Implicații și riscuri ale utilizării sistemelor informatice în cadrul [621266]

1
Universitatea de Vest din Timișoara
Facultatea de Economie și Administrarea Afacerilor

Implicații și riscuri ale utilizării sistemelor informatice în cadrul
întreprinderilor moderne

Profesor: Student: [anonimizat] 2

2

Introducere
Prin sistem se înțelege un ansamblu de elemente (procese, fenomene, obiecte, noțiuni, etc.)
interdependente care acționează în comun, pe baza unor reguli prestabilite, cu scopul atingerii unui
anumit obiectiv.
În perioada globalizării și apariției noilor tehnologii de comunicare, informația a devenit în
același timp una dintre cele mai prețioase dar și periculoase arme pe care o poate deține cineva.
Viteza și eficiența de transmitere a informației (documente, mesaje, poze, etc.) confer
numeroase beneficii actului decizional din cadrul unei societăți moderne bazată pe economia de
piață.
Astfel într -o entitate sistemul informațional se bazează in speci al pe informații și asigură
relația dintre sistemul decizional și cel operațional. Această relație, în prezent, este realizată în mare
parte de către sistemul informatic.
Sistemul informatic poate fi definit ca și procesul de informatizare a activității
întreprinderii, prin utilizarea produselor hardware și software pentru o administrare și organizare
mai ușoară a informațiilor.
Utilizarea unui sistem informatic are drept obiectiv principal asigurarea conducerii cu
informații reale și în timp util, necesar e fundamentării și elaborării deciziilor.
Însă utilizarea serviciilor web, a soft ware -urilor, a poștei electronice, transferuri de fonduri
ș.a oferă adeseori un sentiment fals de securitate a informațiilor, care totuși sunt supuse unor riscuri
majore, pre cum: furtul de date, denaturări, înserări de date false, erori, etc.
În prezent, acest sistem este utilizat la nivelul tuturor structurilor entității economice și ca și
orice alt sistem prezintă atât beneficii cât și riscuri.
Pe măsură ce activitatea soci etății se bazează tot mai mult pe calculatoare, nivelul
infracțiunilor și risc urilor legate de acest aspect cresc și ele.
Atât managementul cât și terții ( auditorii , investitorii, statul, etc.) sun t cointeresați în
obținerea unor informații cât mai reale, fapt ce duce la o analiză mai detaliată a riscurilor sistemelor
informatice, la identificarea și înlăturarea acestora.
În mediul economic este foarte esențial ca modificarea datelor să nu aibă loc în mod
neautorizat și nici ca aceste date să ajungă la pers oane fizice sau juridice nepotrivite (ca de exemplu
potențialii concurenți).

3
Sistemele informatice de contabilit ate prezintă o impotantă majoră, rolul acestora constândîn
furnizarea informațiilor referitoare la venituri, evidența clienților, dinamica încas ărilor și plăților,
informații privind costurile și cheltuielile ș.a.
Aceste informații furnizate pot influența deciziile echipei de management, iar existența
erorilor la nivelul acestor programe poate crea incertitudini și duce la luarea unor decizii gr eșite.
Tradițional, la nivelul diferitor structure ale organizației se m enține un subsistem informatics
separate și acesta își prelucrează propriile date.
Dezavantajul acestei metode constă în apariția dublicatelor de date pe spații de stocare
diferite.
În prezent entitățile economice optează pentru integrarea tutror funcțiilor într -o bază de date
mare sau într -un depozit de date. Această integrare ar permite atât managerilor cât și externilor să
obțină informația necesară pentru control, planificare și l uarea deciziilor culegând informațiile din
diferite arii ale societății fie aceasta marketing, contabilitate sau oricare alta.
În aceste condiții de piață producătorii de software au dezvoltat programe capabile să lege
toate subsistemele informatice ale un ei companii într -o singură aplicație.
Amenințările și riscurile sistemelor informatice ale unei organizații
Sistemele informatice pot fi amenințate atât din exterior cât și din interior. Pot exista
persoane bine intenționate care comit diverse erori de operare, pot exista și persoane rău intenționate
care consumă bani și timp pentru a reuși spargerea sistemelor informatice, la fel pot apărea și
diferite erori tehnice, cauzate de uzura fizică a calculatoarelor, a soft ware -urilor, a interenetului ș.a.
Principalele riscuri specifice mediului de afaceri bazat pe tehnologii informatice sunt:
 Dependența de funcționare a produselor și echipamentelor informatice;
 Reducerea implicării factorului uman;
 Erori sistematice/erori incidentale;
 Pierderea datelor;
 Accesul neautorizat;
 Lipsa de experiență în domeniul IT;
 Lipsa separării sarcinilor;
 Externalizarea serviciilor IT/IS;
 Lipsa autorizării tradiționale.
Toate aceste riscuri sunt cauzate de o serie de vulnerabilități tipice, care pot fi împărțite în
câteva c ategorii:
 Tehnice;
 Legate de procedurile de acces ale angajaților în sistemele IT;

