Auditul Sistemelor Informatice Utilizate DE Firme CU Activitate Internatională

UNIVERSITATEA CREȘTINĂ “DIMITRIE CANTEMIR”

FACULTATEA DE RELAȚII ECONOMICE INTERNAȚIONALE

MASTERAT: MANAGEMENTUL AFACERILOR INTERNAȚIONALE

AUDITUL SISTEMELOR INFORMATICE UTILIZATE DE FIRME CU ACTIVITATE INTERNAȚIONALĂ

Conducător științific:

Conf.univ.dr. Isăilă Narcisa

Absolvent:

Secară D. Ana Gabriela Andra

BUCUREȘTI

2016

INTRODUCERE

Alegerea lucrării de disertație cu tema “Auditul sistemelor informatice utilizate de firme cu activitate internațională” este motivată de interesul pentru aprofundarea cunoștințelor în domeniul auditării sistemelor informatice utilizate de către organizațiile economice.

Auditul reprezintă o formă esențială a serviciilor independente prin care se verifică faptul că o aplicație informatică, prin prelucrările pe care le efectuează, își atinge obiectivul pentru care a fost elaborată.

Lucrarea este structurată pe patru capitole cuprinzând aspecte cu caracter general asupra auditării sistemelor informatice și a standardelor de audit folosite la nivelul sistemelor informatice, finalizându-se cu un studiu de caz intitulat “Analiza unui sistem informatic auditabil la nivelul unei firme internaționale”.

Capitolul 1 prezintă “Noțiuni generale privind auditarea sistemelor informatice”, pornind de la istoricul activităților de audit, este definită această activitate și prezentat cadrul conceptual al auditului la nivelul organizațiilor economice.

Auditul informatic, ca ramură diferită a auditului, include tehnici de auditare a software-ului, a aplicațiilor mobile și a aplicațiilor informatice care utilizează resurse Internet.

Capitolul 2 prezintă ”Standardele de audit folosite în sistemul informatic” și cadrul de auditare INTOSAI (Organizația Internațională a Instituțiilor Supreme de Control al Finanțelor Publice), Standardele internaționale de audit ISA, Standardele IIA și Standardul COSO.

Scopul standardelor de audit este repreprezentat de:

1. conturarea principiilor de bază privind auditul.

2. furnizarea unui cadru general de realizare și susținere a activității de audit intern.

3. funcționarea unui cadru de referință ca bază pentru evaluarea rezultatelor auditului intern.

4. stimularea proceselor și operațiunilor la nivel de firmă.

Capitolul 3 prezintă: ”Tendințele actuale în realizarea sistemelor informatice auditabile”, respectiv sistemele informatice integrate, utilizarea software-lui ca serviciu (la nivel cloud) și auditarea acestora.

Sistemele informatice integrate sunt reprezentate de sisteme complexe în cadrul cărora se desfășoară procese de afaceri, practici manageriale, transformări structurale și management al cunoștințelor.

Capitolul 4 prezintă ca și studiu de caz “Analiza unui sistem informatic auditabil la nivelul unei firme internaționale”

CAPITOLUL 1

NOȚIUNI GENERALE PRIVIND AUDITAREA SISTEMELOR INFORMATICE

Auditul reprezintă “o formă esențială a serviciilor independente prin care se verifică faptul că o aplicație informatică, prin prelucrările pe care le efectuează, își atinge obiectivul pentru care a fost elaborată”.

Modificările apărute atât în economia românească și în cea europeană solicită auditarea sistemelor informatice, cu precădere în domenii precum finanțe-bănci și contabilitate.

Auditul intern al agenților economici include și sistemele informatice, astfel auditul tehnologiilor informației și ale comunicațiilor se referă la latura tehnică a auditului financiar.

Auditul sistemelor informatice trebuie privit ca audit al sistemului informatic integrat al agentului economic care conține și componenta numită subsistem informatic financiar-contabil.

Auditul financiar și auditul intern se efectuează având la bază date și informații obținute în formă electronică. Auditul financiar și cel intern nu exclud auditul informatic, pentru care sunt necesare eforturi substanțiale de conceptualizare, reglementare și implementare.

Necesitatea efectuării controlului și auditului sistemelor informatice financiar-contabile, rezultă din existența amenințărilor și vulnerabilităților la adresa sistemelor informatice utilizate de agenți economici în administrarea electronică a afacerilor. Toate vulnerabilitățile sistemelor informatice generează riscuri ce afectează securitatea datelor și fac obiectul auditului informatic.

Băncile comerciale sunt cele care promovează sistemele informatice ce sprijină activitățile specifice, pe nivelul de procesare a tranzacțiilor.

Auditorul informatic este reprezentat de un informatician specializat în domeniul financiar-contabil și este certificat de ISACA (Information Systems Audit and Control Association) în conformitate cu condițiile stabilite de Camera Auditorilor Financiari din România. Jacques Renard arată, în lucrarea “Teoria și practica auditului intern”, că “auditorul informatician nu este un auditor care a învățat informatică, ci reprezintă un informatician format după metodologia Auditului Intern. Acest auditor informatician își folosește talentul și competențele în următoarele direcții: auditul centrelor informatice, auditul biroticii, auditul rețelelor informatice, auditul sistemelor în exploatare și auditul sistemelor în curs de dezvoltare”.

Auditul informatic reprezintă o ramură diferită a auditului în care se includ tehnici de auditare software, a aplicațiilor informatice, a sistemelor informatice tradiționale și moderne, a aplicațiilor mobile și a aplicațiilor informatice care utilizează resurse Internet.

Principiile ce stau la baza procesului de auditare sunt:

– comportamentul etic al auditorilor;

– corectitudinea prezentării rezultatelor obținute.

În procesul de colectare se folosesc următoarele metode: interviul, observarea activităților, analiza documentelor, a înregistrărilor și a altor surse de informare.

Realizarea procesului de audit implică mai multe etape (Figura 1.1) a căror logică arată dependența între operațiile specifice procesului de auditare.

Figura 1.1 Etape în realizarea procesului de auditare

Beneficiile utilizării auditului sistemului informatic constau în:

– îmbunătățirea sistemului;

– prevenirea și detectarea erorilor;

– diminuarea riscurilor și îmbunătățirea securității sistemului;

– planificarea pentru refacere în caz de accidente;

– managementul informațiilor și dezvoltării sistemului.

Din punct de vedere al complexității, auditul este o activitate în care sunt analizate legăturile pe care le generează produsul software sau sistemul informatic între dezvoltator și utilizator.

Raporturile trebuie privite din punct de vedere:

– tehnic: date interne, algoritmi, rezultate, resurse folosite;

– financiar: costul final estimat al produsului software;

– juridic: obligațiile contractuale și legislația din domeniul informatic.

1.1. Istoricul activității de audit

Cuvântul "audit" își are originea în latinescul "audire", care însemnă "a asculta". Termenul și-a extins, de-a lungul timpului, aria semantică preluând sensuri precum "a examina, a verifica, a revizui". Evoluția auditului nu s-a realizat doar în sens etimologic.

Auditul a apărut la începuturile secolului al XVIII-lea, fără a fi precizată data sau localizarea geografică.

Istoria economică delimitează mai multe etape ale auditului, diferențiate în funcție de auditori și de obiectivele auditului. În secolul al XIX-lea se conturează relația dintre auditați și auditori, aleși din rândul profesioniștilor contabili sau juriști. Obiectivul era de atestare a realității situațiilor financiare, cu scopul evitării erorilor și a fraudei. În secolului XX, auditul era realizat de profesioniști specializați în audit alături de experți contabili. Pe masură ce schimburile internaționale s-au dezvoltat, executarea auditului a rămas în sarcina experților auditori și a experților contabili, obiectivul lor fiind atestarea sincerității și regularității situațiilor financiare.

Termenul "audit" a apărut pe continentul european în anii ’60 în cabinetele anglo-saxone de expertiză contabilă. În anii ’90, cuvântul audit și-a făcut intrarea și în România din dorința de armonizare cu reglementările similare pe plan internațional și european.
Auditul reprezintă examinarea de către un auditor financiar a unui set de situații financiare, a înregistrărilor și registrelor în baza cărora se poate forma o opinie asupra situațiilor financiare. Auditul financiar reprezintă examinarea efectuată de un profesionist competent în vederea exprimării unei opinii asupra:

validității și aplicării corecte a procedurilor;

imaginii clare a patrimoniului și a situației financiare.

Aria auditului se referă la procedurile de audit considerate a fi aplicate pentru a atinge obiectivele auditului.

Auditul performanței (figura1.2) este reprezentat de examinarea următoarelor operațiuni:

Figura 1.2 Auditul performanței

O scurtă incursiune în istorie (Tabel 1.1) evidențiază transformările obiectivelor și tehnicilor utilizate în cadrul activității de audit:

Tabel 1.1 Evoluția activității de audit

Sursa: L.Dobroțeanu în “Audit – Concepte și Practici”, Ed. Economică, 2002.

