Lucrare de Licenta

INTRODUCERE
Informaiile furnizate de ntreprinderi stau la baza a numeroase decizii economice i

politice de importan considerabil. Din acest motiv, situaiile ntocmite i publicate de
organizaii intereseaz o gam larg de utilizatori: investitori, manageri, salariai, clieni,
creditori bancari, stat. Practica a demostrat, n mod explicit, c exist un conflict de interese
ntre cei care culeg, prelucreaz i sintetizeaz informaiile contabile i informaiile oferite de
contabilitate, deoarece productorii de informaii contabile nu sunt, de regul, independeni n
raport cu operaiunile efectuate i situaiile prezentate. Consecinele economice majore care
pot rezulta, au facut necesar interpunerea activitii auditorilor financiari, acetia avnd
menirea de a mri credibilitatea situaiilor financiare publicate de ctre ntreprinderi.
Auditul informaiei contabile n condiiile utilizrii sistemelor informatice este o
lucrare, structurat n patru capitole, prin intermediul creia se urmreste accentuarea
necesitii informatizrii unei misiuni de audit a informaiei contabile i evidenierea
particularitilor unui astfel de proces ntr-un mediu informatizat.
n cadrul primului capitol intitulat Conceptul de Audit este analizat arhitecura
precum i cadrul conceptual al conceptului de audit. n acest context, se impune necesitatea
prezentrii acestor elemente pentru ca auditul, indiferent de forma pe care o mbrac: audit
financiar, auditul mediului, auditul sistemelor informaionale, auditul calitii, auditul
capitalului intelectual, se bazeaz pe o teorie i, ca orice teorie ea se fundamenteaz pe baza
unor postulate, principii i reguli.
Capitolul 2 denumit:Particulariti ale controlului intern ntr-un mediu
informatizat constituie o dezbatere asupra necesitii verificrii i aprecierii acestui control,
la nivelul unei organizaii, acesta reprezentnd cheia care i confer auditorului financiar
ncrederea asupra datelor ce urmeaz a fi auditate.Verificarea integritii datelor este o etap
premergtoare ndeplinirii obiectivelor unei misiuni de audit, deoarece auditorii trebuie s se
asigure ca rezultatele din rapoartele finale sunt bazate pe date complete, precise i fiabile.
Creterea complexitii sistemelor, n special a sistemelor de contabilitate
informatizat, ct i volumul mare al tranzaciilor nregistrate n prezent, au condus la
nlocuirea cu o frecven accelerat a tehnicilor clasice de audit, manuale, cu tehnici
moderne, asistate de calculator, subiectul fcnd obiectul dezbaterilor din capitolul 3
Tehnici de audit asistate de calculator. Necesitatea utilizrii instrumentelor informatice n
cadrul unei misiuni de audit a devenit vital i, se poate aprecia ca, o combinaie a tehnicilor
manuale cu cele asistate de calculator asigur reuita unei misiuni de audit, ntr-un timp optim
i cu costuri relative reduse.
Capitolul 4 denumit Tendine n dezvoltarea software-ului de audit studiaz o
posibil integrare a tehnicilor i metodologiilor Data Mining n cadrul aplicaiilor de audit,
ncercnd s sublinieze analiza complex pe care o pot oferi acestea asupra datelor clientului
auditat.
Capitolul final red ntr-o viziune personal utilizarea unui sistem informatic privind
auditul situaiilor financiare. Aplicaia utilizat asist auditorul extern n fazele importante ale
unui proces de audit, oferindu-i acestuia un instrument care permite eficientizarea muncii sale.
Cercetarea i asum dorina de a oferi o imagine coerent asupra procesului de audit
ntr-un mediu informatizat i s evidenieze necesitatea informatizrii.
11
22
CAP.1 CONCEPTUL DE AUDIT

1.1.
ARHITECTURA CONCEPTULUI DE AUDIT
n mediul academic i practic nu exist un punct de vedere comun n ceea ce privete

definirea conceptului de audit. Definiia cea mai des invocat este ns cea prezentat n 1973
de Asociaia American de Contabilitate (American Accounting Association: AAA) n cadrul
"Declaraiei privind conceptele de baz ale auditului". n declaraia respectiv se precizeaz
c "auditul este un proces sistematic de obinere i evaluare obiectiv a unor afirmaii privind
aciunile i evenimentele cu caracter economic, n vederea aprecierii gradului de
conformitate a acestor afirmaii cu criteriile prestabilite, precum i de comunicare a
rezultatelor ctre utilizatorii interesai ".( Declaraia (A Statement of Basic Auditing
Concepts) este analizat de V.M. O'Reilly, M.B. Hirsch, P.L.Defiliese, H.R. Jaenicke, n
lucrarea Mongomerys auditing, Editura John Wiley & Sons, New York, ed. a XI-a,1990.)
O analiz detaliat a acestei definiii evideniaz elementele principale ale activitii de
audit:Auditul este un proces sistematic. Orice activitate de audit, indiferent de obiectivul
su, include, din punct de vedere metodologic, etape fundamentale precum: planificarea,
dezvoltarea unei strategii, selectarea probelor i evaluarea acestora n raport cu obiectivele
specifice ale misiunii.
n Declaraia privind conceptele de baz ale auditului se subliniaz : faza de proces
sistematic sugereaz c auditul este bazat, cel puin n parte, pe disciplina i filozofia unei
metode tiinifice. Muli auditori nu consider ns c ei aplic o metod tiinific, deoarece
o asemenea metod ar implica un grad mai ridicat de structurare dect se dorete n audit.
Dei un audit are la baz o strategie, strategia respectiv se poate modifica pe parcursul
misiunii, datorit schimbrii condiiilor sau a apariiei unor rezultate neateptate ale
procedurilor de audit.
Obinerea i evaluarea n mod obiectiv a unor afirmaii. n esen, auditul const
n colectarea i evaluarea probelor care vor fi suportul opiniei auditorului. De exemplu, ntrun audit financiar, exerciiul de culegere a probelor presupune, adesea, o verificare a
principiilor i metodelor contabile folosite n ntocmirea situaiilor financiare cu principiile
contabile general acceptate (Generally Accepted Accounting Principles: GAAP), fapt ce
implic o urmrire a informaiilor n documentele contabile i compararea acestora cu valorile
obinute prin inventar, prin verificare ncruciat cu clienii sau prin investigare.
n acest context, dac o societate prezint de exemplu, n bilan, postul Instalaii,
auditorul trebuie s examineze contractele de achiziie, pentru a verifica faptul c societatea
este proprietara instalaiilor, s procedeze la inventarierea fizic a acestora pentru verificarea
existenei lor faptice i, n cazul n care instalaiile au fost achiziionate n valut, s verifice
dac societatea a ales un curs de schimb adecvat. De asemenea, se va verifica dac
amortizarea contabilizat n numele instalaiilor corespunde cu cea prevzut n planul de
amortizare.
Evaluarea afirmaiilor de ctre auditor presupune exercitarea judecii profesionale a
acestuia, ceea ce necesit o capacitate deosebit de interpretare i analiz. De exemplu, pentru
a aprecia dac instalaiile sunt evaluate la valoarea cea mai mic dintre cost i valoarea
recuperabil, (Valoarea recuperabil reprezint valoarea cea mai mare dintre preul net de
vnzare i valoarea de utilitate (IAS 36 Deprecierea activelor)), auditorul trebuie s
neleag modul n care societatea determin valorile respective, lucru ce poate fi extrem de
dificil avnd n vedere estimrile pe care le implic determinarea valorii recuperabile.
Dei practica a demonstrat c exist foarte rar probe care s susin judecile
auditorului, aceste judeci sunt cruciale pentru auditarea informaiilor contabile.
33
Afirmaii privind aciunile cu caracter economic: se refer la acele afirmaii i

estimri pe care managementul unei entiti le face i care, de altfel, se regsesc incluse n
situaiile financiare supuse auditului.
n concluzie, se poate afirma c declaraiile fcute de conducerea unei entiti se
bazeaz pe contabilizarea tranzaciilor i a evenimentelor economice, proces care implic
colectarea, clasificarea, nregistrarea i raportarea informaiilor de natur contabil.
Aprecierea gradului de conformitate a afirmaiilor cu criterii prestabilite. Orice
misiune de audit are ca obiectiv principal formularea unei opinii de ctre auditor asupra
afirmaiilor privind faptele i evenimentele economice ce urmeaz a fi auditate; n acest mod
se va preciza n ce msur afirmaiile amintite sunt conforme cu criteriile sau standardele
existente.
De exemplu, n cazul n care toate afirmaii implicate de expresia stocuri....3000
u.m. sunt conforme cu GAAP-urile (stocurile exist i sunt n proprietatea ntreprinderii,
stocurile sunt evaluate la cea mai mic valoare dintre cost i valoarea net de realizare etc.),
auditorul va concluziona c exist o coresponden ntre afirmaiile respective i criteriile
stabilite. GAAP-urile sunt, de regul, explicite i definite n mod clar i concis, deoarece ele
reprezint criteriul pentru nelegerea altor concepte contabile (de exemplu, discuiile
referitoare la prezentarea fidel n conformitate cu GAAP-urile).
Comunicarea rezultatelor ctre utilizatorii interesai . Episodul final al oricrei
misiuni de audit este ntocmirea unui raport care informeaz cititorul asupra gradului n care
afirmaiile clientului corespund cu criteriile agreate sau impuse.
ntr-un audit financiar, prin opinia sa neutr exprimat, auditorul devine un garant al
situaiilor financiare n faa utilizatorilor externi, iar raportul de audit prezint concluziile
asupra gradului n care situaiile financiare sunt sau nu conforme cu principiile contabile
general acceptate.
n Romnia, Normele Naionale de Audit, inspirate din referenialul internaional, au
definit auditul ca fiind examinarea profesional a unei informaii n vederea exprimrii unei
opinii responsabile i independente, prin raportarea la un criteriu standard de calitate. Ca un
corolar al celor dou definiii, se poate aprecia c auditul este o activitate desfurat de
profesionitii n domeniu, care colecteaz i evalueaz probe, n vederea exprimrii unei
opinii independente privind comparaia dintre aspectele observate i cele prestabilite,
conform unui criteriu de calitate.
Plecnd de la aceste aspecte generale, se poate observa astzi c noiunea de audit a
fost asociat unor domenii diferite precum: auditul financiar, auditul mediului, auditul
sistemelor informaionale, auditul calitii, auditul capitalului intelectual etc.
1.2.
CADRUL CONCEPTUAL AL AUDITULUI
Auditul opereaz cu idei abstracte; el i are bazele n numeroase tipuri de nvare...

are o structur raional de postulate, concepte, tehnici i reguli, bazndu-se pe un studiu
intelectual riguros care merit s fie numit disciplin n sensul curent al acestui termen
(Mautz i Sharaf citai de O'Reilly, M.B. Hirsch, P.L. Defiliese, H.R. Jaenicke, op. cit ) Altfel
spus, auditul are la baz o teorie.
n sens restrictiv, teoria auditului este o teorie normativ, deoarece furnizeaz un ghid
despre cum ar trebui s fie practica de audit. Cu alte cuvinte, scopul teoriei auditului este s
furnizeze un cadru conceptual raional i coerent pentru determinarea procedurilor de audit
necesare pentru atingerea obiectivelor de audit definite i pentru evaluarea continu a
practicilor curente n scopul perfecionrii lor.
O trecere n revist a literaturii de specialitate evideniaz numeroase postulate care
stau la baza teoriei auditului. Aceste postulate nu au fost descoperite de unul sau mai muli
indivizi, ntr-un loc geografic oarecare i ntr-un moment precis de timp. De asemenea, ele nu
44
pot fi rezultatul experienelor tiinifice de laborator. Dimpotriv, ele fac obiectul schimbrii,
deoarece se bazeaz pe un mediu, pe o structur a utilizatorilor de informaii financiare i pe
necesitile lor de informare, care evolueaz n mod continu.( Feleag, 1996.)
Postulatele cel mai frecvent invocate n lucrrile de audit sunt:
Situaiile financiare i informaiile financiare sunt verificabile. Dac aceast ipotez
fundamental nu ar fi real, auditul nu ar avea sens i nu ar exista. Verficarea nu implic probe
de netgduit, dar sugereaz conceptul de asigurare rezonabil. Mautz i Sharaf subliniaz c
doar pe baza acestui postulat, se identific : teoria probei; procedeul de verificare; aplicarea
probabilitii teoriei de audit; stabilirea granielor responsabilitii auditorului.
Pe termen lung, nu exist un conflict de interese ntre auditori i conducerea
entitii auditate. Att auditorii ct i managerii ar trebui s fie interesai n prezentarea unei
imagini fidele a situaiilor financiare, deoarece adoptarea unor decizii de investiii bazate pe
informaii pertinente este benefic ntreprinderii pe termen lung. Trebuie ns precizat c, pe
termen scurt, pot exista conflicte n ceea ce privete: dezacordul onest asupra aplicrii unei
politici contabile; ncercarea managerilor de a cosmetiza situaiile financiare, prin ameliorarea
performanei publicate sau a gradului de atingere a altor obiective, pentru ai spori propria
remuneraie sau acordarea unor bonificaii suplimentare;fraude manageriale. Din acest motiv,
pe tot parcursul activitii desfurate, auditorii trebuie s manifeste o atitudine sceptic fa
de informaiile furnizate de conducerea entitii.
Rezultatul unei misiuni furnizeaz asigurri rezonabile dar nu absolute c vor fi
detectate erori semnificative cauzate, n special, de nereguli. Standardul de audit ISA 200
ajut la corelarea acestui postulat cu responsabilitile unui audit modern. Norma prevede c,
un audit efectuat n conformitate cu standardele de audit, are ca scop detectarea erorilor
semnificative, inclusiv a fraudelor care pot afecta situaiile financiare. Auditorul nu este un
garant. Responsabilitatea sa const n a-i exercita ndatoririle cu maxim grij i competen,
avnd un grad adecvat de scepticism profesional.
Existena unui sistem de control intern satisfctor reduce posibilitatea fraudei i
erorilor. Un sistem de control intern se bazeaz pe dou elemente definitorii: separarea
responsabilitilor n cadrul unei organizaii i verificarea intern propriu-zis. Aceste dou
elemente considerate mpreun nu pot fi eficiente 100%, fapt care conduce la ipoteza c este
mai corect a spune c un sistem de control intern bun reduce eroarea, frauda, manipularea
rezultatelor, pierderea activelor, fr a elimina total riscul de apariie a acestora. n aceste
condiii, auditorul are nevoie de probe suplimentare fa de cele solicitate de un control intern,
pentru a-i fundamenta aprecierea rezonabil despre situaiile financiare auditate.
Aplicarea constant a principiilor general acceptate de contabilitate ofer o
imagine fidel a situaiilor financiare. n momentul n care auditorul i exprim opinia sa n
legtur cu situaiile auditate, el consider ca element de referin aplicarea principiilor
contabile general acceptate n evaluarea gradului de fidelitate a situaiilor sau informaiilor
analizate. Fr un astfel de criteriu, ar fi deosebit de dificil s se stabileasc, cu obiectivitate,
dac situaiile financiare prezint sau nu o imagine fidel.
Activitatea curent de audit este structurat n funcie de experiena i cunotinele
acumulate din auditarea clientului n anii precedeni. n conformitate cu acest postulat, n
lipsa unei probe contrarii, auditorul poate s presupun c ceea ce a fost adevrat n trecut,
pentru o societate auditat, va rmne valabil i n viitor. Altfel spus, n absena unor
schimbri n controlul intern operaional i de personal al clientului, auditorii i pot planifica
angajamentele curente, pe probele cumulate din misiunile de audit anterioare, ceea ce mrete
eficiena unei misiuni de audit.
Independena este esenial n misiunea de audit. Independena este piatra de
ncercare a profesiei de auditor. Fr o independen profesional de necontestat, opinia
auditorului devine suspect. Din punct de vedere teoretic, factorii care permit determinarea
gradului de independen sunt integritatea i obiectivitatea auditorului.
55
Statutul profesional de auditor independent impune anumite obligaii profesionale.

n conformitate cu acest postulat, auditorul trebuie s respecte Codul privind conduita etic i
profesional n domeniul auditului.
1.3. DIMENSIUNILE SI OBIECTIVELE AUDITULUI FINANCIARCONTABIL
1.3.1 Dimensiunile auditului
ntr-un cadru restrns, auditul poate fi clasificat, n conformitate cu obiectivul funciei

pe care o realizeaz, n: audit de conformitate; audit al performanei; auditul de atestare a
situaiilor financiare (audit financiar)
Auditul de conformitate are ca scop verificarea bunei aplicri a regulilor i
procedurilor, n raport cu un sistem de referin dat (regulile i regulamentele interne ale unei
organizaii, dispoziii legale i reglementare).
Auditul performanei reprezint o revizuire sistematic a activitilor unei organizaii
n corelaie cu anumite obiective stabilite de management, n scopul de a evalua
performanele, de a identifica posibilele ameliorri i de a elabora recomandri de dezvoltare
a acestor activiti.
Msurarea performanelor prin prisma economicitii, eficacitii i eficienei constituie o
necesitate pentru manageri, n scopul unei evaluri continue a rezultatelor obinute n raport
cu obiectivele propuse.
Auditul atestrii situaiilor financiare, cunoscutul sub denumirea de audit financiar,
are ca obiectiv atestarea sau comunicarea unei opinii, de ctre o persoan independent,
potrivit creia situaiile financiare sunt ntocmite, sub toate aspectele semnificative, n
conformitate cu un cadru general de raportare.
O sintez grafic a acestei clasificri se regsete n figura 1.1:
AUDIT
66
Raport: despre corectitudinea situatiilor financiare

Raport : despre conformitatea cu criteriul
Raport:
ales despre sugestii, recomandari si perfectionari
Audit de conformitate
Criteriul:
Obiectivul specific al organizatiei
Auditul financiar
Auditul performantei
Criteriul:
Princiipiile contabile general acceptate
Criteriul:
Politicile, regulamentele interne
Examinarea personalului si a activitatilor entitatii

Examinarea totala sau partiala a activitatilor
Examinarea situatiilor financiare
Fig. 1.1 Clasificarea auditului n funcie de obicetivul urmrit:

Din punct de vedere al modului de afiliere al auditorilor n realizarea misiunii,
auditul poate fi: audit extern; audit intern; audit guvernamental
Auditul extern, recunoscut sub numele de audit independent, este efectuat pe baz
contractual de ctre auditori independeni, fie persoane fizice, fie persoane juridice, care au
misiunea de a certifica situaiile financiare ale unei organizaii.
Auditul intern, este o activitate de evaluare n cadrul unei entiti, activitate care
reprezint un serviciu efectuat n favoarea entitii. Funciile sale includ, printre altele,
examinarea, evaluarea i monitorizarea corectitudinii i eficienei sistemului contabil i a
sistemului de control intern.
Importana actual a auditului intern este subliniat i de existena Institutului
Internaional de Audit Intern (The Institute of Internal Auditors: IIA). Acest instituie definea
n 1999 auditul intern ca fiind "o activitate independent i obiectiv, care d asigurare unei
organizaii n ceea ce privete gradul de control deinut asupra operaiunilor, o ndrum pentru
a-i mbunti operaiunile si o ajut s-i ating obiectivele evalund procesele sale de
management al riscurilor, de control i de conducere i avansnd propuneri pentru a le
consolida eficacitatea". Definiia subliniaz rolul de consiliere al auditorului intern, el
realiznd diferite recomandri, pentru a ajuta la atingerea obiectivelor Controlului Intern.
ntrebarea care se pune este cnd i de ce a aprut acest concept?
Funcia de audit intern este una relativ recent, apariia ei fiind recunoscut n
perioada crizei economice din 1929-1933. Pentru a certifica situaiile financiare, auditorii
externi trebuiau s desfoare numeroase activiti pregtitoare: inventare de orice natur,
analize de conturi, sondaje variate, care necesitau timp ndelungat i cheltuieli mari. Din acest
motiv, s-a sugerat ca anumite activiti pregtitoare s fie preluate de personalul ntreprinderii.
Cabinetele de Audit Extern i-au dat acordul cu condiia unei anumite supervizri.
AUDIT
77
Audit extern
Auditul intern
Auditul guvernemental
Efectuat de auditori independentiRealizat

pe baza contractuala
Realizat
de angajatii institutiilor guvernamentale
de angatii permanenti
ai organizatiei
Include diferite tipuri de audit, majoritateaInclude

fiind focalizate
pe auditul
atat auditul
de situatiilor
conformitate
Includefinanciare
atat cat
auditul
si auditul
de conformitate
operationalcat
si auditul operational
Figura nr.1.2. Clasificarea auditului n funcie de afilierea auditorilor

Relaia Audit intern-Audit extern: astzi, chiar dac Auditul Intern apare pornind de
la Auditul Extern, cele dou activiti sunt net difereniate, fiecare avnd obiective clar
conturate. Astfel, se pot remarca cel puin opt diferene ntre Auditul Intern i Auditul Extern:
a. Auditorul intern face parte din personalul organizaiei, n timp ce auditorul extern este un
prestator de servicii, independent din punct de vedere juridic.
b. Auditul intern lucreaz n folosul responsabililor organizaiei, iar Auditul Extern realizeaz
certificarea situaiilor financiare pentru o gam larg de utilizatori: investitori, manageri,
salariai, clieni, bnci, stat etc.
c. n timp ce obiectivul Auditului Intern este s aprecieze controlul asupra activitii
ntreprinderii i s recomande aciuni necesare ameliorrii acestuia, obiectivul Auditului
Extern este s certifice imaginea fidel a situaiilor financiare.
d. Domeniul de aplicare a auditului extern nglobeaz tot ceea ce particip la elaborarea
situaiilor financiare, dar nu presupune investigaii i observaii doar asupra domeniului
contabil. Domeniul Auditului Intern este mult mai vast, el incluznd toate funciile unei
ntreprinderi.
e. Auditul Extern se preocup de orice fraud, dac aceasta are o influen asupra rezultatelor
financiare.
f. Independena celor dou activiti este recunoscut, dar ea nu este de acelai tip; astfel
independena Auditului Extern este una juridic i statutar, n timp ce a Auditului Intern are
restricii.
g. Periodicitatea auditului. Auditul Extern i efectueaz misiunile intermitent i la anumite
momente adecvate certificrii conturilor: sfrit de an, sfrit de semestru, sfrit de trimestru.
Auditul Intern se desfoar n mod permanent.
88
h. Tehnicile i procedurile de audit adoptate sunt, adesea, diferite.
1.3.2
Obiectivele auditului financiar contabil i responsabilitile

auditorului
Obiectivul auditului a evoluat de la detectarea fraudelor i erorilor, proces care

presupunea o verificare detaliat a tuturor operaiunilor patrimoniale i a nregistrrii lor
contabile, la exprimarea unei opinii asupra imaginii fidele a patrimoniului, a situaiei
financiare i a rezultatelor obinute de ctre societate. Se urmrete, n acest sens, msura n
care informaiile nregistrate n contabilitate reflect evenimentele economice care au avut loc
ntr-o anumit perioad, iar eforturile auditorului sunt intensificate pentru identificarea
eventualelor manipulri ale informaiilor furnizate de sistemul financiar, pentru prevenirea
cazurilor de contabilitate creativ sau fraud.
Conform standardelor de audit, obiectivul unui audit al situaiilor financiare este
acela de a da posibilitatea auditorului s exprime o opinie privind ntocmirea situaiilor
financiare respective, sub toate aspectele semnificative, n conformitate cu un cadrul general
de raportare identificat. Cu toate c opinia auditorului sporete credibilitatea situaiilor
financiare, utilizatorul nu trebuie s considere c aceast opinie este o garanie a viabilitii
viitoare a entitii.
Utilizatorul extern nu trebuie s atribuie opiniei formulate de auditor o garanie
absolut, pentru c este imposibil s nu contientizm c acesta nu-i va ntoarce armele
mpotriva propriului client. Astzi, cnd 90% din piaa financiar este dominat de cei Patru
Mari (The Big Four: KPMG, ErnstYoung, Deloitte Touche Tomahatsu, Pricewaterhouse
Coopers), ntre restul auditorilor exist o concuren acerb. Pe o pia concurenial, clientul
ar putea gsi uor un alt auditor care s-i serveasc interesele, fapt ce-l determin pe auditor s
treac cu vederea anumite iregulariti. El nu va accepta ns erori semnificative care pot
afecta substanial imaginea fidel a situaiilor financiare, pentru c astfel de evenimente
deterioreaz reputaia sa pe termen lung.
Pentru a nelege ceea ce este un audit i modul n care acesta se desfoar, este
necesar s se cunoasc rolul auditului i responsabilitile profesionale ale auditorilor. O
semenea analiz implic, nainte de toate, o cunoatere a mediului economic, social i
instituional n care se desfaoar procesul de audit. n plus, trebuie s se aib n vedere faptul
c scopul auditului, rolul su precum i mijloacele i tehnicile utilizate sunt ntr-o continu
evoluie i adaptare la transformrile din mediul existent, ceea ce implic o pregtire continu
din partea auditorilor.
n esen, rolul auditorului, n special al auditorului extern, este acela de a spori
ncrederea utilizatorului n informaia contabil, de a aduce un plus de siguran faptului c
informaia contabila a fost prelucrat i prezentat n conformitate cu standardele i principiile
contabile general acceptate. Standardul de audit 120 precizez: situaiile financiare sunt
ntocmite i prezentate anual i sunt destinate nevoilor comune de informaii ale unei game
largi de utilizatori. Muli dintre utilizatori se bazeaz pe aceste situaii financiare ca fiind sursa
lor principal de informaii, deoarece ei nu au posibilitatea s obin informaii adiionale care
s le satisfac nevoile informaionale specifice Din aceast precizare rezult rolul
semnificativ pe care l joac auditul vis--vis de utilizatorii informaiei contabile: auditorul
este singurul care, independent de conducerea ntreprinderii care a ntocmit situaiile
financiare de sintez, este n msur s dea o asigurare rezonabil asupra faptului c situaiile
respective nu sunt viciate de fraude sau erori semnificative i, prin urmare, pot fi utilizate cu
suficient ncredere n procesul de fundamentare a deciziilor.
Responsabilitatea auditorilor vizeaz acionarii i alte grupuri interesate care vor
ctiga sau pierde de pe urma sntii companiei.
99
Astfel, auditul este privit nu numai ca o materie interdisciplinar dar i ca un domeniu

de activitate n care, n mod implicit, se impun rigori, standarde de pregtire profesional, o
anumit conduit etic, de la care auditorul nu se poate abate fr a suferi consecine
profesionale sau materiale.
Referindu-se la acest aspect, Mario Manti, Comisionar al Pietei Unice, comenta:
Auditorul financiar are un rol esenial n conferirea credibilitii situaiilor financiare ale
societii comerciale, deoarece utilizatorii acestor situaii consider raportul auditorului
drept asigurare i garanie a credibilitii i veridicitii lor. Informaia financiar-contabil
este crucial pentru ncurajarea investitorilor strini n cadrul unei piee, mai cu seam n
contextul monedei unice. Rolul auditorilor financiari este crucial pentru consolidarea
pieelor mondiale de capital, iar reglementarea independent a profesiei este necesar pentru
a ctiga ncrederea publicului n informaiile coninute de situaiile financiare elaborate de
societatea comercial.
Complexitatea activitii de audit deriv din faptul c nu exist o tehnic universal
valabil care, o dat aplicat, poate s asigure un audit complet i un rezultat garantat. Acest
punct nevralgic este precizat chiar n prefaa Normelor Naionale de Audit: Este imposibil s
se stabileasc norme de audit i de servicii conexe care s se aplice de o manier universal la
toate situaiile cu care un auditor se poate confrunta; n consecin, auditorul trebuie s
considere normele adoptate ca principii fundamentale ce trebuiesc urmrite n activitatea lor.
Procedurile necesare pentru aplicarea acestor norme sunt lsate la judecata fiecrui membru i
variaz n funcie de circumstanele fiecrui caz.
1.4 NECESITATEA REALIZARII ACTIVITATII DE AUDIT FINANCIARCONTABIL