4
 Organizatorice;
 Erori umane.
Principala vulnerabilitate fiind oamenii care administrează sau pur și simplu folosesc
calculatorul.
Vulnerabilitatea la rândul ei, reprezintă u n punct slab al sistemului care permite o acțiune
neautorizată (erorile ce apar în diferite faze ale dezvoltării, respective utilizării sistemelor
informatice).
De cele mai multe ori, într -o companie securitatea unui sistem informatic este în sarcina unui
administrator de sistem, care dacă nu este instruit corespunzător poate comite erori tehnice sau poate
profita în mod f raudulos de oportunitățile sale.
La fel se poate întâmpla și cu utilizatorii obișnuiți, care pot fi și ei corupți sau cel mai des
întâlni t, pot cauza daune din utilizarea necorespunzătoare.
Intr-o companie, este bine venit faptul ca politicile de acces să fie implementate abia după
realizarea analizei de risc.
Echipa de management trebuie să adopte un stil de management reactiv, ceea ce pre supune
implementarea unor măsuri ce va permite nu numai înlăturarea amenințărilor, ci și prevenirea
apariției acestora pe viitor.
Analiza de risc are drept scop evaluarea vulnerabilităților și identificarea soluțiilor în fața
unor riscuri potențiale astfel ducând la diminuarea posibilelor pierderi.
Este recomandat ca în toate intreprinderile să fie implementat un document cu politici,
norme și standarde de securitate. Documentul respective, ar trebui să conțină toate politicile
organizatorice ale firmei cu referire la restricții, permisiuni, nivel de acces, etc. Acesta trebuie
respectat de administrator ul de rețea , angajați, experți în securitate și nu in ultimul rând de către
echipa de management.
Managementul vulnerabilităților reprezintă procesul prin care se determină, pe baza
riscurilor și costurilor asociate, dacă vulnerabilitățile identificate trebuie înstrăinate, atenuate sau
chiar tolerate.
Punerea în aplicare a securizării se poate realiza prin mai multe metode, pornind de la simpla
încuiere a ca merelor în care se află calculatoarele, continuând cu criptarea liniilor de
telecomunicații, până la utilizarea unor tehnologii special pentru împiedicarea interceptării radiaților
emise de calculatoare.
Este bine știut faptul că toate calculatoarele emit radiații electromagnetice care pot fi
interceptate, descifrate și analizate. Din această cauză toate informațiile transmise printr -o rețea de
sisteme de calcul devin vulnerabile, fiind expuse la un grad ridicat de a fi interceptate.

5
Rețelele reprezintă un ansamblu complex de calculatoare.
Astfel inte rnetul fiind o rețea la care se pot conecta un număr mare de calculatoare, pentru
care este greu de obținut o schema completă a tuturor operațiilor și entităților la un moment dat. În
acest mediu informațiile d evin foarte greu de securizat.
La o rețea de calculatoare se pot oricând conecta noi tipuri de echipamente. Fapt ce duce la o
mărire considerabilă a numărului de utilizatori cu acces direct la resursele rețelei.
Orice utilizator cu conexiune la internet cu cunoștințe medii de operare poate încerca să
forțeze anumite servicii.
Sensibilitatea rețelelor se dezvoltă pe două planuri:
1. Atacul asupra integrității ei fizice, existența riscului de modificare sau distrugere a
informației
2. Scurgerea informației din cadr ul cercului de utilizatori prestabilit, folosirea
neautorizată a informației.
Securitatea informatică vizează în special două aspect și anume:
a) Integritatea resurselor unei rețele, disponibilitatea acestora indiferent de defectele
tehnice hardware sau soft ware sau de încercările ilegale de penetrare a informațiilor.
b) Caracterul privat al unei informații, aceasta presupune dreptul de a control ce
informație referitoare la o persoană poate fi stocată în baza de date și cine are acces la
ea.
Riscurile la care s unt supuse rețelele de calculatoare pot avea mai multe origini:
 Dezastre sau calamități naturale;
 Defecte ale echipamentelor;
 Greșeli umane;
 Fraude.
Computerele sunt foarte vulnerabile la dezastrele natural si la amenințările provenite din
exterior. Astfel de pericole precum icendiile, cutremurele, inundațiile sau căderile de tensiune pot
distruge echipamentele de calcul și repsetiv datele.
Unele defecțiuni hardware pot distruge securitatea unui întreg sistem de calcul, acestea pot
deschide porți de acces p entru intruși.
Defecțiunile software d eorice natură pot duce direct la funcționarea eronată a sistemului
precum și la apariția defectelor în protecția sa.
Pe de altă parte chiar dacă separate, fiecare component software și hardware funcționează
perfect, c onectarea, instalarea sau configurarea în mod greșit al acestora pune în primejdie întregul
sistem.

6
În ceea ce privește liniile de telecomunicații și comexiunile de rețele acestea se prezintă a fi
foarte vulnerabile la atacuri. De cele mai multe ori este m ai ușor să pătrunzi într -un sistem
informatics din exterior, prin intermediul rețelei, decât din interior.
Se disting două categorii principale de atacuri:
 Atacuri pasive
 Atacuri active
Atacurile pasive sunt cele în care intrusul observă fluxul informației, face analiza traficului,
citește lungimea și frecvența mesajelor transmise printr -un canal fără a interveni asupra acestora .
Aceste atacuri au următoarele caracteristici:
 Nu aduc pagube;
 Nu încalcă reguli de confidențialitate;
 Scopul lor este de a urmări datele schimbate prin rețea;
 Se pot realiza printr -o diversitate mare de metode.
Atacurile active sunt cele în care intrusul fură mesajele, se implică în modificarea acestora,
în reluarea sau postarea de mesaje false.
Aceste atacuri prezintă pe ricol întrucât modifică și denaturează starea sistemelor de calcul, a
sistemelor de telecomunicații și nu în ultimul rând a datelor.
Printre atacurile active se înscrie și programee informatice create cu scop distructiv, așa
numiții viruși și pot afecta un eori într -un mod serios securitatea calculatoarelor.
La nivel general, atacurile frauduloase presupun: citirea informațiilor nepermise, distrugerea
parțială sau totală a datelor, iar în unele cazuri și a calculatoarelor.
O astfel de penetrare este greu de depistat si la fel de greu de soluționat, fapt ce presupune un
cost suplimentar și pierderi esențiale.
Ca de exemplu o spargere a serverului de contabilitate ale unei societăți poate fi depistată
abia peste câteva luni, când toți clienții au renunțat la serviciile firmei respective, întrucât datele
furate au ajuns la concurență si astfel aceasta a reușit să le facă o ofertă mai avantajoasă.
În asemenea cazuri persoanele din interior prezintă un pericol mai mare deoarece pentru
realizarea unui astfel de fu rt este nevoie de cineva care cunoaște modul de funcționare a sistemului,
are acces la resursele si sistemele de funcționare a firmei și este familiarizat cu procedurile și
operațiunile întreprinderii.
În prezent s -au format câteva concept în ceea ce prive ște securizarea unui sistem informatic:
Controlul accesului la sistem – asigură ca utilizatorii neautorizați să nu poată patrunde în
sistem, iar cei autorizați sunt încurajați să perceapă necesitatea securizării calculatoarelor. Acest