Obiectivul principal al auditului a evoluat de la detectarea fraudelor și erorilor la verificarea conformitații acestora cu anumite criterii dinainte stabilite.

Metodele de verificare au fost înlocuite cu tehnici de eșantionare și sondaje statistice, auditorul punând accent pe eficiența controlului intern. Elementele prezentate evidențiază modificarea auditul extern, rolul auditorului fiind redefinit. Schimbările vizează:

scopul activității de audit;

caracteristicile independenței misiunii de audit;

promovarea tehnicilor statistice, matematice și informatice;

factorul definitoriu al responsabilităților auditorilor.

1.2 Definire și clasificări

Auditul intern reprezintă ”activitatea independentă și obiectivă care dă entității o asigurare în ceea ce privește gradul de control al operațiunilor, o îndrumă pentru a-i îmbunătăți operațiunile, și contribuie la adăugarea unui plus de valoare”.

Obiectivul oricărui tip de audit îl constituie asigurarea calității și corectitudinii informațiilor și deasemenea îmbunătățirea utilizării acestora spre a obține performanțe maxime.

Elementele principale ce definesc auditul se referă la:

examinare profesională a informației;

scopul examinării, respective acela de a exprima o evaluare a acesteia;

aprecierea asupra unei informații trebuie să fie responsabilă și independentă;

examinarea se face după anumite reguli prestabilite.

Tipurile de audit pot fi:

Evaluarea unui sistem informatic cu scopul furnizării unei asigurări rezonabile privind funcționarea acestuia, necesară misiunilor de audit financiar sau al performanței la care entitatea este supusă;

Evaluarea performanței sistemelor informatice;

Misiuni de audit mixte, prin integrarea următoarelor tipuri de audit: auditul financiar, auditul performanței și auditul IT;

Evaluarea unui sistem IT integrat.

Misiunea de audit a sistemelor informatice are în vedere:

asigurarea unui cadru adecvat pentru desfășurarea continuă a activității;

conformitatea activităților desfășurate cu obiectivele și termenele stabilite la nivelul firmei;

identificarea unor dificultăți tehnice la nivelul sistemelor informatice;

identificarea evenimenetelor privind implementarea sistemelor informatice în sensul de modernizare a activității și concordanțe cu noile abordări pe plan european și internațional;

fiabilitatea și funcționalitatea cerută în vederea creșterii calității activității;

funcționarea sistemului în conformitate cu cerințele programelor;

concordanța pregătirii utilizatorilor cu noile aplicații informatice;

respectarea standardelor privind calitatea suportului tehnic.

Din punct de vedere al procedurilor de audit sunt avute în vedere o serie de elemente (Figura 1.3):

Figura 1.3 Procedurile de audit

Probele de audit se regăsesc sub forma:

– probelor fizice;

– probelor verbale;

– probelor documentare;

– probelor analitice.

Tehnicile de audit sunt folosite pentru obținerea probelor de audit și se utilizează sub forma următoarelor tipuri:

– realizarea de interviuri cu persoane cheie;

– utilizarea chestionarelor și machetelor;

– examinarea documentațiilor tehnice, economice, de monitorizare și de raportare;

– participarea la demonstrații privind utilizarea sistemului;

– evaluarea portalului și serviciilor electronice;

– utilizarea tehnicilor și instrumentelor de audit asistate de calculator.

Auditul sistemelor informatice în cazul implementării unui nou sistem include:

– auditul intern – se respectă procedurile de transformare a datelor de intrare în rezultate;

– auditul extern – include proceduri prin care se evidențiază comportamentul sistemului informatic.

Sistemele informatice de management necesită parcurgerea următoarelor etape:

– planificarea proceselor de auditare;

– evaluarea riscurilor legate de influențele negative asupra componentelor sistemului informatic ce vor fi auditate;

– elaborarea programului de audit;

– culegerea datelor;

– elaborarea raportului de auditare .

Aceste etape vor fi utilizate pe parcursul misiunii de audit IT, la nivelul unității auditate, bazate pe creșterea partajării informației și a sistemelor în administrație, reducerea costurilor totale prin reutilizare și evitarea duplicării aplicațiilor și sistemelor, reducerea timpului de implementare a proiectelor, îmbunătățirea manierei de implementare a soluțiilor, stabilirea politicilor de migrare pentru proiectele existente. Criteriile de audit pot fi diferite de la un audit la altul, în funcție de obiectivele misiunii de audit.

1.3 Cadrul conceptual al auditului la nivelul organizațiilor economice

Sistemul informatic are rolul de a eficientiza activitatea agentului economic și de a crea interdependențe între componente. Dezvoltarea directă de sisteme informatice se dovedește o întreprindere foarte riscantă dacă aceasta nu este precedată de activități care au ca scop impunerea unei echipe, unei tehnologii unitare de analiză, design, dezvoltare și exploatare, aceste aspecte trebuiesc luate în considerare la efectuarea auditului unui sistem informatic.

Sistemele informatice sunt realizate pe parcursul unei perioade de timp și necesită:

fonduri mari;

echipe de analiști;

stabilirea obiectivelor;

definirea strategiei de dezvoltare și exploatare;

achiziționarea de echipamente și instrumente;

calificarea personalului pentru utilizarea corectă și eficientă a sistemului.

Complexitatea sistemelor informatice și durata de realizare generează o serie de probleme ce trebuiesc soluționate astfel încât să se obțină rezultatele scontate.

În primul rând, pe durata ciclului de dezvoltare a sistemului informatic au loc schimbări în echipa managerială a beneficiarului. Dacă echipa are altă viziune asupra indicatorilor pe care își fundamentează deciziile, se produc modificări ale structurii sistemului informatic.

În al doilea rând, tehnologiile informatice noi apărute impun adaptarea echipei de dezvoltare a sistemului informatic.

În al treilea rând, dezvoltarea companiei prin achiziționarea de echipamente noi, realizarea de produse noi, introducerea elementelor de managementul calității influențează calitativ și cantitativ structura și funcțiile sistemului informatic.

În al patrulea rând, echipa de programatori, web-designeri, testeri și implementatori suferă modificări. Fluctuațiile acestea se reflectă în calitatea componentelor sistemului informatic.

În al cincilea rând, mediul economic, legislația și dinamica proceselor din societatea informațională conduc la evoluții ce trebuiesc reflectate în sistemul informatic.

Creșterea volumului de activități ce se derulează în paralel, impune noi abordări la nivelul concepției sistemului informatic.

Un sistem informatic are în componența sa module de prelucrare, de exemplu MO1,

MO2, .., Mon și structurile de date Str1, Str2, …, Strm. Forma acestora este foarte variată aparținând de tehnica de dezvoltare utilizată. Se construiește matricea de corespondență Ann pentru module.

Componenta aij = 1 dacă modulul MOi este apelat de modulul MOj, iar în caz contrar aij = 0.

Se construiește matricea Bmn pentru a putea stabili relația modul – date.

Conponeneta bij = 1 dacă modulul MOj utilizează structura de date Stri, în caz contrar bij=0. Matricea Ann evidențiază referirile între module, în timp ce matricea Bmn evidențiază referirile de date de către module.

Indicatorul Nrm reprezintă numărul total al referirilor de module și se calculează prin următoarea relație:

Nrm =

Indicatorul Nrd reprezintă numărul total al referirilor de date decătre module și se calculează prin următoarea relație:

Nrd =

Complexitatea sistemului informatic CSI (Common System Interface) este dată de următoarea relație:

CSI = Nrm log2 Nrm + Nrd log2 Nrd

Procesul de realizare a sistemului informatic capătă un caracter convergent. O iterație k include procesele ce se produc între două modificări.

Caracterul convergent se referă la atingerea scopului inițial, reducerea efortului de includere a modificărilor, pe măsură ce procesul de realizare se apropie de final.

Pentru fiecare iterație k se definesc krm N , krd N , respectiv CSIk.

Dacă se calculeazăΔk = CSIk – CSIk-1, caracterul iterativ convergent arată că:

– șirul Δ1, Δ2 , … ΔL -un șir cu număr finit de termeni;

– Δ1 > Δ2> … >ΔL = 0.

Între productivitatea W a celor care elaborează un sistem informatic și complexitatea sistemului există relația:

W= f(CSI)

Relația dintre complexitate și productivitate este:

W = α⋅e−βCSI +γ ,unde α, β și γ sunt coeficienții estimați.

