De aceea el trebuie sa verifice daca fisierele de intrare folosite au fost cele corecte si s-au executat procedurile de prelucrare cerute de documentatie. Sa luam urmatorul exemplu: in mod voit in derularea unor prelucrari s-au utilizat fisiere al caror continut a fost alterat (modificat) si apoi adus la starea initiala, corecta. Rezultatul prelucrarii va fi bineinteles alterat. Auditand aplicatia, auditorul va obtine alte rezultate ale prelucrarii si va trebui sa determine cauza erorii. El va constata ca programele sunt corecte, fisierele de intrare sunt corecte dar datele intermediare din procesul de prelucrare pe care le verifica acum nu sunt aceleasi din momentul executiei aplicatiei cand informatiile generate au fost incorecte. Auditorul va trebui sa demonstreze ca aplicatia functionand corect fie s-au produs modificari voite in cadrul programelor (care ulterior au fost corectate) fie au fost afectate voit fisierele de intrare.

Controlul prelucrarilor declansate automat

In cazul prelucrarilor declansate automat auditorul trebuie sa verifice:

care sunt evenimentele care declanseaza aceste prelucrari;

cum se realizeaza controlul tranzactiilor generate automat.

CONTROALELE IESIRILOR

Controlul datelor de iesire trebuie sa ofere siguranta ca datele oferite utilizatorilor sunt corecte, in formatul cerut si distribuite numai persoanelor autorizate si in conditii de siguranta. Controlul datelor de iesire urmareste:

Completitudinea si acuratetea iesirilor

Respectarea termenelor prevazute pentru obtinerea iesirilor

Masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta, monitor sau un anumit fisier.

Distribuirea iesirilor catre persoanele autorizate :

- Cine primeste situatiile? Exista persoane imputernicite in acest sens?

- Situatiile continand date sensibile sunt preluate pe baza de semnatura?

- Cum este asigurata protectia informatiilor confidentiale?

Daca iesirile catre alte aplicatii se realizeaza in formatul pe care acestea il necesita.

Masura in care se realizeaza inregistrarea, raportarea si corectarea erorilor identificate.

In ce masura exista din partea managementului un control asupra acuratetei iesirilor si modului de distribuire a lor.

Controlele iesirilor sunt reprezentate de:

1. Listarea si stocare in conditii de siguranta a formularelor continand informatii sensibile si critice pentru a fi protejate impotriva furtului sau distrugerii. Jurnalele trebuie reconciliate si orice discrepante solutionate.
2. Generarea automata de instrumente convertibile, formulare si semnaturi trebuie sa fie controlata in mod adecvat.
3. Distribuirea rapoartelor trebuie sa se realizeze in conformitate cu parametrii de distributie, care pot fi manuali sau automati. Personalul operational procedeaza la verificarea completitudinii si distribuirii la timp a rapoartelor. Se impune jurnalizarea tuturor rapoartelor inainte de distribuirea acestora. Este totodata necesar un control strict asupra imprimantelor, atunci cand aceasta resursa este partajata. Se poate astfel evita stergerea accidentala a fisierelor din coada de asteptare sau directionarea acestora spre alte imprimante. Un control riduros trebuie realizat distribuirii fizice a rapoartelor. In cazul rapoartelor continand date sensibile trebuie listate in conditii de securiate. In cazul rapoartelor distribuite electronic trebuie luate masuri de securizare pe timpul transferului.
4. Tratarea erorilor : trebuie stabilite in cadrul aplicatiei proceduri de raportare si control al erorilor. Lista erorilor trebuie transmisa departamentului care a rulat aplicatia pentru a proceda la corectarea acestora.
5. Pastrarea rapoartelor: politica privind pastrarea rapoartelor trebuie sa fie foarte clara si sa respecte privederile legale.
6. Verificarea semnaturilor de primire: in cazul rapoartelor continand informatii confidentiale/critice se procedeaza la predarea acestora catre beenficir pe baza de semnatura.

AUDITAREA CONTROALELOR APLICATIILOR

Pentru realizarea obiectivelor misiunii sale, auditorul trebuie sa cunoasca principalele componente ale sistemului informatic si fluxul tranzactiilor. Aceste informatii le dobandeste prin studierea documentatiei, observarea directa a proceselor de prelucrare si prin interviurile realizate cu administratorul aplicatiei si utilizatorii. Documentarea sa trebuie sa cuprinda, conform cerintelor de practica, urmatoarele documente:

metodologia de proiectare a sistemului

specificatiile proiectarii functionale

modificarile realizate in timp asupra programelor

manualele utilizator

documentatii tehnice ale furnizorului de software.