7
control asigură monitorizarea persoanelor cu acces la date, tipul de date accesate, precum și scopul
accesului.
Această metodă implică un management de securitate al global al computerelor, indică
amenințările ce trebuie soluționate de către sistem și totodată evaluează costurile de protecție.
Criptarea datelor e o altă metodă de protejare a informațiilor stocate în sistemele de calcul,
precum și a celor ce sunt tra nsmise prin diverse tehnologii de comunicații.
Această metodă oferă un grad de siguranță mai ridicat deoarec e chiar dacă sunt transmise
printr -o rețea nesigură chiar și în cazul interceptării acetora, ele nu pot fi întelese direct.
Multe dintre sisteme de operare fișierele ce conșin parolele uilizatorilor sunt stocate în formă
criptată, iar multe dintre companii își păstrează datele și documente cu care nu mai lucrează pentru o
perioadă mai mare de timp în formă criptată și apoi abia sunt arhivate.

Minimizarea riscurilor se poate face prin audituri interne de securitate periodice, prin
audituri externe ale siste melor informatice precum și prin respectarea politicilor și procedurilor de
securitate.
Riscurile unei organizații din punct de vedere al auditului intern
În literature de specialitate s -a conturat o definiție a riscului și anume "Riscul este
amenințarea c a un anume eveniment sau acțiune va afecta în mod nefavorabil activitatea unei
organizații de a -și atinge obiectivele ."
Din punctual de vedere al unui auditor riscul poate fi considerat ca fiind pulsul organizației.
Reieșind din această afirmație rezultă c ă auditoria interni trebuie să se asigure că societatea
economică treatează în special problematica riscului și gestiunea acestuia și nu tolerează
amenințările acestuia astfel pierzându -și oportunitățile.
În aceste condiții managementul riscului une i compa nii se prezintă a fi un process pozitiv, iar
riscul nu e în mod obligatoriu doar ceea ce rezultă din acțiuni greșite ci și activitățile despre care
trebuie să te asiguri că decurg în mod corect.
În viața economică a unei organizații din categoria riscurilor poate face parte: despăgurile
oferite, costurile de înlocuire a echipamentelor, diminuarea producției, primele acordate, creșterea
costurilor administrative, pierderea calității produselor sau serviciilor oferite clienților, etc.
Se cunoaște că activele unei organizații pot fi tangibile și intangibile. În sistemul
informațional echipamentele și aplicațiile incluse alcătuiesc partea tangibilă, iar datele procesate și
informațiile obținute fac parte din categoria activelor intangibile.
Primul eleme nt ce trebuie luat în calcul în cadrul auditului sistemului informațional ar trebui
să fie mediul în care se dezvoltă acesta. Fapt ce presupune inventarierea tuturor activelor ce se

8
doresc a fi protejate: infrastructura rețelei, sistemele de operare, supor t de memorie, aplicații,
informațiile procesate, etc.
Un auditor are drept obiectiv identific area riscurilor asociate acestor active :
 Pierderile financiare;
 Frecvența și gravitatea erorilor (mecanice sau umane);
 Pericole mediului, gen: incendii, căderi de energie electrică, cataclisme naturale.
 Probleme cauzate de incompetența managerială;
 Furtul sau deteriorarea datelor sau aplicațiilor folosite.
Simplul fapt că societatea utilizează un calculator în conducerea activității prezintă un risc
în sine . Acest a este independent de riscul fizic sau logic.
Riscul fizic presupune defectarea calculatoarelor și a unităților periferice, precum și mediul
nefavorabil în care acestea sunt utilizate. De -a lungul timpului cele mai mari succese s -au obținut
anume în securi tatea fizică a sistemului informațional.
Riscul logic are la bază utilizarea greșită a unor proceduri, instrucțiuni greșite sau erori
umane mai puțin sau mai mult intenționate.
Riscul economic reprezintă riscul legat de utilizarea echipamentelor informatic e în cadrul
organizației. Activitatea multor companii depinde întru totul de calculator, iar orice abatere în
funcționarea sa poate duce la sistarea parțială sau totală a activității acesteia (ca de exemplu băncile,
companiile de asigurări sau societățile de vânzări prin corespondență) .
Prin activitățile de control managementul încearcă să identifice riscurile și prin soluții
potrivite caută să reducă sau să înlăture impactul negativ al acestora. Apoi, auditul intern ca și
structură independentă preia anal iza riscurilor stabilită de echipa de management și caută să
identifice pierderile materiale sau erorile din cadrul raportărilor financiare.
Orice afirmație făcută de auditori trebuie să aibă în spate și probe. Însă nu întotdeauna testele
utilizate duc la depistarea erorilor reale sau potențiale din cadrul sistemului. În aceste condiții
auditorii se confruntă cu propriul risc.
În 1988 AICPA a elaborat o formulă de calcul pentru depistarea riscului auditării, formulă
valabilă și în cazul sistemelor informatice: 𝑅𝐴=𝑅𝐼×𝑅𝐶×𝑅𝐷
RI- risc inerent RC – riscul controlului RD – riscul detectării
Riscurile inerente includ totalitatea riscurilor ce apar în organizație, pot fi interne sau
externe și pot fi măsurabile sau nemăsurabile.
Ca de exemplu riscul inerent cu referire la siguranța accesului la rețea și la transmiterea
datelor în rețea se consideră un risc destul de mare atât timp cât nu există un desemnat răspunzător
de monitorizarea procedurilor de siguranță privind accesul în rețea. Această eroare poate avea