Situaiile financiare sunt elaborate i prezentate pentru a satisface cerinele comune de
informare financiar ale unei game largi de utilizatori: investitori, manageri, salariai, clieni,
creditori bancari, stat etc. Concordana dintre coninutul i calitatea situaiilor financiare, pe
de o parte, i exigenele referenialului contabil, pe de alt parte, este controlat de
managementul societii i/sau auditorii interni, iar la nivel superior de organele de control
financiar ale statului. Caracterul subiectiv al acestor forme de control, n condiiile asigurrii
nevoilor proprii de informare ale investitorilor, a constituit premisa apariiei instituiilor
profesionale de auditori independeni. Necesitatea unei astfel de activiti a fost accentuat de:
Conflictul de interese dintre utilizatorii externi de informaii contabile (acionarii,
creditorii bancari) i cei ce pregtesc i furnizeaz aceste informaii (managerii).
Se poate afirma c interesul managerului este legat, n principal, de cota-parte care i
revine din profit. Acest interes l determin s aib un comportament oportunist, optnd pentru
procedurile care i permit meninerea drepturilor proprii la un nivel ridicat.
Beneficiind de un acces imediat, complet i gratuit la informaiile contabile, managerii
acord o atenie deosebit felului n care informaiile publicate sunt percepute n exterior,
pentru c aceste informaii publicate informeaz terii despre felul n care societatea a fost
gestionat.
Acionarii, n calitatea lor de proprietari, vor s se asigure c managerii nu au profitat de
mandatul ncredinat pentru a-i nsui o parte din bogia societii. Acionarii nu reprezint
ns un grup omogen. Astfel, acionarii cu aciuni privilegiate, sunt interesai de capacitatea
ntreprinderii de a produce ctiguri viitoare, de strategia adoptat de aceasta pentru
asigurarea sntii pe termen lung, n timp ce acionarii cu aciuni ordinare, vor fi
interesai de mrimea dividendului ce le revine. De asemenea, acionarii minoritari i
majoritari nu au ntotdeauna aceleai nevoi informaionale i nici aceleai interese. Acionarii
minoritari sunt interesai de ctigul imediat sub form de dividende, n timp ce acionarii
majoritari sunt interesai de avantajele pe termen lung.
1010
Creditorii, n special creditorii bancari, sunt interesai de capacitatea ntreprinderilor de a

produce profit, acesta reprezentnd singura surs de acoperire a dobnzilor i de rambursare a
mprumuturilor. n acest context, se acord o atenie deosebit ratelor de lichiditate i de
ndatorare. Controlul conflictului de interese a fost asigurat de serviciile auditorului extern.
Fundamentarea deciziilor de investiii, mprumut i alte decizii necesit informaii
despre poziia financiar, performanele i fluxurile de trezorerie ale unei societi, furnizate
de situaiile financiare publicate. Consecinele economice majore care pot rezulta, i pot
determina pe utilizatorii externi s solicite de la auditorul extern asigurarea c situaiile
financiare sunt corecte, complete i conforme cu standardele contabile acceptate.
Complexitatea crescnd pe care o cunoate contabilitatea determin riscul apariiei
erorilor neintenionate i a interpretrilor greite. Din acest motiv, utilizatorii externi solicit
opinia auditorului, pentru asigurarea credibilitii informaiei financiarcontabile, auditul n
sine permind reducerea, ntr-o msur semnificativ, a riscului informaiei.
Accesul selectiv la nregistrrile contabile pe baza crora sunt construite situaiile
financiare, a accentuat n practic inegalitatea dintre categoriile de utilizatori. Acionarii i
bncile au dreptul la informaii specifice (altele dect cele publicate), adesea cu titlu gratuit, n
timp ce ali utilizatori pot beneficia de astfel de informaii contra cost. Chiar i n astfel de
condiii, o examinare semnificativ a informaiilor, o evaluare a calitii situaiilor finaciare nu
este cert.
n condiiile n care informaia contabil permite redistribuirea bogiei, unele societi
ncearc s i cosmetizeze situaiile financiare prin utilizarea unor tehnici de contabilitate
creativ. n mod concret, utilizarea tehnicilor de contabilitate creativ este unul din aspectele
urmrite de auditorul extern, datorit efectelor sale:
Majorarea sau diminuarea cheltuielilor. Normele contabile las o anumit marj de
manevr n cuantificarea cheltuielilor care aparin unui exerciiu. De exemplu, pentru anumite
active se indic doar numrul maxim de ani n care trebuie amortizate. O durat mai mare sau
mai mic de amortizare afecteaz mrimea rezultatului. n mod similar, se pot analiza
provizioanele i posibilitatea activrii anumitor cheltuieli.
Majorarea sau diminuarea veniturilor. In anumite cazuri, se poate grbi sau ncetini
recunoaterea veniturilor prin aplicarea principiului prudenei sau a principiului conectrii
cheltuielilor la venituri.
Majorarea sau diminuarea activelor. Existena unei flexibiliti, n ceea ce privete
calculul amortizrii si provizioanelor, creaz posibilitatea majorrii sau diminurii valorii nete
a activelor. De asemenea, stocurile se pot evalua prin diferite metode i, ca urmare, valoarea
lor poate fi diferit, cu efecte asupra contului de profit i pierdere.
Majorarea sau diminuarea fondurilor proprietarilor. Modificarea veniturilor i
cheltuielilor afecteaz mrimea rezultatului, i n consecin, mrimea rezervelor. Se
modific, astfel, valoarea fondurilor proprietarilor i toate ratele calculate pe baza acestora.
Majorarea sau diminuarea datoriilor. n unele ri, normele contabile las posibilitatea
regularizrii anumitor datorii, precum cele legate de pensionare, pe un interval de timp. Ca
urmare, o ntreprindere interesat n majorarea rezultatului va proceda la repartizarea datoriei
pe o perioad maxim permis.
Reclasificarea activelor i datoriilor. Uneori, pot exista dubii n ceea ce privete
ncadrarea unui element ntr-o categorie sau alta. Este, de exemplu, cazul titlurilor, care n
funcie de intenia ntreprinderii, trebuie nscrise n activele curente sau activele necurente.
Manipularea informaiilor prezentate n anex. Lipsa unor informaii relevante poate
afecta deciziile utilizatorilor externi.
Prezentarea informaiilor. Criteriile utilizate n prezentarea informaiilor contabile pot
reprezenta o porti pentru manifestarea creativitii. Analiza elementelor prezentate relev
faptul c, adesea societile profit de breele existente n norme i de flexibilitatea acestora n
vederea distorsionrii informaiilor publicate. Dei exist o diferen clar ntre contabilitatea
creativ i nclcarea deliberat a legii, ambele fenomene apar n condiii de dificultate
1111
financiar a ntreprinderilor i au la baz intenia de a nela. n consecin, chiar dac

utilizarea contabilitii creative nu este ilegal, ea indic faptul c managerii, aflai sub
presiune financiar, caut soluii fr a-i mai pune problema respectrii unor standarde etice.
CAP.2 PARTICULARITI ALE CONTROLULUI INTERN NTR-UN

MEDIU INFORMATIZAT
2.1 ANALIZA MEDIULUI DE CONTROL I A RISCULUI NTR-UN
MEDIU INFORMATIZAT
2.1.1 Analiza mediului de control ntr-un sistem informatizat
Societatea actual, o societate informatizat pentru care informaia i tehnologia
informaiei sunt cele mai importante valori, necesit astzi sisteme de comunicaie rapide,
1212
sigure i fiabile care s-i asigure confidenialitatea, integritatea i disponibilitatea resurselor

informaionale.
nelegerea mediului de control, a caracteristicilor sistemului informaional n
ansamblul su este un pas important i hotrtor pentru auditori, n vederea stabilirii gradului
de credibilitate al sistemului nsui i a informaiilor pe care le furnizeaz.
Obiectivul general i procesul de audit ntr-un mediu informatizat nu difer, structural, de
etapele i procedeele clasice. Excepiile apar numai din necesitatea cunoaterii de ctre
auditor a sistemului informatic existent, a nelegerii aplicaiilor informatice utilizate n
procesarea automat a datelor, precum i a modului n care acesta satisface cerinele
utilizatorului.
n etapa de Planificare a auditului, auditorii trebuie s-i formeze o imagine asupra
semnificaiei i complexitii mediului informatic, a accesibilitii datelor n vederea auditrii.
Aceast imagine este definit de caracteristicile:
Structura organizatoric a mediului informatic, ce pune un accent deosebit pe
necesitatea separrii funciilor incompatibile adresate aceleiai persoane.
Complexitatea i importana procesrii automate a fiecrei aplicaii semnificative. O
aplicaie informatic poate fi considerat complex atunci cnd:
- volumul tranzaciilor este considerat de utilizatorii aplicaiei ca fiind dificil pentru
identificarea i corectarea erorilor n timpul procesrii;
- aplicaia poate genera automat tranzacii semnificative sau poate furniza intrri ctre alte
aplicaii ;
- complexitatea calculelor aritmetice;
- tranzaciile sunt schimbate electronic cu alte organizaii, ceea ce implic controale
suplimentare asociate cii de comunicaie.
Disponibilitatea datelor. ntr-un mediu informatizat, anumite informaii solicitate de
auditor pot exista doar pentru o scurt perioad i doar ntr-o form electronic; n legtur cu
acest aspect se impune a fi aminti i vulnerabilitatea mediilor de stocare a datelor sau
informaiilor.
Utilizarea tehnicilor de audit asistate de calculator pentru o cretere a performanei
procedurilor de audit. Aceast analiz a importanei i complexitii activitilor mediului
informatizat are un impact favorabil n evaluarea riscurilor inerente i de control. ntr-un
mediu informatizat, amploarea riscurilor ia o alt dimensiune, natura lor fiind influenat de:
a. Densitatea informaiei este mult mai mare dect n sistemele clasice, bazate pe
hrtie. Dischetele, discurile optice i alte suporturi moderne ce sunt utilizate pentru salvarea
acestui volum mare de informaii, nsumnd zeci de mii de pagini de hrtie, pot fi subtilizate
mult mai discret genernd astfel fraude sau cel puin afectnd confidenialitatea acestor
informaii.
b. Transparena documentelor privind desfurarea unor operaiuni:
Absena documentelor de intrare datele pot fi introduse n sistem fr a avea la
baz documente justificative este exemplul tranzaciilor din sistemele on-line.
Lipsa unor urme vizibile a tranzaciilor: dei n practica prelucrrii manuale,
orice tranzacie poate fi urmrit plecnd de la documentul primar, apoi n
registrele contabile, conturi n prelucrarea automat, traseul unei tranzacii poate
exista o perioad limitat , ntr-un format electronic.
Lipsa unor ieiri vizibile: anumite tranzacii sau rezultate, n special cnd acestea
reprezint detalii, se pot regsi memorate doar n fiierele aplicaiei (nu i ntr-o
form tiprit).
c. Autorizarea tranzaciilor. ntr-un mediu informatizat se poate include i capacitatea
calculatorului de a iniia i executa automat unele tranzacii; altfel spus, este vorba de modul
de proiectare a aplicaiei informatice care poate avea ncorporate anumite autorizri implicite
i funcii de generare automat.
1313
d. Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod

uniform tranzacii similare, pe baza acelorai instruciuni program. n felul acesta, erorile de
redactare a documentelor asociate unei procesri manuale sunt n mod virtual eliminate. n
schimb, erorile de programare pot conduce la procesarea incorect a tranzaciilor, astfel nct
auditorii i vor concentra atenia asupra acurateei i consistenei ieirilor.
e. Accesul neautorizat la date i fisiere se poate efectua cu o mai mare uurin, ceea
ce implic un mare potenial de fraud i eroare.
f. Remanena suporturilor de memorare a datelor, dup ce au fost terse poate
constitui o cale sigur de a intra n posesia unor informaii de valoare.
g. Agregarea datelor. Noile sisteme de prelucrare automat a datelor, precum sunt cele
de asistare a deciziei, au condus la valorificarea unor informaii importante ale entitii,
genernd prognoze, strategii i tactici de parcurs ntr-un anumit domeniu. Astfel, informaiile
capt valene suplimentare dect cele avute prin pstrarea lor n mai multe locuri, separate
unele de altele.
h. Evoluia tehnologiei informaionale a cunoscut n ultimii ani un ritm accelerat, dar
nu acelai lucru se poate spune despre progresele nregistrate n domeniul securitii datelor.
i. Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de
comunicaie i a proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt
doar un exemplu n acest sens, dar se poate afirma c au deschis i mai mult apetitul
specialistilor n ceea ce privete frauda informaional.
j. Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor
al noului mediu de lucru , n aces sens modificarea datelor, adugarea sau chiar tergerea lor
au devenit operaii mult mai uor de realizat, dar n acelai timp, destul de greu de depistat.
2.1.2 Analiza riscului ntr-un mediu informatizat

Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica
modalitile prin care datele i, implicit, sistemul informatic care le conine, este expus la risc.
Elementele prezentate n paragraful anterior conduc la ideea c mediul informatizat genereaz
noi riscuri i orice organizaie, n vederea asigurrii unei protecii eficiente a informaiilor,
este necesar s dezvolte un proces complex de studiu i analiz a riscurilor.
Riscul IT se manifest prin intermediul componentelor sale proprii: ameninri,
vulnerabiliti i impact. Ameninrile exploateaz vulnerabilitile unui sistem cauznd
impactul i n esen, combinaia celor 3 elemente determin mrimea riscului. Riscul la
nivelul unei organizaii nu poate fi eliminat, el va exista ntotdeaua, managmentul societii
fiind responsabil de reducerea lui la un nivel acceptabil. n acest sens, figura 2.1 pune n
coresponden diferite elemente ce necesit a fi luate n calcul pentru reducerea riscului.
1414
Fig nr. 2.1 Componentele riscului IT
n general, riscurile asociate unui sistem informaional, pe care orice auditor trebuie s
le analizeze i evalueze (tehnica frecvent utilizat n acest caz este chestionarul), n vederea
aprecierii sistemului n sine, vizeaz:
Riscul securitii fizice ce va fi evaluat n funcie de informaiile culese, cu privire la:
existena sistemelor de paz, detecie i alarm a incendiilor, sistemelor de protecie mpotriva
cderilor de tensiune, protecia echipamentelor mpotriva furturilor, protecia mpotriva
catastrofelor naturale (inundaii, cutremure..), protecia fizic a suporilor de memorare.
Riscul de comunicaie poate lua valene diferite, n funcie de disponibilitatea
sistemului la reeaua public, situaie n care auditorul e necesar s analizeze msurile de
securitate adoptate: existena unui firewall, modul de configurare a acestuia, analiza modului
de transmitere a datelor prin reeaua public (utilizarea tehnicilor de criptare, existena unei
reele virtuale private - VPN). Acest risc se poate manifesta i la nivelul unei reele locale,
atunci cnd configurarea acesteia las de dorit i prin ascultarea liniilor de comunicaie,
traficul acesteia poate fi compromis. Confidenialitatea informaiilor nu vizeaz doar
memorarea acestora pe staiile de lucru sau servere, ci i liniile de comunicaie.
Riscul privind integritatea datelor i tranzaciilor vizeaz toate riscurile asociate cu
autorizarea, completitudinea i acurateea acestora.
Riscul de acces se refer la riscul asociat accesului inadecvat la sistem, date sau
informaii. Implicaiile acestui risc sunt majore, el viznd confidenialitatea informaiilor,
integritatea datelor sau bazelor de date i disponibilitatea acestora. n acest sens, aciunile
auditorului presupun o analiz a managementului parolelor la nivelul organizaiei (altfel spus
atribuirea i schimbarea parolelor de acces fac obiectul unei aprobri formale?), o investigare
a ncercrilor de accesare neautorizat a sistemului (exist o jurnalizare a acestora ?), o
analiz a proteciei staiilor de lucru (sunt acestea dotate cu soft care s blocheze accesul la
reea, atunci cnd utilizatorul nu se afl la staia sa ?).
1515
Riscul privind protecia antivirus ce impune o analiz a existenei programelor

antivirus n entitate, utilizarea lor la nivel de server i staii de lucru, upgrade-ul acestor
programe (manual sau automat). Lupta cu viruii este esenial, dar nu uor de realizat. n
ciuda numrului mare de programe antivirus existente este necesar o analiz a
caracteristicilor programului privind: scanarea n timp real a sistemului sau monitorizarea
continu a acestuia, scanarea mesajelor e-mail, scanarea manual.
Riscul legat de documentaia sistemului informatic. Documentaia general a unui
sistem informatic vizeaz pe de o parte documentaia sistemului de operare sau reelei i, pe
de alt parte, documentaia aplicaiilor instalate. Aceast documentaie poate fi diferit pentru
administratori, utilizatori i operatori astfel nct s ajute la instalarea, operarea, administrarea
i utilizarea produsului. Riscurile asociate documentaiei se pot referi la faptul c, aceasta nu
reflect realitatea n ceea ce privete sistemul, nu este inteligibil, este accesibil persoanelor
neautorizate, nu este actualizat.
Riscul de personal poate fi analizat prin prisma urmtoarelor criterii:
Structura organizaional la nivelul departamentului IT ce va avea n vedere modul n care
sunt distribuite sarcinile i responsabilitile n cadrul acestuia. Alocarea unui numr prea
mare de responsabiliti la nivelul unei singure persoane sau unui grup de persoane este
semnul unei organizri interne defectuoase.
Practica de selecie a angajailor. La baza unui mediu de control adecvat stau competena i
integritatea personalului, ceea ce implic din partea auditorilor o analiz a politicilor i
procedurilor organizaiei privind angajarea, specializarea, evaluarea performanelor i
promovarea angajailor.
Riscul de infrastructur se concretizeaz n faptul c organizaia nu deine o
infrastructur efectiv a tehnologiei informaiei (hardware, retele, software, oameni i
procese) pentru a susine nevoile acesteia.
Riscul de management al situaiilor neprevzute (risc de disponibilitate) este riscul
asociat pericolelor naturale, dezastrelor, cderilor de sistem care pot conduce la pierderi
definitive ale datelor, aplicaiilor, n absena unor proceduri de monitorizare a activitii, a
planurilor de refacere n caz de dezastre.
2.1.3. Metode cantitative i calitative de evaluare a riscurilor IT

Modelele de risc, fie ele cantitative sau calitative, reprezint instrumente deosebit de
utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind n acelai timp
informaii pentru a le determina i controla.
Literatura de specialitate abordeaz dou modele de analiz a valorii riscului: modelul
cantitativ i modelul calitativ ; acestea pornesc de la premisa c orice organizaie se poate
atepta la apariia unor pierderi cauzate de ineficiena unui sistem informatic, iar acest risc al
pierderilor, rezult din impactul pe care l au ameninrile asupra resurselor organizaiei.
Modelul cantitativ se bazeaz pe urmtoarele elementele: valoarea monetar credibil a
activelor; impactul ca procent din valoarea activelor; probabilitatea pierderilor anuale;
pierderea anual ateptat; costul controlului i msurilor de precauie; incertitudinea.
Impactul generat de o singur ameninare sau pierderea potenial asociat unei singure
apariii se calculeaz astfel:
Impact=FV * VA sau PPA = FV * VA
Pierderea anual anticipat este influenat de rata anual a apariiei riscului i poate fi
determinat astfel:
1616
PAA = PPA * RAA

unde: FV factor de vulnerabilitate
VA valoarea activului
PPA pierderea potenial asociat unei apariii.
PAA pierdearea anual anticipat
RAA - rata anuala a apariiei
O astfel de analiz include de asemenea o evaluare a raportului cost/beneficii ce va facilita
proiectarea ratei de recuperare a investiiilor (ROI) pentru un anumit set de controale.
ROI=Benefiii nete/Cost
Aceste modele matematice furnizeaz un rezultat concret, dar care trebuie inclus n mediul
economic i observat dac el reprezint realitatea.
Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de
risc, conform cruia sunt luai n calcul 4 factori de baz n aprecierea valorii riscului:
impactul financiar, vulnerabilitatea, complexitatea i ncrederea .( anexa 1.1)
n acest caz, valoarea riscului va fi exprimat prin valorile Foarte Sczut, Sczut, Mediu,
nalt, Foarte nalt i nu n valori absolute ; formula de determinare a valorii riscului este
urmtoarea :
VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )]
unde:
VR - valoarea de risc
VF - impactul financiar asupra organizaiei; acesta reprezint un cost potenial al organizaiei
n eventualitatea apariiei unei erori, cderi de sistem, fraude sau alte evenimente negative.
Valoarea material va fi dat de valoarea financiar sau valoarea activelor. Impactul asupra
organizaiei poate fi sporit prin intermediul unui multiplicator non financiar:
[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]
Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de
risc: vulnerabilitate, complexitate i ncredere.
Cv - vulnerabilitatea, se refer pe de o parte la modul n care utilizatorii autorizai au acces n
sistem i pe de alt parte la accesibilitatea sistemului i a activelor organizaiei de ctre
utilizatori neautorizai. Accesibilitatea unui sistem informaional se poate evalua n funcie de
restriciile fizice implementate n cadrul organizaiei i de modalitile de acces prin
intermediul reelei de comunicaie.
Cc - complexitatea - are n vedere riscul asociat tehnologiei informaionale n sine, numrul
utilizatorilor din cadrul compartimentelor sau n termeni mai generic complexitatea
organizaional.
Ci - ncrederea, reflect comportamentul uman din organizaie i vizeaz dou aspecte:
integritatea personalului i gradul de implicare al managerilor.
Wv, Wc, Wi - reprezint factori de greutate (important) care pot fi aplicai la discreia
auditorului, n funcie de condiiile specifice. Iniial, aceti factori pot fi stabilii la o valoare
de 0.33 n vederea determinarii unui multiplicator mediu general al riscului ; aceast valoare
nu este fix i atunci cnd se consider c unul dintre elemente are un impact mai mare dect
celelalte, se pot folosi valori diferite.
Valoarea de risc calculat va fi transpus ntr-un tabel de traducere, indicndu-se
nivelul de risc; n proiectarea acestui tabel, auditorii au n vedere urmtoarele reguli: valoarea
cea mai sczut de risc = 0 i valoarea cea mai ridicat se apreciaz ca fiind valoarea total
(financiar) a organizaiei multiplicat cu 3.
Un exemplu n acest sens, va elucida eventualele ambiguiti create: se consider o
banc a cror active sunt apreciate la 1 milion $. Modelul va fi aplicat asupra a dou categorii
1717
de operaii: conturi curente i operaii cu schimburi valutare. Valoarea activelor bancare fiind
apreciat la 1 milion $, maximul valorii de risc va fi deci de 3 milioane $.
Pentru a construi tabelul de traducere se va mpri aceast plaj de valori n segmente,
apreciate la nivelele de risc pe scara de la 1..5. (Tabelul 2.1) Cea mai simpl metod o va
reprezenta mprirea n intervale egale. Din nefericire, n practic lucrurile nu sunt chiar att
de simple. n mod evident, pierderea integral a activelor poate fi considerat un risc nalt, dar
inevitabil, apar ntrebri de genul: De unde ncep riscurile s creasc? Unde ating riscurile
nivelul mediu?
n general, n construirea acestui tabel de traducere auditorii solicit i consultarea
managementului entitii.
Valoarea de risc
De la
0
10.000.001
100.000.001
200.000.001
400.000.001
Nivelul de risc
La
10.000.000
100.000.000
200.000.000
400.000.000
3.000.000.000
1
2
3
4
5
Tab.2.1 Tabelul de traducere a valorii riscului

Soluia prezentat anterior nu este general valabil, auditorii putnd s-i foloseasc
experiena profesional n funcie de particularitile situaiei analizate. Tabelul 2.2 prezint
informaii relevante pentru analiza riscului, n cazul ales
Criteriu
Valoarea financiar
Vulnerabilitatea
Complexitatea
Conturi curente
Operaii de schimb valutar
250.000.000$
400.000.000$
Accesul la sistem poate fi obinut deAccesul intern este restricionat de la
la majoritatea terminalelor dinterminale speciale, aflate n ncperi
interiorul
bncii,
ct
si
acu un acces controlat . Se poate
sucursalelor.n plus accesul poate fi aprecia c pentru acest sistem
realizat prin sistemul Internetaccesul utilizatorilor este mult
Banking si pe arii limitate de lalimitat.
terminalele ATM (Automat Teller
Machine).n concluzie majoritatea
utilizatorilor pot accesa sistemul.
Rata vulnerabilitii :nalt
Rata vulnerabilitii: Medie
Sistemul este vechi, utilizat de pesteSistemul este utilizat de 3 ani. Este
15 ani , actualizat in timp.Cel puin un sistem proprietar care nu a suferit
10 specialiti IT au cunotinemodificri.
Documetaia
este
detaliate
despre
sistem,actualizat de proprietar i numai 2
documentaia existent nu a fostspecialiti IT au fost instruii n buna
actualizat cu noile modificri.intreinere a sistemului. Sistemul se
Sistemul se caracterizeaz princaracterizeaz prin cateva funcii i
multiple funcii, este integrat cupoate fi integrat doar cu sistemul
multe alte sisteme bancare i contabil. Departamentul Trezorerie
furnizeaz
informaii
oricruieste singurul utilizator.
departament.
Rata complexitii: Sczut
Rata complexitii : nalt
1818
ncrederea
Managementul acord o importanManagementul

este
concentrat
deosebit acestui sistem deoarece s-asupra unor probleme de securitate
au nregistrat numeroase cderi alelegate de comunicaia cu exteriorul,
acestuia.
dar n timp nu s-au nregistrat cderi
ale acestuia.
Rata ncrederii: nalt
Rata ncrederii: nalt
Tabelul 2.2 Informaii de apreciere a ratelor de risc pentru cei 3 factori:

complexitate, vulnerabilitate i ncredere
VR = VF * [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]
Deci:
1. VR=250.000.000*[(3*0.33)+(3*0.33)+(3*0.33)]=750.000.000 $
2. VR=400.000.000*[(2*0.33)+(1*0.33)+(3*0.33)]=266.666.666 $
Aceste valori vor fi interpretate cu ajutorul tabelului de traducere a valorii riscului (tabelul
2.1) astfel: pentru sistemul conturi curente riscul este considerat Foarte nalt; pentru sistemul
asociat schimburilor valutare riscul este considerat nalt. Concluziile finale ale acestei analize
pot fi considerate drept premise pentru crearea planului de audit sau pentru determinarea
nivelului de control care trebuie implementat.
2.2 CONTROLUL GENERAL AL SISTEMULUI INFORMAIONAL