Durata de realizare D, în funcție de complexitate și numărul salariaților, ns, este dată de relația:

D = h(CSI, ns)

Numărul de salariați ns, în funcție de complexitatea sistemului și de durata de realizare este dat de relația:

ns = g(CSI1, D)

Luând în considerare iterațiile 1 și L ale procesului de elaborare a sistemului, pentru a menține același termen de predare, sunt estimate nivelurile:

=g(CSD1,D)

iar diferența este următoarea:

= – reprezentând sporul de salariați necesar elaborării sistemului informatic în termenul stabilit, chiar dacă apar unele modificări care privesc sistemul informatic.

Implementarea sistemului informatic trebuie să genereze efecte pozitive pentru utilizatorii și pentru beneficiarii direcți ai informației prelucrate.

Este necesar să se realizeze auditul sistemului informatic pentru obținerea garanției că sunt realizate corect și prelucrările pentru care acesta a fost proiectat, iar orice altă combinație de date, este semnalată și nu poate produce efecte colaterale pe termen mediu și lung.

În realizarea proceselor de auditare a dezvoltării sistemelor informatice este necesară luarea în considerare a caracteristicilor organizației pentru care se proiectează sistemul și asigurarea stabilității organizației. Dinamismul schimbărilor în cadrul organizațiilor, indiferent de dimensiunea acestora, impune adaptarea metodelor de dezvoltare a sistemelor informatice la noile condiții sau apariția unor concepte și metode noi de dezvoltare a acestora.

Auditul are ca rezultat o analiză și evidențierea riguroasă a diferențelor dintre sistemul informatic solicitat de utilizator și sistemul informatic aflat în formă livrabilă.

Auditarea este solicitată de beneficiar pentru a obține informațiile care dau încredere în utilizare și certitudinea că rezultatele sunt corecte, complete și se obțin în timp real.

Auditarea are rolul de a transfera certitudine și încredere în sistemul informatic prin rezultatul pozitiv stabilit de către echipa de auditori, aparținând unei firme de consultanță cu autoritate.

Managementul auditării are particularități legate de capacitatea auditorilor de a învăța și de a aplica proceduri în mod unitar.

Auditul sistemelor informatice presupune un volum mare de muncă, refăcându-se traseul parcurs de echipa de realizatori a sistemului și cu sursele pe baza cărora au fost construite.

În cazul în care sistemul informatic a trecut testul auditării, se creează condiții favorabile dezvoltării de noi sisteme informatice pentru echipa de dezvoltare a sistemului informatic.

Dacă sistemul nu a trecut testul auditării, apar semne de întrebare legate de managementul companiei care a dezvoltat un astfel de sistem. În cazul acesta trebuie să apară schimbări majore la nivelul managementului și a echipelor de dezvoltare.

Auditul reprezintă un mod activ de corectare a produsului, variante de lansare în uz curent dacă acest lucru se impune. Dacă sistemul informatic neauditat generează erori, compania utilizatoare trebuie să plătească toate daunele. Lipsa auditului generează riscuri, iar riscurile înseamnă costuri ce trebuiesc suportate.

Auditul reprezintă transfer de încredere și menținerea riscurilor la niveluri cât mai mici cu asigurarea unui nivel bun al profitabilității.

Conectarea la o arhitectură de sisteme informatice auditate a unui nou sistem este efectivă dacă sistemul care se conectează este auditat, iar rezultatul auditării permite conectarea.

Societatea informațională consideră auditul un element esențial pentru construirea de arhitecturi software complexe pentru utilitate publică în regim continuu și fără asistență.

Auditul reprezintă o investiție suplimentară, iar compania de software care dezvoltă un sistem informatic creează premisele protecției față de riscurile ce generează cheltuieli ce pot depăși potențialul companiei.

Un sistem informatic trebuie să fie auditat în mod periodic pentru a se asigura că îndeplinește sarcinile cerute la cel mai ridicat grad de eficiență. Creșterea volumului afacerilor, schimbările în mediul afacerilor, tehnologice și noile cerințe de informații toate impun modificarea sau extinderea acestuia pe baze ad-hoc.

Exemple ale auditului de sistem informațional aflat în funcțiune:

– reevaluarea cerințelor de informații;

– verificarea modificărilor propuse la proiectările de bază existente;

– investigarea oportunității noilor tehnologii;

– îmbunătățirea procedurilor de operare.

În practică s-a constatat că este necesară auditarea unui sistem informatic odată la trei ani sau ori de câte ori schimbările apărute o impun.

CAPITOLUL 2

STANDARDE DE AUDIT FOLOSITE ÎN SISTEMUL INFORMATIC

Auditul intern reprezintă activitatea de asigurare obiectivă și de consiliere, adăugând valoare și îmbunătățind activitățile organizației, pe care o susține în îndeplinirea obiectivelor sale.

Scopul standardelor de audit este repreprezentat de:

1. conturarea principiilor de bază privind auditul.

2. furnizarea unui cadru general de realizare și susținere a activității de audit intern.

3. funcționarea unui cadru de referință ca bază pentru evaluarea rezultatelor auditului intern.

4. stimularea proceselor și operațiunilor la nivel de firmă.

Instituții internaționale, cu rol în reglementarea domeniului auditului în general și al auditului sistemelor informatice în particularsunt:

– INTOSAI (International Organization of Supreme Audit Institutions);

– Consiliul pentru Standarde Internaționale de Audit și Asigurare IAASB (International Audit and Assurance Standard Board);

– Federația Internațională a Contabililor IFAC (International Federation of Accountants);

– Institutul Auditorilor Interni (The Institute of Internal Auditors – IIA);

– COSO (Committee of Sponsoring Organizations of the Treadway Commission;

– ISACA (Information Systems Audit and Control).

Instituțiile supreme de audit (SAI) sunt afiliate la organizația profesională INTOSAI și la grupurile regionale ale acestei organizații. Profesia de auditor este reglementată de următoarele surse: legislația națională, reglementări și standarde stabilite la nivel național și internațional, organisme profesionale, precum ACCA (The Association of Chartered Certified Accountants). Prin legislație se stabilesc drepturile și îndatoririle auditorilor și condițiile de eligibilitate pentru profesia de auditor. Misiunea IFAC (Federația Internațională a Contabililor) este reprezentată de dezvoltarea și îmbunătățirea profesiei contabile pe bază de standarde armonizate, oferind servicii de calitate înaltă în interesul public. Comitetul pentru Etică al IFAC se ocupă cu elaborarea și publicarea de standarde de o înaltă calitate în sprijinul profesioniștilor contabili din întreaga lume. Profesioniștii contabili trebuie să cunoască diferențele și să respecte cerințele, cu excepția cazului în care acestea sunt interzise în baza unei legi. Măsurile de protecție care pot elimina acest gen de riscuri se împart în două categorii:

măsuri de protecție create de profesie, legislație sau de reglementare;

măsuri de protecție aferente mediului de activitate.

Măsurile de protecție create de profesie, legislație sau reglementare sunt:

cerințe educaționale;

cerințe de dezvoltare profesională continuă;

reglementări de guvernare corporativă;

standarde profesionale;

proceduri disciplinare și de monitorizare profesională;

revizuirea externă a rapoartelor.

Misiunile de audit IT desfășurate de Curtea Constituțională a României (CCR) au în vedere:

– cerințele standardelor internaționale de audit (INTOSAI);

– standardele internaționale de audit al sistemelor informatice elaborate de ISACA (Information Systems Audit and Control Association);

– cadrul de lucru COBIT (Control Objectives for Information and related Technology);

– standarde de securitate din seria ISO 27000;

– cerințele legislative și de reglementare;

– alte standarde.

Utilizarea standardelor de bune practici și a modelelor pentru auditarea unor domenii speciale includ:

• Standarde privind managementul riscurilor (COSO, Basel II);

• Modelul de referință pentru cadrul de interoperabilitate (SAGA, eGIF);

• Actul Sarbanes Oxley (SOX) privind Sistemul de Control Intern;

• Linii directoare privind comerțul electronic ( ISACA – G22 B2C e-commerce);

• Standarde web (W3C).

2.1 Cadrul de auditare INTOSAI

Comitetul pentru Standarde Profesionale (PSC36) a integrat standardele existente și noile orientări ale INTOSAI (Organizația Internațională a Instituțiilor Supreme de Control al Finanțelor Publice) într-un cadru consistent și coerent. Scopul general al cadrului este de a oferi membrilor INTOSAI și altor părți o imagine de ansamblu și o înțelegere comună a standardelor și a liniilor directoare de audit INTOSAI.

Standardele ISSAI și INTOSAI GOV 9100

Standardele Internaționale ale INTOSAI (ISSAI) atestă premisele de bază pentru buna funcționare a Instituțiilor Supreme de Audit, precum și principiile fundamentale în domeniul auditului entităților publice. Liniile directoare INTOSAI oferă asistență autorităților publice cu privire la administrarea corectă a fondurilor. Standardul INTOSAI GOV 9100 face trimitere la cadrul și documentațiile pentru audit IT furnizate de ISACA, ITGI (The IT Governance Institute) și INTOSAI IT Audit Committee.