9
consecințe destul de grave, cum ar fi scurgerea de date confidențiale la concurenți fapt ce poate
schimb a poziția companiei pe piață.
În analiza riscurilor inerente auditorul trebuie să ia în calcul următoarele obiective:
 Organizarea și funcționarea departamentului
Pentru îndeplinirea acestui obiect iv se desfășoară activități precum :
– analizarea organigramei departamentului IT;
– analizarea managementului resurselor umane la nivelul departamentului IT;
– analizarea planurilor de pregătire profesională continuă;
– verificarea existenței unui sistem de evaluare a cunoștințelor dobân dite după efectuarea
cursurilor;
– analizarea realizării pregătirii profesionale a salariaților conform atribuțiilor și
responsabilităților stabilite prin fișa postului;
– analizarea sistemului de evaluare a riscului;
– verificarea existenței și actualizării Registrului riscurilor.
 Implementarea sistemelor informatice
Activitățile aferente îndeplinirii acestui obiectiv sunt:
– verificarea realizării la termenele stabilite a subsistemelor informatice;
– analizarea ac tivității de monitorizare a implementării subsistemelor informatice;
– evaluarea controlului datelor introduse în aplicație;
– evaluarea controlului pe parcursul procesării datelor;
– evaluarea controlului datelor rezultate în urma procesării;
– analiz area validității datelor transferate din alte aplicații;
– evaluarea controalelor care verifică înregistrările duble;
– verificarea autorizării electronice și/sau manuale a tranzacțiilor;
– analizarea efectuării tranzacțiilor numai de la PC -uri definite în prealabil;
– verificarea situației licențelor pentru programele de calculator;
– asigurarea integrării subsistemelor componente;

10
– verificarea elaborării manualelor de utilizare și a manualelor de operare;
– verificarea existenței și respectării pr ogramului de instruire a utilizatorilor sistemelor
informatice.
 Securitatea sistemelor informatice
Pentru cel de -al treilea obiectiv sunt caracteristice următoarele activități :
– verificarea existenței unei politici de securitate a sistemelor informatice;
– verificarea actualizării politicii de securitate a sistemelor informatice;
– analizarea modului de întocmire și transmitere sistematică a rapoartelor de monitorizare;
– evaluarea controalelor fizice în domeniul sistemelor informatice(verificarea dotării
camerelor în care se află servere -le cu echipamente adecvate);
– verificarea siguranței accesului la rețea și a comunicării datelor în rețea;
– verificarea implementării programelor anti -virus conform procedurilor;
– monitorizarea sistematică a funcționalității programelor anti -virus;
– verificarea sistemului de actualizare a programelor anti -virus;
– verificarea elaborării planului de recup erare a datelor în caz de dezastru;
– verificarea desemnării responsabililor cu monitorizarea implementării procedurilor privind
recuperarea datelor în caz de dezastru;
– verificarea efectuării monitorizării sistematice
Riscul de control se află într -o strânsă legătură cu mediul de control și activitățile de control
implementate și se referă la o eroare ce nu poate fi prevenită sau corectată într -o perioadă scurtă de
timp de către sistemul de control intern.
Ca de exemplu vreificarea manuală a tabelelor de audit prin intermediul serverului Oracle
implică un grad ridicat de risc deoarece lucrează cu un volum mare de informații înmagazinate.
Riscul detecției reprezintă riscul ca testul independent aplicat de auditor să nu fie capabil să
detecteze erorile din cadrul ariei auditate.
Ca de exemplu procedurile și testele utili zate pentru detectarea funcționării programelor anti –
virus vor avea un risc de detectare destul de avans în cazul rețelelor mari de calculatoare întrucât
testarea se realizează pe un eșantion ce prezintă doar o parte din întregul sistem.
Analiza riscurilor este unul dintre obiectivele esențiale ale misiunii de audit, dar din punct de
vedere practic este imposibil de cuantificat pierderile exacte ale eșecului. Se poate face o estimare

11
având la bază pierderile din trecut sau a experienței proprii sau străine, dar nu se pot face predicții cu
caracter absolut.
Se poate prezice posibilitatea de apariție a unui efect negativ sau probabilitatea sa de apariție,
dar e imposibil de afirma t cu certitudine că acest lucru se va și întâmpla. În calitate de auditori de
sisteme informaționale, aceștea examinează controalele existente în cadrul unei organizaț ii și, chiar
dacă se consult cu alți specialiști sau exprimă propriile opinii , caută să perfecționeze controalele
analizate. Aceste consultă ri sau sugestii pe care le fac trebuie să permită organizației să controleze
mult mai eficient pierderile potențiale și să -și poată conserva resursele de care dispune .