Controlul general este destinat s supervizeze sistemul informaional n ansamblul su,
avnd o inciden asupra tuturor aplicaiilor informatice ce funcionez n mediul
informatizat. Numai prezena acestui control nu ofer o garanie asupra fiabilitii unei
aplicaii informatice i nici asupra completitudinii i acurateei ieirilor acesteia, ntruct
credibilitatea lor este dependent de controlul aplicaiilor. Componentele controlului general
sunt reprezentate n figura 2.2.
Figura nr.2.2 Componentele controlului general
2.2.1. Controlul organizaional
1919
Evideniaz psihologia managerului i stilul su de operare, poziia acestuia fa de

sistemul informaional. ntr-un mediu informatizat managerul trebuie s se asigure c exist o
separare a funciilor incompatibile la nivelul tuturor departamentelor informaionale. n
domeniul prelucrrii automate exist numeroase funcii, care, din considerente de securitate,
se recomand s fie exercitate de persoane diferite, cum ar fi: operarea la calculator i
programarea aplicaiilor; pregtirea datelor i prelucrarea lor; prelucrarea datelor i
controlul calitii prelucrrii; operarea la calculator i gestiunea suporilor de memorare;
reproducerea, eliberarea sau distrugerea informaiilor importante i autorizarea nfptuirii
lor; scrierea programelor de aplicaii i administrarea bazei de date; proiectarea,
implementarea i modificarea softului privind securitatea sistemului i exercitarea oricrei
alte funcii; controlul privilegiilor de acces i exercitarea oricrei alte funcii.
Controlul organizaional urmrete s verifice dac departamentul informatic ocup locul
care i revine n cadrul entitii, numrul de persoane aferent acestuia este suficient, iar
sarcinile incompatibile s fie separate. n realizarea acestui obiectiv, auditorul va examina:
planurile strategice asociate tehnologiei informaionale sunt stabilite i revzute anual,
examinate i aprobate de responsabilii importani ai entitii; responsabilul informatic ocup o
poziie ierarhic ce reflect importana tehnologiei informaionale pentru entitate; separarea
funciilor n cadrul compartimentului informatic; descrierea sarcinilor corespunztoare
fiecrei funcii specifice compartimentului informatic; definirea nivelurilor de autorizare i
supervizare n fiecare domeniu funcional al serviciului informatic; politica de personal n
domeniul IT permite asigurarea formrii i durabilitii colaborrii personalului care posed
experiena necesar.
2.2.2.Controlul dezvoltrii i ntreinerii sistemului

Este conceput, s ofere o asigurare rezonabil asupra faptului c sistemul este dezvoltat i
ntreinut ntr-o manier autorizat i eficient.
Mediul concurenial i volatilitatea informaiilor reprezint, adesea, factori ce impun
modificri ale aplicaiilor de procesare automat a datelor tocmai pentru a ine pasul noilor
exigene (spre ex: modificarea impozitarului salariilor, noi modificri legislative pentru cota
de tva). Orice modificare adus aplicaiilor din cadrul sistemului informatic va fi subiectul
unei autorizri stricte, unor proceduri de testare i control. n acest sens, pentru se asigura
eficiena i eficacitatea activitilor, auditorul va verifica dac sunt ndeplinite un minim de
cerine: exist proceduri care asigur documentarea i planificarea calendaristic a oricrei
modificri aduse sistemului iniial sau unor componente ale acestuia; modificrile necesare
sistemului sunt analizate astfel nct s se determine, pe ct posibil, tendinele viitoare; exist
proceduri prin care se asigur execuia numai a modificrilor autorizate; aplicaiile modificate
sunt date n exploatare numai dup ce acestea, n prealabil, au fost testate i documentate;
dup implementarea noilor modificri, se asigur utilizatorilor o perfecionare adecvat; exist
mecanisme de control care s previn modificarea neautorizat a sistemului; se asigur un
control al accesului la documentaia sistemului; achiziionarea unui nou sistem de la tere
pri, are la baz un studiu de fezabilitate, este acesta un proces controlat de autoritile
interne, noul sistem este compatibil cu sistemul existent (altfel spus organizaia dispune de
resurse hardware i software compatibile noului sistem), satisface acesta cerinele
organizaiei.
Orict de bun ar fi un sistem, dac ntreinerea i dezvoltarea acestuia nu reprezint un
proces continuu i adecvat, uzura moral a acestuia, mai devreme sau mai trziu i va face
simit prezena, iar toate eforturile depuse pentru achiziionarea i implementarea lui pot fi
dearte.
La nivelul departamentului de audit intern, se impune realizarea unui control al
modificrii programelor surs, control ce poate fi implementat din partea auditorilor, cu
ajutorul tehnicilor:
2020
- testul de numrare a biilor: realizeaz o comparaie a lungimii copiei de siguran i a

programului n lucru. Testul pare a fi destul de relevant pentru c este dificil a schimba logica
unui program fr a-i afecta lungimea sa.
- testul de program logic: presupune o comparare a codului surs a aplicaiei n uz cu
versiunea arhivat. Cele dou versiuni sunt analizate linie cu linie, lucru destul de obositor
dac avem n vedere dimensiunea aplicaiilor.
- testul bazat pe folosirea unor date fictive (Integrated Test Facility: ITF) este un test mai
complex ce solicit timp din partea auditorului pentru a-i proiecta datele de intrare; ulterior
datele sunt introduse prin programul n lucru i se verific ieirile.
2.2.3. Controlul securitii sistemului

Alegerea unei strategii corecte de abordare a securitii unui sistem trebuie s
porneasc de la adevrul unanim acceptat c nu exist un produs de securitate universal
valabil. Practica a demonstrat c nu exist o reet unic care, odat implementat, va
asigura beneficiarul c datele nu vor fi modificate sau furate. Nici un sistem nu poate fi 100%
securizat i utilizat n acelai timp, fapt care conduce la formularea unor afirmaii de genul:
"ceea ce se ctig n securitate, se pierde n funcionalitate".
Controlul securitatii asigur protecia organizaiei fa de un acces neautorizat la
resursele organizaiei, att din partea angajailor ei ct i din partea persoanelor din afara ei.
Problema securitii se resimte astzi ca o nevoie acut, dei implementarea ei apare
adeseori n urma pierderilor importante de date, fraude sau furturi informaionale. Printre
actorii acestei scene adesea persoanele din interiorul entitii angajaii numii n literatura de
specialitate infractorii de tip "guler alb" comit majoritatea infraciunilor informatice. n acest
context, este necesar s se contientizeze c securitatea sistemelor informaionale este, n
primul rnd o problem uman i nu una tehnic, ceea ce impune sensibilizarea i motivarea
factorului uman n acest sens.
Auditorul trebuie s verifice msura n care controlele existente n organizaie asigur
confidenialitatea, integritatea i disponibilitatea resurselor informaionale.
Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces
neautorizat. Aspectul cel mai important n acest caz l reprezint identificarea i autentificarea
utilizatorilor sistemului.
Integritatea informaiilor se refer la protejarea acestora mpotriva modificrilor
(accidentale sau intenionate) neautorizate; un acces neautorizat la informaiile strategice ale
organizaiei conduce adeseori la fraud.
Disponibilitatea presupune asigurarea accesibilitii sistemului informatic ori de cte
ori persoane autorizate din cadrul sistemului solicit acest lucru. Ce este necesar s protejezi,
mpotriva cui i cum ?, sunt ntrebri ce stau la baza definirii unei strategii de securitate la
nivelul unei organizaii.
Securitatea este o protecie a informaiei i proceselor unui sistem informaional
mpotriva dezastrelor, greelilor umane i manipulrilor frauduloase astfel nct impactul
asupra organizaiei s fie minimizat. Cerinele unei securiti n domeniul tehnologiei
informaionale sunt adesea redate de urmtorii termeni:
Asigurare: faptul c sistemul funcionez conform ateptrilor, rspunde cerinelor
utilizatorilor.
Identificare/Autentificare: procesul prin care calculatorul recunote prezena unui
potenial utilizator al sistemului
Responsabilitate/Audit trail: abilitatea de a ti cine, ce execut, unde i cum.
Utilizatorii sunt responsabili i trebuie s-i justifice aciunile lor.
Controlul accesului: accesul la resursele informaionale poate fi restricionat pe
diferite categorii de utilizatori.
Acurateea: asigur completitudinea i integritatea informaiilor.
2121
Securizarea transferului electronic: prin asigurarea confidenialitii, integritii,

autenticitii mesajului transmis i non-repudierea acestuia.
Continuitatea serviciilor: asigur disponibilitatea datelor i proceselor utilizatorilor
sistemului.
2.2.3.1 Politica de securitate informaional

Strategia de securitate a unui sistem trebuie s se bucure de simplitate, coeren i
conformitate cu standardele existente. Ceea ce confer o baz solid unei societi este
politica de securitate informaional adoptat i ea poate fi definit ca un set de reguli i
practici care regleaz modul n care o organizaie folosete, administreaz, protejeaz i
distribuie propriile informaii sensibile. Un astfel de document, conform Computer Control
Guidelines, ar trebui s conin:
- responsabilitile personalului n ceea ce privete securitatea informaional;
- atribuiile responsabilului cu securitatea informaiilor n cadrul organizaiei;
- clasificarea datelor i nivelurilor de securitate asociate acestei clasificri;
- rolul auditorului intern n monitorizarea securitii sistemului;
Odat instituite aceste politici ntr-o organizaie ele confer credibilitate resurselor
informaionale. Practica a demonstrat c nu exist dou organizaii care s aib politici de
securitate identice, acestea individualizndu-se tocmai datorit particularitilor pe care le
implic o entitate. ntr-o unitate sunt necesare politici speciale pentru utilizarea Internetului i
a e-mail-ului, pentru accesarea de la distan a sistemului, pentru modurile de utilizare a unui
sistem informatic, pentru protecia informaiilor, politica managementulu parolelor,etc.
Aadar, se poate spune c, printr-o politic de securitate informaional se definete politica
de ansamblu a organizaiei n domeniul informaional, precum i responsabilitile din sistem.
2.2.3.2 Strategia de control a securitii sistemului

O strategie de control a securitii sistemului informaional impune parcurgerea
urmtorilor pai:
Analiza activelor, etap ce presupune o identificare i evaluare a resurselor sistemului
informatic ce se doresc a fi protejate: sistem de operare, aplicaii, infrastructura reelei,
informaiile prelucrate de sistem. Auditorul va verifica existena unei clasificri a
informaiilor, n funcie de importana lor, n cadrul politicii de securitate existente pentru c
msurile de protecie ce se impun a fi luate vor fi corelate cu valoarea acestor active.
Analiza politicilor, practicilor de securitate existente.
Analiza posibilelor ameninri ale sistemului.
Ameninrile sunt acele evenimente sau activiti, n general externe unui sistem, care pot
afecta la un moment dat punctele slabe ale acestuia, cauznd impacturi. n general o
ameninare este o potenial for care poate degrada confidenialitatea i integritatea
sistemului, genernd adeseori ntreruperi de servicii ale acestuia. O clasificare identific
urmtoarele categorii de ameninri, care vizeaz: Identificarea / autentificarea utilizatorilor
sistemului: impostori ce se prezint drept utilizatori ai sistemului, programe tip spargatoare
de parole pentru aflarea parolelor din sistem; disponibilitatea informaiilor: cutremurele,
inundaiile, alunecrile de teren, variaii brute de temperatur, incendii, explozii, fenomene
astrofizice, fenomene biologice, suprancrcarea serverului, cderi de sistem, sabotarea
sistemului: distrugerea fizic a conexiunilor reelei, distrugerea fizic a mediilor de stocare,
introducerea viruilor, tergerea datelor critice; secretele organizaiei: supravegherea reelei,
acces neautorizat la informaiile secrete; integritatea/acurateea informaiilor: modificarea
2222
deliberat a informaiilor; controlul accesului: folosirea incorect a parolelor, configurarea

improprie a reelei, acces fizic neautorizat; repudierea: refuzul recunoterii expedierii/
recepionrii unui mesaj; legalitatea: nerespectarea regulamentelor interne i a cerinelor
legale de protejare a datelor; elemente cu caracter general precum erori umane, fraud, furt,
delapidare, vnzarea informaiilor confideniale, folosirea neautorizat a calculatoarelor,
introducerea de virui n sistem, etc.
Aceste ameninrile exist oricum, ele nu pot fi controlate, eradicate sau redirecionate, ci
numai monitorizate, detaliate pe proceduri i tehnici de manifestare, iar concluziile vor fi baza
evalurii vulnerabilitilor sistemului propriu.
Sursele manifestrii acestor ameninri sunt: spionaj politic, comercial, angajai, hackeri,
vnztori care au acces la sistem, detectivi particulari, mercenari, jurnaliti.
Analiza impactului financiar : este definit ca estimarea valoric a pierderilor
entitii ca urmare a exploatrii vulnerabilitilor sistemului de ctre ameninri. Acest impact
poate avea dou componente: un impact pe termen scurt i un impact pe termen lung.
Aprecierea acestuia poate fi considerat ca un numr pe o scar de la 0 ... 5 cu semnificaia: 0
impact neglijabil; 1 efectul e minor, procesele organizaiei nu vor fi afectate; 2 procesele
organizaiei sunt afectate o perioad de timp, se nregistreaz pierderi financiare i chiar
confidenialitatea clienilor este afectat minim; 3 se nregistreaz pierderi semnificative
asupra proceselor organizaiei, confidenialitatea clienilor este pierdut, valoarea de pia a
aciunilor scade; 4 efectele sunt dezastruoase, dar organizaia poate supravieui cu costuri
semnificative; 5 efectele sunt catastrofice, societatea nu poate supravieui.
n esen, impactul este specific fiecrei organizaii, depinde de activele acesteia, de
tipul organizaiei, de msurile de prevenire existente, descrie efectul ameninrii i se poate
manifesta ca o pierdere financiar direct, ca o consecin asupra reputaiei entitii sau ca o
sanciune temporar, cu o ulterioar consecin financiar (figura 2.3).
2323
Figura nr.2.3 Relaia dintre vulnerabiliti, ameninri, impact i msuri de

prevenire
Posibile impacturi:
1. Dezvluirea secretelor companiei, a datelor despre clieni, dezvluirea informaiilor
contabile.
2. Modificarea datelor contabile, datelor despre partenerii organizaiei (furnizori, clieni,..).
3. Atacuri din partea unor persoane care pretind c reprezint compania.
4. O campanie publicitar negativ ce poate divulga punctele slabe ale sistemului\ (breele de
securitate) hackerilor.
5. O campanie publicitar negativ ce poate conduce la modificarea, tergerea informaiilor
despre partenerii societii.
6. Perturbarea major a proceselor organizaiei.
7. Perturbarea major a reelei.
8. Pierderea confidenialitii clienilor.
9. Organizaia poate fi acuzat legal (neglijen n aplicarea legii sau chiar nclcarea ei).
10. Reducerea calitii serviciilor
11. Fraude informatice
12. Reeaua poate fi utilizat ca o baz pentru atacatori, n vederea distrugerii altor site-uri.
Calculul riscului: ntr-un capitol anterior, au fost prezentate mai multe metode
cantitative sau calitative de determinare a riscului recunoscute n practic, conform crora
relaia de determinare a riscului poate fi prezentat sintetic astfel:
2424
Risc = Impact * Probabilitate

Care este probabilitatea apariiei ameninrilor ? Experii tehnici pot evalua mai bine dect cei
financiari acest element ca un numr pe o scar de la 0 ... 5.
1 ameninarea este foarte improbabil s apar
2 ameninarea e posibil s apar mai puin de o dat pe an
3 - ameninarea e posibil s apar o dat pe an
4 - ameninarea e posibil s apar o dat pe lun
5 - ameninarea e posibil s apar o dat pe sptmn
6 - ameninarea e posibil s apar o dat pe zi
Riscul poate avea o valoare minim 0 i una maxim 25. Auditorul n aceast etap va seta o
valoare a riscului acceptabil.
Analiza msurilor de prevenire a atacurilor: sistemul de control intern, ntr-un
mediu informatizat, identific patru categorii de mecanisme de control:
Controlul preventiv urmrete o detectare a problemelor nainte de apariie, o
prevenire a erorilor, omisiunilor i actelor maliioase nainte de apariie i implic:
angajarea numai de personal calificat, separarea sarcinilor de serviciu, instructaje adecvate,
regulamente interioare, un control al accesului la informaiile sensibile astfel nct acesta s
fie permis numai persoanelor autorizate. n completarea acestuia, controlul detectiv are ca
obiectiv descoperirea i corectarea erorilor care au aprut printr-o verificare a datelor de
intrare/ieire, a controlului comunicaiilor acestor informaii i a controlului totalurilor
tranzaciilor prelucrate.
Controlul corectiv urmrete minimizarea impactului ameninrilor, remedierea
problemelor descoperite de controlul detectiv, identificarea cauzelor problemelor, corectarea
erorilor asignate acestora, ceea ce implic proceduri de back-up, proceduri de reluare a
execuiei.
Figura nr. 2.4. Tipuri de controale ale accesului n sistem

Determinarea riscului rezidual: riscul rezidual se definete ca acel nivel de risc ce
rmne dup analiza i evaluarea tuturor msurilor de combatere a riscurilor. Acest risc va
exista ntotdeauna, dar o problem rmne de a aprecia dac acest nivel este acceptabil sau
mai trebuie ajustat.
2525
Figura nr.2.5 Reprezentarea riscului rezidual

Riscul rezidual ia forma unai concluzii la care s-a ajuns n urma unui proces de analiza a
lui i trebuie s conin: semnalarea punctelor slabe, nevralgice ale sistemului asociate cu
ameninrile corespunztoare i probabilitatea lor de a avea loc; toate msurile
(recomandrile) ce se impun a fi aplicate dac riscul rezidual nu se ncadreaz la un nivel
acceptabil.
ntocmirea unui raport de analiz a riscurilor identificate i a securitii n ansamblul su
o poate reprezenta detalierea testelor pentru elementele semnificative ale sistemului, aa zisele
puncte slabe, vulnerabile. n acest sens, auditorul poate urmri:
- securitatea comunicaiilor;
- controlul accesului logic i fizic;
- securitatea fizic;
- evaluarea sistemului copiilor de siguran(back-up);
- evaluarea sistemelor de protecie antivirus;
2.2.3.3 Securitatea comunicaiilor

n prezent, una din problemele comunicaiei datelor o reprezint securitatea transmisiei i
recepiei lor. O aplicaie ce utilizeaz sistemele bazate pe securitate trebuie s asigure:
a. Confidenialitatea: meninerea caracterului privat al informaiei
b. Integritatea: dovada c respectiva informaie nu a fost modificat
c. Autenticitatea: dovada identitii celui ce transmite mesajul
d. Non-repudierea: sigurana c cel ce genereaz mesajul nu poate s-l denigreze mai trziu.
Toate aceste proprieti pot fi ndeplinite prin utilizarea cheilor publice criptografice.
Criptografia este considerat a fi arta sau tiina de meninere a mesajelor secrete,
asigurnd confidenialitatea, prin criptarea unui mesaj, folosind n acest sens chei asociate cu
un algoritm. Cheia utilizat trebuie s fie secret ambelor pri, problema reprezentnd-o
managementul cheilor i meninerea lor secret. Aceasta procedur este reprezentat n mod
schematic n figura 2.6 :
Figura nr.2.6 Tehnica de criptare a unui mesaj

2626
Un "mesaj clar" este supus unei transformri (criptare) prin intermediul unei chei (K)
rezultnd un text cifrat numit criptogram. Textul cifrat este transmis prin mediul de
comunicaie ctre un destinatar, care cu ajutorul unei chei de descifrare (K) obine "mesajul
clar". Sistemele criptografice se pot clasifica n sisteme simetrice i asimetrice.
Sistemele de criptare simetrice: folosesc o singur cheie att pentru incriptare, ct i
pentru decriptare solicitnd o ncredere reciproc a prilor implicate. Altfel spus, expeditorul
cripteaz textul clar cu ajutorul unei chei secrete, iar destinatarul va decripta mesajul criptat
folosind aceeai cheie, reuita fiind asigurat de secretizarea cheii. Ideal ar fi ca o astfel de
cheie simetric s fie utilizat o singur dat. Nu n ultimul rnd succesul sistemului se
bazeaz pe dimensiunea cheii. Astfel, dac ea are mai mult de 128 bii, este o cheie sigur,
ceea ce nseamn siguran n exploatare. Cel mai cunoscut sistem bazat pe chei simetrice este
Data Encryption Standard (DES), conceput n 1972, ca o dezvoltare a algoritmului Lucifer
al firmei IBM.
Sistemele de criptare asimetric folosesc dou chei: una public i una privat, ele
reprezentnd o soluie elegant n ceea ce privete distribuirea cheii. Dou sisteme de criptare
asimetric, se fac astzi recunoscute: RSA Data Security i Pretty Good Privacy , ambele
folosesc acelai algoritm: cheia public este produsul a dou numere prime, iar cheia privat
este unul dintre cele 2 numere prime. Un utilizator care cunoate cheia privat poate verifica
dac pentru crearea cheii publice s-a folosit cheia privat.
Astzi se acord o atenie deosebit dezvoltrii de standarde i reguli juridice pentru
rezolvarea principalei slbiciuni a sistemelor de criptare cu cheie public: alturarea unei chei
publice a unui utilizator cu identitatea acelui utilizator. Cum poate ti cu siguran un receptor
dac, cheia public a destinatarului aparine cu adevrat acelei persoane i nu unui impostor?
Soluia o reprezint asocierea unei semnturi digitale la cheia public. O semntur
digital32 este un bloc de date (alctuit din cifre binare) ce se ataeaz unui mesaj sau
document pentru a ntri ncrederea unei alte persoane sau entiti, legndu-le de un anumit
emitor. n esen, semntura digital stabilete autenticitatea sursei mesajului. Dincolo de
managementul cheilor de criptare, criptografia trebuie nsoit de un set de reguli, politici sub
care sistemele criptografice pot opera aa numita infrastructur : Public Key Infractructure
(PKI).
PKI este o combinaie de produse hardware i software, politici i proceduri care
asigur securitatea de baz necesar astfel nct doi utilizatori, care nu se cunosc sau se afl n
puncte diferite de pe glob, s poat comunica n siguran. La baza PKI se afl certificatele
digitale, un fel de paapoarte electronice ce mapeaz semntura digital a utilizatorului la
cheia public a acestuia, la care se mai adaug autoritile de certificare, autoritile de
nregistrare, politicile i procedurile cu chei publice, revocarea certificatelor, nerepudierea,
aplicaiile de securitate.
2.2.3.4 Controlul accesului

Se refer la metodele prin care se controleaz accesul unui utilizator autorizat la
fiiere, directoare, porturi i chiar protocoale. n acest sens se poate vorbi pe de o parte, de un
control al accesului n sistem (control fizic), iar pe de alt parte de un control al accesului la
resursele acestuia (control logic). Controlul accesului n sistem vizeaz o verificare a unui
utilizator autentificat de sistem prin prisma urmtoarelor caracteristici: timpul din zi, ziua din
sptmn, data, locul unde se afl terminalul. (Permite sistemul accesul utilizatorului la acea
or din zi?, n acea zi din sptmn?, De la acel terminal? ). Controlul accesului la resurse
este posibilitatea de a acorda sau interzice accesul unui utilizator la o resurs dat - trebuie s
fie parte integrant a unui sistem de operare de reea. Majoritatea sistemelor de reea prezint
o anumit form de acces al controlului bazat pe un sistem de privilegii sau permisiuni, cum
2727
ar fi: permisiunea de a citi, scrie, terge sau afia date. Auditorul va verifica sistemul de
restricii impus de administratorul reelei - sistem ce trebuie s asigure un filtru adecvat al
utilizatorilor n procesele de prelucrare a datelor i nu n ultimul rnd, va analiza proiectarea
reelei ct i instrumentele de securitate folosite n cadrul ei.
O bun gestiune a accesului utilizatorilor presupune ca n fiecare moment s se
cunoasc cine are acces n reea, ce execut, de ct timp acceseaz resursele sistemului.
Accesul utilizatorilor la un sistem presupune identificarea, autentificarea i autorizarea
acestuia n sistem.
O serie de vulnerabiliti, precum gestionarea incorect a drepturilor utilizatorilor de
ctre administratorul retelei, nedeconectarea utilizatorilor dup un numr de logri euate,
gestionarea incorecta a parolelor, ineficiena mecanismului de control al utilizatorilor, lipsa
unui jurnal care s memoreze ultima logare reuit sau nereuit, lipsa unui sistem de control
al accesului la fiiere n funcie de nivelul de autorizare, conduc la un acces neautorizat,
impropriu la resusele reelei. Accesul neautorizat const n accesul fr drept la un sistem sau
la o reea informatic prin violarea regulilor de securitate. Controlul accesului prin parole
reprezint un instrument utilizat frecvent de auditor n cadrul misiunii sale. Parola, cel mai
simplu accesoriu folosit n asigurarea securitii, reprezint adesea o vulnerabilitate uor
atacabil a unui sistem informatic. Adesea utilizatorii nu sunt educai n alegerea unei parole
corecte, ei necontientiznd faptul c securitatea fiecrui utilizator este important pentru
securitatea ntregului sistem.
Auditorul va verifica dac sunt stabilite proceduri pentru schimbarea lor periodic,
pstrarea confidenialitii parolei, "transparena" parolelor, accesul la fiierele cu parole este
protejat. Astzi nimnui nu-i mai este strin termenul de "sprgtor de parole" care nu este
altceva dect un program ce poate decripta parole sau poate dezactiva protecia prin parole.
Acesta ar putea reprezenta chiar unul din instrumentele auditorului pentru a descoperi parolele
slabe care exist n sistem.
Sistemul parolelor, orict de complex ar fi el, utilizat singur nu reprezint instrumentul
ce asigur securitatea unui sistem. Pentru prentmpinarea unor aspecte vulnerabile din
sistemul de protecie prin parole, se recomand ca o parol s fie nsoit de un alt instrument
de securitate ce va permite identificarea utilizatorului (o cheie de acces la consol, spre
exemplu).
Momentul 11 septembrie 2001 a schimbat sensul controlului accesului n sistem,
att prin prisma mijloacelor de exercitare, ct i a domeniilor de aplicare. O tendin
pregnant n acest sens o constituie sistemele de identificare biometric a persoanelor, care
exist la ora actual; nsi firma Microsoft realizeaz identificarea angajailor si prin
intermediul unei cartele inteligente, cu elemente biometrice incluse.
Controlul accesului n mediile publice: pentru a supravieui pe piaa competitiv de
astzi, firmele trebuie s-i fac simit prezena pe Internet. Vulnerabilitile reelei Internet
pot genera atacuri surpriz din partea utilizatorilor reelei conducnd la un acces neautorizat la
reeaua privat cu consecinele de rigoare. Auditorul unei astfel de organizaii, ce folosete
servicii Internet, va verifica existena i configurarea instrumentelor specifice cum ar fi:
firewall-urile, VPN (Virtual Private Network), instrumente de detectare a intruziunilor
(Intrusion Detection System), tehnici de criptare i PKI, programe antivirus.
Firewall-urile sunt produse software sau hardware care restricioneaz accesul ntre o
reea protejat i Internet sau alte seturi de reele, mpiedicnd astfel accesul neautorizat n
interiorul reelei. Un firewall este un sistem plasat ntre dou reele care se individualizeaz
prin urmtoarele caracteristici: tot traficul dinspre interior spre exterior i viceversa trebuie
s treac prin acesta; este permis trecerea numai a traficului autorizat prin politica local de
securitate; sistemul nsui este imun la ncercrile de penetrare a securitii acestuia.
Deoarece un firewall este dispus la intersecia dintre dou reele, acesta poate rezolva
i alte probleme, dect acela de control al accesului, cum ar fi: o bun monitorizare a
traficului i o uoar detectare a ncercrilor de penetrare n reea. n acest sens, un firewall
2828
poate jurnaliza serviciile folosite i cantitatea de date transferate prin conexiuni TCP/IP ntre
propria organizaie i lumea exterioar; poate permite sau interzice anumite servicii, blocarea
accesului de sau pe anumite staii, accesul anumitor utilizatori; poate bloca complet traficul
ntr-un anumit sens; poate fi folosit pentru interceptarea i nregistrarea tuturor comunicaiilor
dintre reeaua intern i exterior poate izola complet reeaua intern de cea public.
Avantajele prezentate nu trebuie s ne conduc la idea c un firewall este o soluie
pentru toate problemele de securitate, dar el reprezint o "prim linie" de aprare mpotriva
atacurilor externe. Acest mediu de securitate avansat, poate implementa msuri de securitate
prea stricte genernd o funcionare necorespunzatoare a reelei. n acest sens, spre exemplu,
nu este indicat un firewall n mediile care folosesc aplicaii distribuite, deoarece politica de
securitate strict implementat, va conduce la o exploatare greoaie a acestora. Evaluarea unui
firewall impune: verificarea configurrii corecte a acestuia; verificarea regulilor de filtrare a
informaiilor; verificarea canalelor de comunicaie deschise; verificarea aplicaiilor de tip
IRC (Internet Relay Chat) sau Instant Messaging, pentru c acestea constituie ci prin
intermediul crora se lanseaz diferite atacuri.
Reele private virtuale (VPN). Vulnerabilitile reelei Internet pot fi eliminate prin
utilizarea unui VPN, instrument ce asigur confidenialitatea datelor prin criptarea i
ncapsularea datelor n timpul transmiterii. O reea privat virtual conecteaz componentele
i resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea privat
virtual este o extensie a Intranetului unei firme peste o reea public, cum este Internetul.
VPN permite utilizatorilor s comunice prin aa numitele tuneluri care strbat Internetul,
oferind participanilor s se bucure de aceeai securitate ca a reelei private. Tunelul este
invizibil utilizatorilor din afara reelei i n plus toate datele transmise prin el sunt criptate.
Fiecare utilizator al VPN-ului este verificat i comparat cu o baz de date existent pentru a i
se aplica nivelul de securitate specific. n esen, soluia trebuie s asigure securitatea i
integritatea datelor cnd traverseaz Internetul.
O reea privat virtual va oferi garania urmtoarelor funcionaliti:
autentificarea utilizatorului, accesul prin VPN fiind permis numai utilizatorilor
autorizai; mai mult instrumentul va permite monitorizarea i jurnalizarea
activitilor, pentru a arta cine i cnd a accesat o informaie.
gestionarea adreselor: unui utilizator autorizat i se va asocia o adres din reeaua
privat, iar soluia trebuie s garanteze confideialitatea lor.
criptarea datelor: datele transferate prin reeaua public trebuie fcute invizibile
utilizatorilor neautorizai.
gestiunea cheilor de criptare; Soluia trebuie s genereze i s actualizeze cheile de
criptare pentru client i pentru server.
recunoaterea protocoalelor existente n reeaua public (cum ar fi Internet Protocol,
Internet Paccket Exchange.) Implementarea unui VPN ofer unei organizaii o serie de
avantaje importante: flexibilitate, uurina administrrii, ignorarea uzurii morale a
tehnologiei, conectivitate global. n acest context, tehnologia VPN vine n
ntmpinarea noilor cerine impuse de operarea afacerilor de la distan, operaii de
parteneriat interdependente, n care participanii trebuie s se poat conecta la
resursele centrale, s comunice unul cu altul.
2.2.3.5 Securitatea fizic