Intelegerea complexitatii si functionalitatii aplicatiei ii ofera posibilitatea de a-si realiza strategia de teste in vederea evaluarii adecvarii, completitudinii si eficientei controalelor. Sarcina auditorului este de a identifica punctele forte ale controalelor precum si punctele slabe.

De o deosebita importanta este diagrama tranzactiilor, aceasta oferind auditorului informatii cu privire la principalele controale, punctele de introducere a datelor, procesarii si afisarii in vederea evaluarii eficientei controalelor.

Auditorul sistemului informatic include in lista obiectivelor misiunii de audit verificarea respectarii principiului segregarii functiilor incompatibile. In acest sens va proceda la verificarea urmatoarelor probleme:

Separarea functiilor: procesarea automata a datelor prin caracteristicile sale si implicatiile actiunilor diversilor utilizatori impune reguli stricte privind separarea functiilor. Urmatoarele atributiuni nu vor putea fi atribuite niciodata unei singure persoane: initierea, autorizarea, verificarea si distributia. In egala masura persoanele implicate in proiectarea, relizarea, actualizarea si administrarea software-ului nu vor putea avea atributiuni de exploatare curenta a acestuia. Verificarea separarii functiilor incompatibile se va realiza prin analizarea fiselor posturilor si verificarea masurii in care, in activitatea curenta persoanele respecta atributiunile asignate postului.

Autorizarea intrarilor: regula celor "patru ochi" este aplicabila si in cazul aplicatiilor informatice. Drepturile acordate utilizatorilor trebuie sa faca demarcatia intre persoanele autorizate sa introduca date in sistem si cele cu drept de autorizare. In cazul autorizarilor in sistem auditorul va trebui sa verifice drepturile oferite utilizatorilor si modul de executare a procedurilor de introducere si autorizare procedand la efectuare de teste utilizand un esantion de documente primare. In cazul autorizarii manuale se procedeaza la verificarea existentei autorizarii pe documentul primar.

Balante: sunt executate pentru a verifica controalele de tip total si modul in care se realizeaza reconcilierea datelor.

Erori de control si corectia acestora: erorile de introducere si inregistrarile rejectate trebuie verificate inaintea reintroducerii. Auditorul va proceda la verificarea modului in care managerul a procedat la verificarea erorilor si autorizarea remedierii erorilor plecand de la un esantion de inregistrari eronate.

Distribuirea rapoartelor: auditorul va trebui sa verifice masura in care generarea si distribuirea rapoartelor continand informatii confidentiale se realizeaza in conditii de securitate adecvate. Va proceda la metoda observarii directe, la verificarea jurnalelor de distribuire pe baza de semnatura a rapoartelor precum si la testarea in sistem a drepturilor de acces la functiile de generare/vizualizare rapoarte.

Testarea drepturilor de acces ale utilizatorilor la aplicatii: auditorul trebuie sa obtina convingerea ca drepturile de acces oferite utilizatorilor la aplicatii corespund atributiunilor lor de serviciu.

TESTAREA INTEGRITATII DATELOR

Testul integritatii datelor este reprezentat de un set de teste vizand acuratetea, completitudinea, consistemta si autorizarea datelor din sistemul informatic. Implica o serie de controale similare celor utilizate la introducerea datelor si indica erorile la introducerea sau procesarea datelor. Atunci cand verificarea integritatii se realizeaza in baza documentelor primare (cele care au stat la baza introducerii datelor) nu este necesara verificare la un anumit moment de timp a intregului fisier.

Exista doua tipuri de teste pe care consideram necesar sa le amintim: testele de integritate relationala si respectiv testul de integritate referentiala. Testul de integritate relationala verifica corelatii ale valorilor atributelor. Aceste corelatii se realizeaza prin rutine de validare a datelor sau prin definirea de restrictii si caracteristici ale campurilor realizate la crearea tabelelor dazei de date. Restrictiile de integritate referentiala asigura consistenta bazei de date si vizeaza valorile campurilor chei primara si a campurilor cheie externe definite in baza acestora. Sistemele de gestiune a bazelor de date (SGBD) ofera mecanisme de implementare si control a restrictiilor de integritate referentiala.