Activitatea de analiză a riscurilor se desfășoară în următoarele etape:
a) Identificarea elementelor sau obiectelor auditabile. În cazul sistemelor informatice se face
o inventariere a activităților ce se doresc a fi protejate: infrastructura rețelei, sis temul de operare,
aplicațiile, informațiile procesate în sistem, suporții de memorare.
b) Stabilirea riscurilor pentru fiecare obiect auditabil pe baza analizei operațiilor în funcție
de anumite criterii concepute anticipat. Aici pot fi incluse: frecvența și gravitatea erorilor(fizice sau
logice), pierderile financiare, pericole de genul incendiilor, întreruperi în alimentarea cu energie
electrică, cataclisme naturale, furtul sau alterarea aplicaților sau a datelor/informaților procesate,
probleme cauzate de incompetență profesională sau managerială.
c) Măsurarea riscurilor care se face în funcție de probabilitatea de apariției riscurilor și de
gravitatea efectelor pe care le produc. În timp s -au dezvoltat mai multe modele de
cuantificare(calitative sau ca ntitative) a diferitelor tipuri de riscuri cărora trebuie să le facă față o
întreprindere, de la simple la complexe. În timp ce modelele cantitative sunt cunoscute în literatura
de specialitate ca fiind cele care se bazează pe experiența auditorului, model ele cantitative fac apel
la formule matematice, încercând să introducă mai multă rigoare în acest domeniu.
Modelul factorilor de risc este cel mai utilizat model în măsurarea riscurilor și se stabilește în
funcție de importanța și greutatea factorilor de r isc precum și de ponderile și nivelurile de apreciere
a riscurilor.
În practică s -au stabilit mai multe tipuri de analiză a riscurilor:
 Calitativă – prin care se stabilește tehnica de diminuare a riscurilor fără ca acestea să
fie calculate.
 Cantitativă – prin care se calculează costurile fiecărui risc și pierderile potențiale.
Acestea pornesc de la premisa că orice organizație se poate aștepta la apariția unor pierderi
cauzate de ineficiența unui sistem informatic, iar acest risc al pierderilor, rezultă din impactul pe
care îl au amenințările asupra resurselor organizației.

12
În literatura de specialitate m odelele calitative sunt cunoscute ca fiind cele ce se bazează
îndeo sebi pe agilitatea auditorului, iar modelele cantitative fac apel la formule matematice,
încercând să introducă mai multă rigoare în acest domeniu.
Model ele de risc, fie ele calitative sau canti tative, reprezintă instrumente deosebit de utile
auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind în același timp informații pentru a
le determina și controla
Astfel după ce a avut loc identificarea riscurilor și ierarhizarea amenințărilor se va decide
pașii de gestionarea a acestora.
În esență auditarea unui sistem informatic c onstă în efectuarea controlului intern asupra
sistemului respective pentru o verificare a corectitudinii rezultatelor prelucrărilor realizate în
interiorul său și distribuirea acestora numai către utilizatorii autorizați, în cazul în care distribuirea
se face automat folosind sisteme de calcul.
Pentru efectuarea controlului intern într -un sistem informatic sunt utilizate măsuri, metode și
tehnici de verificare a corectitudinii rezultatelor prelucrărilor realizate în interiorul său, cunoscute, în
literatura de specialitate, sub denumirea de controale.
Altfel spus, auditul intern într -un sistem informatic se realizează cu ajutorul controalelor.
Utilizarea unui sistem automat de pr elucrare a datelor nu scad importanța controlului intern realizat
în vederea asi gurării corectitudinii rezultatelor prelucrărilor efectuate în interiorul acestuia.
Apariția și utilizarea sistemelor informatice implică însă folosirea unor măsuri și metode de
control specifice, care se adaugă metodelor tradiționale de auditare a sistem elor manuale și/sau
mecanice de pr elucrare a datelor, întrucât posibilitatea de folosire a unui singur calculator pentru
efectuarea tuturor operațiunilor corelate din cadrul unui organism economic impune utilizarea unor
controale specifice pentru asigurare a protecției datelor la pierderi sa u alterări și pentru sesizarea
prelucrărilor eronate, efectuate în interiorul calculatorului.
În literature de specialitate controalele sistemelor iformatice sunt grupate în două categorii:
1. Controale generale
2. Controale de aplicație
Controalele generale cuprind măsuri de protecție a echipamentelor, datelor și programelor
care privesc toate compo nentele unui sistem informatic ( component hardware și componente
software) și pot fi de câteva tipuri:
– controale organizatorice: măsuri de organizare folosite pentru protecția de fraude, neatenție
și/sau neglijență;
– controlul dezvoltării și întreținerii sistemului, în conformitate cu cerințele utilizatorului,
care sunt specificate în proiectul de exec uție;