Controlul securitii fizice include msuri ce vor face ca procesarea datelor s nu fie
afectat de dezastre naturale (foc, inundatii), accidente tehnice (cderi de tensiune), condiii
de mediu (umiditate, lipsa ventilaiei). Auditorul verific msura n care accesul fizic la date i
resursele hardware sunt restricionate corespunztor:
- spaii speciale pentru amenajarea calculatoarelor cu protecie la incendii, inundaii, etc.
2929
- analiza mediilor de stocare a datelor. Existenta unor programe gen Easy Recovery sau Lost
& Found care permit recuperarea datelor terse de pe mediile de stocare pot genera prejudicii
importante.
- echipamentelor trebuie s li se asigure condiiile de mediu specificate n documentaia
tehnic.
- sisteme de supraveghere i alarm;
- controlul personalului de securitate.
2.2.3.6 Evaluarea sistemului de back-up

Pentru a asigura supravieuirea imediat a sistemelor, copiile de siguran hardware i
software sunt eseniale pentru succesul fazei de stand-by. Cea mai popular tehnic de
refacere a datelor este sistemul "fiu - tata - bunic" i ea const n: realizarea unor copii
zilnice; back-up zilnic se suprascrie n sptmna urmatoare; la sfritul unei sptmni se
realizeaza un back-up separat (copia sptmnii); back-up sptmnii va fi suprascris n luna
urmtoare.
Realizarea i pstrarea unor astfel de copii de siguran este absolut necesar n
condiiile unei ntreruperi nejustificate a sistemului sau n situaii de alterare a calitii
informaiilor. n evaluarea eficienei unui sistem back-up e necesar s se analizeze: care sunt
datele sau informaiile crora li se fac copii de siguran; frecvena realizrii acestei operaii,
n principu, ea fiind proporional cu volumul tranzaciilor prelucrate i importana acestora
pentru organizaie; sigurana pstrrii copiile de siguran; suporii magnetici utilizai pentru
back-up, din punct de vedere al costurilor i performanei; maniera de restaurare rapid i
eficient a informaiei, n cazul unor evenimente nedorite; instructaje adecvate realizate
personalului organizaiei;
2.2.3.7 Evaluarea sistemelor de protecie antivirus

Acesta presupune: verificarea existenei programelor antivirus la nivel de server i
staie de lucru; o analiz a update-ul software-ului antivirus cu cele mai recente detalii despre
noii virui (automat, manual); drepturile de a suspenda monitorizarea antivirus aparine numai
administratorului sau/i operatorilor, utilizatorilor; analiza configurrii software-ul antivirus
astfel nct acesta s aib posibilitatea de a verifica e-mail-ul, cd-urile, floppy-discurile,
browser-ul de web, arhivele.
2.3 CONTROLUL APLICAIILOR

Controlul aplicaiilor dintr-un sistem informatic vizeaz att un control administrativ
care promoveaz eficacitatea exploatrii, ct i un control al fiabilitii aplicaiei. O aplicaie
pentru a fi de calitate, n general, trebuie s respecte cteva condiii eseniale: s fie n
conformitate cu nevoile beneficiarului; s nu prezinte disfucionaliti; s fie adaptabil
schimbrilor legislative, tehnice.
Controlul unei aplicaii este o activitate complex deoarece depinde n cea mai mare
msur de alte controale, care, ntr-o prim faz, pot fi invizibile pentru auditor: controlul
dezvoltrii, implementrii i ntreinerii programelor; controlul accesului fizic i logic;
separarea funciilor incompatibile; controlul copiilor de siguran i al procedurilor de
restaurare. Controlul n sine are n vedere: fiierele principale, versiunea aplicaiei folosit n
prelucrare, autorizarea datelor de intrare, erorile depistate i coreciile acestora.
Controlul unei aplicaii abordeaz: controlul datelor de intrare; controlul asupra
procesrii i fiierelor de date; controlul datelor de iesire
2.3.1. Controlul datelor de intrare

3030
Se definete ca un ansamblu de tehnici i metodologii care vor garanta integritatea,

acurateea i oportunitatea datelor contabile din momentul prezentrii lor spre procesare pn
la regsirea lor n situaiile financiare. Importana acestui control este de necontestat, pentru
c n acest punct incidena erorilor ct i tentativa de fraud sunt frecvente.
Controlul datelor de intrare poate identifica mai multe tipuri de controale reprezentate
n figura 2.7:
Figura nr.2.7 Tipuri de controale asupra datelor de intrare

Controlul asupra autorizrii furnizeaz n general, o asigurare c toate tranzaciile
sunt autorizate i c persoanele care autorizeaz fiecare tranzacie au ntr-adevr competena
s o fac. n general un astfel de control se regsete implementat n cadrul organizaiilor, dar
el poate fi revizuit de auditor printr-o serie de teste, cum ar fi:
- controlul accesului la aplicaiile informatice garanteaz faptul c procedurile de culegere a
datelor revin persoanelor autorizate.
- verificarea documetelor autorizate: autorizare furnizat de obicei de o tampil sau o
semntur pe sursa documentului.
- verificarea intrrilor ce nu au ca surs un document scriptic.
Controlul asupra acurateei datelor de intrare, i va permite auditorului s
desfoare o serie de teste ce urmresc s detecteze date incomplete, incorecte i nerezonabile.
Diversitatea acestor teste este recunoscut i ele pot include:
- testul privind formatul datelor: natura datelor, lungimea cmpurilor, acceptarea valorilor
negative sau doar a celor pozitive, formatul datei calendaristice.
- testul verificrii domeniului de definire al atributelor.
- testul rezonabilitii datelor, incluznd verificarea relaiilor logice dintre 2 sau mai multe
fiiere sau de asemenea poate viza conformitatea datelor cu un standard sau cu legislaia n
vigoare (ex. Grila de impozit aferent salariilor angajailor)
- testul coerenei datelor de intrare (de ex. Rulaj creditor=Rulaj debitor)
- testul privind verificarea restriciilor de integritate ce se impun a fi definite:
- restricii asupra valorilor unui cmp; exemplu: pret>0
- restricii asupra valorilor mai multor cmpuri ce provin din aceeai tabel;
exemplu: cantitate * pret > 1000000
TIP_CONT =ACTIV SOLD_I_CREDITOR = 0
- restricii asupra valorilor mai multor cmpuri ce provin din tabele diferite;
exemplu: data_facturii>=data_contract
- restricii asupra unor valori obinute pe baza operaiilor de sintetizare;
exemplu: valplatita<=valfactura.
- testul cifrei de control
3131
Controlul completitudinii intrrilor este necesar a fi desfurat pentru a se asigura

c datele nu au fost pierdute, adugate, duplicate sau modificate greit n timpul procesrii.
Tehnici de asigurare a completitudinii pot fi reprezentate de urmtoarele teste:
test de verificare secvenial (manual sau automat): va urmri numerotarea
cronologic, informatizat a datelor de intrare i prezena acestora n evidena
contabil sintetic i analitic.
test de verificare ncruciat n care se verific spre exemplu concordana dintre
nregistrrile nomenclatorului de mijloace fixe i fiierul de amortizare asociat
acestora.
test de verificare individual ce presupune verificarea fiecrui document manual cu o
lista detaliat a nregistrrilor procesate de calculator. Controlul totalurilor asociat
nregistrrilor prelucrate. Introducerea datelor este adesea o activitate predispus
erorilor i poate cea mai vulnerabil operaie este corectarea lor. Aplicaia informatic
ar trebui s realizeze o jurnalizare a tuturor erorilor identificate astfel nct s permit
o verificare a coreciilor acestora.
2.3.2 Controlul prelucrrii datelor

Asigur c tranzaciile nu au fost pierdute, adugate, modificate i c erorile de
procesare au fost identificate i corectate n timp util. n aceast etap este necesar ca
auditorul s urmreasc anumite aspecte:
- modul de introducere a datelor i metodele de procesare:
a. Introducere pe loturi/procesare pe loturi
b. Introducere on-line/procesare pe loturi
c. Introducere on-line/procesare on-line
- natura prelucrrilor:
a. Actualizarea bazei de date
b. Sortarea
c. Consultarea
d. Calcule
e. Salvarea i restaurarea bazei de date.
- nivelul descentralizat al prelucrrilor.
- tipologia sistemelor informatice.
Instrumentele auditorului n aceast etap sunt:
- controlul totalurilor, test ce va verifica dac toate datele din set sunt prelucrate. Testul
numar nregistrrile nainte i dup prelucrare i compar totalul nregistrarilor intrate cu
totalul celor prelucrate.
- testul de verificare secvenial;
- testul "Hash-Total" determin dac identitatea datelor rmne neschimbat n timpul
prelucrrii. Acest test verific dac sumele se nscriu n conturile corecte. Se compar totalul
sumelor de nscris cu totalul determinat automat. O diferen arat c o parte din sume nu s-au
prelucrat sau contul a fost incorect.
- testul de identificare a etichetei fiierelor utilizate - se verific dac se lucreaz cu fiierul
corect (versiunea corecta, autorizata).
Dincolo de testarea procesrii n sine, verificarea fiabilitii unei aplicaii presupune i o
testare a:
calculelor aritmetice realizate de aplicaie
volumului maxim de date ce poate fi procesat de aplicaie pentru verificarea limitelor
sistemului.
traseului auditrii n sensul c acesta este n permanen actualizat de sistem. Traseul
auditrii n domeniul sistemelor informatice reprezint o jurnalizare a tuturor
3232
activitilor i evenimentelor ce au loc n cadrul acestuia, el poate include informaii

legate de : utilizatorul care a introdus datele n sistem, data i ora la care au fost
procesate, identificarea calculatorului de unde s-a fcut introducerea.
sistemului de management a bazei de date - testarea structurii bazei de date trebuie s
asigure asupra corectitudii proiectrii acesteia.
interfaa cu alte aplicaii.
O importan deosebit n cadrul acestei etape o reprezint structura i coninutul
documentrii sistemelor de aplicaii. O documentare a aplicaiilor este necesar att entitii
pentru a garanta funcionarea corect a acesteia ct i auditorului pentru o bun nelegere i
evaluare a aplicaiei. O aplicaie cumprata este livrat cu cel puin un manual de utilizare i
unul tehnic.
Documentele pe care auditorul le poate verifica sunt:
documentaia de achiziionare a sistemului de aplicaii ce include analize
cost/beneficiu, cerinele utilizatorului
specificaiile proiectrii funcionale ce pot include o prezentare a structurii bazelor
de date, cheilor primare, cheilor externe, restriciilor incluse, o explicarea a
calculelor pe care le face aplicaia, protecia fiierelor de baz
documentaia aferent fiecrei modificri a programelor sau a noilor versiuni
actualizate
manualele de utilizare
documentaia tehnic
2.3.3 Controlul datelor de ieire

Controlul datelor de ieire se caracterizeaz n general prin diferite proceduri manuale
menite s asigure:
- acurateea i corectitudinea datelor de ieire;
- distribuirea datelor numai persoanelor autorizate.
Verificarea acurateei datelor de ieire are ca punct de plecare o comparaie a acestora cu
datele de intrare, tocmai pentru a se verifica dac ieirile reflect toate datele introduse.
Distribuia datelor de iesire este o problema major pentru organizaie, n sensul c
aceasta trebuie s asigure confidenialitatea i securitatea informaiilor
n vederea realizrii unui control eficient, la acest nivel, auditorul poate desfura o serie
de teste, precum: verificarea existenei unui jurnal al tranzaciilor i n cadrul su echilibrarea
loturilor; comparaii directe cu documentele surs; reconcilierea conturilor de nregistrare sau
a totalurilor defalcate.
2.4 SISTEMUL DE CONTROL INTERN NTR-UN MEDIU

INFORMATIZAT, N ACCEPIUNEA COBIT
La nivel internaional, ultimii ani au fost marcai de o atenie pe care auditorii,
managerii i organismele cu atribuii de reglementare a domeniului au acordat-o controlului
intern. Efortul lor, depus n sensul de a defini i evalua ct mai exact controlul intern n
condiiile utilizrii tehnologiei informaionale, s-a concretizat n publicarea unor noi
documente ce acoper aria de aciune a acestui concept.
COBIT (Control Objectives for Information and Related Technology), publicat n
1996 de ISACF (Information Systems Audit and Control Foundation), reprezint cadrul
general de aplicabilitate a practicilor privind securitatea i controlul tehnologiei
informaionale, scopul su principal fiind de a rspunde nevoilor organizaiei, indiferent de
sectorul n care i desfaoar activitatea. n accepiunea COBIT, controlul intern reprezint
politicile, procedurile, practicile i structurile organizaionale proiectate cu scopul de a oferi o
3333
asigurare rezonabil n ceea ce privete atingerea obiectivelor firmei, precum i prevenirea,

detectarea sau corectarea evenimentelor care ar afecta ntr-un mod negativ organizaia.
Acest document contribuie la creterea importanei acordate tehnologiilor
informaionale n cadrul activitilor desfurate de o organizaie, subliniind obiectivele
controlului intern n noul context.(figura 2.8).
Figura nr.2.8. Obiectivele controlului intern n viziunea COBIT

n acest sens, pentru a satisface obiectivele organizatiei, informaiile trebuie s
respecte anumite criterii, care n documentele COBIT, sunt denumite cerinele informaionale
ale organizaiei , divizate n 3 categorii: cerine de calitate, cerine de conformitate i cerinte
de securitate, care la rndul lor sunt identificate prin: eficacitate, eficien, confidenialitate,
integritate, disponibilitate, conformitate i ncrederea informaiei.
Eficiena este definit ca acel indicator care asigur informaia n parametrii optimi de
productivitate.
Eficacitatea privete informaia ca fiind relevant i pertinent pentru procesul
afacerii, ceea ce presupune furnizarea de informaii corecte, consistente, utilizabile i n timp
real.
Confidenialitatea priveste protecia informaiilor sensibile fa de o cunoatere
neautorizat.
Integritatea privete acurateea i completitudinea informaiilor precum i validitatea
n raport cu setul de valori a ateptrilor.
Disponibilitatea privete caracterul disponibil al informaiei atunci cnd este cerut de
procesul afacerii i de asemenea urmrete securitatea resurselor.
Conformitatea privete conformitatea cu acele legi, contracte la care procesul afacerii
este supus.
ncrederea informaiei presupune asigurarea managementului cu informaie real,
identificat n rapoartele financiare. Resursele folosite n domeniul tehnologiilor
informaionale consist n date, aplicaiile sistemului, tehnologia propriu-zis i resursele
umane.
Astfel, cadrul conceptual poate fi privit din 3 perspective, reprezentate ca fiind
dimensiunile cubului COBIT: criteriile informaiilor, resursele IT, procesele
3434
Figura nr.2.9. Cubul COBIT

Controlul intern, n viziunea COBIT se concentreaz asupra a patru domenii:
Planificare i organizare : definit ca o strategie i tactic organizaional, ce
presupune identificarea tuturor instrumentelor prin care sistemul informatic asigur, n
modul cel mai eficient, realizarea obiectivelor comerciale ale organizaiei. Dintre acestea, se
pot meniona: definirea unui plan strategic pe linie informatic, stabilirea direciilor de
aciune, a arhitecturii informaionale, organizarea compartimentelor, evaluarea riscurilor,
administrarea investiiilor informatice, a proiectelor i, nu n ultimul rnd, evaluarea corect a
calitii tuturor proiectelor informatice.
Achiziie i implementare : impune realizarea unei strategii informatice prin
identificarea, achiziia, dezvoltarea i instalarea soluiilor informatice i integrarea acestora n
procesele comerciale ale organizaiei. Mai concret, aceasta presupune: identificarea, achiziia,
ntreinerea aplicaiilor i a infrastructurii informatice, administrarea i monitorizarea tuturor
schimbrilor n sistem.
Distribuire i susinere (ntreinere): este domeniu asociat implementrii
aplicaiilor informatice solicitate, ceea ce include i exploatarea, securitatea, planurile de
urgen i formarea viitorilor utilizatori. n sens larg, aceasta nsemn: stabilirea planurilor de
service i asisten, administrarea performanelor sistemului, asigurarea asistenei
prelucrrilor, asigurarea securitii fizice i logice a sistemului, identificarea i repartizarea
costurilor, formarea i asistena utilizatorilor, administrarea configurrii, exploatrii,
incidentelor, datelor i prelucrrilor.
Monitorizare: presupune evaluarea continu, de ctre management, a calitii i
conformitii proceselor informatice cu exigenele controlului.
Regula de aur a COBIT poate fi rezumat astfel: resursele IT trebuie s fie conduse de un set
de procese grupate natural, astfel nct, mpreun, s furnizeze informaia de care are nevoie
organizaia pentru realizarea obiectivelor ei.
3535
Figura. nr.2.10. Controlul intern ntr-un mediu informatizat

Aceast documentaie COBIT, ofer ulterior un ghid asociat procesului de audit, care
subliniaz scopul unei astfel de misiuni, ce trebuie s furnizeze managementului organizaiei
o asigurare rezonabil c obiectivele de control sunt ndeplinite i, acolo unde exist o
slbiciune semnificativ a controlului, s se sublinieze riscurile rezultate i totodat s ofere
conducerii, recomandrile necesare a fi ntreprinse.
Cadrul metodologic asociat unei misiuni de audit urmrete: obinerea unei nelegeri a
cerinelor organizaiei; identificarea controalelor existente; evaluarea conformitii controlului
intern, testnd dac controalele lucreaz aa cum au fost prescrise; identificarea riscurilor,
acolo unde obiectivele de control nu sunt ndeplinite, folosind proceduri analitice. Principiile
auditului sunt construite n jurul celor 4 premise. n general, un astfel de proces implic, ntr-o
prim etap, documentarea activitilor pentru a evidenia obiectivele controlului,
intervievarea managementului i a personalului departamentului IT cu scopul de a nelege cu
adevrat cerinele organizaiei. Ulterior se urmrete identificarea controalelor existente i
analiza msurilor de control implementate n cadrul organizaiei; auditorul trebuie s se
asigure c documentaia procesului exist i s evalueze distribuia, responsabilitatea i
disponibilitatea ei.
Evaluarea conformitii controlului intern este etapa n care auditorul trebuie s se
asigure c msurile de control stabilite sunt n conformitate cu standardele n vigoare i
regulamentele interne, fapt ce-l va determina s obin probe pe diferite eantioane.
Finalitatea etapei este redat de aplicarea testelor de detaliu i procedurilor analitice, tocmai
pentru a asigura auditorului certitudinea c procesele IT sunt adecvate.
Ultima etap, identificarea riscurilor importante ale sistemului informatic, presupune
o analiz a slbiciunilor de control i vulnerabilitilor sistemului n vederea aprecierii
actualului sau potenialului impact. n acest sens, auditorul va utiliza tehnici analitice i/sau
consult surse alternative n acord cu obiectivul auditului.
3636
CAP. 3 TEHNICI DE AUDIT ASISTATE DE CALCULATOR

3.1 CONSIDERAII GENERALE PRIVIND TEHNICILE DE AUDIT
ASISTATE DE CALCULATOR
Mediul informatizat n care i desfoar astzi activitatea orice entitate auditat
influeneaz n mod continuu munca auditorilor, prin faptul c el creeaz noi oportuniti i
noi riscuri, reguli suplimentare n ceea ce privete securitatea, corectitudinea i marjele de
eroare acceptabile. Creterea complexitii sistemelor, n special a sistemelor de contabilitate
informatizat, de tip ERP (Enterprise Resource Planning) (ERP-urile sunt recunoscute ca
3737
sisteme informatice financiar-contabile integrate, specifice organizaiilor mari i foarte mari.

n general, ele ncearc s integreze toate departamentele i ariile funcionale din cadrul unei
organizaii ntr-un singur sistem informatic, care s rspund necesitilor tuturor, nlocuind
multitudinea sistemelor divergente, complexe, mai mult sau mai puin compatibile) ct i
volumul mare al tranzaciilor nregistrate n prezent au condus la nlocuirea cu o frecven
accelerat a tehnicilor de audit clasic, manuale, cu tehnici moderne, asistate de calculator
cunoscute sub numele de CAAT (Computer Assisted Audit Techniques).
Tehnicile de audit asistate de calculator pot fi definite ca instrumente care au drept
baz calculatorul i au drept scop mbuntirea eficienei i eficacitii procesului de audit; o
definiie alternativ ar fi aceea de tehnici folosite de auditorii care utilizeaz calculatorul
drept instrument pentru culegerea i analiza datelor necesare auditului.
Dezvoltarea tehnologiilor informaionale i specializarea continu a auditorilor au
trasat dou direcii de utilizare a calculatoarelor: ca instrument de lucru al auditorului, n
cadrul misiunii sale permind o cretere a eficienei i eficacitii activitii depuse; ca
obiectiv al unei misiuni de audit (obiect de control), pentru a analiza acurateea, integritatea i
completitudinea informaiilor financiar contabile.
Folosirea iniial a datelor prelucrate electronic, n cadrul marilor cabinete de audit, a
condus la realizarea unui audit n jurul calculatorului. ntr-o prim etap, reacia
auditorului a fost de a ignora total calculatorul, tratndu-l ca pe o cutie neagr, care oferea
un acces rapid la documente i nregistrrile contabile. Interesul major al acestuia era
concentrat pe datele i informaiile prelucrate de calculator i n nici un caz pe structura
intern a aplicaiilor informatice.
Tehnica propriu-zis de auditare era caracterizat astfel: auditorii selectau anumite
date de intrare, calculau manual rezultatele i le comparau ulterior cu datele de ieire generate
n mod automat de calculator.
Abordarea calculatorului ca instrument al auditorului n ndeplinirea sarcinilor acestuia
este cunoscut n literatura de specialitate ca fiind auditarea "cu ajutorul" calculatorului. n
acest moment, se remarc apariia n cadrul marilor cabinete de audit a software-ului de audit
generalizat - instrument CAAT, ce permite compararea coninutului a dou fiiere, examinarea
coninutului unui fiier, determinarea unor deprecieri, calcularea mrimii eantionului de
testat, etc. Totui, trebuie remarcat c nici n aceast faz auditorul nu era interesat de
instrumentul informatic i de modul n care se realizeaz procesarea datelor.
Astzi, dezvoltarea noilor tehnologii informaionale i utilizarea pe scar tot mai larg
a calculatoarelor i-a forat pe auditori s trateze calculatorul ca pe inta auditrii i s auditeze
"prin" el i implicit sistemul informatic. Ce nseamn aceast nou abordare? Aceasta cere
auditorului s introduc datele n calculator pentru procesare, apoi verific modul n care sunt
procesate datele, structura fiierelor, a bazelor de date, a cilor de comunicaie, etc.
Rezultatele sunt analizate pentru a se constata, dac utilizatorii i conducerea organizaiei se
pot baza pe procesarea i acurateea programelor.
n aceste condiii, se impune precizarea tehnicilor care au impus aceast abordare:
- Introducerea datelor on-line, proces ce nu mai implic existena documentelor surs.
Auditorul este obligat s "ptrund" n sistem pentru a determina gradul de siguran i
acurateea procesrii i a controlului, deoarece nu mai poate parcurge traseul documente
surs - documente de ieire.
- Reducerea sau chiar lipsa ieirilor tiprite.
- Actualizarea fiierelor n timp real, tehnic prin intermediul creia tranzaciile apar imediat
ce au loc. O ieire tiparit, prezentnd coninutul unor astfel de fiiere i furnizat auditorului
ar putea s nu fie corect. n timpul listrii coninutului unui fiier, datele acestuia ar putea fi
schimbate, lucru ce-l determin pe auditor "s acceseze" sistemul pentru a realiza auditarea.
3838
3.2. REPERE PRIVIND OBIECTIVELE UTILIZRII TEHNICILOR