Standardele ISSAI 3000

Auditul performanței are ca obiect auditul eficienței, eficacității și economicității având următoarele arii de audit:

– auditul economicității activităților administrative;

– auditul eficienței utilizării resurselor umane și financiare;

– monitorizarea procedurilor urmărite de entitățile auditate pentru remedierea deficiențelor;

– auditul eficacității.

Obiectivele globale ale auditului performanței variază de la țară la țară. Obiectul auditului performanței îl pot constitui: bunurile, serviciile și infrastructurile IT.

Tehnologia informației (IT) este utilizată pentru planificarea, execuția și monitorizarea programelor din sectorul public. Integrarea informațiilor între instituții ridică problema riscurilor de încălcare a securității informațiilor.

Auditul performanței, se concentrează pe probleme de planificare, dezvoltare și întreținerea sistemelor individuale IT. Sistemele IT reprezintă un mecanism eficient și eficace de livrare a serviciilor susținute de programe guvernamentale complexe, care furnizează serviciile existente la un preț redus și pot oferi o gamă de servicii suplimentare și informații privind performanța programului, cu eficiență, securitate și control superioare.

Abordarea auditului performanței într-un mediu IT trebuie să implice:

obținerea unei înțelegeri a sistemelor auditate pentru obiectivele auditului performanței;

identificarea extinderii auditului sistemelor;

evaluarea controalelelor de mediu și folosirea unui specialist în domeniul IT pentru problemele aferente;

dezvoltarea și utilizarea de tehnici adecvate de audit.

Auditul performanței în mediul IT trebuie să se orienteze pe următoarele activități:

evaluarea sistemele IT și dacă acestea contribuie la consolidarea economicității, eficienței și eficacității obiectivelor programului;

determinarea parametrilor stabiliți privind calitatea, serviciile și costurile de livrare;

identificarea deficiențelor din sistemele informatice, efectul rezultat privind performanța;

compararea practicilor de întreținere a sistemului IT cu practici recunoscute în domeniu;

compararea managementul riscului și managementul de proiect ale entității auditate, cu practici recunoscute în domeniu.

Liniile directoare ISSAI 5310

Liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de Securitate a Informațiilor" furnizează metodologii eficiente pentru asistarea auditorul în revizuirea unor politici și măsuri de securitate adecvate în cadrul organizațiilor guvernamentale.

Instituțiile supreme de audit (ISA) pot utiliza ghidul pentru:

– scopuri interne, respectiv de a crea un proces de evaluare în propria organizație;

– scopuri externe, pentru revizuirea securității în alte organizații guvernamentale.

Evoluția domeniului tehnologiei informației și comunicațiilor a generat schimbări majore în cerințele sistemului de securitate a informației. Problema securității informației este acoperită de standardele de securitate din seria ISO/IEC 27000 și de cadrul de lucru COBIT.

2.2. Standardele internaționale de audit ISA

Standardele Internaționale de Audit ISA sunt elaborate, aprobate și emise de IAASB. Experții participă la dezvoltarea standardelor ISA, care sunt o parte integrată a liniilor directoare de audit financiar INTOSAI. Standardul ISA și notele practice constituie împreună o linie directoare pentru auditul financiar.

Aplicarea standardelor internaționale de audit ISA și declarațiile de practică IASP poate fi exemplificată prin:

ISA 300- Planificarea auditului;

ISA 315- Cunoașterea entității și mediului său și evaluarea riscurilor de denaturare semnificativă;

ISA 400- Evaluarea riscului și controlul intern;

ISA 402- Considerente de audit referitoare la entitățile care apelează la firme de servicii;

Declarația internațională privind practica de audit 1013- comerțul electronic;

Declarația internațională privind practica de audit 1001- medii IT – calculatoare neincluse în rețea;

Declarația internațională privind practica de audit 1002- medii IT;

Declarația internațională privind practica de audit 1003– medii IT – sisteme de baze de date;

Declarația internațională privind practica de audit 1008 – evaluarea riscurilor și controlul intern – caracteristici și considerente privind CIS;

Declarația internațională privind practica de audit 1009- tehnici de audit asistat de calculator.

2.3 Actul Sarbanes – Oxley (SOX)

Legea Sarbanes-Oxley , adoptată în 30 iulie 2002, cunoscut sub numele de Actul Contabilităților Companiilor Publice de reformă și de protecție a investitorilor este o lege americană federală. Este numită astfel după susținătorii ei, senatorul Paul Sarbanes (D-MD) și Michael G. Oxley (R-OH). In secțiunea 404 a acestui Act, se cere managementului extinderea sistemului de control intern cu implementarea unor proceduri de validare și de evaluare a controalelor privind procesele de raportare financiară, inclusiv în ceea ce privește controalele IT.

2.4 Standardele IIA

Fondată în anul 1941, IIA (The Institute of Internal Auditors) este o asociație profesională, având un număr de peste 100.000 de membri și reprezentanțe în mai mult de 100 de țări. IIA este o autoritate recunoscută ca principal formator pentru profesia de auditor pe plan mondial. IIA promovează cunoștințe specializate și suport modern, în concordanță cu tendințele și evoluțiile pe plan mondial, contribuind la accelerarea extinderii și adaptării misiunilor de audit la cerințele impuse de existența unui mediu de audit informatizat pe scară largă. În domeniul auditului IT, liniile directoare de audit GTAG (Global Technology Audit Guidelines) abordează probleme legate de managementul tehnologiei informației, control și securitatea informației.

Liniile directoare sunt structurate pe următoarele categorii:

GTAG PG-15: Securitatea informației;

GTAG PG-14: Auditul aplicațiilor dezvoltate de utilizatori;

GTAG PG-13: Prevenirea și detectarea fraudei într-un mediu informatizat;

GTAG PG-12: Auditul proiectelor IT;

GTAG PG-11: Elaborarea Planului de Audit IT;

GTAG PG-10: Managementul continuității;

PG GTAG-9: Managementul identității și al accesului;

PG GTAG-8: Auditarea controalelor de aplicație;

PG GTAG-7: Externalizarea tehnologiei informației;

PG GTAG-6: Managementul și auditul vulnerabilităților IT;

GTAG PG-5: Managementul și auditul riscurilor privind confidențialitatea;

PG GTAG-4: Managementul auditului IT;

PG GTAG-3: Audit continuu;

PG GTAG-2: Controale privind managementul schimbării;

PG GTAG-1: Controale IT Liniile directoare GAIT (Guide to the Assessment of IT Risk40).

2.5 Standardul COSO

Un model general acceptat pentru evaluarea controalelor interne este Internal Control Integrated Framework, elaborat de Comittee of Sponsoring Organizations of the Treadway Commission (COSO) în anul 1992.

În anul 2004 acest model a fost perfecționat pentru a oferi un cadru de management al riscurilor acceptat pe scară largă, care include principii cheie, concepte, un limbaj comun privind riscurile și ghiduri clare pentru implementare.

În anul 2013, Comitetul Organizațiilor Sponsorizatoare ale Comisiei Treadway (COSO) a emis versiunea revizuită a documentului.

Cadrul general revizuit ajută la o mai bună implementare a controlului intern, aplicarea unor ajustări suplimentare garantează alinierea controlului intern la nivel global și ajută firmele să gestioneze mai bine riscurile și să îmbunătățească performanța generală.

CAPITOLUL 3

TENDINȚE ÎN REALIZAREA SISTEMELOR INFORMATICE AUDITABILE

Utilizarea programelor informatice a devenit un element vital în cadrul sistemului informațional al firmelor. Integrarea noilor tehnologii informaționale în procesele de prelucrare, transmitere și stocare a datelor, au dus la apariția amenințărilor și vulnerabilităților sistemului informațional. Elaborarea procedurilor de control a sistemelor informaționale la nivelul fiecărei firme sunt necesare pentru a putea contracara efectele negative. Procedurile de control au scopul de a asigura securitatea și reducerea vulnerabilităților sistemului.

Diferența dintre termenii de auditul sistemelor informaționale și auditul sistemelor informatice este dată de nivelul la care se desfășoară activitatea de audit și de diferența dintre noțiunile de sistem informațional și sistem informatic.

Auditul sistemului informațional acoperă toate nivelurile, pornind de la evaluarea proiectării și utilizării sistemului informatic, și ajungând la evaluarea politicilor și procedurilor de securitate de la nivel operațional și strategic.

Auditul sistemului informatic acoperă doar sistemul informatic.

3.1 Sistemele informatice integrate

Sistemele informatice integrate reprezintă sisteme complexe în cadrul cărora se desfășoară procese de afaceri, transformări structurale și management al cunoștințelor.