13
– controale hardware (controale de echipament): presupun măsuri de protecție la defecțiunile
tehnice;
– controale de siguranță (echipamente și fișiere): cuprind măsuri de protecție la pierdere,
distrugere sau alterare, la accesul neautorizat sau la calamități (apă, foc etc.).
Controalele organizatorice pot fi definite ca fiind metode și tehnici de organizare a
activităților desfășurate de societățile economice, folosite pentru prevenirea pierderilor și/sau
alterărilor de date determinate de fraudă, neatenție și/sau neglijență, în vederea asigurării unui
control intern eficient în sistemele de prelucrare a datelor utilizate de acestea.
Categoriile principale de controale organizatorice sunt:
– definirea clară a funcțiilor angajaților , urmată de defi nirea și separarea clară a sarcinilor
acestora pentru fiecare funcție;
– rotația angajaților pe funcții și vacanțe obligatorii;
– selecția angajaților care au acces la echipamentele și programele sistemului informatic și
acordarea unui spor de fidelitate .
Pentru asigurarea unui c ontrol intern stabil într-un sistem de prelucrare și evidență a datelor
(manual, mecanic, semiautomat sau au tomat) din cadrul unei societăți economic e, nici un angajat nu
trebuie să aibă sarcina și răspunderea completă pe ntru efectu area unei activități. O perația executată
de o persoană trebuie verificată de o altă persoană, care are o altă sarcină, vizavi de activitatea
respectivă.
Separarea sarcinilor între diferiți angajați asigură corectitudinea înregistrărilor de date (pe
hârtie sau suport magnetic) și a rapoartelor, protejând în același timp organismul economic respectiv
împotriva pierderilor de date cauzate de fraude sau neglijențe.
Schimbările generate de utilizarea un ui sistem automat de prelucrare a datelor în organizarea
activităților desfășur ate de o întreprindere trebuie să urmărească atât folosirea eficientă a
echipamentelor și programelor componente ale sistemului informatic, cât și asigurarea unui control
intern puternic în cadrul acestuia.
Trecerea de la prelucrarea manuală a datelor la prelucrarea automată a acestora a permis
unificarea activităților și integrarea funcțiilor dintr -un domeniu de activitate , deoarece un singur
calculator, cu ușurință, poate execu ta, toate operațiile corelate din cadrul unui organism economi c.
Acest lucru se poate realiza , fără slăbirea controlului intern, pentru că un calculator programat corect
nu are posibilitatea sau interesul să ascundă erorile și de aceea poate efectua orice combinație de
funcții considerată incompatibilă de un control intern puternic într -un sistem tradițional de
prelucrare a datelor (manual sau mecanic).
Ținând cont de faptul că într -un calculator programele și datele se pot modifica fără a putea
fi observat acest lucru, se impune utilizarea unor controale organizatorice compensato are pentru

14
garantarea siguranței programelor și a datelor cu scopul obținerii unor rezultate corecte ale
prelucrărilor efectuate în interiorul sistemului informatic.
Spre exemplu, într-un sistem manual de prelucrare a datelor, sarcina de înregistrare a
plăților, în numerar, este incompatibilă cu funcția de verificare a extraselor de cont, deoarece cea de –
a doua servește ca metodă de verificare pentru prima, iar în caz de atribuire a ambelor sarcini
aceluiași angajat permite acestuia să ascundă erorile. Dacă cele două funcții, de înregistrare a plăților
și de verificare a extraselor de cont, sunt efectuate de un calculator, acestea devin compatibile,
deoarece calculatorul, programat c orect, nu ascunde erorile. Dar, în acest caz un programator poate
modifica programul astfel încât să fie înregistrată o plată fără nici o bază reală, motiv pentru care
acesta nu trebuie să îndeplinească și funcția de înregistrare a plăților.
Pentru utilizarea eficientă a fiecărui calculator din dotare, entitățile economice combină și
concentrează funcțiile de prelucrare a datelor la nivelul unui compartiment specializat, numit
departament de informatică sau centru de prelucrare automată a datelor.
Dacă din punctul de vedere al unui control intern puternic , funcțiile combinate sau
concentrate la nivelul departamentului de informatică sunt considerate incompatibile, se
implementează controale organizatorice compensatoare la nivelul planului de organiza re al
departamentului informatic respectiv, întrucât într-un sistem informatic programele și da tele pot fi
schimbate, fără a fi observa ta modificarea lor.
Planul de organizare al departamentului informatic trebuie conceput în așa fel încât să
anticipeze intervenția neautorizată a factorului uman în procesul de prelucrare automată a datelor, să
prevină accesul neautorizat al personalului la echipamentele, programele sau datele sistemului
informatic. Acest lucru se poate realiza prin definirea clară a funcți ilor în departament și prin
definirea și separarea clară a sarcinilor angajaților pentru fiecare funcție.
Spre exemplu, un program utilizat cu scopul de a face plăți poate fi proiectat să aprobe plata
unui furnizor de materiale sau servicii numai dacă fac tura de plată a fost emisă pe baza unei comenzi
și dacă există o notă de recepție, d ar un angajat care deține dreptul de a face modificări în programu l
de aplicație poate efectua plă ți, fără vreo bază reală, către anumiți furnizori, d oar d acă planul de
organizare al departamentului informatic respectiv îi permite să facă și plăț i.
Structura organizatorică a fiecărui companii și numărul angajaților de specialitate disponibili
determină gradul necesar de separare a sarcinilor legate de proiectarea și/sau real izarea și
exploatarea unui sistem informatic. Ca și un minim necesar ar fi funcția de programator, care
necesită cunoștințe detaliate despre programul de aplicație folosit, trebuie separată de funcția de
operator, care deține controlul asupra intrărilor în programul respective.
Dacă structura organizatorică a unei entități economic e, care folosește un sistem informatic
pentru evidența și controlul activităților sale, permite unui angajat să realizeze atât sarcini de
programator, cât și sarcini de operator, se slăbește controlul intern, existând o posibilitate
permanentă de fraudă.