DE AUDIT ASISTATE DE CALCULATOR
Integrarea acestor tehnici i instrumente moderne de audit asistate de calculator este o
condiie esenial pentru creterea eficienei i eficacitii unei activiti de audit, indiferent
dac este vorba de un audit intern sau extern, dar nu constituie un scop n sine.
Rezultatul acestei integrri ar trebui s aduc auditorii pe o poziie optim pentru a
lua pulsul unei organizaii, n condiiile n care planificarea, testarea propriu-zis i
raportarea se desfaoar n paralel i n timp real. Chiar i n aceste condiii, utilizarea
CAAT-urilor trebuie s fie planificat i abordat numai dac adaug valoare auditului
sau dac procedurile manuale se dovedesc inutilizabile, mai puin economice sau mai
puin eficiente.Analiza disponibilitii CAAT-urilor, ct i compatibilitatea pachetului de
programe al auditorului cu sistemul organizaiei auditate (sunt necesare anumite
configurri tehnice pe care organizaia nu le posed n acel moment) sunt cel puin dou
condiii abordate de auditor naintea instrumentrii lor. Atunci cnd utilizarea CAAT
este ineficient sau impracticabil, se poate opta pentru adoptarea altor faciliti sau
realizarea unei combinaii corespunztoare a tehnicilor de audit manuale cu cele asistate
de calculator. Standardul de audit 1009 Tehnici de audit asistate de calculator ajut
raionamentul auditorului n determinarea oportunitii utilizrii lor i recomand n
acest sens, analiza urmtorilor factori:
- cunotinele, specializarea i experiena n domeniul informatic ale auditorului. Acesta
trebuie s fie contient c utilizarea CAAT n anumite condiii poate necesita cunotine
i specializare la un nivel semnificativ.
- disponibilitatea CAAT-urilor i a facilitilor informatice corespunztoare. Cooperarea cu
personalul IT al organizaiei ar putea s ofere faciliti de prelucrare, s ajute la derularea unor
activiti auxiliare.
- imposibilitatea de aplicare a testelor manuale. Numeroase sisteme informatice financiar
contabile pot realiza diverse prelucrri, funcii pentru care nu exist dovezi vizibile i, n
aceste condiii, auditorului i va fi practic imposibil s realizeze teste manuale. Lipsa unor
dovezi vizibile poate aprea la momente diferite:
- documentele de intrare pot s nu existe, atunci cnd ordinele de vnzare sau rambursare au
fost primite on-line. Mai mult, anumite tranzacii precum acordarea discount-urilor, calculul
dobnzilor sunt generate de anumite module program fr o autorizare vizibil a tranzaciilor
individuale.
- rapoartele de ieire pot s nu fie produse de sistem. n plus, un raport tiprit poate conine
totaluri sintetizate, n timp ce detaliile se regsesc n alte fiiere ale aplicaiei.
- eficiena i eficacitatea procedurilor de audit pot fi mbuntite prin utilizarea CAAT-urilor.
n general utilizarea lor implic testarea ntregului volum de date (testare 100%) ceea ce
conduce la o cretere a eficienei la un nivel de cost similar. Detaliile tranzaciilor sau ale
soldurilor i rapoartele tiprite ale elementelor neobinuite pot fi analizate mai eficient prin
utilizarea calculatorului dect prin metode manuale.
- normarea timpului.
Astzi, ntr-o er informatizat, apare necesitatea exprimrii, de ctre auditor, a unei
opinii fundamentate n timp real, n defavoarea abordrii clasice, cu caracter istoric. Auditorul
trebuie s aprecieze calitativ informaia produs de sistemele informaionale, presiunile
venind, n acest sens, att din partea managementului intern, ct i din partea acionarilor
externi care simt nevoia s fie informai pentru a rezista mediului concurenial.
3939
3.2.1 Importana utilizrii CAAT

Utilizarea tehnicilor de audit asistate de calculator a ctigat o amploare crescnd, nu
numai n cadrul cabinetelor de audit, ci chiar i n rndul clienilor auditai (n special, n
cadrul departamentelor de audit intern). La prima vedere, acestea par a implica costuri poate
nejustificate, dar n realitate ele ofer o plus - valoare att clienilor, ct i auditorilor, prin
imaginea complet pe care o dau unui sistem sau/i unei tranzacii. n acest sens, s analizm,
spre exemplu, veniturile anuale ale unei entiti, n spe cele rezultate din plile fcute de
ctre clieni. n cadrul unei proceduri tipice de control financiar, auditorul extern obine
balana final a ncasrilor i o list detaliat a tranzaciilor care au avut loc. Balana final a
ncasrilor este folosit n verificarea analitic, comparnd situaia curent a veniturilor cu
situaia din exerciiul financiar precedent. Dac variaia determinat n funcie de anumite
criterii impuse de auditor, e rezonabil, se va selecta un eantion de date i n baza lor sunt
trimise scrisori de confirmare ctre clieni pentru testarea acurateii i existenei acestor
tranzacii; n schimb, dac variaia nu este acceptabil se vor realiza testri detaliate, de obicei
prin analiza documentelor primare, pentru a determina dac exist operaiuni neobinuite ce
contribuie la acea diferen denaturat. Auditorii i consolideaz concluziile despre
veridicitatea sumelor nscrise la venituri, bazndu-se n acest sens pe controlul analitic al
documentelor i confirmrile transmise de ctre clieni.
Analiznd acest caz, care este o situaie obinuit n cadrul unei misiuni de audit, apar
o serie de ntrebri ce vor s pun n lumin profunzimea aciunilor ntreprinse de auditor:
a. Asigur analiza efectuat un nivel de ncredere din care s rezulte c munca depus este
suficient pentru a formula o opinie corect ?
b. Au identificat auditorii toate variabilele posibile care s ateste c nu exist nimic neobinuit
n tranzaciile entitii auditate ?
c. Au realizat auditorii ceva ceea ce clienii auditai nu ar fi reuit s fac singuri ?
d. Au adus auditorii externi un avantaj real clienilor ?
Datorit cuantumului mare de operaii i a volumului ridicat de date supus acestor analize, o
utilizare a tehnicilor clasice, manuale de audit ar genera timpi mori i adeseori rspunsul
la ntrebrile prezentate ar fi NU. Introducerea n activitatea de audit a tehnicilor moderne,
asistate de calculator, cum ar fi spre exemplu ACL, Caseware IDEA permit att automatizarea
diferitor activiti, ct i analiza 100% a tranzaciilor din cadrul societii auditate.
CAAT reprezint un pas important realizat de la analiza situaiilor financiare i
confirmrile clienilor, deoarece aceast tehnic clasic se baza pe o mic parte a tranzaciilor
i poate, nu ntotdeauna, reflecta fidel situaia real a entitii n exerciiul respectiv, cu toate
eforturile i profesionalismul auditorilor. Utiliznd aceste aplicaii informatice, auditorii i
formeaz o imagine mai clar asupra afacerii clientului deoarece sunt capabili s verifice
volume mari de date, s le clasifice dup anumite criterii, pot emite statistici i chiar
previziuni furniznd clientului o imagine complex a societii.
Revenind la exemplul anterior - analiza veniturilor unei entiti, auditorul poate realiza
o gam diversificat de clasificri a veniturilor (venit / client / lun sau venit / produs / client)
analize ce pot reflecta pe de o parte, comportamentul clienilor organizaiei auditate, iar pe de
alt parte pot conduce la identificarea unor carene n sistemul de vnzri (politici greite,
organizare defectuoas a activitii de vnzare). n afara avantajului clasificrii, auditorii se
mai pot folosi de beneficiile stratificrii componentelor pe un interval. O divizare a veniturilor
n segmente de 50$ i o analiz a clasificrii clienilor n cadrul acestor segmente, l pot
conduce pe auditor la concluzia c, spre exemplu, majoritatea clienilor entitii auditate
cheltuiesc ntre 250 $ 300 $. Acest lucru ar putea genera noi decizii la nivelul conducerii,
departamentului respectiv sau la dezvoltarea unor noi politici de atragere a mai multor clieni,
care aduc venituri de aproximativ 50 $ (spre exemplu).
4040
Auditorii pot efectua astfel de analize att asupra cantitilor pentru a determina dac
clienii au tendina de a cumpra n cantiti mici sau mari articole, ct i asupra numrului de
tranzacii pe client pentru a verifica dac acetia sunt clieni fideli.
Avantajele tehnicilor de audit asistate de calculator sunt numeroase, utilizarea lor
implicnd testarea ntregului volum de date (testare 100%); printre procedurile de audit
folosite frecvent se pot evidenia:
Recalcularea totalurilor rapoartelor tiprite era una din activitile manuale cu un consum
mare de timp i cu un aport informaional destul de sczut; utiliznd software de audit, acest
proces se realizeaz n numai cteva secunde. O alt tehnic ce se poate automatiza uor i
eficient este construirea de cmpuri calculate, spre exemplu pentru stabilirea cheltuielilor cu
amortizarea sau a valorii stocurilor, rezultatele obinute urmnd a fi comparate cu valorile din
contabilitatea clientului.
Vechimea creanelor i datoriilor se poate calcula aproape instantaneu i poate genera,
mai departe, o analiz a clasificrii acestora pe intervale de vechime.
Analiza excepiilor poate urmri numeroase tipuri de erori acolo unde este foarte dificil s se
parcurg manual rapoarte tiprite pentru a depista tranzaciile neobinuite.
Fuziunea datelor (Joining) servete la analiza datelor din tabele sau baze de date diferite.
Prin fuzionarea a dou fiiere de date, cum ar fi costurile stocurilor i preurile la care acestea
au fost vndute, aplicaia de audit poate analiza instantaneu care stocuri au fost vndute la
preuri mai mici dect costurile, genernd pierderi.
Depistarea fraudelor presupune analiza eventualelor coincidene suspecte din baza de date.
3.2.2 Rolul CAAT-urilor n detectarea fraudei

O facilitate suplimentar a tehnicilor de audit asistate de calculator este aceea a
detectrii tranzaciilor frauduloase; aceasta presupune analiza tranzaciilor duplicate, lips sau
altor anomalii.
Software-ul de audit i va permite auditorului, spre exemplu: compararea adreselor
angajailor cu cele ale furnizorilor pentru a verifica dac exist angajai care sunt i vnztori
(un angajat poate frauda o societate cu activitate comercial intens, prin inventarea unui
furnizor fictiv i deturnarea tuturor plilor ctre acel furnizor spre o adres proprie); cutarea
unor numere de cecuri duplicate pentru a determina dac se folosesc copii ale cecurilor
societii; identificarea furnizorilor care folosesc mai mult de o adres potal sau mai multe
coduri de identificare; sortarea plilor n funcie de sum.
Tehnicile de detectare a fraudei implementate n cadrul acestor aplicaii se bazeaz pe:
Analiza de tip digital care const n observarea unui anumit format de date, ablon,
care se evideniaz n momentul aplicrii, de ctre auditor, a unor criterii specifice de selectare
i analiz. Tipurile de interogri n software-ul modern de audit sunt aproape nelimitate i
reflect adesea, situaii suspecte de fraud. Un exemplu banal n aplicarea acestei tehnici este
identificarea unor elemente duplicate cum ar fi facturile de valoare identic care, n urma
unei analize detaliate, pot conduce la situaii n care acestea nu au o justificare real.
Analiza ratelor reflect, asemntor ratelor financiare, sntatea financiar a unei
rganizaii i ajut la definirea simptomelor de fraud. David Coderre35 menioneaz tilizarea
a 3 rate care sunt determinate de: raportul dintre valoarea maxim i minim (Max/Min);
raportul dintre dou valori maxime consecutive (Max/Max2); raportul dintre valoarea anului
curent i valoarea anului anterior (PER1/PER2).
Astfel, analiza preurilor de vnzare pentru 2 produse comercializate ntr-o lun, spre
exemplu, furnizeaz urmtoarele informaii:
(u.m. - unitate monetara)
Pret Maxim
Pret Minim
Rata
4141
Produs 1
230 u.m
125 u.m
1.84
Produs 2
275 u.m
270 u.m
1.01
Tabelul nr. 3.1. - Analiza ratei Max /Min

Se observ c, n acest caz, pentru produsul 1, rata de variaie a preurilor de
vnzare este foarte mare, analiz ce i poate conduce pe auditori la examinarea n
detaliu a tranzaciilor de vnzare tocmai pentru a se asigura c s-a adoptat politica
de pre adecvat. Pentru cel de-al doilea produs, rata de variaie se ncadreaz n
parametri normali, eliminnd din start o verificare a tranzaciilor acestui produs. De
asemenea a doua rat poate reflecta tendie frauduloase; un exemplu pentru aceast
situaie, l poate constitui analiza valoric a facturilor de aprovizionare de la doi
furnizori, exemplificat n tabelul 3.2:
Furnizor
SC. A SRL
SC. B SRL
Valoare Maxima Valoarea Maxima 2

100.000 u.m
20.000 u.m
103.000 u.m
101.000 u.m
Rata
5
1.01
Tabelul nr. 3.2 - Analiza ratei Max /Max 2

O rat egal sau superioar cifrei 5 devine suspect pentru auditori i impune o analiz
detaliat a tranzaciilor furnizorului SC A SRL; acest aspect capt un plus de relevan dac
n urma analizei se constat, spre exemplu, c din 100 de tranzacii, 99 au valori cuprinse ntre
10.000 u.m. i 20.000 u.m., iar cea mai mare este de 100.000 u.m.
Legea lui Benford: tehnici mai avansate conduc analiza datelor ctre un nivel superior, prin
examinarea frecvenei reale a cifrelor n structura datelor. Legea lui Benford, avnd la origini
teoria lui Frank Benford din anii 1920, prezice apariia cifrelor n date. Astfel, legea
subliniaz faptul c prima cifr ntr-o populaie mare de tranzacii (> 10000) va fi cel mai des
1, mai puin frecvent va aprea cifra 2 s.a.m.d. Benford a calculat probabilitatea de apariie a
fiecrui numr pe post de prim cifr i a decis c aceasta descrete invers proporional cu
valoarea sa. Astfel, ntr-o populaie mai mare de 10000 de elemente, probabilitatea de apariie
a cifrei 1 pe prima poziie este la 30% din elemente, n timp ce 9 are o frecven de 4.5% ca
prim cifr.
Legea lui Benford calculeaz frecvenele ateptate pentru prima i a doua cifr conform
tabelului 3.3:
Cifra
0
1
2
3
4
5
6
7
8
9
Frecventa primei
cifre
0,30103
0,17609
0,12494
0,09691
0,07918
0,06695
0,05799
0,05115
0,04576
Frecventa celei de-a

doua cifre
0,11968
0,11389
0,10882
0,10433
0,10031
0,09668
0,09337
0,09035
0,08757
0,08500
4242
Tabelul nr. 3.3 Legea lui Benford

Analiza distribuiei frecvenelor primei sau celei de-a doua cifre determin
combinaiile de date obscure i identific posibila fraud. Un algoritm i mai detaliat se poate
folosi pentru a observa frecvena de apariie a primelor 2 cifre, pe baza formulei:
Frecvena de apariie = log (1+1/N)
De exemplu, frecvena de apariie a "combinaiei" 13.. este log (1+1/13) = 0.032184
Mark Nigrinni, exemplifica n cadrul articolului citat Legea lui Benford n cadrul unui
departament de contracte: n urma analizei valorii contractelor ncheiate, ntr-o anumit
perioad, rezultatul a artat c numerele 49 apreau cu o frecven mai mare dect cea
ateptat. S-a descoperit c managerul companiei ncheia contracte de 49.000$ 49.999$
pentru a evita legea contractelor, n care se meniona c, contractele cu valori mai mari de
50.000$ erau supuse licitaiei. Aplicarea acestui raionament nu este ntotdeauna valid; astfel
exist i situaii n care nu toate datele vor avea distribuii ca n prediciile Legii lui Benford.
3.3. DESCRIEREA TEHNICILOR I INSTRUMENTELOR DE AUDIT

ASISTATE DE CALCULATOR
Aceste instrumente i tehnici moderne pot asista auditorul n orice etap a misiunii
sale, fiind utilizate pentru: verificarea corectitudinii prelucrrilor contabile; testarea msurilor
de securitate dintr-un sistem; analiza i controlul aplicaiilor informatice existente n sistem;
identificarea riscurilor unei organizaii i evaluarea acestora; evaluarea controlului intern;
verificarea integritii fiierelor; analiza informaiilor clientului auditat prin interogri
complexe ale bazelor de date, extrageri, stratificri, totalizri (figura 3.1)
Figura nr.3.1 Tehnici i instrumente de audit asistate de calculator

Experiena practic a impus separarea CAAT-urilor n dou zone distincte de operare:
analiza i testarea sistemului informatic, ce asigur procesarea i prelucrarea datelor,
informaiile unei organizaii, ce vor fi apoi auditate; analiza datelor. tehnicile CAAT orientate
program sunt centrate pe verificarea diferitelor procese (prelucrri) dintr-un program, ce ar
putea teoretic, dar greu de realizat n practic s se extind ctre o complet verificare a
4343
ntregului sistem informatic. Pe de alt parte, tehnicile CAAT orientate pe date ignor
programele utilizate n generarea datelor i se concentreaz exclusiv pe analiza datelor.
3.3.1. CAAT pentru analiza i testarea sistemului informatic

Aceste tehnici pot fi definite ca un ansamblu de teste ce permit realizarea urmtoarelor
obiective: examinarea fluxului de date prin sistem, verificarea integritii datelor i fiierelor,
verificarea controalelor implementate n cadrul sistemului, ct i un control al modificrilor
neautorizate asupra codului de program. O clasificare a acestor tehnici, n funcie de
obiectivele enunate este reprezentat n figura 3.2:
Figura nr. 3.2 CAAT pentru analiza i testarea sistemului informatic
3.3.1.1. Tehnici de examinare a fluxurilor de date

Vederile punctuale (Snapshot) reprezint o facilitate ce permite auditorului s
nghee programul ntr-un anumit punct, pentru a verifica valorile unei tranzacii i
prelucrrile efectuate n timpul funcionrii programului. Tehnica propriu-zis este rapid i
uor de utilizat, dei are o funcie limitat i specific, ea oferind auditorului un nivel de
reasigurare asupra controalelor interne din cadrul sistemului. Un exemplu de vedere
punctual ar fi o linie de cod dintr-un program ce produce un blocaj, acest blocaj conducnd
la obinerea unei valori eronate. Un alt exemplu este facilitatea de depanare disponibil, cu
multe instrumente de dezvoltare, ce permite programului s fie executat n mod sistematic,
pentru a verifica valorile diferitelor tranzacii la fiecare pas.
Urmrirea (Tracing) presupune generarea unui traseu de audit complet pentru
urmrirea tranzaciilor n timpul prelucrrilor. Prin executarea unei urmriri este posibil s
se sesizeze ce efect are fiecare linie de cod asupra fiecrei date prelucrate. Dac programul nu
realizeaz toate tranzaciile n mod corect, n momentul n care intervine eroarea, aceasta va fi
evideniat n mod distinct. Principalul avantaj al tehnicii este acela, c auditorul poate vedea
anumite etape ale programului care n mod obinuit se deruleaz foarte rapid. Dezavantajele
urmririi rezid din faptul c auditorul are nevoie de cunotine de programare i c
funciile de urmrire pot varia de la produs la produs.
Maparea (Mapping) presupune monitorizarea execuiei unui program n scopul
stabilirii unor informaii statistice, cum ar fi spre exemplu: cod de program neexecutat, de cte
ori au fost executate anumite linii din program. Auditorul poate utiliza maparea pentru a
evidenia codul redundant sau codul utilizat n scopuri frauduloase.
4444
3.3.1.2. Tehnici de verificare a integritii datelor i fiierelor

Simularea paralel este un instrument util, ce permite auditorului verificarea
acurateei aplicaiilor prin folosirea unor programe care simuleaz logica aplicaiei utilizate
(n mod uzual se folosesc programele generalizate de audit GAS). Auditorul simuleaz
funciile procesrii n paralel cu sistemul aflat n funciune. Tranzaciile vor fi procesate de
ambele sisteme, iar auditorul va controla rezultatele finale. Deoarece folosete tranzacii
reale, aceast tehnic realizeaz att o testare a controalelor aplicaiei, ct i a tranzaciilor
propriu-zise.
Dezavantajul metodei rezid n faptul c activitatea necesit costuri ridicate,
cunotine avansate n programare i timp destul de mare; adesea, aceast tehnic solicit
resurse considerabile de audit pentru a duplica un sistem major al auditatului, fapt pentru care
auditorul poate duplica anumite componente importante ale aplicaiei.
Un exemplu de utilizare a acestei tehnici l poate constitui dezvoltarea ntr-un mediu
bancar a unui program pentru simularea calculului dobnzilor. Rezultatele finale obinute prin
intermediul acestui program vor fi comparate cu ieirile programului principal al instituiei
bancare, confirmnd n acest fel c acestea din urm au fost procesate corect.
Aplicaia auditorului se va concentra doar pe calculul dobnzii (nu i o actualizare a
conturilor clienilor cu aceste valori), urmrindu-se o replicare doar a componentelor
principale ale aplicaiei de baz.
Tehnica datelor de test necesit pregtirea unui eantion de date-test pentru a fi
procesate de ctre versiunea aplicaiei curente, sub controlul auditorului. Datele i, implicit,
tranzaciile-test trebuie proiectate astfel nct s se verifice ct mai multe controale posibile
(ncorporate n aplicaie), ceea ce impune utilizarea att a unor date invalide, pentru testarea
rutinelor de semnalare a erorilor, ct i a unor date valide pentru testarea proceselor normale.
Tehnica va evalua existena erorilor logice de program, dac programul corespunde
obiectivelor sale i va furniza informaii despre controalele interne ncorporate n sistem.
Proiectarea unui bun test de date este obiectivul major al acestei tehnici.
Auditorii pot utiliza astfel de teste pentru verificarea aplicaiilor contabile i evaluarea
controalelor aferente sistemelor precum:controlul accesului la date i alte controale specifice
(exemplu: parole online); controlul validrii datelor de intrare, controlul totalurilor (restricii
de integritate ncorporate); bree logice n procesarea tranzaciilor; acurateea calculelor
matematice.
Printre avantajele metodei putem aminti c revederea codului surs nu este necesar i
totodat tehnica solicit cunotine minime de informatic din partea auditorului, asigurnd o
verificare a ntregului sistem. Exista i limite n utilizarea testului de date: n cazul aplicaiilor
complexe, testul de date poate s nu acopere toate funcionalitile aplicaiei astfel nct
devine aproape imposibil detectarea fraudelor sau manipularea datelor; adeseori, este greu de
determinat dac aplicaia ce urmeaz a fi testat este chiar versiunea de lucru sau exist
situaii n care auditorul nu poate utiliza versiunea curent pentru realizarea testelor (cazul
sistemelor on-line).
Rezultate
Date test
Aplicatia program client
Comparatii
4545
Fisierul Master client

Rezultate calculate manual
Procesare computerizata:
Procesare manuala:
Figura nr. 3.3-Tehnica testului de date

Testul integrat (Integrated Test Facility: ITF): permite auditorului s introduc date
fictive, fr tiina utilizatorilor, pentru a verifica eficiena sistemului. Facilitatea pe care o
ofer testul presupune crearea unor fiiere principale-fictive n cadrul sistemului informatic; la
intervale aleatorii de timp, auditorul introduce datele de testat care vor fi procesate de
aplicaie, dar care vor actualiza fiierele fictive, astfel nct procesarea datelor curente ale
firmei nu va fi afectat.
Principalul avantaj al acestui test const n posibilitatea auditorului de a procesa
tranzacii fictive, n acelai timp cu tranzaciile reale ale organizaiei. Spre deosebire de
tehnica datelor de test, n acest caz auditorul este sigur c versiunea programului testat este
aceeai cu cea folosit la procesarea datelor firmei. Adesea, utilizarea unui astfel de test
presupune o modificare a aplicaiei de baz pentru identificarea tranzaciilor fictive. Astfel,
auditorul trebuie s se asigure c programatorul care se ocup de aceast activitate nu va
modifica aplicaia, astfel nct controalele s se efectueze asupra tranzaciilor fictive i nu
asupra celor reale.
Un ITF este foarte complex (figura 3.4), dificil de utilizat i presupune costuri ridicate
pentru integrarea lor n aplicaie ( aceasta explic existena lor limitat). Ideal ar fi ca acest
facilitate s fie gndit i inclus nc din faza de proiectare.
Figura nr.3.4 Testul integrat
3.3.1.3 Module de audit ncorporat
4646
n aplicaia clientului, ncorporarea unor module de audit permite vizualizarea i

selectarea att a tranzaciilor de intrare, ct i a celor generate n timpul procesului de
prelucrare, pe baza unor criterii predefinite de auditor, pentru o revedere ulterioar. n
literatura de specialitate s-au evideniat urmtoarele tipuri de module:
SCARF (System Control Audit Review File) metoda permite auditorilor s verifice
rezonabilitatea testelor ncorporate ntr-o aplicaie (analizeaz sistemul de control intern
ncorporat) i realizeaz o copie a tranzaciilor invalide ce nu se ncadreaz ntr-o gam
ateptat, ntr-un fiier distinct pentru o analiz ulterioar.
SARF (Sample Audit Review File) este similar metodei SCARF, cu excepia faptului c
tranzaciile sunt selectate aleator, neinndu-se cont de faptul c acestea se ncadreaz sau nu
n limitele stabilite de testele auditorului.
3.3.1.4 Alte instrumente pentru examinarea fluxurilor de date

Analiza logicii programului: auditorul poate ncerca s revad seciuni ale codului de
program surs. De regul, nu este posibil o revedere complet a codului surs, auditorul
concentrndu-i atenia doar pe cteva zone selectate, n funcie de interesele sale proprii, cum
ar fi spre exemplu: calculul unor sume, puncte logice cheie.
Analiza librriilor programului reprezint o tehnic de comparare a codului surs a
aplicaiei n uz cu back-up acesteia sau cu ceea ce documentaia ofer, pentru a determina
dac asupra aplicaiei au fost efectuate modificri neautorizate. Auditorul poate fi interesat s
afle dac programul compilat (codul obiect) utilizat n mod curent corespunde versiunii
master a codului surs. Acest lucru va evidenia modificrile frauduloase sau erorile existente
i va legitima versiunea curent de software utilizat.
Software de analiz a log-urilor utilizatorilor permite identificarea tentativelor de
conectare neautorizat i a nclcrii parolelor. Majoritatea sistemelor pstreaz un fiier al
intrrilor utilizatorilor i a tentativelor de log-are, acesta fiind uneori un simplu fiier text ce
poate fi interogat.
3.3.2. CAAT pentru analiza datelor

Aceste instrumente sunt n general reprezentate de software generalizat de audit,
aplicaii dezvoltate la cerere, instrumente de interogare SQL i alte programe utilitare. Studiul
i cercetarea lor contureaz existena unor tehnici comune de analiz a datelor, cum ar fi:
Totalizarea este utilizat pentru a dovedi completitudinea i conformitatea cu starea unui cont.
Stratificarea ofer auditorului o imagine mai complet atunci cnd populaia, masa datelor ce
urmeaz a fi analizate, nu este omogen.
Data Mining este utilizat pentru a furniza analize comparative i trenduri care s indice
zonele de interes pentru viitoarele analize i teste.
Eantionarea permite auditorului s extrag un set de tranzacii reprezentative dintr-un fiier
n vederea realizrii testelor de audit.
Raportarea excepiilor presupune selectarea nregistrrilor i extragerea datelor care sunt
conforme sau dimpotriv, ncalc criteriile specificate pentru o analiz viitoare.
Verificarea nregistrrilor duplicate permite identificarea erorilor n tranzaciile efectuate sau
posibilele activiti frauduloase.
Analiza vrstei plilor arat un tipar al plilor de-a lungul unei perioade, printro
monitorizare a perioadei dintre primirea i plata tranzaciilor.
3.3.2.1 Software generalizat de audit (Generalized Audit Software: GAS)
4747
Standardul de audit 1009, definete software-ul generalizat de audit ca fiind un

ansamblu de programe proiectate s efectueze funcii de procesare de date care includ citirea
fiierelor din computer, selectarea informaiilor, executarea calculelor, crearea fiierelor de
date i tiprirea rapoartelor ntr-un format specificat de auditor. Dei caracteristicile acestor
aplicaii sunt nuanate, ele permit realizarea urmtoarelor funcionaliti: selectarea
eantioanelor i printarea confirmrilor ctre clieni; manipularea, sortarea datelor conform
cerinelor exprimate de auditor;
Astfel de operaii pot scoate n eviden spre exemplu plile duble, printr-o sortare a
datelor dup: nr.factura i suma platit; testarea calculelor matematice; totalizri, stratificri;
compararea datelor din fiiere diferite; listarea rapoartelor sau scrisorilor ntr-un format
specificat de auditor;
3.3.2.2 Programe dezvoltate la cerere

Sunt aplicaii proiectate i dezvoltate pentru a rezolva sarcini de audit n circumstane
specifice. Acestea pot fi elaborate de auditor (ceea ce presupune c acesta s fie un bun
programator), de ctre organizaie sau de ctre un programator independent la solicitarea
auditorului. Aceste programe vor conduce la o cretere a costului unei misiuni de audit, ceea
ce pentru clientul analizat va reprezenta o situaie nefavorabil; o soluie mult mai viabil
pentru acesta ar fi adaptarea programelor sale la cerinele auditorului. Pentru a evita rutinele
frauduloase sau erorile de programare, auditorii prefer s apeleze la o firma specializat.
Dei ofer o mai mare siguran, aceast variant necesit mai mult timp pentru a fi pus n
practic, crete costurile de audit i programul astfel dezvoltat nu se poate aplica dect firmei
n cauz.
3.3.2.3 Inteligena artificial i sistemele expert