Producătorii de software oferă aplicații ce rulează pe multiple surse de date sau care nu acoperă toate sectoarele fluxurilor de afaceri.

Pachetele false de aplicații vin cu probleme, reprezentate de fragmentarea informației, iar consolidarea informațiilor este laborioasă și foarte costisitoare.

Pentru o evaluare calitativă, firmele trebuie să adopte soluții integrate, care să se adapteze strategiilor de distribuție și să includă funcționalități de suport decizional.

Există o serie de dezavantaje (Figura 3.1) pe care aplicațiile integrate le oferă beneficiarilor.

Figura 3.1 Avantajele aplicațiilor integrate

Pentru a înțelege rolul unui sistem informatic, este necesar să se pornească de la modelul general de organizare a afaceri, corespunzător majorității firmelor.

O firmă este constituită din două zone:

Zona Back Office

Zona back office este caracterizată din punct de vedere informatic prin:

baza de date, care poate fi situată centralizată pe un singur server sau repartizată fizic pe mai multe servere.

particularitățile aplicațiilor reprezintă programe pentru tratarea “în bloc” a datelor.

de importanța prelucrărilor realizate depinde întreaga activitate a întreprinderii.

centralizarea pe un număr redus de servere pe care rulează sisteme de operare dedicate.

Calitățile sistemului de Back Office sunt reprezentate de coerența datelor, disponibilitatea continuă a sistemului și continuitatea serviciilor.

Aplicațiile Back Office garantează funcționarea firmei, de aceea se impune existența unui sistem de înaltă securitate a datelor, atât la nivel fizic, cât și la nivelul drepturilor de acces.

Zona Front Office

Principalele cerințe la care trebuie să răspundă aplicațiile Front Office sunt:

Gestiunea relațiilor cu clienții cuprinde instrumente de administrare și asistare a clienților. Evaluarea clienților după o serie de criterii ajută la stabilirea gradului în care un client sau proiect poate satisface sau nu condițiile prevăzute. Aplicațiile de asistență în configurarea cererii au ca scop propunerea variantelor de ofertă cele mai adecvate la cererile exprimate de către client.

Gestiunea agenților de vânzări are scopul de a furniza agenților de vânzări următoarele: cota din vânzările totale, performanțele, realizarea cifrei de afaceri individuale și colective, obținerea rezultatelor consolidate etc.

Gestiunea clienților utilizează tehnologii de integrare cu rețeaua telefonică.

Instrumente de asistare a deciziei: instrumente de căutare și extragere de date.

Gestiunea rețelei de agenții a apărut datorită numărului mare de agenții și centre de vânzări ale întreprinderilor mari.

Zona Middle Office

Este o zonă greu de definit la nivel fizic, aceasta este caraterizată prin două accepțiuni:

Într-o primă accepțiune, aceasta reprezintă zona de Back Office prezentă în cadrul fiecărei agenții;

În a doua accepțiune, aceasta reprezintă componentele intermediare ale întreprinderii, cu rol de interfață între Front Office și Back Office.

Zona Web Office

Prin Web Office se integrează următoarele tipuri de aplicații:

Aplicații interne ale întreprinderii, destinate personalului din firmă;

Aplicații accesibile partenerilor care utilizează servere Extranet și oferirea de servicii echivalente aplicațiilor interne, destinate utilizatorilor externi ai firmei;

Aplicații accesibile întregului public care asigură accesul la serviciile firmei.

Integrarea sistemelor informatice conduce la apariția următoarelor probleme:

Probleme tehnice

Problemele tehnice țin de eterogenitatea soluțiilor hardware și software și de diversitatea tehnologiilor utilizate de diversele sisteme informatice existente în cadrul firmei.

Probleme informaționale

Problemele informaționale sunt datorate inconsistenței datelor și pot să ducă la apariția unei discontinuități semantice între sistemele informaționale.

Inconsistența datelor este rezultatul modului în care au fost dezvoltate aplicațiile informatice. Soluționarea inconsistenței datelor presupune:

1.Identificarea discrepanțelor și conflictelor posibile. Diferențele pot fi:

Diferențe de nume;

Diferențe de natură și dimensiune;

Diferențe de domeniu;

Diferențe structurale.

2. Politici de soluționare a inconsistențelor:

Utilizarea valorilor inconsistente fără avertizarea utilizatorului;

Prezentarea tuturor valorilor inconsistente utilizatorului;

Utilizarea celei mai recente valori;

Utilizarea informației din sistemul cel mai de încredere;

Utilizarea unei mărimi agregate pe baza valorilor inconsistente.

Modelul conceptual al unei organizații (Figura 3.2) cuprinde trei tipuri de arhitecturi.

Figura 3.2 Modelul conceptual al organizației

Infrastructura de integrare permite firmei să gestioneze sisteme informatice complexe, să adapteze aplicațiile și să reducă costurile de întreținere. Eficiența acestei soluții este dată de scalabilitatea și ușurința de gestionare în cazul adăugării sau eliminării de sisteme în cadrul infrastructurii .

În lipsa unei infrastructuri de integrare se vor respecta următoarele etape:

Definirea scopului integrării

Scopul integrării sistemelor informatice trebuie definit la nivelul firmei, nu al sistemelor individuale, iar planurile de integrare trebuie să țină seama de problemele ce pot apărea pe termen lung.

Definirea strategiei de integrare

O soluție completă de integrare a sistemelor informatice la nivelul firmei trebuie să includă tehnologii pentru integrare la nivelul datelor și a proceselor de afaceri.

Definirea soluțiilor de integrare a sistemelor moștenite

Integrarea sistemelor moștenite trebuie tratată distinct, utilizând interfețe formate din componente configurabile. Se cunosc trei tipuri de interfețe:

Interfață obiect, pentru tranzacțiile și datele de pe mainframe;

Maparea metodelor de acces specifice mainframe-lui la o interfață externă utilizând metadatele;

Interfețe standard de acces la baze de date.

Pentru o firmă de dimensiuni mari, se recomandată o strategie care să îmbine toate cele trei abordări.

Sistemele moștenite au fost proiectate pentru a procesa cereri în mod secvențial sau la cerere, nu pentru un mediu eterogen de execuție distribuită.

Sistemele ERP (Enterprise Resource Planning) reprezintă soluții capabile să proceseze un volum mare de informații agregate cu scopul de a eficientiza procesele. Evoluția aplicațiilor pentru firme a început în anii ’60, urmând dezvoltările din domeniul sistemelor hardware și software, și a continuat să evolueze până la sistemele ERP.

În anii ’60 firmele realizau aplicații centralizate, proiectarea, dezvoltarea și implementarea lor era făcută in–house. Limbajele de programare folosite în acea vreme erau COBOL, ALGOL și FORTRAN.

În anii ’70, apar sistemele Material Requirements Planning (MRP), un set de tehnici care utilizează inventarul, datele despre stocuri și programul de producție pentru calculul materialelor necesare, aprovizionarea pe parcursul procesului de fabricație.

În anii ’80 apar sistemele Manufacturing Resource Planning (MPRII), fiind concepute pentru optimizarea proceselor de fabricație prin sincronizarea necesarului de materiale cu cerințele producției.

În anii ’90 au aparut sistemele ERP, fiind rezultatul extinderii funcționalității suitelor MRPII.

În anii 2000 au fost create următoarele aplicații: APS (Advanced Planning and Scheduling), soluții e-business pe zona relațiilor cu clienții, CRM (Customer Relationship Management) sau pe furnizori-aprovizionare, SCM (Supply Chain Management).

În figura 3.3 este prezentată evoluția sistemelor ERP de-a lungul celor 4 decenii.

Figura 3.3 Evoluția aplicațiilor integrate de gestiune a firmelor

Sursa:ase.ro/cursuri/integrare/Curs 201-2.doc

3.2. Inspecția software similară ideii de auditare software

Auditul informatic reprezintă evaluarea riscurilor informatice ale securității fizice, și logice, managementul schimbărilor, planul de asistență.

Tipuri de audit informatic sunt:

auditul sistemului operațional de calcul;

auditul IT;

auditul sistemelor aflate în dezvoltare;

auditul managementului IT, care cuprinde revizia organizației, structurii, strategiei, planificării muncii, planificării resurselor;

auditul procesului IT cuprinde testarea, implementarea, operațiile, mentenanța, gestionarea eventualelor incidente;

auditul managementului schimbărilor reprezintă verificarea planificării și controlului schimbărilor la sisteme, rețele, aplicații, procese;

auditul controlului și securității informațiilor;

auditul conformității cu legalitatea;

auditul accidentelor dezastruoase;

auditul strategiei IT.

Calitatea reprezintă țelul principal în industria software, iar îmbunătățirea testării unui produs software reprezintă un mijloc important pentru creșterea calității acestuia.