15
Separarea activității de programare de cea de exploatare joacă un rol important în asigurarea
unui control intern eficient, deoarece un angajat care realizează ambel e funcții poate face schimbări
neautorizate în programul sistemului informatic, producând fraude.
Din i storia fraudelor computerizate rezultă că de cele mai multe ori, persoanele implicate au
intervenit în sistemul informatic, ca programator și operator, controlând folosirea lui.
De exemplu, dacă programatorul care a creat programul de identificare și listare a tuturor
conturilor clienților care extrag sume de bani mai mari decât limitele admise are acces la sistemul
informatic al băncii ca operator, el are posibilitatea de a modifica programul astfel încât depășirea
limitei de extragere admisă să fie ignorată, pentru contul lui propriu . Programatorul operator poate
în așa mod extrage sume de bani din contul său, fără ca sistemul informatic utilizat să sem naleze
administratorului acest lucru . Frauda nu poate fi desconpirată până când programul nu este revizuit
de către un alt programator sau până când nu se defectează calculatorul iar lista conturilor cu
depășiri de limită trebuie pregătită manual.
Dacă str uctura organizațională a unui organism economic permite accesul personalului de
exploatare a sistemului informatic la activele entității respectiv e, se slăbește, în mod grav , controlul
intern, în cazul în care nu sunt implementate măsuri de control (controale organizaționale)
compensatorii.
Un exemplu ar fi, dacă același angajat ține atât evidența activelor unui organism economic
folosind un sistem informatic, cât și păstrar ea (ges tiunea) fizică a acestora. În urma combinării
responsabilităților corespunzătoare celor două sarcini se creează posibilitatea ca angajatul respectiv
să asc undă sustragerea de active (marfă, bani, etc.). De aceea, societățile economice care folosesc
sisteme informatice pentru evidența computerizată a activelor trebuie să limiteze, pe cât de mult
posibil, accesul personalului de exploatare la activele deținute . Totu și, personalului de exploatare al
unui sistem informatic i se permite :
– acces direct la active le comapniei ; exemplu: dacă sistemul informatic este folosit pentru
tipărirea cecurilor (acces direct la sume de bani);
– acces indirect la active societății ; exemplu: dacă sistemul informatic este folosit pentru a
genera ordine de livrare cu aut orizarea de eliberare a mărfii (acces direct la marfa de livrare).
Drept măsură d e control compensatorie pot fi f olosi te documente le și totaluri le pe loturi,
urmând ca lista cu numărul de documente și totalul datelor semnificative pentru fiecare lot să fie
pregătite în două departamente diferite ale organismului economic respectiv, pentru compararea
rezultatelor.
De exemplu, departamentul care autorizează tipărirea cecurilor are sarcina să întocmească o
listă cu numărul total de cecuri și suma autorizată pentru fiecare, iar tipărirea acestora făcându -se în
alt departament care, la rândul lui, întocmește o listă cu numărul de cecuri tipărite și suma aferentă
fiecăruia.

16
Rotirea , pe funcții, a angajaților care intermediază cu sistemul informatic implementat de un
organism economic se face cu scopul de a evita apariția schimbările neobservabile de date și
programe efectuate în calculator, fie din interes (fraudă), fie din neatenție sau neglijență.
În cadrul unui departament de informatică planul de organizare ar trebui să includă un
mecanism de rotație a sarcinilor și vacanțe obligatorii pentru angajații săi, deoarece schimbarea
programatorilor sau operatorilor (între ei) favorizează descoperirea modificărilor accidentale sau
neautorizate de date și programe.
Rotația , pe funcții, a angajaților care se ocupă cu prelucrarea și evidența datelor asigură un
control intern eficient în orice tip de sistem de prelucrare și evidență a datelor folosit de o
întreprindere , a programelor d in sistemele informatice corespunzându -le în sistemele tradiționale
docume mentele scrise.
Metoda de selecție a angajaților care au acces la echipamentele și programele sistemului
informatic folosit de un organism economic, precum și la datele care circulă în cadrul acestuia,
trebuie f ăcută pe baza unor criterii care ar elimina , pe cât posibil, posibilitățile de fraudă și
producerea erorilor din lipsa cunoștințelor profesional e, din neatenție sau neglijență. Acest personal
de întreținere și exploatare treb uie ales cu grijă, pentru a reduce la minim posibilitatea de distrugere
intenționată produsă de un angajat nemulțumit.
Criterii le principale de selecție a personalului care are legătură cu sistemul informatic sunt:
– nivelul de pregătire profesională dove dit prin: diplome de studii, pregătire teoretică și
îndemânare practică, experiență dobândită în timp (vechime în domeniu), calificative obținute la
locurile de muncă anterioare etc.;
– moralitate și seriozitate dovedite prin: cazier judiciar, înscrisuril e din documentele de
angajare (frecvența și motivele de schimbare a locurilor de muncă), recomandări de la locurile de
muncă anterioare și/sau de la alți specialiști în domeniu (profesori, colegi, cunoștințe) etc.;
– fidelitatea față de societatea la care lucrează .
În concluzie am putea afirma că p lanul de organizare al unui organism economic, cu sau fără
departament de informatică, trebuie să includă un spor de fidelitate pentru angajații săi din domeniul
informatic cu scopul de a evita fraudele computerizate, greu de depistat și foarte periculoase pentru
evoluția organismului economic respective.