Gama diversificat a CAAT-urilor, dezvoltat n subcapitolele anterioare, a jucat un rol
important n evoluia informatizrii activitii de audit, i totui capacitatea lor de a asista
auditorul n domeniul judecilor este extrem de limitat. Cea mai mare provocare o
constituie pentru activitatea de audit ca i pentru orice alt domeniu managerial luarea
deciziilor de ctre expertul uman.
Judecata auditorului include raionamente, referiri la cazuri trecute sau la cazuri
ipotetice, creativitate i nu n ultimul rnd intuiie. Sistemele expert, definite ca produse
program, care emuleaz comportamentul experilor umani, n rezolvarea unor probleme din
lumea real asociate unui domeniu particular al cunoaterii se remarc astfel, ca fiind
instrumente extrem de utile
auditorului n cadrul misiunii sale. Un sistem expert, prin intermediul motorului de inferen,
va oferi sugestii cu privire la procedurile specifice ce pot fi ntreprinse. Sistemele expert n
domeniul auditului au fost destinate n special:
Auditului intern : n scopul estimrii i meninerii sistemelor interne de audit,
planificarea auditului intern, coordonarea procedurilor de audit, i asistarea n auditarea unui
aspect particular i a conturilor corespunztoare.
Auditului extern : sisteme expert de audit utilizate de firmele de consultan, cea mai
mare parte a lor fiind confideniale. Firmele mari de consultan au fost primele care au
contientizat rolul i importana utilizrii noilor tehnologii ale inteligenei artificiale n
pstrarea i ntrirea poziiei lor pe pia obiectivul principal al cercetrilor legate de
implementarea tehnologiilor inteligenei artificiale n domeniul auditului l constituie
descrierea comportamentului expertului uman prin identificarea euristicilor i reprezentarea
4848
cunotinelor. Acest proces contribuie nu numai la mbogirea cunotinelor expertului, dar

poate avea drept rezultat i o autoevaluare a firmei de audit. Aceasta va conduce la o
mbuntire a calitii procesului decizional, la reducerea inconsistenelor n exprimarea
opiniilor diverilor auditori, i n final n reducerea semnificativ a riscurilor legate de
activitatea de audit (Dillard, Mutchler, 1988). Avantajele generale oferite de aceste
instrumente sunt: productivitate crescut prin reducerea ciclului de audit; concentrarea
timpului pe funcii critice; operaii simplificate datorit automatizrii; mbuntirea calitii
auditului, datorit auditrii 100% a datelor i standardizrii metodelor de audit; creterea
valorii clientului prin recuperarea veniturilor pierdute. Analiza n detaliu a tuturor datelor
poate descoperi multe pierderi, anomalii; reducerea timpului de realizare a misiunii de audit
deoarece se accelereaz identificarea excepiilor, se simplific pregtirea foilor de lucru,
rapoartele se genereaz automat; asigur avantaje imediate clientului auditat prin reducerea
riscului de zi cu zi; detectarea iregularitilor i fraudelor; analiza datelor poate indica
prognoze; asigurarea unei independene mai mari fa de mediul auditat; reducerea
cheltuielilor n timp.
Alturi de avantajele subliniate, este necesar s menionm c aceste instrumente sunt
generatoare de riscuri, ele fiind influenate de urmtorii factori:
se sprijin auditorul n mod exclusiv pe analiza datelor n formularea concluziilor
auditului sau suplimenteaz CAAT-ul cu teste neinformatice pentru a furniza o
eviden coroborat?
auditorul a coordonat controale de verificare a sistemului IT pentru consolidarea
fiabilitii datelor introduse n sistem sau prelucrate de acesta ?
ct de bine cunoate auditorul instrumentul CAAT ? Care sunt limitele formrii
auditorului i care este experiena de care dispune acesta n utilizarea instrumentului ?
ct de bine nelege auditorul sistemul IT de auditat i datele ? Rspunsurile la aceste
ntrebri vin i contureaz dezavantajele CAAT:
cerinele de specializare sunt costisitoare;
anumite CAAT sunt foarte generale astfel nct adaptarea lor poate fi un proces
dificil;
incompatibilitatea anumitor CAAT cu sistemul informatic al clientului (situaii n care
este esenial alegerea pe care o face auditorul).
Concluzia fireasc ce rezult din analiza avantajelor i dezavantajelor prezentate se poate
exprima astfel: necesitatea utilizrii instrumentelor informatice n cadrul unei misiuni de audit
a devenit vital, dar o combinaie a tehnicilor manuale cu cele asistate de calculator asigur
reuita acesteia, ntr-un timp optim i costuri reduse. Mai mult, utilizarea CAAT necesit din
partea auditorilor o specializare i formare continu, o verificare a compatibilitii CAAT-ului
cu sistemul clientului, iar n anumite situaii o adaptabilitate a instrumentului la
particularitile organizaiei auditate.
3.4. ANALIZA UNOR CAAT-URI UTILIZATE N CABINETELE

INTERNAIONALE DE AUDIT
ACL (Audit Command Language)39 este unanim acceptat ca fiind liderul ntre
pachetele software de audit, iar popularitatea sa este rezultatul flexibilitii, simplei utilizri i
ncrederii pe care o ofer. Ea a fost dezvoltat de ACL Service i permite auditorilor s-i
conecteze propriul laptop la sistemul clientului i apoi s-i descarce datele acestuia pentru o
analiz viitoare. Aplicaia furnizeaz jurnale detaliate ale auditului efectuat, care se tipresc,
fiind folosite ulterior ca referin i punct de plecare pentru documentele de audit ce urmeaz
a fi ntocmite.
4949
ACL permite asistena auditorului n orice faz a procesului de audit, figura 3.5
ilustrnd funciile ACL i modul n care ele pot fi utilizate.
Etape Audit
I. Planificare
- evaluarea riscului
II. Evaluarea controlului intern
- teste de control
- selectarea esantioanelor
evaluarea rezultatelor
Functii ACL
Statistics-realizeaza o analiza statistica a datelor
unui fisier
Meniul Sampling cu comenzi specifice a
marimii esantionului si a criteriului de selectie.
Meniul Analyze include functii de numarare,
totalizare, statistice, duplicate, verificari , cautari,
expresii construte de auditor pentru filtrarea
datelor.
III. Teste de audit detailate

- Proceduri analitice
- Teste de detaliu
- Documentare
Statistics
Merge
Analyze
Filter
File History
IV. Raport audit
Document Notes
Tabelul nr. 3.5 Funcionalitile ACL

Se poate observa c aplicaia ofer o gam diversificat de teste ce fac obiectul unei
misiuni de audit precum: testarea datelor din punct de vedere al integritii, completitudinii,
unicitii acestora. naintea unei astfel de analize, auditorul trebuie s se asigure c datele sunt
complete pentru c lipsa unor tranzacii va genera o investigaie invalid. Opiunea Gaps din
meniul Analyze permite testarea completitudinii datelor analizate care, n esen, poate fi
descris astfel: sistemul asociaz fiecrei nregistrri dintr-un fiier un numr secvenial unic,
iar rezultatul comenzii va fi o transpunere a tranzaciilor lips (figura nr. 3.6).
Figura nr.3.6 Formular de testare a completitudinii datelor

Testarea unicitii datelor, realizabil cu ajutorul opiunii Duplicates, permite
identificarea tranzaciilor duplicate din cadrul unui fiier, avnd ca rezultat screen-ul din
5050
figura 3.7. Utilizatorului i se solicit cheile de cutare a nregistrrilor duplicate (spre exemplu
s se afieze toate facturile care au aceeai valoare i data de emisiune).
Figura nr.3.7 Formular de identificare a tranzaciilor duplicat

O alt opiune important Classify permite gruparea facturilor pe furnizori
identificnd furnizorii cei mai importani, spre exemplu primii trei, cu tranzaciile detaliate i
totalurile aferente. n esen, ACL se remarc prin capacitile sale analitice de analiz ce
permit:asigurarea integritii datelor (prin funciile COUNT, TOTAL, VERIFY); detectarea
fraudelor utiliznd algoritmul Benford; clasificare a informaiilor dup importan,
vrst(prin comenzile Stratify, Age, Clasify); teste secveniale (Sequence, Gaps,
Duplicates); un control ncruciat al datelor din diferite fiiere (Facturi, DocumentPlata);
selectarea eantioanelor (Sampling).
Acest instrument se remarc prin cel puin 3 caracteristici eseniale: capacitatea
interactiv care permit auditorilor s testeze, investigheze, analizeze i s furnizeze rezultatele
n timp oportun; capacitatea de a furniza oricnd un traseu al auditului(audit trail) care, n
esen, este un istoric al nregistrrilor unui fiier, comenzilor utilizate de auditori i
rezultatele asociate fiecrei comenzi; capacitatea de a genera rapoarte n formate diferite,
incluznd att formate predefinite, ct i personalizate.
Unul dintre dezavantajele importante ale ACL l reprezint imposibilitatea prelucrrii unor
fiiere cu o structur complex de date.
IDEA (Interactive Data Extraction & Analysis) este recunoscut tot ca un standard n
analiza datelor. Aplicaia ofer auditorului o serie de funcionaliti ce vor permite: realizarea
obiectivelor de audit privind situaiile financiare oferind instrumente de verificare i calcul
pline de acuratee, verificri ncruciate a datelor, opiuni de calcul a eantioanelor i selecie a
acestora; investigarea fraudelor; testarea normelor de securitate; analize i rapoarte
manageriale: clasificarea datelor pe clieni, produse, msurarea performanelor.
PENTANA: este un sistem integrat de management al riscurilor i auditului, ce permite
utilizatorului s desfoare o gam diversificat de activiti, asistndu-l pe parcursul misiunii
sale n etapele importante. Astfel, aplicaia permite, ntr-o prim etap, stabilirea unui univers
al entitilor auditate, prin culegerea informaiilor legate de organizaia n sine:numele, tipul,
adresa entitii, persoane de contact din cadrul ei. Asociat etapei de Planificare, etap
esenial oricrui tip de misiune de audit, Pentana ofer o evaluarea global a riscurilor
entitii, ct i planificarea n timp a lucrrilor de audit (aa numitul calendar al auditului).
Tot n cadrul acestei etape de audit, aplicaia permite realizarea unei evaluri a riscurilor
5151
specifice i a controalelor corespunztoare. n acest sens, se asociaz fiecrui risc un scor,

calculat pe baza a 2 componenete: probabilitatea de realizare a riscului (L) i impactul asociat
(I)- celor 2 componente fiindu-le asociat o mrime pe scala de la 0 la 10 conform figurii 3.8.
n cadrul etapei de Execuia testelor de audit, Pentana planific i realizeaz teste de
audit, memoreaz rezultatele obinute, evenimentele semnificative, pstrnd astfel un istoric al
fiecrei misiuni. Situaiile finale i concluziile culese n cadrul fiecrei etape vor sta la baza
generrii unui raport de audit n care sunt subliniate i recomandrile necesare.
Figura nr. 3.8 Formular de evaluare global a riscurilor unei entiti
n concluzie, fa de aplicaiile prezentate anterior, ACL, IDEA, PENTANA se

distinge printr-o alt abordare; aceasta nu realizeaz o analiz detaliat a datelor clientului
(operaii specifice precum: eantionare, clasificarea datelor, stratificare, verificarea acurateei
calculelor aritmetice), ci am putea spune c pune un accent pe o documentare a tuturor
etapelor unei misiuni de audit i pstrarea unui istoric al acestora. Aplicaia abordeaz, n
special evaluarea general a riscurilor unei entiti i a celor specifice, aprecierea controalelor
existente, analiza unei matrici asociate acestor riscuri.
AUTOAUDIT este o aplicaie dezvoltat de Paisley Consulting, care se ncadreaz n
aceeai categorie cu Pentana. Aplicaia se remarc prin urmtoarele funcionaliti: o gestiune
a lucrrilor de audit cu auditorii implicai n realizarea ei; o eviden a auditorilor din cadrul
cabinetului cu caracteristicile specifice; o planificare a misiunii cu stabilirea orelor estimate
pentru fiecare lucrare i a tarifelor orare. Fiecare lucrare are asociat un plan de activiti ce vor
reprezenta un ghid de lucru pentru asistenii implicai; realizeaz o evaluarea a riscurilor
misiunii, pe baza unor chestionare predefinite, n funcie de tipul de risc analizat; gestiune a
foilor de lucru analiz a datelor clientului.
5252
Figura nr.3.9.Formular de prezentare a unui Plan de audit cu activitile asociate
5353
ProAudit Advisor este o alt aplicaie utilizabil ntr-o misiune de audit care permite:
crearea universului entitii auditate; determinarea abordrii unui audit; evaluarea riscului i a
controalelor
Figura nr. 3.10 ProAudit Advisor

n urma acestei analize, se poate observa c exist numeroase instrumente CAAT, care
se caracterizeaz printr-un ansamblu de funcionaliti comune, dar i prin particulariti ce le
individualizeaz. Exemplele prezentate au pus n eviden o categorie de aplicaii ce se axeaz
pe analiza datelor clientului (ACL, IDEA) i o alt clas (Pentana, AutoAudit, ProAudit
Advisor) ce presupune pstrarea unui istoric al fiecrei misiuni desfurate, cu planul de audit
dezvoltat, identificarea i evaluarea riscurilor la nivelul unei organizaii aplicaii ce pot oferi
i o analiz a eficienei i eficacitii unei misiuni de audit.
Creterea complexitii sistemelor de contabilitate informatizat ct i a procesului de
audit n sine au marcat o nou tendin n dezvoltarea software-ului de audit, prin integrarea
tehnicilor OLAP, Data Mining dezvoltate n cadrul capitolului al VI-lea ce pot asigura o
analiz multidimensional a datelor, detectarea fraudelor, descoperirea cunotinelor ascunse
n spatele datelor clasice, oferind astfel noi oportuniti auditorilor.
5454
CAP. 4 TENDINE N DEZVOLTAREA SOFTWARE-ULUI DE

AUDIT
4.1. DATA MINING
n ultimii ani, informatica a surprins omenirea printr-o serie de rezultate noi i inedite,
cum au fost: apariia i extinderea Internetului la scar planetar, apariia tehnologiei agenilor
inteligeni, a algoritmilor genetici, a depozitelor de date, a sistemelor fuzzy, etc.
Accentuarea dramatic a concurenei, globalizarea comerului, diminuarea crescnd a
ciclurilor de via a produselor datorit dinamicii tehnologiei, impunerea unor cerine
calitative extrem de ridicate au evideniat i mai mult valoarea strategic a informaiei. Toate
aceste schimbri asociate cu noile avantaje ale tehnologiilor informaionale moderne au avut
un impact deosebit i asupra misiunilor de audit, auditorii recunoscnd astzi o cretere
dramatic a volumului tranzaciilor i a complexitii sistemelor de contabilitate informatizat.
Ultimii ani au marcat o reorientare n utilizarea volumelor de date acumulate, de la un proces
de cercetare retrospectiv spre unul care abordeaz mai mult aspecte legate de viitor, schimbare
ce s-a putut impune ca urmare a maturizrii tehnologiilor legate de Data Mining.
Literatura de specialitate abund n definiii pentru conceptul de Data Mining, dar n
esen ele exprim acelai lucru: un proces de extragere a noi informaii din coleciile de date
existente, informaii ce pot rspunde nu numai la ntrebarea ce se ntmpl, ci i de ce se
ntmpl ? Un Data Mining are, n general, dou obiective: unul de descriere ce const n
determinarea variabilelor semnificative i a influenelor acestora, ct i unul de predicie.
Prin contrast cu interogrile obinuite adresate bazelor de date curente, folosind un
limbaj de interogare ca SQL, Data Mining clasific i grupeaz date, din sisteme diferite i,
eventual, incompatibile, cutnd noi asociaii. Tehnicile folosite n data mining permit
utilizatorilor s analizeze datele la nivele de detaliere sau abstractizare diferite, ceea ce
uureaz luarea deciziilor.
Analiza i exploatarea datelor unei baze de date multidimensionale se realizeaz
folosind tehnici de analiz avansat ce includ algoritmi statistici, inteligen artificial, reele
neuronale, logic fuzzy, algoritmi genetici i vizualizarea datelor. Data Mining nu este, n fapt
o reet universal pentru orice problem de gestiune, ci am putea spune c aportul su se
rezum la urmtoarele categorii de operaii:
Descrierea datelor. Obiectivul descrierii datelor este de a asigura o prezentare
complet a datelor de analizat. n acest sens, se disting dou abordri n realizarea acestei
operaii: pe de o parte, caracterizarea datelor printr-o cumulare a caracteristicilor generale ale
datelor, iar pe de alt parte, de o comparaie a acestora la nivelul dintre contrastele grupelor
sau claselor. n mod normal, cele dou abordri se utilizeaz ntr-o manier agregat. Cele mai
utilizate tehnici data mining sunt: agregarea i generalizarea datelor, analize n timp, reguli de
inducie i tehnici asociate conceptului de cluster.
Analiza dependenelor, numit i analiza asocierilor urmrete s determine care sunt
obiectele care apar cel mai frecvent mpreun. Exemplul tipic pentru acest gen de aciune este
determinarea articolelor care se cumpr uzual mpreun, de unde i denumirea de analiz a
coului gospodinei. Tehnica se poate aplica pentru cutarea nedirijat de informaii i nu este
pretenioas sub aspectul tipului i coninutului datelor tratate. Ea i gsete aplicabilitatea n
analiza oricror tranzacii comerciale, analiza micrilor de fonduri dintr-o banc, analiza
incidentelor de asigurare, etc. Tehnicile specifice asociate metodei sunt: regresii neliniare,
5555
eantionri statistice, normalizarea datelor, reguli de inducie, algoritmi apriori, vizualizarea

datelor.
Clasificri i predicii. Clasificarea urmrete s plaseze obiectele prelucrate ntr-un
grup limitat de clase predefinite. Predicia urmrete s claseze nregistrrile tratate n funcie
de un comportament sau o valoare estimat viitoare. n acest scop, se recurge la o colecie de
exemple, bazate pe date din trecut, n care valorile variabilei de previzionat sunt deja
cunoscute, elemente ce vor conduce la construirea unui model care s explice comportamentul
observat. Tehnicile Data Mining cele mai adecvate sunt: reele neuronale, arbori de decizie,
algoritmi genetici, regresii lineare sau nelineare, reele de tip Bayes, raionamentul bazat pe
cazuri. Particularizarea acestor categorii de opeaii pe exemplul unei misiuni de audit se poate
concretiza n analiza etapei de acceptare a clientului; n acest sens avnd drept fundament
situaiile de sintez aferente ultimilor 3 ani din activitatea entitii analizate, poziia deinut
pe pia n cadrul ramurii economice respective, clientul poate fi ncadrat ntr-una din
grupele:favorabil sau nefavorabil. Rezultatul acestei evaluri se va exprima prin
acceptarea sau refuzul misiunii.
Analiza cluster-elor urmrete divizarea unei populaii eterogene n grupuri mai
omogene, numite clustere, fr a avea ca punct de pornire un anumit criteriu sau proprietate.
Diferena dintre clasificare i analiza clusterelor se poate rezuma la faptul c, aici nu exist un
set predeterminat de clase i nici exemple trecute, segmentarea propriuzis realizndu-se, n
exclusivitate, pe baza similitudinilor sesizate ntre obiecte. Este o tehnic ce are capacitatea de
a releva caracteristici ascunse sub volumul i diversitatea detaliilor ntr-un anumit set de
nregistrri. Modelarea acestei operaii n cadrul unei misiuni de audit i gsete
aplicabilitatea, dup opinia mea, n selectarea eantioanelor. Astfel, tranzaciile contabile ale
clientului cu caracteristici similare sunt grupate n clustere, iar eantioanele sunt selectate din
fiecare cluster.
Analiza excepiilor. Detectarea fraudei, utilizarea unor modele neobinuite sunt doar
cteva rezultate ale unei astfel de analize. O astfel de analiz nu se poate realiza n mod
singular, ci aplicarea ei trebuie s fie precedat de analiza cluster-elor. n viziunea unui proces
de audit, avnd drept surs rezultatele exemplului anterior (obinute prin analiza cluster-elor)
i completnd aceste informaii cu datele neobinuite identificate prin metode de analiz a
excepiilor, auditorul poate selecta eantioanele de analizat, eantioane care putem afirma vor
reprezenta cel mai fidel realitatea.
Aceste operaii descrise pot asigura o analiz complex a tranzaciilor clientului, identificarea
tranzaciilor neobinuite, sau chiar frauduloase, definirea unor trenduri, previziuni, fapt pentru
care, integrarea acestei tehnologii poate reprezenta un instrument extrem de util ndeosebi
auditorilor interni din cadrul oricrei organizaii.
Procesul Data Mining: in literatura de specialitate se disting diferite modele care au
fost propuse pentru a servi drept ghid al procesului de exploatare a datelor. ntre acestea, dou
modele se impun ca standarde n domeniu: CRISP DM i SEMMA.
Abordarea propus de SAS Institute este recunoscut sub apelativul SEMMA (
Sample Explore Modify Model Assess) i ea se caracterizeaz prin urmtoarele etape:
Eantionarea Explorarea Modificarea Modelarea Evaluarea. Particularitatea acestei
metode se concretizeaz n importana pe care o acord activitilor tehnice tipice asociate
unui proiect Data Mining.
O alt abordare :metodologia Six Sigma recunoscut n industria american, datorit
implementrii sale de succes, se distinge prin obiectivele pe care le abordeaz: eliminarea
defectelor din date, rezolvarea problemelor de calitate a controlului pentru toate tipurile de
afaceri. Aceasta stabilete o secven de aa numii pai DMAIC (Define Measure
Analyze Improve Control): Definire Msurare Analiz Perfecionare Control.
CRISP (CRoss Industry Standard Process for Data Mining) a fost propus la mijlocul
anului 1990 de un consoriu European de companii pentru a servi ca un standard asociat
5656
procesului de Data Mining. Aceast abordare propune o derulare secvenial a urmtoarelor

etape, reprezentate schematic n figura 4.1:
a. analiza problemei;
b. identificarea datelor;
c. pregtirea datelor;
d. modelarea;
e. evaluarea;
f. integrarea noilor cunotine;
Figura nr. 4.1 Etapele procesului Data Mining n abordarea CRISP-DM

(prelucrare dup sursa:www.crisp-dm.org-process-index.htm)
a. Analiza problemei: in abordarea CRISP, aceast etap identific urmtoarele faze:
determinarea obiectivelor. Declanarea unui astfel de proces este determinat de
sesizarea unei oportuniti sau necesiti de afaceri, ceea ce impune delimitarea exact
a ceea ce se urmrete de rezolvat prin data mining, care sunt obiectivele urmrite i
rezultatele ateptate. Problemele pot fi diverse: optimizarea rspunsului clienilor n
cadrul unei campanii de marketing, prevenirea utilizrii frauduloase a cardurilor
bancare, detectarea intrrilor ostile ntr-un sistem informaional.
definirea criteriilor de succes. Odat problema conturat, CRISP recomand
definirea unor criterii ce pot asigura reuita proiectului; aceste criterii pot fi, att de
natur obiectiv (cantitativ): mbuntirea numrului abaterilor detectate,
mbuntirea gradului de rspuns al clienilor la campaniile de matketing, ct i de
natur subiectiv (calitativ), situaie n care expertul domeniului apreciaz rezultatele
utilizrii tehnicilor data mining corespunztor obiectivelor problemei de rezolvat.
evaluarea situaiei impune o analiz a costurilor implicate i a beneficiilor viitoare, a
experienei deinute n rezolvarea problemei propuse.
determinarea scopurilor Data Mining. Etapele anterioare au stabilit problema i
criteriile de succes pentru o soluionare corect a acesteia, astfel nct n acest
moment este necesar o traducere a scopurilor problemei de rezolvat n termeni data
mining. Practica a demonstrat adesea, c scopul general al unei probleme este diferit
de scopul data mining, exemplele din tabelul 4.1. evideniind acest aspect:
5757
Tabelul 4.1 Exemple de transpunere a scopurilor generale ale unei probleme de

rezolvat n scop data mining
Scopul data mining este ntr-o relaie direct cu principalele categorii de operaii, ce
caracterizeaz acest proces: descrierea datelor, clasificarea, predicia, analiza dependenelor,
analiza cluster-elor, analiza excepiilor..
b. Identificarea surselor de date. Odat problema definit, este necesar stabilirea
structurii generale a datelor ct i delimitrii surselor acestor date. Practica a demonstrat
adeseori c este vorba de date dispersate n diverse sisteme operaionale, stocate n formate
diferite, administrate cu produse software diferite, uneori disponibile doar pe hrtie. Etapa n
sine implic realizarea urmtoarelor aciuni: colectarea iniial a datelor, descrierea datelor i
verificarea calitii acestora. Aceste aciuni, n ansamblul lor, permit extragerea i plasarea
tuturor datelor ntr-o baz comun ce urmeaz a fi folosit, verificarea coninutului fiecreia
dintre surse pentru o identificare a eventualelor incoerene sau probleme de definire,
elemente care ar putea compromite rezultatele analizelor viitoare.
c. Pregtirea datelor. Datele selectate n etapa anterioar trebuie supuse unui proces
preliminar de pregtire nainte de a fi realizat extracia prin data mining. Aciunile
importante ce caracterizeaz aceast etap se pot rezuma la: selectarea datelor, curirea
datelor, obinerea noilor date i formatarea lor. Curirea datelor se distinge ca o faz
important a etapei, recunoscut ca mare consumatoare de timp datorit tehnicilor
diversificate ce pot fi implementate pentru asigurarea fiabilitii datelor. Aceste tehnici
vizeaz: normalizarea datelor; omogenizarea datelor; administrarea valorilor care lipsesc.
Absena anumitor valori influeneaz negativ exploatarea optim a tehnologiilor Data Mining,
precum i aplicarea unor metode statistice. n general realizarea unor experimente cu i fr
aceste atribute n etapa de modelare, evideniaz importana valorilor lips. O soluie simpl
de rezolvare a problemei presupune fie: nlocuirea tuturor valorilor lips cu o constant total
unic; nlocuirea unei valori lips cu caracteristica sa medie; nlocuirea unei valori lips cu
caracteristica previzionat.
Adesea, ns, aceast soluie nu asigur valoarea optim fapt pentru care datele vor fi afectate.
Dac valorile lips pot fi reduse la doar cteva caracteristici, atunci se poate ncerca o
soluionare prin tergerea exemplelor continnd valori lips, sau tergerea atributelor ce conin
majoritatea valorilor lips. O alt soluie este de a se ncerca predicia valorilor lips cu
ajutorul unui instrument data mining. n acest caz previzionarea valorilor lips reprezint un
caz special al problemei de predicie data mining.
d. Modelarea este etapa de construire a unui model informatic care va efectua
explorarea propriu-zis a datelor. Analiznd noutatea i abundena tehnicilor i algoritmilor
utilizai n cadrul acestei etape, se poate considera c ea este cea mai interesant parte a unui
proces Data Mining.
e. Evaluarea modelului. Aceast etap valideaz modelul din punct de vedere al
datelor analizate. n fazele anterioare, cu precdere n faza de modelare, evaluarea presupunea
o analiz a fiabilitii i generalitii modelelor generate, n timp ce aceast etap realizez o
evaluarea a modelelor prin prisma obiectivelor iniiale ale problemei. Aceast faz permite
relevarea motivelor ce fac ineficient construirea modelelor, recomandndu-se n acest sens
testarea lor pe probleme reale. Se vor analiza i interpreta att rezultatele direct legate de
5858
obiectivele de soluionare a problemei ct i alte constatri efectuate, acest lucru putnd oferi
sugestii pentru modelele viitoare i alte informaii suplimentare.
f. Integrarea noilor cunotine. Aceast etap finalizez procesul prin expansiunea
modelului obinut i a rezultatelor sale la nivelul sistemului informatic al organizaiei.
4.2. ANALIZA CARACTERISTICILOR SOFTWARE-ULUI DE AUDIT