Testarea calității produselor software are următoarele limite:

crearea, execuția, validarea și întreținerea seturilor de date este consumatoare de timp;

gradul de acoperire scade pe masura creșterii complexității produsului;

poate fi dificilă și de durată determinarea cauzei care provoacă o eroare;

testarea nu poate acoperi toate bug-urile posibile;

nu se pot înlătura mai mult de 85% din defecte.

Testarea nu poate garanta eliminarea tuturor defectelor și nu asigură un nivel suficient de bun al calității. Inspecția software reprezintă procesul de revizuire tehnică, fiind realizat în toate etapele dezvoltării produselor, cu scopul identificării și eliminării defectelor.

Inspecția software a fost introdusă la compania IBM de către Michael Fagan în anul 1976, cu scopul îmbunătățirii calității produselor software și creșterii productivității. Începând cu acel an inspecția software s-a dezvoltat, fiind o foarte bună metodă de evaluare software. Inspecția software stabilește dacă ieșirea din proces este conformă cu criteriile de ieșire aferente procesului, iar orice abatere de la aceste criterii este considerată un defect.

Diferențe între inspecția software și testare:

atunci când se testează, se execută cod, iar atunci când se inspectează, se evaluează cod;

testarea se face în etapa de testare, iar inspecția software se face în etapa de codificare și în etapele anterioare;

prin testare nu se parcurg toate ramurile programului iar prin inspecție se descoperă defecte pe ramuri executate foarte rar;

defectele descoperite în etapa de inspecție sunt înlăturate imediat, în timp ce testarea se caracterizează printr-o abordare serială;

inspecția software nu execută cod putând fi aplicată cu mult înainte ca resursele hardware să fie disponibile pentru testare.

Figura 3.2 prezintă încadrarea inspecției software în ciclul de dezvoltare a produsului.

Figura 3.4 Locul inspecției în ciclul de dezvoltare a software.

Sursa: http://www.ionivan.ro/ANUL-UNIVERSITAR 2010-2011/-cartea structuri date/F00036000-inspectie.pdf

Auditul software implică interacțiunea următoarelor elemente:

etapele auditului software;

rolurile participanților;

colecția de date;

produsul auditat;

infrastructura corespunzătoare.

Rezultatele obținute la compania IBM arată că pot fi detectate 80-90% din defecte, obținându-se o reducere cu până la 25% a costurilor.

Principalii indicatori de performanță pentru fiecare produs includ:

completitudine – reprezintă transpunerea tuturor cerințelor în cod;

corectitudine – se bazează pe specificarea clară a funcțiilor și transpunerea lor în cod;

stil – se bazează pe consistența înregistrărilor;

reguli constructive – se bazează pe arhitectura aplicației;

viziuni multiple – se bazează pe o varietate de perspective necesar a fi reflectate în produsul software.

Inspecția software este utilă proiectanților și programatorilor care vor fi în măsură să evite erorile constatate anterior.

În stabilirea componentelor de evaluat și a metodelor folosite există următorii factori de risc:

componentele care folosesc tehnologii, tehnici sau instrumente noi;

componentele critice;

componentele ce folosesc algoritmi complecși;

componentele care nu sunt ușor de testat;

componentele care se vor reutiliza;

componentele care vor servi drept model pentru alte componente;

interfețele cu utilizatorul;

componentele realizate de dezvoltatori mai puțin experimentați.

Componentele ale căror defecte neidentificate nu afectează planul de realizare, calitatea, costurile și obiectivele sunt considerate ca având risc scăzut.

Auditarea software constă în activități de verificare a gradului de concordanță dintre specificații și programul elaborat.

În cazul în care diferențele constatate nu sunt semnificative în raport cu criteriile stabilite, produsul informatic este validat.

În urma inspecției software, specificațiile de programare și textul sursă se pot afla în una din următoarele situații:

tuturor secvențelor de texte din specificații le corespund secvențe de instrucțiuni în programul sursă;

doar anumitor secvențe de text din specificații le corespund secvențe de instrucțiuni în programul sursă;

există mai multe secvențe de cod decât cele definite în specificații;

există o diferență totală între specificații și textul sursă.

Rezultatele comparării specificațiilor de programare cu textul sursă al programelor sunt redate în figura 3.5:

Figura 3.5 Rezultatele posibile ale comparării specificațiilor de programare cu textul sursă al programului

Sursa:http://www.ionivan.ro/ANUL-UNIVERSITAR 2010-2011/-cartea structuri date/F00036000-inspectie.pdf

Sursa:http://www.ionivan.ro/ANUL-UNIVERSITAR 2010-2011/-cartea structuri date/F00036000-inspectie.pdf

În analiza secvențelor de program trebuie căutate sursele de erori ce afectează fluxurile de prelucrare:

lucrul cu variabile neinițializate;

traversarea unor structuri de date în afara limitelor pentru care au fost definite;

neincluderea de teste care să evite blocarea unor funcții care au restricții asupra intervalelor parametrilor;

construirea unor expresii care filtrează incorect submulțimi de elemente;

restructurarea expresiilor prin schimbarea ordinii de evaluare a unor subexpresii diferite de cele date de specificații;

efectuarea de conversii intermediare care deformează rezultatele finale;

construirea expresiilor de referire a elementelor unei structuri care dezvoltă procese de căutare neconcordante cu specificațiile;

absența manipulării variabilelor de stare a prelucrărilor;

atribuirea de coduri variabilelor de stare după alte reguli decât cele date;

alocarea dinamică a unor variabile;

introducerea unor elemente de neomogenitate;

definirea de invarianți în structuri repetitive;

neincluderea în secvențe a unor instrucțiuni corespunzătoare evaluării unui model;

atribuirea altei semnificații variabilelor;

introducerea de expresii de atribuire care anulează prelucrările precedente;

compunerea unor construcții fără a exista o echivalență între formulele finale și inițiale.

Inspecția textului sursă are în vedere punerea în corespondență a variabilelor, ecuațiilor și inecuațiilor, enumerărilor, definirilor de mulțimi și intervale.

Rolul inspecției software orientată pe structuri este de a observa:

alegerea structurilor de date;

implementarea procedurilor și respectarea cerințelor impuse de rezolvarea problemei;

complexitatea structurilor de date să fie în concordanță cu complexitatea problemei;

expresiile elementelor din structuri sunt cât mai simple posibil.

Inspectorul analizează ipotezele și verifică dacă sunt respectate, inspecția având rolul de a evidenția dacă structura de date folosită este adecvată. Atunci când structura de date nu este adecvată, se va demonstra prin calcule care este structura potrivită.

3.3 Utilizarea software-lui ca serviciu (la nivel cloud)

Cloud este tehnologia ce oferă firmelor, acces prin intermediul internetului, la soluții de business de nouă generație. Tehnologia cloud este o infrastructură IT performantă, dispusă într-un data center. Acest data center reprezintă un spațiu securizat, în care se regăsesc servere conectate la internet, care dispun de conexiuni redundante și sisteme de energie de rezervă. Data center-ul poate găzdui datele și informațiile firmelor fără ca acestea să mai aibă nevoie de un departament tehnic dedicat, cu propriul server.

Serviciile cloud sunt de următoarele tipuri:

Infrastructure as a service – folosit de companii din tehnologie, pe care rulează propriile platforme de operare;

Platform as a service – folosit de companii care închirieză o platformă pe care să ruleze propriile aplicații;

Software as a service – companiile închiriază doar soluțiile de care au nevoie pentru a-și desfășura activitatea.

Tehnologia cloud poate fi:

Privată – o infrastructură dedicată, administrată de departamentul IT al companiei;

Publică – se adresează publicului larg;

Hibrid – un parteneriat între un furnizor de cloud public și o firmă, prin care cel de-al doilea beneficiază de infrastructură dedicată.

Beneficiile serviciilor cloud sunt:

Soluțiile cloud permit utilizatorilor să lucreze în orice moment și din orice colț al lumii, prin intermediul conexiuni la internet, direct din browserul de internet.

Securitatea și integritatea datelor companiilor care folosesc acest tip de soluții. Securitatea utilizatorilor este gândită pe două niveluri: nivelul fizic, unde data center-ul ce găzduiește serverele este întotdeauna păzit și nivelul de securitate informatică, unde datele sunt criptate cu ajutorul unor algoritmi complecși.

Soluțiile cloud elimină problema cheltuielilor generate de o rețea internă într-un IMM și nu implică existența unui departament IT numeros.

Integrare excelentă a programelor software tradiționale și serviciilor cloud, astfel încât să funcționeze împreună.

Soluții personalizate pentru fiecare angajat.

Eficiență sporită.

Ymens este o firmă de tip cloud ce oferă servicii de tip “Software as a Service,” pe o infrastructură IT de ultimă generație, securizată la cele mai înalte standarde. Firma oferă posibilitatea de a închiria soluțiile de care fiecare companie are nevoie, pe baza unui abonament lunar accesibil și deductibil.