Managementul riscurilor in sistemul informatic al unui organism
economic
Pentru a crea un sistem sigur de securitate nu e suficient sa avem doar tehnologia
corespunzatoare. Studiile au arătat că î n medie circa 90% din punctele slabe de securita te
identificate nu sunt cauzate de probleme tehnologice ci instalări și configurări necorespunzătoare

17
sau din nerespectarea unor proceduri de ut ilizare ș i administrare a sistemului. De cele mai multe ori ,
compania nici nu dispune de astfel de procedure.
Această problem trebuie privită per ansamblu. Nu ne putem aș tepta ca un sistem care nu a
fost instalat ș i configurat core spunză tor, care nici măcar nu -și actualizează patch -urile sau pentru
care nu se respectă niș te proceduri simple de utilizare și administrare, să funcționeze ca și un sistem
sigur.Securitatea ar trebui să fie o parte constitutivă a sistemului.
Managementul riscurilor are drept scop facilitarea realizarării eficiente și eficace a
obiectivelor organizației. Cunoaș terea amenință rilor pe rmite o ierarhizare a acestora în funcție de
eventuala materializare a lor, de amploarea impactului asupra obiectivelor ș i de costurile pe c are le
presupun implementarea măsurile menite de a diminua șansele de apariț ie sau de a limita efectele
nedorite.
Stabilirea unei ierarhii între angajați și sarcinile acestora constituie baza intro ducerii unei
ordini de priorități în alocarea resurselor. În majoritatea cazurilor limitate, î n urma unei analize
detaliate cost-benefici u sau, mai general, efort -efect, este esenț ial ca firma să -și concentr eze
eforturile spre lucrurile esențiale, și nu să -și îndrepte resursele î n zone nerelevante pentru scopuri le
sale. Totodată, revizuirea periodică a ris curilor, după cum este prevazut î n standarde le
internaționale, conduce la realocarea resurselor, în fincție de modificarea ierarhiilor și, implicit, a
priorităț ilor. Altfel zis, managementul riscurilor se bazează pe concentrarea resurselor î n zonele de
interes actuale.
De-a lungul timpului, în rândul managerilor, s -au conturat câteva opțiuni de reducere
a expunerii la riscuri:
 asumarea riscurilor -este acceptata expunerea la risc ;
 evitarea riscului -se elimina cauza si/sau consecinta riscului ;
 limitarea riscului –se iau masuri de reducere a riscului ;
 transferarea riscului -se incearca compensarea pierderilor .

Concluzii
Evoluția tehnologică din ultim ii ani și tendința globalizării, transmiterea electronic a
informației și stocarea acesteia în diferite baze de date pune tot mai mult în evidență problema
securizării mediului informatic.
Datorită domeniului IT, informațiile circulă cu o viteză foarte mare, accesul utilizatorului
fiind aproape instantaneu, vi a internet sau intranet.
Cu cât mai mult activitatea unei organizații depinde de calculator cu atât aceasta este expusă
la riscuri legate de sistemele informatice: penetrări neautorizate, furt de informații, pierderi de date,
denaturări a datelor, etc.
În aceste condiții firmele sunt practice impuse sa -si adopte unele politici de securitate a
sistemului respective și să abordeze o întreagă strategie de management îndreptată spre detectarea,
ameliorarea sau chiar înlăturarea ameninșărilor respective.

18
Manage mentul vulnerabilităț ilor și evaluarea riscurilor din cadrul domeniul ui de securitate
informatică reprezintă acțiuni vitale pentru companie care ar trebui tratate cu prioritate maximă.
Managementul riscurilor presupune reducerea riscului printr -un control de securitate cu
scopul de a accepta, a înlătura sau chiar a ignora amenințările respective .
Minimizarea riscurilor se poate face prin mai multe căi, dar cele mai eficiente s -au dovedit a
fi realizarea audituri lor interne de securitate periodice și prin as igurarea respectării politicilor și
procedurilor de securitate.
Pentru a menține un nivel înalt de securitate indivi duală și socială, din cauza faptul ui că
produsele hardwar e și software sunt în continuă dezvoltare , că mereu vor exista concepții umane, cu
vulnera bilități, care pot fi constrânse sau exploatate de anumite persoane rău intenționate prin contra
metode sau inginerie inversă să comită infracțiuni , sau existența unui volum tot mai mare de date și
informații este necesară o protecție adecvată și un nivel de clasificare corespunzător.
Astfel că o adaptare permanentă a procesului de instruire la particularitățile sistemului
informatics va determinat într -un mod favorabil abilitățile operaționale ale forțelor de muncă din
domeniul respective. Fapt ce v a determina o gestionare corectă, completă și protejată a informațiilor
și va asigura o securitate mai avansată a sistemelor informatice și a mediilor de stocare, de
distribuire, de transport și/sau de colectare specifice.
Astfel am ajuns la concluzia că d oar investind în securitate pe ansamblu, societățile
economice își vor putea dezvolta un sistem iT mai sigur, iar pentru fiecare risc identificat acestea ar
trebui să -și dezvolte planuri individuale de măsuri pentru minimizarea expunerii la riscul respecti ve
sau in scopul reducerii impactului acestuia.

19

Bibliografie:
1. Hawker A. „Security and Control in Information Systems: A Guide for Business and
accounting”, Routledge 2000
2. Păun M. “Analiza sistemelor economice ” Ed. ALL, București, 2007
3. Rotaru S., Ghiță M., Ghiță Șt. “Analiza si modelarea sistemelor informatice ”, Ed.
Sitech, Craiova, 2006
4. https://www.juridice.ro
5. http://www.securitatea -informatiilor.ro
6. http://www.conta -conta.ro
7. https://www.todaysoftmag.ro

20