GENERALIZABIL I A PACHETELOR DATA MINING
Caracteristicile software-ului generalizabil de audit (GAS): n general, aceste
aplicaii sunt dezvoltate n cadrul marilor cabinete de audit prezint, n esen, urmtoarele
caracteristici:
- Caracteristica tot n unul pachetele GAS sunt concepute s asiste ntregul proces de
audit, putnd fi utilizate n coordonarea tuturor procedurilor de audit.
- Interfa prietenoas cu utilizatorul - multe pachete GAS au o interfa prietenoas, asistnd
utilizatorul n punctele cheie ale procesului de audit, i i ofer o reprezentare clar i
concis a informaiilor complexe.
- Aptitudini tehnice minime din partea utilizatorului - aceste instrumente, proiectate n mod
special pentru activitatea de audit, nu solicit utilizatorului aptitudini tehnice deosebite pentru
a-l folosi.
- Viteza de lucru depinde de volumul tranzaciilor supuse prelucrrii.
- Cerina raionamentului uman - caracteristicile auditului surprinse de pachetele GAS includ
sortarea, interogarea, stratificarea, eantionarea, analiza ntrzierilor aferente termenelor
scadente a plilor, etc. Multe firme de audit i bazeaz activitatea pe pachetele GAS, dar cu
toate acestea, experiena i raionamentul auditorilor sunt nc indispensabile, aceste
instrumente favoriznd reducerea personalului specializat, dar nu nlocuirea acestuia la toate
nivelele.
Trsturile pachetelor Data Mining: o serie de aplicaii, precum DB2 Intelligent
Miner for Data, DB Miner, Microsoft Data Analyzer, SAS Enterprise Miner, SAS Analytic
Intelligence, avnd ncorporate tehnici Data Mining i fiind recunoscute ca instrumente pentru
analiza datelor, prezint o serie de caracteristici cum ar fi:
Capabiliti de automatizare. Obiectivul central al tehnologiilor Data Mining se
rezum n descoperirea automat a unor informaii ascunse, utile ntr-un set de date.
Astzi, pachetele Data Mining nu sunt complet automatizate, prezentnd doar
caracteristici de ghidare a utilizatorului n descoperirea de noi informaii.
Complexitate nalt. Tehnicile de analiz avansat ce includ algoritmi statistici,
inteligen artificial, reele neuronale, logic fuzzy, algoritmi genetici sunt extrem de
complexe i adesea, explicaiile srace legate de logica acestora conduc la un grad
redus de ncredere n rezultatele lor.
Scalabilitatea. Faptul c, depozitele de date sunt fundamentul evoluiei data mining,
justific aprecierea scalabilitii ca fiind una din trsturile cheie ale pachetelor data
mining.
Oportunitatea de a descoperi informaii neateptate, ascunse. n general, n cadrul
unei misiuni de audit, auditorii tiu concret ceea ce caut, fapt ce determin o limitare
a ariei testelor de executat. Tehnologia Data Mining poate fi utilizat chiar i atunci
cnd utilizatorii nu au o idee preconceput despre ceea ce caut, deoarece prin
intermediul ei orice informaie interesant, ascuns n tranzaciile contabile poate fi
relevat.
Integrarea capacitii de nvare. Muli algoritmi data mining dispun de un
ansamblu de caracteristici destinate procesului de nvare, astfel nct experiene i
5959
greeli din trecut pot fi utilizate pentru a mbunti calitatea modelelor n mod
automat.
Aptitudini tehnice avansate. Utilizatorii software-ului Data Mining trebuie s dispun
de trsturi tehnice substaniale, acest lucru fiind motivat de cel puin trei cerine
stringente:
utilizatorul e necesar s cunosc diferenele ntre diversele tipuri de algoritmi data
mining pentru a-l alege pe cel optim;
se presupune c utilizatorul va dirija ntregul proces pentru a fi sigur c noile
informaii sunt interesante;
rezultatul procesului data mining trebuie evaluat, pe criterii de competen
profesional.
Absena interoperabilitii. Procesul Data Mining poate fi abordat prin prisma a
numeroase tehnici i metode de algoritmizare. Cu toate acestea, pachetele software
disponibile tind s se concentreze pe una din metode, angajnd doar cteva tehnici.
Interoperabilitatea ntre diferitele metode de algoritmizare data mining constituie nc
o provocare semnificativ pentru dezvoltatorii de software data mining.
Absena capacitii de auto-explicare. n general, procesul data mining este automat i
motivele semnificative prin care se ajunge la un anumit rezultat, sunt n mod frecvent,
subtile. Prin prisma auditului, acest lucru constituie o problem major deoarece
traseul de auditi replicabilitatea sunt cerine cheie n misiunea de audit.
Cost relativ ridicat. n comparaie cu alte aplicaii, software-ul data mining este
considerat scump, utilizatorii ncorpornd n acest pre i costul de pregtire a datelor,
de analiz a lor i instruire a personalului. Conceptele dezvoltate anterior sunt
comparate n mod sintetic i constituie fundamentul pentru integrarea tehnicilor Data
Mining n cadrul aplicaiilor asociate unei misiuni de audit.
Caractersistici
Orientare pe activitate de audit
Asistarea tuturor procedurilor de audit
Interfata prietenoasa cu utilizatorul
Aptitudini tehnice cerute
Automatizare
Capabil de invatare
Cost
GAS
Da
Da
Mai mult
Mai mult
Nu
Nu
Mai scazut
Data mining
Nu
Nu
Mai putin
Mai putin
Da
Da
Mai ridicat
Tabelul 4.2 Sinteza caracteristicilor GAS - pachete Data Mining
4.3. INTEGRAREA TEHNICILOR I METODELOR DATA MINING N

CADRUL PROCESULUI DE AUDIT
6060
Detalierea analizei procesului de audit i a metodelor Data Mining au condus la

identificarea unor posibile arii de integrare:
Procesul de audit
1.Acceptarea clientului
Metode Data Mining
Clasificarea i predicia
Analize de evaluare
2.Planificarea
Evaluarea riscului
Analiza dependenelor
Posibile arii de integrare

Plecnd de la declaraiile financiare
ale anilor anteriori, media ramurii de
activitate
respective
(ratingul
industrial) , clientul poate fi apreciat
favorabil sau nefavorabil, prin
utilizarea metodelor de predicie i
clasificare.Ulterior , mpreun cu
preul estimat bazat pe nregistrrile
anilor anteriori i a indicelui inflaiei,
se poate obine un rezultat al
evalurii.
Analiza dependenelor poate fi
considerat ca fiind operaia Data
Mining
oportun
identificrii
factorilor de risc asociai unei
entiti.Setul de date cerute a fi
analizate poate fi alctuit din
declaraiile financiare ale anilor
anteriori, media ramurii economice
respective ( ratingul industrial) ,
indicele inflaiei, diagramele de flux
(flowcharts) ale sistemului ce permit
identificarea controalelor existente. n
acest context evaluarea riscurilor la
nivelul fiecrui domeniu semnificativ
poate
fi
analizat
utiliznd
clasificarea i metodele de predicie.
Informaiile colectate despre client,
mpreun cu riscurile identificate n
pasul anterior constituie elemente de
baz pentru elaborarea programului
de audit.
Elaborarea programului deClasificarea i predicia

audit
Testarea controalelor are ca punct de

plecare
selectarea
eantioanelor,
urmat apoi de o analiza a excepiilor
ce poate releva probleme neobinuite
sau de fond.Rezultatele finale pot fi
clasificate ca fiind satisfctoare sau
nesatisfctoare, situaie care impune
aplicarea testelor de detaliu.
3.Evaluarea controlului intern

Analiza cluster-elor
Analiza excepiilor
4. Aplicarea testelor de detaliu
Analiza tranzaciilor contabile ale
6161
Proceduri analitice
Teste de detaliu asupraAnaliza cluster-elor

Analiza excepiilor
tranzaciilor
selectarea eantioanelor
testarea eantioanelor
5. Raportul de audit
Formularea concluziilor
Analiza excepiilor
Analiza dependenelor
anilor anteriori, asociate cu mediul

economic n ansamblul sau poate
conduce la o previzionare a datelor
curente. Astfel, diferenele ntre
cifrele actuale i cele ateptate sunt
grupate, iar cele care nu se ncadreaz
ntr-o plaj acceptabil vor fi
analizate ulterior.
Tranzaciile contabile cu caracteristici
similare sunt grupate prin tehnica
clustering, ceea ce va permite
selectarea eantioanelor din fiecare
cluster, mpreun cu date neobinuite
identificate prin metoda analizei
excepiilor. Rezultatele etapei pot fi
clasificate ca satisfctoare sau
nesatisfctoare, n cel de-al doilea
caz fiind necesare investigaii
suplimentare prin reiterri ale testului.
Utiliznd analiza dependenelor, pot fi
colectate
probele
legate
de
mprejurrile ce vor afecta diferitele
tipuri de opinii formulate. Apoi,
analiznd
rezultatele
testelor
ntreprinse i alte circumstane
determinante, pot fi raportate
concluziile i definitivat opinia
auditorului.
Tabelul 4.3 Posibile arii de integrare a tehnicilor Data Mining n cadrul procesului de
audit
n urma analizei realizate se poate observa c fiecrei etape a unui proces de audit i se
pot asocia tehnici i metode Data Mining. n realitate, cea mai periculoas situaie este dat de
absena datelor disponibile, mai ales n cazul primului an de audit. n construirea unui model
Data Mining este necesar utilizarea seturilor de date bazate pe informaii istorice, informaii
ce pot include att datele anului anterior, ct i date ale altor clieni ce aparin aceleiai ramuri
industriale. Singurele informaii disponibile n mod cert, n cazul tuturor angajamentelor de
audit sunt tranzaciile contabile ale perioadei curente i situaiile financiare ale aceluiai an. n
acest context, se subliniaz ideea conform creia anumite etape, precum acceptarea clientului
i planificarea nu pot fi abordate ntotdeauna prin prisma tehnologiei Data Mining. n schimb,
realizarea etapelor de evaluare a controlului intern i aplicarea testelor de detaliu, permit o
analiz complex a datelor ce conduce adeseori la detectarea fraudelor, descoperirea
informaiilor ascunse n spatele datelor clasice, oferind astfel noi oportuniti auditorilor.
De exemplu, s considerm urmtoarea situaie furnizat auditorilor(numrul de
tranzacii este de cel puin 2000):
6262
Tabelul 4.4 Situaia tranzaciilor de vnzare generate n perioada

01-01-03....31-12-03, n cadrul societii S.C. AAA. S.A.
Analiza acestui volum considerabil de date, cu ajutorul tehnologiilor Data Mining
permite identificarea unor modele, abloane deosebite. Abordarea etapei de evaluare a
controlului intern, cu toate fazele ce o caracterizeaz, poate conduce la descoperirea
urmtoarelor tipare:
- tranzaciile aprobate de o persoan neautorizat
- tranzaciile care sunt aprobate de o persoan autorizat, dar nu ntotdeauna aceeai.
- volumul tranzaciilor aprobate de fiecare persoan autorizat
- distribuia volumului tranzaciilor pe fiecare lun/trimestru/semestru
- disocierea termenelor scadente aferente tranzaciilor pregtite de fiecare persoan autorizat.
- Abordarea procedurilor analitice, prin prisma acestor tehnologii avansate permite o
previzionare a cifrelor urmtoarelor luni, pe baza perioadelor anterioare, a caracterului
sezonier, ratei inflaiei, ratei dobnzii i indicelui industrial. Exemple de tipare interesante
sunt: cifrele ateptate n cazul existenei unei tendine stabile; cifrele ateptate n cazul unei
tendine instabile. n cazul testelor de detaliu a tranzaciilor:
- cifrele vnzrilor din anumite luni ce sunt considerate excesiv de ridicate sau sczute n
raport cu alte luni.
- tranzacii mici ce sunt executate n mod repetat ntr-o anumit perioad a lunii
- tranzacii ce nu se ncadreaz n clustere (excepiile)
- grupul tranzaciilor ce dein un procentaj mare din populaie
- volum mare de tranzacii ce se desfoar la aceeai dat
- tranzacii neobinuite, de valori similare, ce au loc repetat. Spre exemplu, vnzarea unor
active fixe, de valori apropiate, la fiecare sfrit de lun.irul exemplelor poate continua, dar
astfel de analize aduc, n mod cert, un plus de valoare clientului auditat.
n concluzie, se poate aprecia c integrarea tehnologiilor Data Mining n cadrul
procesului de audit, merit cercetat i n condiiile n care rezultatele se dovedesc a fi
eficiente, atunci se poate vorbi de o dezvoltare a pachetelor Data Mining individualizate
pentru misiuni de audit. Aa cum se observ selectarea eantioanelor se detaeaz ca fiind
funcionalitatea esenial care poate fi abordat prin prisma acestei tehnologii deoarece o
analiz clustering va permite auditorilor identificarea eantioanelor din cteva grupuri
reprezentative clasificate ntr-un mod nesesizabil cu alte instrumente.
PARTEA APLICATIV: UTILIZAREA UNUI SISTEM INFORMATIC PRIVIND

NTOCMIREA, PREZENTAREA I PUBLICAREA SITUAIILOR FINANCIARE
n cadrul dezvoltrii sistemelor i aplicaiilor informatice de gestiune se resimte astzi un
curent pregnant al utilizrii metodelor de proiectare obiectual. Practica a dovedit, ceea ce cercetrile
teoretice au anticipat, c aplicarea acestui demers conduce la soluii mai puternice i fiabile, chiar
6363
dac, ulterior, implementarea se va realiza utiliznd o baz de date relaional.Inceputul anilor 90 este
momentul apariiei metodelor de proiectare orientate obiect, dintre care amintim:
- OMT (Object Modeling Technique) James Rumbaugh
- OOD (Object Oriented Design) Greedy Booch
- OOSE (Object-Oriented Software Engineering) Ivar Jacobson
Caracteristic metodelor orientate obiect este faptul c sistemul informatic este gndit ca un
ansamblu de obiecte care se organizeaz i coopereaz ntre ele. Toate aceste metode urmresc, n
ultim instan, s permit formularea cerinelor sistemului, n faza de analiz i n timpul proiectrii,
s dezvolte un model al claselor de obiecte. n acest context, este de remarcat abordarea simultan a
datelor i prelucrrilor, prin comparaie cu metodele generaiilor precedente (Metoda Merise, spre
exemplu), cnd o proiectare i o implementare separat a lor conducea adesea la sisteme instabile,
vulnerabile la erori.
Fiecare din metodele amintite se bucurau de o recunoatere mondial, la acea dat, ele avnd
propriile puncte forte i slbiciuni, dup cum autorii puneau accentul pe anumite idei de modelare fapt ce crea, adeseori, n rndul utilizatorilor, confuzii. Experiena acumulat i va determina pe autori
s-i uneasc eforturile n vederea realizrii unei unificri complete a metodelor proprii, aceast
ncercare de standardizare aducnd un cadru de stabilitate n industria software i pe piaa limbajelor
de modelare. Limbajul UML este rezultatul muncii depuse i literatura de specialitate l definete
drept o colecie a celor mai bune practice aplicate n modelarea sistemelor informatice de mari
dimensiuni i complexitate. n acest sens, paradigma obiectual aduce, printre altele, avantajul de a
utiliza un limbaj comun i standardizat de reprezentare a conceptelor utilizate (UML). UML
introduce un set de 8 diagrame pentru descrierea unui sistem informatic, cu semantica asociat, dar
nu propune i un proces de utilizare a acestora n construcia unei aplicaii. Cele opt tipuri de
diagrame propuse de UML sunt: diagrama cazurilor de utilizare; diagrama de clase (cea mai
utilizata); diagrama de activiti; diagrama de stri; diagrama de colaborare; diagrama de secven;
diagrama de componente;diagrama de amplasare.Datorit complexitii lor, metodele orientate obiect
impun o analiz mai detaliat a realitii i un efort mai mare din partea proiectanilor pentru
elaborarea acestor diagrame.
Procesul de dezvoltare a unui sistem informatic folosind UML

ntr-un cadru general, procesul de dezvoltare a unui sistem informatic identific o
suit de activiti de baz, precum: definirea cerinelor, analiza, proiectarea, implementarea i
testarea. Definirea cerinelor este etapa care se concentreaz pe identificarea cerinelor funcionale i
nefuncionale ale sistemului, furniznd imaginea extern perceput de utilizatorii si. Rezultatul
acestei activiti este, n consecin, un model al cazurilor de utilizare ce are rolul de a reprezenta
ntr-o form grafic detalitat funcionalitile viitorului sistem. Analiza urmrete, n punctual su
final, obinerea unui model al problemei concretizat ntr-o diagram a claselor de obiecte, la care
sunt asociate diagramele de activiti i de secvene, recunoscute i sub numele de diagrame de
comportament, pe care se bazeaz i care o completeaz. n vederea asigurrii unei cunoateri mai
aprofundate a cerinelor funcionale specificate prin cazurile de utilizare, analiza debuteaz, n fapt,
cu realizarea diagramelor de comportament. Proiectarea este extinderea i adaptarea tehnic a
rezultatelor analizei; n vederea unei implementri adecvate, proiectarea vine i completeaz
modelul din faza de analiz cu toate detaliile tehnice, principalii factori de influen fiind: mediul de
dezvoltare, limbajul de programare, stilul de arhitectur, tehnologiile informaionale de care dispune
entitatea: caracteristicile echipamentelor i mijloacelor de comunicaie. Astfel, diagrama claselor
realizat la un nivel conceptual, n faza precedent, se adapteaz i detaliaz corespunztor nevoilor
implementrii, devenind o diagram a claselor de obiecte mult mai complex, proprie etapei de
proiectare. La acest nivel, diagramele de stare i colaborri pot constitui surse importante ce confer
detalii importante claselor de obiecte.
6464
Implementarea implic transpunerea coninutului diagramelor i specificaiilor de proiectare

n forma specific limbajului de programare utilizat. Punctul de plecare l poate reprezenta modelul
de persisten, iar finalitatea poate fi transpus n diagrama componentelor i diagrama de
amplasare. Testarea este activitatea ce i propune identificarea i corectarea erorilor de programare
i totodat ea stabilete msura n care sistemul rspunde cerinelor funcionale i nefuncionale
definite n prima etap.
Definirea cerinelor sistemului - Diagrama cazurilor de utilizare

Scopul realizrii acestui sistem este de a construi un instrument ce va permite eficientizarea
unui proces de audit, asistnd auditorul n fazele importante ale acestuia. Definirea cerinelor
funcionale este axat pe cercetare i ea poate fi descris astfel: clienii solicit unui auditor extern
(cabinet de audit) desfurarea unei misiuni de audit, cu un obiectiv clar precizat. n acest sens,
auditorul va desfura, ntr-o prim etap, o analiz a clientului prin realizarea unor aciuni de
documentare a riscurilor majore pe care le-ar implica acesta, finalitatea etapei concretizndu-se ntr-o
scrisoare de angajament, care odat semnat (acceptat) declaneaz procesul de audit propriu-zis.
Procesul de audit debuteaz cu etapa de planificare a misiunii n cadrul creia obiectivele auditorului
sunt concentrate asupra unor aciuni importante, precum: setarea pragului de semnificaie;
desfurarea procedurilor analitice preliminare; evaluarea riscurilor; elaborarea planului de lucru
(programului de audit). Evaluarea riscurilor este o activitate esenial oricrei misiuni de audit,
indiferent de obiectivul su. Astfel, riscurile unei entiti pot fi evaluate la nivel general, iar o analiz
detaliat a lor va presupune asocierea acestor riscuri domeniilor semnificative (vnzri, cumprri,
personal, producie, trezorerie, imobilizri). Aceast evaluare se va realiza pe baza unor chestionare
standardizate, preluate din Normele Minimale de Audit.
Finalitatea etapei o reprezint elaborarea unui plan de lucru, n care vor fi cuprinse lucrrile ce se vor
desfura, cu orele estimate, tarifele/lucrare i asistenii/ auditorii ce vor fi angajai n execuia lor.
Responsabilitatea acestei etape de planificare revine n sarcina efului misiunii, dar ea poate fi
analizat i verificat de managerul sau partenerul cabinetului. Lucrrile asociate planului de audit,
odat realizate vor fi nscrise n Dosarul Permanent sau Dosarul Exerciiului, dosare caracterizate
prin seciuni proprii pentru care se vor ntocmi foi de lucru, codificate ntr-o manier
corespunztoare. Testarea tranzaciilor clientului constituie, de asemenea, o funcionalitate distinct a
sistemului ce se va concretiza n selectarea unor eantioane pentru desfurarea testelor de control
i /sau a procedurilor de fond. Analiza situaiilor financiare din punct de vedere al completitudinii i
acurateii va fi o alt caracteristic identificat pentru sistemul curent. Aceast analiz va sta la baza
calculului indicatorilor economico-financiari, pentru c interpretarea lor constituie elemente ce
justific opinia final formulat. Diagrama cazurilor de utilizare este rezultatul acestei activiti care
descrie, ntr-o form grafic, funcionalitile sistemului, proiectarea ei avnd la baz dialogul dintre
utilizatorii sistemului i proiectant. Diagrama se individualizeaz prin reprezentarea a dou categorii
de entiti, actorii i cazurile de utilizare ct i a relaiilor dintre acestea. Actorii sunt rolurile jucate
de diverse persoane care interacioneaz cu sistemul informatic aflat n dezvoltare, ei regsindu-se n
poziia de a introduce date n sistem, de a le consulta, interoga, actualiza i, n toate situaiile,
iniiativa va aparine actorului i nu sistemului. Identificarea cazurilor de utilizare se face n corelaie
cu actorii identificai anterior, mulimea cazurilor de utilizare reprezentnd mai curnd ceea ce
sistemul trebuie s fac i nu cum.
Un caz de utilizare reprezint, n fapt, un model de comportament al sistemului ca urmare a
dialogului cu un actor, descris printr-o secven de tranzacii ce au loc n sistem. n acest sens,
cazurile de utilizare se disting prin cteva caracteristici generale:
- sunt uniti de sine stttoare, bine delimitate (nceputul i sfritul unui caz de utilizare sunt
cuprinse n acesta);
- e necesar ca ele s fie iniiate de un actor i finalizarea lor s fie vzut de un actor;
6565
- trebuie s ndeplineasc anumite scopuri de logic a problemei (dac nu se poate gsi un astfel de
obiectiv atunci cazul de utilizare trebuie regndit);
- realizarea cazului, trebuie s ofere sistemului o stare stabil (nu poate fi ndeplinit doar pe
jumtate). Ca o concluzie a elementelor prezentate, o diagram a cazurilor de utilizare este proiectat
prin studierea actorilor i determinarea operaiilor pe care ei le vor putea realiza cu sistemul, ea
reprezentnd n fapt adevratul dirijor al ntregului proces de dezvoltare. UML prevede pentru acest
tip de diagram o gam diversificat de legturi ce se pot stabili att ntre actori i cazuri de utilizare,
ct i ntre cazuri de utilizare diferite sau actori diferii.
Relaii ntre actori i cazuri de utilizare: relaia de asociere (participare) indic participarea
unui actor la un caz de utilizare, direcia de navigare a relaiei sugernd cine iniiaz comunicarea.
Relaii ntre cazuri de utilizare: relaia de incluziune indic faptul c o instan a unui caz de
utilizare cuprinde i comportamentul specificat printr-un alt caz de utilizare. Figura 5.1 prezint mai
multe exemple de relaii de incluziune ntre cazurile de utilizare, ntre care menionm: Elaboreaz
planul de audit include cazul Introduce lucrri de audit, deoarece elaborarea unui plan de audit
presupune asocierea lucrrilor necesare, stabilirea bugetului de ore (orele estimate de realizare) ct i
a tarifului/lucrare, ceea ce impune existena cazului Introduce lucrri de audit. Relaia de extensie:
este folosit pentru a sugera un comportament opional, care are loc doar n anumite condiii. Spre
exemplu, cazul de utilizare Selecteaz esantioanele pentru testele de control poate fi extins cu
Intocmeste foi de lucru, condiia ce autorizeaz extensia fiind controlul eantionului selectat i
validarea lui.
Relaii ntre actori: relaia de generalizare: semnific faptul c un actor poate interaciona cu
sistemul n toate modalitile prin care interacioneaz un altul. n virtutea relaiei de generalizare ce
se stabilete ntre Partener i Manager, spre exemplu, actorul Partener poate realiza i cazul de
utilizare Stabilete componena echipei de audit, relaia de dependen: semnific faptul c, pentru
a interaciona cu sistemul informatic prin intermediul unui caz de utilizare, un actor depinde de alt
actor, n situaia curent este vorba de relaia dintre actorii : Client, Partener. Fiecare caz de utilizare
alturi de reprezentarea sa grafic n diagram trebuie s fie nsoit de un document de descriere a
cazului. Un exemplu, n acest sens, l poate reprezenta descrierea cazului de utilizare Selecie
eantion pentru testele de control: practica a semnalat c exist o serie de cazuri de utilizare aa-zis
ascunse care nu sunt identificate ntotdeauna n fazele analizei funcionale (n special din cauza
faptului c interlocutorii nu sunt familiarizai cu informatica): securitate, arhivare, infrastructur
arhitectural, verificare, care se recomand a fi introduse n toate modelele de cerine.
DIAGRAMA DE ACTIVITI
Diagrama de activiti pentru un caz de utilizare permite reprezentarea derulrii
aciunilor i proceselor interne, detaliind i preciznd descrierea textual a acestuia.
- auditorul asistent declaneaz aciunea de creare a planului, dar pentru aceasta n prealabil verific
existena scrisorii de angajament i a soluiei acesteia (accept/refuz sau riscuri majore):
-dac scrisoarea exist i are o soluie favorabil (accept), auditorul va stabili lucrrile ce fac
obiectul misiunii, asociindu-le un tarif/orar i un numr de ore planificate. Totodat fiecrei lucrri i
se asociaz un auditor executant, n condiiile n care acesta este disponibil. Procesul apeleaz o bucl
repetitiv subactivitate pentru c un plan de audit conine mai multe lucrri misiune; o dat
procesul validat, planul este verificat i salvat, genernd realizarea unei tranzacii.
Diagrama de secvente are rolul de a reflecta modul intern de realizare a unui caz de utilizare,
ilustrnd interaciunea dintre obiecte din punct de vedere temporal, acestea fiind prezentate la un
nivel general, sintetic, fr precizarea argumentelor i a tipului de rezultat returnat. O diagram de
secvene este format dintr-un set de mesaje schimbate ntre diverse obiecte, identificnd astfel
operaiile ce trebuie s intre n comportamentul fiecreia dintre clasele de obiecte participante.
6666
Figura nr.5.1 Diagrama de secvene asociat cazului de utilizare Elaboreaz planul de audit
Fiecarui obiect sau clase i corespunde o linie a timpului, reprezentat printr-o linie punctat
pe vertical, mesajele transmise ntre obiecte fiind reprezentate prin sgei, etichetate cu numele
mesajului.
Diagrama claselor descrie structura intern a sistemului informatic prin identificarea
claselor, a atributelor i operaiilor acestora ct i a relaiilor dintre clase. Literatura de specialitate nu
definete o reet unic de elaborare a acestor diagrame, ele fiind dependente de experiena i
judecata profesional a proiectantului. O abordare metodic a determinrii claselor este aceea de a
extrage substantivele eseniale din documentele de specificaie a cerinelor. n acest proces de selecie
a substantivelor, experiena practic a marcat i o etap de filtrare a acelor substantive ce nu vor
reprezenta "clase bune", urmrindu-se astfel eliminarea claselor candidat . Clasele sunt abloane de
creare a obiectelor, astfel nct fiecare obiect este o instan a unei clase. Obiectele, pentru a fi utile,
trebuie s interacioneze ntre ele i aceast interaciune nu este altceva dect instana legturii ce se
stabilete ntre clasele din care fac parte.
Asocierea este legtura ce se stabilete ntre dou clase de obiecte independente.
Agregarea constituie o asociere binar puternic i nesimetric n care una dintre clase are
un rol predominant n raport cu cea de-a doua. n mod uzual, aceasta corespunde unei relaii de tipul
parte-ntreg.
Compozia este un tip particular de agregare i apare n cazurile n care obiectele clasei
"parte" aparin clasei "ntreg. ntr-o asemenea corelaie, multiplicitatea clasei compuse nu poate fi
mai mare de 1, iar clasa parte nu mai poate participa la alte agregri.
Generalizarea modeleaz motenirea proprietilor i a operaiilor ntre dou clase: clasa
general este denumit superclas, iar cea specializat subclas. n acest punct, diagrama claselor
este independent de limbajul ce se va utiliza la implementare, fapt pentru care identificarea
atributelor este mai important dect descrierea operaiilor, ce poate fi detaliat n faza de proiectare.
Proiectarea sistemului: are ca punct de plecare rezultatele analizei, pe care le detaliaz
corespunztor nevoilor implementrii. Astfel, diagrama claselor de obiecte este adaptat i
remodelat, punnd-se un accent deosebit pe modelarea comportamentului fiecrei clase. Diagrama
de stri i diagrama de colaborri constituie instrumente importante n construirea diagramei
6767
claselor la nivelul implementrii. De asemenea, un alt aspect important i demn de menionat este
faptul c diagramele de activiti i secvene se pot relua, mbunti sau chiar remodela n aceast
etap.
Diagrama de stri servete pentru a reprezenta suita de stri prin care poate trece un element
de modelare fie acesta obiect sau interaciune n cursul existenei sale, ca reacie la evenimentele
survenite n exteriorul su. n acest sens, figura 5.2 prezint toate strile prin care poate trece o
instan a clasei Misiune precum i evenimentele ce schimb starea unui obiect .
Figura nr.5.2 Diagrama de stare asociat clasei Misiune