In cazul sistemelor informatice multiutilizator, SGBD-ul ofera functia de administrare a accesului concurent al utiliatorilor la datele stocate. Restrictiile de integritate specifice datelor transmise online (cunoscute sub numele de ACID) sunt urmatoarele:

1. Atomicitatea: o tranzactie este complet executata sau nu este executata de loc.
2. Consistenta: toate restrictiile de integritate sunt aplicabile tuturor tranzactiilor, asigurand trecerea succesiva a bazei de date dintr-o stare consistenta in alta.
3. Izolarea: fiecare tranzactie este izolata de celelalte tranzactii.
4. Durabilitatea: daca tranzactia realizata in sistem de catre un utilizator a fost salvata nu va fi afectata de erorile soft sau hardware.

In activitatea sa, auditorul utilizeaza metode si tehnici de analiza a programelor si controalelor aplicatiilor precum si metode de testare destinate selectarii si monitorizarii procesarii tranzactiilor. In cele ce urmeaza vom enunta principalele tehnici si metode pentru categoriile de teste enuntate:

1. Analiza programelor aplicatiilor

Snapshot: verifica logica programului. Se apeleaza la un flux de date pentru a se urmari logica procesului de procesare.

Maparea: Permite analizarea programului in timpul executiei pentru a verifica masura in care sunt executate liniile de cod. Identifica potentialele expuneri datorate solutiei de programare.

Tracing and tagging: tehnica de tracing permite urmarirea "traseului" instructiunilor executate in cadrul aplicatiei. Tehnica de tagging permite marcarea tranzactiilor care apoi urmeaza a fi urmarite prin tehnica de tracing.

2. Testarea controalelor aplicatiilor

Test data/deck: permite o modalitate obiectiva de revizuire a controalelor progamului. Scopul urmarit este de a simula "traseul" tranzactiilor in cadrul programului (ce linii de cod se executa).

Evaluarea sistemului bazata pe teste (Base-case system evaluation) reprezinta o modalitate de testare cuprinzatoare a programului. In acest scop se utilizeata seturi de date de test pregatite special pentru acest scop.

Operare paralela: Consta in procesarea simultana a datelor curente pe sistemul operational si pe sistemul nou si compararea rezultatelor prelucrarii generate de cele doua sisteme.

Testarea integrata (integrated testing facility): creaza un fisier fictiv cu tranzactii de test care se vor prelucra simultan cu date reale.

Simulare paralela: prelucrarea datelor curente se realizeaza prin programe care simuleaza logica aplicatiei. Prezinta avantajul de a nu necesita date de test.

Programe de selectare a tranzactiilor (transaction selection programs): implica utilizarea unui software de audit pentru vizualizarea si selectarea tranzactiilor introduse in aplicatia curenta.

3. Selectarea si monitorizarea procesarii tranzactiilor

Colectii de date de audit imbricate (embeded audit data collection): Soft de audit imbricate in progarmele calculatorului selectand tranzactii introduse si generand tranzactii. Ofera esantioane si statistici.

Inregistrari extinse (Extended records): tehnica premitand crearea unui fisier continand ansamblul datelor care au fost afectate de acelasi program.

AUDITUL CONTINUU ONLINE

Reprezinta o tehnica de audit moderna specifica sistemelor de e-business permitand auditorului strangerea dovezilor privind credibilitatea sistemului in baza monitorizarii continue a procesarii. Aceasta tehnica implica utilizarea de instrumente informatice de audit specifice mediilor informatice carora le este careacteristica partajarea timpului si procesarea unor volume mari de date fara a furniza/furnizand putina informatie pe suport hartie.

Tehnicile de audit specifice auditului online sunt:

1. Systems control audit review file and embedded audit modules (SCARF/EAM): implica instalarea software-ului de audit special realizat in aplicatia host de auditat astfel incat aplicatia este monitorizata selectiv.
2. Snapshots: permite urmarirea tranzactiilor de la initiere pana la finalul procesarii.
3. Audit hooks: tehnica permitand interventia auditorului inainte ca o eroare sau iregularitate sa iasa de sub control.
4. Integrated test facility (ITF- facilitate de test integrata): tehnica permitand procesarea in sistemul auditat atat date reale cat si date de test in functie de interventia auditorului, urmand ca auditorul ca evalueze rezultatele procesarii.
5. Continous and intermitent simulation (CIS - simulare continua si intermitenta): tehnica permite selectarea tranzactiilor indeplinind anumite criterii de selectie si aplicarea simularii executiei prelucrarii asupra lor.