La ora actuală există pe piață o serie de servicii de tip cloud (Figura 3.6) de unde orice firmă poate alege.

Figura 3.6 Servicii de tip cloud

Sursa: http://www.giz.ro/internet/servicii-de-stocare-fisiere-in-cloud-cele-mai-bune-solutii-16151/

Dropbox esteun serviciu frecvent utilizat pentru păstrarea datelor pe internet datorită ușurinței de utilizare, a interfeței prietenoase și a posibilității de a distribui cu ușurință datele către alți utilizatori. Acest serviciu oferă un spațiu de stocare de 2 GB de date gratuit, iar pentru pachetul superior de 100 GB se percep taxe de 10 dolari pe lună.

Google Drive oferă aplicații desktop pentru smartphone și tabletă, însă acesta nu este la fel de ușor de utilizat precum Dropbox. Avantajele serviciului sunt conversia documentelor în formatele specifice office și modificarea ușoară a acestora în editorul online.

Google Drive are un avantaj suplimentar: oferă gratuit spațiu de stocare de 15 GB, iar pachetele lunare suplimentare sunt: 100 GB pentru 2 dolari și 1 TB pentru 10 dolari.

Digi Storage este un serviciu de stocare a datelor furnizat de operatorul RCS-RDS și disponibil numai clienților de internet fix ai firmei. Clienții primesc acces la cont atât pe desktop, cât și pe smartphone-uri și tablete prin intermediul unor aplicații dedicate, iar datele se sincronizează automat. Avantajul principal al serviciului este viteza de transfer a datelor la download și upload mai mare decât în cazul utilizării unor servicii precum Dropbox sau Google Drive. Clienții care au planul tarifar FiberLink 500 și FiberLink 1000 la internetul fix primesc gratuit un spațiu de stocare de 20 GB, iar în rest pachetele lunare sunt de 50 GB pentru 1 euro, 100 GB pentru 1.5 euro și 150 GB pentru 2 euro.

Microsoft OneDrive este serviciul de stocare a datelor oferit de compania Microsoft, care beneficiază de aplicații în browser pentru desktop și aplicații dedicate pentru smartphone-uri și tablete. Aplicația are o funcție pentru upload automat în cont al fotografiilor realizate cu telefonul, iar prin activarea acestei funcții se oferă un bonus de 3 GB. Spațiul de stocare în mod implicitestede 7 GB, iar pentru 50 GB în plus trebuie să plătești 25 de dolari pe lună.

ADrive este unul dintre cele mai vechi servicii de tip cloud, având un renume bun datorită celor 50 GB oferiți gratuit. Aplicația este dedicată stocării de date și aproape deloc pentru sharing. Costurile sunt de 2.5 dolari pe lună pentru 100 GB, iar spațiul maxim oferit este de 10 TB.

Box este un serviciu dedicat păstrării datelor personale în cloud, acestea putând fi accesate de pe o multitudine de platforme. Serviciul se adresează mai mult firmelor, axându-se pe posibilitatea de a edita documente de tip office și pe colaborarea dintre mai mulți utilizatori. Pentru utilizatorii individuali serviciul este destul de limitat, acesta oferă 10 GB gratuiți, însă nu se pot uploada fișiere mai mari de 250 MB. Pentru 100 GB spațiu de stocare, costurile sunt de 9 euro pe lună.

Operatorii de telecomunicații Vodafone și Orange oferă servicii de stocare a datelor în cloud prin Vodafone Cloud și Orange Cloud.

Utilizarea unui serviciu de stocare a datelor pe internet a devenit o necesitate pentru cei mai mulți utilizatori, iar ofertele au cunoscut o creștere spectaculoasă în ultima perioadă. Cu excepția Dropbox, toate serviciile oferă 10 GB în regim gratuit, iar prețurile pentru spațiul suplimentar sunt accesibile și pentru utilizatorii din România.

CAPITOLUL 4

STUDIU DE CAZ: ANALIZĂ PRIVIND SISTEMUL INFORMATIC AUDITABIL LA NIVELUL UNEI FIRME INTERNAȚIONALE

4.1 Prezentarea firmei Vard Tulcea

Șantierul naval Vard Tulcea a fost fondat în 1975, pe malul drept al fluviului Dunărea, la mila marină 39,5 pe o suprafață de 750,000m2.

Firma are ca activitate principală construcția de nave maritime propulsate sau nepropulsate, avand capacități de pana la 15.000 TDW (unitate de măsură pentru capacitatea totală de încărcare a unei nave comerciale, egală cu o tonă), întreținerea și repararea navelor maritime și fluviale.

În anul 2000 compania a fost inclusă în grupul Aker Yards (grup norvegian specializat în construcția de nave offshore și specializate, nave de croazieră, feriboturi și nave de transport marfă), sub numele de Aker Tulcea. Acționarul majoritar al companiei este Aker Brattvaag cu 70% din acțiuni.

Figura 4.3 Interfața site-ului firmei VARD

Sursa: http://www.vard.com/career/contacts/Pages/default.aspx

4.2 Prezentarea sistemului informatic auditabil SIVADOC

Firma SIVECO România dezvoltă și exportă soluții IT și proiecte de consultanță cu valoare adăugată ridicată către țări din Comunitatea Europeană, Orientul Mijlociu, Africa de Nord și spațiul Comunității Statelor Independente.

SIVADOC este un sistem de management electronic al documentelor, care rezolvă problemele critice ale companiilor privind arhivarea electronică, workflow-ul, indexarea, căutarea, securitatea, administrarea și integrarea documentelor. Acest sistem oferă o platformă care unifică procesele și informația, în scopul fluidizării circuitului documentelor, facilitării accesului la informații și al protejării împotriva accesului neautorizat.

SIVADOC normează monitorizarea, securitatea, circulația și arhivarea tuturor documentelor din activitățile curente ale firmelor.

Principalele facilități ale soluției SIVADOC:

Regăsirea facilă a documentelor;

Managementul documentelor;

Arhivarea documentelor;

Generarea documentelor în formate standardizate;

Integrarea cu sisteme de mesagerie electronică;

Integrarea cu aplicațiile Microsoft Office;

Managementul fluxurilor de lucru;

Mecanisme de asigurare a securității accesului la informații;

Mecanisme de administrare;

Flexibilitate.

Beneficii ale soluției SIVADOC:

Accelerarea și creșterea eficienței proceselor organizaționale;

Reutilizarea informației existente în organizație;

Adaptabilitate la cerințele tehnologice ale partenerilor și concurenților;

Promovarea unei imagini consistente și coerente prin utilizarea documentelor standardizate;

Alinierea la tendințele actuale internaționale și pregătirea infrastructurii informatice pentru certificarea calității activității desfășurate.

4.3 Implementarea sistemului informatic auditabil SIVADOC la nivelul firmei VARD Tulcea

Compania VARD Tulcea a implementat această soluție IT care asigură suportul necesar pentru gestionarea unitară a documentelor nestructurate și a documentației specifice activității companiei, cu scopul eficientizării activităților administrative și de producție.

Sistemul SIVADOC permite controlul, organizarea, accesul și publicarea documentelor și informațiilor vitale din cadrul Șantierului Naval AKER Tulcea într-un mod rapid, ușor și precis.  

Implementarea sistemului de management al documentelor și al fluxurilor de lucru SIVADOC în cadrul VARD Tulcea a adus următoarele beneficii:

reducerea timpilor necesari regăsirii documentelor;

gestionarea centralizată, standardizarea pe baza șabloanelor, înregistrarea, căutarea și regăsirea documentelor specifice etapei de proiectare;

gestionarea centralizată, înregistrarea și urmărirea pe fluxuri de lucru a documentelor specifice etapei de pregătire a Fabricației;

gestionarea centralizată, înregistrarea pe Comenzi și urmărirea pe fluxuri de lucru a documentelor;

gestionarea centralizată și înregistrarea documentelor de Metrologie;

gestionarea centralizată a formularelor specifice și a procedurilor;

facilitarea avizării și urmăririi documentelor de achiziții;

îmbunătățirea colaborării angajaților prin furnizarea unor instrumente de partajare de date;

diseminarea documentelor de interes general în cadrul companiei;

îmbunătățirea securității prin controlul accesului la documente;

impunerea respectării procedurilor de procesare a documentelor.

Produsul are la bază conceptul conform căruia informația, înregistrată și stocată în orice formă, poate fi regăsită și reutilizată, iar aceasta conduce la utilizarea în timp real a informațiilor ca suport în luarea deciziilor.

Organizația beneficiară devine mai eficientă și, în mod direct, câștigă un important avantaj competitiv pe piață.