Diagrama de colaborare este un instrument necesar n stabilirea legturilor dintre obiecte,
manifestndu-i utilitatea cu precdere n faza de proiectare. Diagrama am putea spune c se
identific, ca putere de modelare, cu diagrama de secvene, individualizndu-se printr-o reprezentare
grafic. Figura 5.3 prezint derularea operaiilor necesare pentru elaborarea unui nou plan de misiune,
sub forma unei diagrame de colaborri.
6868
Figura nr. 5.3 Diagrama de colaborri asociat cazului de utilizare Elaboreaz planul de
audit
6969
7070
IMPLEMENTAREA SISTEMULUI
Interfaa aplicaiei debuteaz cu un meniu principal, prezentat n cadrul figurii: 5.4, care i
propune s urmreasc etapele importante ale unei misiuni de audit permind utilizatorului s-i
exprime cu uurin opiunile: Acceptarea Clientului, Planificarea auditului, Evaluarea sistemului
informatic, Testarea tranzaciilor Clientului i Analiza situaiilor financiare.
Figura nr.5.4. Formular asociat Meniului principal

Acceptarea Clientului este prima etap a unei misiuni de audit, n care auditorul va nregistra
entitatea auditat i apoi va documenta riscurile majore ale acesteia. Aplicaia debuteaz pentru
aceast opiune cu un formular Actualizare Clieni, afiat n figura 5.5, n care utilizatorul poate
realiza fie crearea unui nou Client, modificarea datelor unui client existent sau tergerea acestuia.
Att operaia de Adauga, ct i cea de Modifica, vor fi urmate de o Salvare a datelor noi
introduse sau de o Anulare a acestora.
Figura nr.5.5. Formular de actualizare a clienilor
7171
n cadrul acestei etape, auditorul va analiza n continuare riscurile pe care i le-ar asuma n
vederea acceptrii mandatului; formularul a fost proiectat ca un chestionar, fiecare ntrebare inclus
avnd un rspuns pozitiv sau negativ, rspunsul pozitiv reprezentnd ntotdeauna o situaie de risc pe
care auditorul trebuie s o documenteze.
Figura nr.5.6. Formular de documentare a riscurilor asumate n vederea acceptrii

mandatului
PLANIFICAREA AUDITULUI
Calculul pragului de semnificaie: pragul de semnificaie stabilit n etapa de planificare se
utilizeaz n special, pentru determinarea eantioanelor; n acest sens, literatura de specialitate
recomand o serie de factori n determinarea acestui prag, reprezentai n figura 5.8 i totodat,
propune analiza sumelor aferente exerciiului anterior. Pragul de semnificaie ar trebui, n mod
normal, s se situeze n intervalul indicat de valoarea minim/maxim a celor 6 indicatori, din anul
curent. Atunci cnd societatea analizat nregistreaz pierderi sau profitul prezint fluctuaii majore,
factorii 5 i 6 nu se vor lua n considerare, oricare ar fi motivul distorsionrii sale. Figura 5.7. relev o
astfel de situaie, pentru exemplul analizat, fapt pentru care pragul de semnificaie este setat, pe baza
raionamentului profesional, la valoarea de 1%* Cifra Afaceri.
7272
Figura nr.5.7. Formular pentru determinarea pragului de semnificaie

Formularul include i opiunea Imprima cu rol de a salva ntr-un fiier text coninutul
acestuia, facilitate ce-i va permite auditorului completarea rapid a foii de lucru F0 (prezent n
anexele lucrrii), element ce constituie o prob inclus ulterior n Dosarul Exerciiului . Aplicarea
procedurilor analitice, nc din etapa de Planificare, reprezint o condiie necesar pentru nelegerea
activitii i identificarea domeniilor cu risc potenial. n acest sens, plecnd de la date financiare
istorice (culese, spre exemplu din ultimii 3 ani figura 5.8), aceast procedur are ca rezultat final
calculul unor indicatori uzuali, cum ar fi: lichiditatea general, lichiditatea imediat, perioada de
colectare a crenelor, perioada de achitare a datoriilor, rata autonomiei financiare, eficiena
capitalurilor proprii indicatori prezentai n figura nr. 5.9.
Figura nr.5.8 Formular de introducere/vizualizare a datelor financiare istorice
7373
Formulele de calcul asociate acestor indicatori sunt: Lichiditatea general = Active

curente/Datorii curente
Valoarea subunitar a acestui indicator este expresia existenei unor lichiditi mai mici dect
exigibilitile poteniale. Totui aceasta nu constituie un pericol atunci cnd stocurile se reduc treptat,
n scopul achitrii datoriilor exigibile pe termen scurt. Pragul recomandat a fiind acceptabil este n
jurul valorii 2 i ofer garania acoperirii datoriilor curente din ctivele curente.
Lichiditatea imediat = Active curente - Stocuri/Datorii curente
Aceast rat este, de regul, subunitar i ea trebuie analizat, interpretat cu pruden. n
teoria economic exist opinii potrivit crora o rat cuprins ntre 0.8 i 1 ar reprezenta o situaie
optim.
Perioada de colectare a creanelor = (Creane comerciale/Cifra de AfaceriNet) * 365 zile:
exprim numrul de zile pn la data la care debitorii i achit datoriile ctre societate.
Perioada de achitare a datoriilor = (Datorii comerciale/Cumprri ale perioadei) * 365
zileaproximeaz numrul de zile de creditare pe care societatea l obine de la furnizorii si.
Eficiena capitalurilor proprii = Profit Net/Capital propriu recunoscut n literatura de
specialitate i ca rata rentabilitii financiare msoar randamentul capitalurilor proprii, remunernd
proprietarii societii prin distribuirea dividendelor i prin creterea rezervelor. Este de dorit ca rata
rentabilitii financiare s fie mi mare dect rata dobnzii la titlurile de stat plus prima normal pentru
riscul asumat deacionari; numai aceast rentabilitate financiar va face atractive aciunile societii.
Rata autonomiei financiare = (Capital propriu/Total active mai puin datorii curente nete): se
apreciaz c pentru asigurarea autonomiei fianciare ntr-o organizaie, capitalurile proprii trebuie s
reprezinte cel puin jumtate din capitalurile permanente (Total active mai puin datorii curente nete).
Autonomia financiar este primordial pentru o societate deoarece i ofer posibilitatea de a decide
liber i totodat, de a gsi i contracta noi mprumuturi.
Figura nr.5.9. Formular de calcul a indicatorilor economico-financiari pe ultimii 3 ani
EVALUAREA RISCULUI DE AUDIT I A RISCURILOR SPECIFICE

7474
Evaluarea riscului este o etap esenial oricrei misiuni de audit, indiferent de

obiectivul propus. Aplicaia debuteaz cu un formular de afiare a formulei matematice de calcul a
riscului de audit, formular prezentat n figura 5.10, propus mai mult din dorina de a da aplicaiei i
un caracter didactic.
Figura nr.5.10 Formularul asociat determinrii Riscului de Audit

Selecia opiunii Calculeaza activeaz un alt formular Risc General ce va permite
realizarea urmtoarelor funcionaliti :
-evaluare general a riscului de management (figura 5.11)
-evaluare general a riscului contabil
-evaluare general a riscului de afaceri
-evaluare general a riscului de audit (figura 5.12 )
-evaluare a riscului inerent specific (figura 5.13)
-determinarea mrimii eantioanelor. (figura 5.14)
Modul de abordare a acestei evaluri a fost preluat din Normele Minimale de Audit, aplicaia
urmrind legislaia n vigoare, tocmai pentru a fi un ghid util viitorilor utilizatori. Evaluarea riscului
inerent general se realizeaz pe baza unui chestionar, ntrebrile fiind formulate astfel nct rspunsul
DA este un indiciu de risc. Aprecierea riscului pentru cele 4 seciuni: Management, Afacere,
Contabilitate i Audit se realizeaz cu calificativele Ridicat, Mediu,Scazut, F. Scazut.
7575
Figura nr.5.11 Formular de evaluarea a Riscului de Management

n cadrul seciunii Conducere se regsete un chestionar care conine 8 ntrebri, fiecare dintre
acestea avnd asociate 2 controale checkbox de selecie a rspunsului DA/NU. n mod similar au fost
proiectate i celelalte pagini asociate seciunilor Contabilitate, Afacere i Audit, aceasta din urm
avnd i caracteristica Imprim ce va salva ntr-un fiier text coninutul paginilor anterioare.
Figura nr.5.12 Formular de evaluarea a riscului de audit i de apreciere a riscului inerent

general
Dup evaluarea riscului inerent general este important s se considere dac exist
vreun domeniu de audit care s aib ataat un risc specific. Riscul inerent specific reprezint
posibilitatea apariiei unei informaii eronate semnificative ntr-un anumit domeniu. Acest risc
specific este evaluat pe baza a 6 ntrebri ce sunt concentrate ctre justificarea de ce sunt erori,
ntrebri ce pot primi un rspuns pozitiv sau negativ (DA/NU), rspunsul pozitiv indicnd
7676
ntotdeauna un risc. Riscul inerent specific va fi apreciat n funcie de calificativul riscului inerent
general i numrul de rspunsuri pozitive pentru cele 6 ntrebri; rezultatul va fi apreciat printr-un
procent conform tabelului 5.1.
Tabelul nr. 5.1 Factori de risc asociai riscului inerent specific
Figura nr.5.13 Formular de evaluare a Riscului Inerent Specific

Scopul final al acestui exerciiu este determinarea mrimii eantioanelor. Algoritmul
folosit presupune parcurgerea urmtoarelor etape:
1. calculul riscului de audit (RA - literatura de specialitate l consider, n acest punct
o constant 5%)
2. calculul riscului inerent (RI)
a. risc inerent general
b. risc inerent specific
3. calculul riscului de control (RC)
4. calculul riscului de nedetectare, neasociat cu eantionare RNNE
5. determinarea eantioanelor
7777
Figura nr.5.14 Formular pentru determinarea mrimii eantioanelor

Analiznd ecuaia Riscului de Audit i plecnd de la ipoteza c RA=5%, se va determina
mrimea eantioanelor, conform tabelului 5.2.
RA=RI * RC * RNNE * RNE
Banda de risc
Tabelul nr.5.2 Mrimea eantionului la o populaie < 400

Determinarea eantioanelor:comparativ cu soluia propus de Normele Minimale de Audit,
prezentat anterior, aplicaia furnizeaz i alte metode de determinare a eantioanelor, folosite
frecvent n practica cabinetelor de audit, soluii prezentate la un nivel teoretic i exemplificate n
cadrul capitolului al II-lea. Formularul prezentat n figura 5.16 - are la baz formulele de calcul
pentru determinarea eantioanelor, atunci cnd se cunoate mrimea valoric a ntregii populaii sau
numrul de nregistrri existente n cadrul populaiei, coeficientul de ncredere (complementul
riscului de nedetectare legat de eantionare), eroarea tolerabil (pragul de semnificaie individual la
nivelul aseriunii verificate) i numrul de erori ateptate.
7878
Figura nr. 5.15 Formular pentru determinarea mrimii eantioanelor

Elaborarea planului de audit: planificarea, ca etap esenial a unei misiuni de audit se va
finaliza prin elaborarea unui plan de lucru dezvoltat n cadrul formularului din figura 5.16 - planul
respectiv avnd ataate lucrrile ce urmeaz a fi realizate, orele estimate de realizare i auditorii
cabinetului ce rspund de execuia lor.
7979
Figura nr.5.16 Formular de elaborare a unui Plan de Misiune

Evaluarea sistemului informatic se realizeaz pe baza unui set de chestionare pentru cele 8
tipuri de riscuri identificate la nivelul sistemului informaional (prezentate n cadrul capitolului al IIIlea paragraful Analiza riscului ntr-un mediu informatizat). Aprecierea riscului se realizeaz prin
calificativele: Ridicat, Mediu,Scazut, F. Scazut, n funcie de numrul de rspunsuri NU,
valoare care indic un factor de risc pentru aceast situaie.
8080
Figura nr.5.17 Formular de evaluare a riscurilor informatice

Testarea tranzaciilor Clientului: pentru exploatarea facilitilor acestei opiuni se impune
realizarea conexiunii la sursa de date a clientului prin selectarea comenzii Alege baza de date, din
meniul Fisier, care va genera o caset de dialog n cadrul creia utilizatorul va preciza numele bazei
de date ce urmeaz a se prelucra.
Figura 5.18.Deschiderea unui formular Tabele

Rezultatul acestei operaii este deschiderea unui formular Tabele, prezentat n figura 5.18, ce
va permite, n panoul din stnga afiarea coninutului bazei de date alese n pasul anterior, ct i a
8181
nregistrrilor existente pentru una din tabelele selectate, ntr-un ListView. Opiunile utilizatorului n
cadrul acestui formular se pot rezuma astfel:stergerea unei tabele selectate din cadrul bazei de date;
selectarea unui eantion de date, n mod aleator n vederea realizrii Testelor de Control; selectarea
unui eantion de date, printr-o metod proporional de selecie n vederea realizrii Testelor de
Detaliu asupra soldului unui cont
Figura nr.5.19 Formular ce permite afiarea structurii bazei de date analizate

Propunem dou metode de selectare a eantionului pe care le asociem realizrii a dou tipuri
de controale, total diferite: testele de control i testele de detaliu asupra valorilor unor tranzacii. n
primul caz, n vederea realizrii testelor de control, auditorul, n general, verific forma
documentului, spre exemplu existena unei semnturi (avizri), motiv pentru care eantionul de date
poate fi ales aleator dintr-o mulime. Astfel, selecia opiunii Eantionare aleatorie va genera
deschiderea formularului din figura.nr. 5.20, n care sunt solicitate mrimea eantionului de extras i
numele unei tabele, n care vor fi salvate elementele acestuia.
Figura nr.5.20 Selecia eantioanelor asociate testelor de control

n cel de-al doilea caz, soluia o reprezint o metod proporional de selecie,menionat i n
cadrul Normelor Minimale de audit, metod care presupune mprirea eantionului n proporia 80:
20, astfel nct 80% din mrimea eantionului va fi ales din rndul celor mai mari elemente n ordine
descresctoare, iar 20% vor fi alese aleatoriu din restul populaiei. Astfel, selectarea opiunii
Esantionare proportinala, va genera deschiderea formularului din figura 5.20, n care auditorul
8282
trebuie s aleag cmpul valoric, ce va fi ulterior verificat, s menioneze mrimea eantionului ct i

numele noii tabele n care vor fi salvate elementele acestuia.
Figura nr.5.21 Selecia eantioanelor asociate testelor de detaliu

Analiza situaiilor financiare este opiunea creat pentru verificarea completitudinii i
acurateii situaiilor financiare, avnd ca rezultat final calculul unui set de indicatori economicofinanciari. Punctul de plecare l constituie introducerea balanei de verificare ajustate a unei
societi; utilizarea termenului ajustate este impus de faptul c, adesea, auditorul poate veni cu
modificri la aceast situaie, n urma testelor de control i procedurilor de fond desfurate. Noua
balan obinut va constitui sursa generrii Bilanului, Contului de Profit i Pierdere i determinrii
indicatorilor economico-financiari.
8383
Fr a avea pretenia exhaustivitii, prin intermediul acestei aplicaii se ofer o nou soluie
de rezolvare a unor probleme strict legate de auditul situaiilor financiare ce va permite eficientizarea
unei misiuni, n termeni de timp i de cost.
CONCLUZII:
Lucrarea de faa a urmrit, pe parcursul celor patru capitole, s ofere o imagine clar
asupra unui process de audit al informaiei contabile ntr-un mediu informatizat i, totodat s
sublinieze necesitatea crescnd a utilizrii tehnicilor de audit (tehnici informatizate), n
vederea eficientizrii acestui proces.
Etimologic, termenul audit i are originea n limba latina, nsemnnd a asculta, a
audia dar practica anglo-saxon l-a transformat, desemnnd astzi, ntr-un sens larg, o
activitate de verificare a unei informaii, desfaurat de experi independeni, n vederea
exprimrii unei opinii asupra sinceritii i conformitii acesteia cu criterii standard de
calitate.
Necesitatea realizrii unui audit financiar, la nivelul unei organizaii, este acentuat de
conflictul de interese, de asimetria informaional creat ntre diveri utilizatori ai informaiei
financiare i, nu n ultimul rnd de caracterul din ce n ce mai complex al contabilitii.
Studiul cadrului teoretic si conceptual al unei astfel de misiuni a constituit premise
abordrii acestei lucrri.
Orice misiune de audit identific, n general, urmatoarele etape: aceptarea clientului,
planificarea, evaluarea controlului intern, testarea detailat a conturilor clientului i, n final
ntocmirea raportului de audit. Eficiena unei misiuni de audit este asigurat n viziunea
Standardelor Internaionale de Audit de planificarea acesteia. Aceasta etap presupune, n linii
mari, o cunoatere general a entitii de auditat, o apreciere a riscurilor existente i o analiz
a continuitii activitii acesteia n vederea identificrii conturilor i domeniilor semnificative
de auditat.
O auditare exhaustiv este imposibil de realizat i, n esena, nu reprezint un scop al
procesului de audit. Testarea selectiv prin eantioanare reprezinta tehnica frecvent ntlnit
att pentru evaluarea controlului intern ct i pentru testarea detailat a valorilor din conturi i
a tranzaciilor.Auditorul va examina elementele justificative care vor sustine valorile i
informaiile coninute n situaiile financiare, pe baza unei evaluri a principiilor metodei
contabile i a estimrilor semnificative fcute de managementul entitii pentru prezentarea
situaiilor financiare.
Astzi ntr-o era informatizat, n care complexitatea sistemelor de contabilitate
informatizat i volumul tranzaciilor au crescut semnificativ, este recunoscut necesitatea
unor tehnici de audit asistate de calculator care s permita o cretere a eficienei misiunii de
audit.
Literatura de specialitate distinge dou categorii de tehnici: pentru analiza i testarea
sistemului informatic; pentru analiza datelor de auditat.
Testarea sistemului s-a realizat pe un set de date reale. Analiznd informaiile pe care
le genereaz sistemul, din prisma auditului, se pot remarca urmatoarele:
pragul de semnificaie a fost stabilit la 1% din cifra de afaceri, n etapa de
planificare, ceea ce nseamn valori absolute de 1.890.534.710 lei. Raionamentul
acestei alegeri a inut cont i de faptul c, n anul precedent societatea a nregistrat
pierderi.
Analiza principalilor indicatori economico- financiari , pe ultimii trei ani , pune
n eviden urmatoarele observaii:
Indicatorul lichiditii imediate, a crui valoare se recomand a fi supraunitar,
pentru societatea n cauza, n anii 2002, 2003 nu confer independen financiar.
Indicatorul lichiditii generale , apreciat cu valori de peste 1,49 ofer garania
acoperirii datoriilor curente din activele curente.
Perioada de incasare a clienilor, prin valorile pe care le evideniaz, indic o

scdere a indicatorului n timp; totui valorile sunt apreciate a fi destul de mari,
ceea ce conduce la creane mai greu de ncasat (clieni ru platnici).Perioada
achitrii furnizorilor se ncadreaz n parametrii recomandai de practica
comercial.
Eficienta capitalulilor proprii, prin valorile furnizate, nu face atractive aciunile
societii, deoarece societatea nu se remarc printr-un profit semnificativ n raport
cu capitalul angajat ( n anul 2002, exerciiul se ncheie cu pierderi).
Rata autonomiei financiare, se apreciaz ca fiind o rat foarte bun, n cretere n
2003 fa de anii anteriori, ceea ce denota o autonomie ridicat ce-i va putea
facilita eventuala contractare a unor credite noi.
O opinie final este dificil de avansat, avnd n vedere volumul informaiilor

disponibile, deoarece procedurile enumerate trebuie completate de proceduri manuale
precum: participarea la inventarierea manual, discuii cu managementul entitii, aprecieri
ale estimrilor managementului precum i alte informaii suplimentare.
BIBLIOGRAFIE
1.
2.
Ali E., Stanciu V.

Auditul sistemelor informationale, suport de curs ASE
Camera AuditorilorAuditul financiar contabil 2000, Standarde, norme privind
din Romania
conduita etica si profesionala, Ed. Economica, Bucuresti,
2000
3. Camera AuditorilorNorme minimale de audit, Ed. Economica, Bucuresti, 2001
din Romania
4. CECCAR
Norme nationale de audit, Bucuresti, 1999
5. Constantin D., DobrinAuditul intern, Colectia Nationala, Bucuresti, 1999
M.
6. Feleaga N., Malciu L. Politici si optiuni contabile, Ed. Economica, Bucuresti, 2002
7. Feleaga N.
Imblanzirea junglei contabilitatii, concept si normalizare in
contabilitate, Ed. Economica, Bucuresti, 1996
8. Han.J, Kamber M.
Data Mining-Concepts and Tehniques (www.cs.sfu.ca)
9. Munteanu A.
Auditul sistemelor informationale contabile: cadru general,
Ed. Polirom, Iasi, 2001
10 Nitchi S., Nitchi R.
Data Mining, o noua era informatica

Lucrare de Licenta

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Lucrare de Licenta

Uploaded by

Copyright:

Available Formats

INTRODUCERE

Informaiile furnizate de ntreprinderi stau la baza a numeroase decizii economice i

CAP.1 CONCEPTUL DE AUDIT

ARHITECTURA CONCEPTULUI DE AUDIT

n mediul academic i practic nu exist un punct de vedere comun n ceea ce privete

Afirmaii privind aciunile cu caracter economic: se refer la acele afirmaii i

CADRUL CONCEPTUAL AL AUDITULUI

Auditul opereaz cu idei abstracte; el i are bazele n numeroase tipuri de nvare...

Statutul profesional de auditor independent impune anumite obligaii profesionale.

1.3. DIMENSIUNILE SI OBIECTIVELE AUDITULUI FINANCIARCONTABIL

1.3.1 Dimensiunile auditului

ntr-un cadru restrns, auditul poate fi clasificat, n conformitate cu obiectivul funciei

Raport: despre corectitudinea situatiilor financiare

Examinarea personalului si a activitatilor entitatii

Fig. 1.1 Clasificarea auditului n funcie de obicetivul urmrit:

Efectuat de auditori independentiRealizat

Include diferite tipuri de audit, majoritateaInclude

Figura nr.1.2. Clasificarea auditului n funcie de afilierea auditorilor

h. Tehnicile i procedurile de audit adoptate sunt, adesea, diferite.

Obiectivele auditului financiar contabil i responsabilitile

Obiectivul auditului a evoluat de la detectarea fraudelor i erorilor, proces care

Astfel, auditul este privit nu numai ca o materie interdisciplinar dar i ca un domeniu

1.4 NECESITATEA REALIZARII ACTIVITATII DE AUDIT FINANCIARCONTABIL

Creditorii, n special creditorii bancari, sunt interesai de capacitatea ntreprinderilor de a

financiar a ntreprinderilor i au la baz intenia de a nela. n consecin, chiar dac

CAP.2 PARTICULARITI ALE CONTROLULUI INTERN NTR-UN

sigure i fiabile care s-i asigure confidenialitatea, integritatea i disponibilitatea resurselor

d. Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod

2.1.2 Analiza riscului ntr-un mediu informatizat

Fig nr. 2.1 Componentele riscului IT

Riscul privind protecia antivirus ce impune o analiz a existenei programelor

2.1.3. Metode cantitative i calitative de evaluare a riscurilor IT

PAA = PPA * RAA

Tab.2.1 Tabelul de traducere a valorii riscului

Managementul acord o importanManagementul

Rata ncrederii: nalt

Tabelul 2.2 Informaii de apreciere a ratelor de risc pentru cei 3 factori:

2.2 CONTROLUL GENERAL AL SISTEMULUI INFORMAIONAL

Figura nr.2.2 Componentele controlului general

2.2.1. Controlul organizaional

Evideniaz psihologia managerului i stilul su de operare, poziia acestuia fa de

2.2.2.Controlul dezvoltrii i ntreinerii sistemului

- testul de numrare a biilor: realizeaz o comparaie a lungimii copiei de siguran i a

2.2.3. Controlul securitii sistemului

Securizarea transferului electronic: prin asigurarea confidenialitii, integritii,

2.2.3.1 Politica de securitate informaional

2.2.3.2 Strategia de control a securitii sistemului

deliberat a informaiilor; controlul accesului: folosirea incorect a parolelor, configurarea

Figura nr.2.3 Relaia dintre vulnerabiliti, ameninri, impact i msuri de

Risc = Impact * Probabilitate

Figura nr. 2.4. Tipuri de controale ale accesului n sistem

Figura nr.2.5 Reprezentarea riscului rezidual

2.2.3.3 Securitatea comunicaiilor

Figura nr.2.6 Tehnica de criptare a unui mesaj

2.2.3.4 Controlul accesului

2.2.3.5 Securitatea fizic

2.2.3.6 Evaluarea sistemului de back-up

2.2.3.7 Evaluarea sistemelor de protecie antivirus

2.3 CONTROLUL APLICAIILOR

2.3.1. Controlul datelor de intrare

Se definete ca un ansamblu de tehnici i metodologii care vor garanta integritatea,

Figura nr.2.7 Tipuri de controale asupra datelor de intrare

Controlul completitudinii intrrilor este necesar a fi desfurat pentru a se asigura

2.3.2 Controlul prelucrrii datelor