Succesul proiectului de implementare s-a datorat colaborării dintre cele două echipe de proiect, dar și înțelegerii în profunzime de către specialiștii SIVECO Romania a specificului de business din cadrul Șantierului Naval și a interacțiunii structurilor sale organizaționale. 

4.4 Auditarea sistemului informatic SIVADOC la nivelul firmei VARD Tulcea

Etapele auditului sistemului informatic SIVADOC ca și în cazul oricărui sistem informatic sunt reprezentate de: planificarea, efectuarea și raportarea auditului.

În perioada 04.04 – 27.05.2011, echipa de audit a firmei Krom a efectuat auditul sistemului informatic SIVADOC, sistem implemetat de compania VARD Tulcea.

Firma de audit Krom este prezentă de peste 15 ani pe piata de profil, Krom Comms oferă servicii profesionale de Outsourcing IT, pornind de la audit tehnic al echipamentelor, la mentenanța IT, administrare rețele, cablaje structurate, webhostig și service IT pentru stațiile de lucru și servere.

Auditul preliminar este gratuit, iar serviciile sunt disponibile pe bază de abonament standard sau personalizat.

Auditul s-a axat pe identificarea ariilor de îmbunătățire a sistemului de management al documentelor – SIVADOC, furnizând la finalul misiunii de audit recomandări cu privire la reducerea și menținerea sub control a riscurilor noii aplicații.

Planificarea auditului este foarte importantă, corectitudinea acesteia asigurând eficiența și execuția tuturor celorlalte etape ale auditului.

În această etapă s-a realizat:

obținerea informațiilor despre entitatea auditată, provenite din:

– accesarea informațiilor publicate pe website-ul entității auditate;

– consultarea materialelor documentare relevante;

– consultarea legislației aferente tematicii;

– consultarea documentațiilor tehnice;

– documentare în domeniul standardelor și bunelor practici;

– interviuri cu persoanele implicate în administrarea, întreținerea și utilizarea sistemului informatic;

– participarea la demonstrații privind utilizarea sistemului;

evaluarea riscurilor care decurg din funcționarea sistemului;

strategia de audit.

Desfășurarea auditului

Această operație presupune folosirea probelor de audit (Figura 4.1) specifice sistemelor informatice.

Figura 4.1 Probele de audit

Sursa: http://documents.tips/documents/auditul-calitatii-55979870f2329.html

Probelor de audit au fost obținute prin următoarele metode:

– chestionare, conțin întrebări și opinii ale actorilor implicați, despre sistemele entității auditate și constituie suportul pentru colectarea informațiilor despre acestea;

– machete, elaborate de auditorii publici externi;

– sondaje.

Elaborarea raportului de audit

În urma efectuării auditului sistemului SIVADOC s-a constat că acest sistem este ușor de folosit, are o interfață prietenoasă și vine în sprijinul celor care operează cu date, ajutând ca activitatea lor să fie cât mai eficientă iar datele să fie în orice moment la dispoziția utilizatorilor.

Implementarea sistemului SIVADOC la firma VARD Tulcea a condus la creșterea calității procesării documentelor, la reducerea arhivei fizice de documente și a spațiului de stocare a acesteia.

CONCLUZII

Folosirea sistemelor informatice în desfășurarea activității firmelor este deja o necesitate care generează o serie de beneficii acestora, însă trebuie avute în vedere și riscurile asociate lor.

Folosirea auditului sistemelor informatice pentru combaterea acestor riscuri cu ajutorul controalelor reprezintă o condiție pentru buna funcționare a companiei și devine o necesitate pe măsură ce complexitatea sistemului informatic crește.

Sistemele informatice trebuie să fie auditate periodic pentru a se asigura că îndeplinesc toate sarcinile cerute la cel mai ridicat grad de eficiență și eficacitate.

Sistemul SIVADOC analizat permite obținerea de informații reale, corecte, complete și integrate, din activitatea curentă a departamentelor din cadrul firmei VARD Tulcea.

Îndeplinirea misiunii de audit implică parcurgerea procedurilor și documentelor specific, structurate pe cele trei etape:

etapa de pregătire a misiunii de audit;

etapa de realizare a auditului;

etapa de elaborare a raportului de audit.

Auditul sistemelor de management electronic al documentelor trebuie să fie:

ușor de înțeles – prin utilizarea unui limbaj clar și simplu;

lipsit de ambiguitate – toate constatările trebuie să fie exprimate cu acuratețe și să nu lase loc de interpretări;

complet – să cuprindă informațiile necesare pentru a satisface obiectivele auditării;

exact – să descrie sfera de cuprindere a auditului și a metodelor folosite;

obiectiv- raportul de audit are credibilitate mare dacă probele de audit sunt prezentate într-o manieră imparțială;

convingător – utilizatorul trebuie să fie convins de realitatea constatărilor;

concis – auditul trebuie să cuprindă concluzii și recomandări.

Sistemul de management electronic al documentelor SIVADOC s-a dovedit eficient și ușor de folosit în cadrul firmei VARD Tulcea.

BIBLIOGRAFIE

LUCRĂRI DE AUTORI

1. Ali Eden, Victoria Stanciu, Auditul Sistemelor informatice, Editura Dual Tech,2004, București.

2. Baron C, Isăilă N, Sisteme Informatice: Fundamente teoretice, metodologice și practice; Gestiunea bazelor de date în mediul Microsoft Access; Exemple, aplicații, studii de caz, Editura Pro Universitaria, 2009.

3. Boulecu Mircea, Doina Fusaru, Zenovic Gherasim, Auditul Sistemelor Informatice, Editura Tribuna Economică, 2005, București.

4. Curtea de Conturi a României, Ghidul de audit al sistemelor informatice, București, 2012

5. Gheorghe M, Impactul tehnologiilor informaționale în auditul financiar, Annales Universitatis Apulensis Series Oeconomica, Nr.8/2006 volumul 2, Universitatea “1 Decembrie 1918” Alba Iulia, Facultatea de Științe, 2006.

6. Gheorghe Militaru, Sisteme informatice pentru management, Editura Teora 2000

7. Guidelines for Internal Control Standards for the Public Sector

8. Ioana Florentina Chiș, Liliana Simona Todor, Auditul sistemelor informatice, Biblioteca digitală ASE

9. Ion Ivan, Gheorghe Nosca, Sergiu Capisizu, Auditul sistemelor informatice, Biblioteca digitală ASE

10. Ivan, I., Alecu, F., S. Capisizu, Auditul Informatic, Revista Economistul, 2005

11. L.Dobroțeanu, Audit – Concepte si Practici, Ed. Economică, 2002.

12. Narcisa Isăilă, Sisteme informatice în mediul de afaceri, Editura Pro Universitaria, București, 2012

13. R.G.Brown, Changing audit objectives and techniques, studiu publicat în “The accounting review”, citat de L.Dobroțeanu în “Audit – Concepte si Practici”, Ed. Economică, 2002.

14. Renard Jacques, Teoria și practica auditului intern, Ministerul Finanțelor Publice, 2004

Surse internet:

https://simonacarbunaru.wordpress.com/2011/03/19/notiunea-de-audit-istoric-si-definire

www.aair.ro/fisiere/standarde_romana/Standarde_IIA_rom.pdf

http://www.curteadeconturi.ro/Regulamente/MANUAL_AUDIT_IT.pdf

http://www.ionivan.ro/ANUL-UNIVERSITAR 2010-2011/cartea structuri date/F00036000-inspectie.pdf

ase.ro/cursuri/integrare/Curs 201-2.doc

http://www.cafr.ro/uploads/hot_88-norme%20de%20audit%20intern%20inclusiv%20proceduri-5bdf.pdf

http://webcache.googleusercontent.com/search?q=cache:ey2dq2EvBcsJ:www.ceccarbv.rodezvlotare%2520profesionala/curs%2520audit%2520.doc+&cd=1&hl=ro&ct=clnk%gl=ro

http://www.biblioteca-digitala.ase.ro/biblioteca/pagina2.asp?id=cap1

http://www.ionivan.ro/ANUL-UNIVERSITAR 2010-2011/cartea structuri date/F00036000-inspectie.pdf

http://www.ymens.ro/content/cloud-computing

http://www.giz.ro/internet/servicii-de-stocare-fisiere-in-cloud-cele-mai-bune-solutii-16151/

https://www.dropbox.com/

https://www.google.com/intl/ro/drive/

http://digistorage.rcs-rds.ro/digistorage/

https://onedrive.live.com/about/ro-ro/

http://www.adrive.com/

https://www.box.com/

http://documents.tips/documents/referat-auditarea-managementului-documentelor-in-regim-electronic.html

http://documents.tips/documents/auditul-calitatii-55979870f2329.html

http://www.biblioteca-digitala.ase.ro/biblioteca/pagina2.asp?id=cap10