AUDITUL SISTEMELOR INFORMATICE DE GESTIUNE

Februarie 2007
Prof.univ.dr. Dorin LIX NDROIU Facultatea de tiin e Economice Universitatea TRANSILVANIA din Bra ov
1

AUDITUL SISTEMELOR INFORMATICE DE GESTIUNE reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, men ine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informa ionale. to audit = a examina, a verifica, a revizui conturi i nregistr ri contabile auditus = a asculta, a audia ( limba latin ) 2

ISACA

(Information Systems Audit and Control Association)

Web site: http://www.isaca.org Standarde: SISAS (Statement of Information Systems Auditing Standards) Ghiduri: Guidelines and Procedures for Audit and Control Professionals CobiT (Control Objectives for Information and related Technology) Certific ri: CISA (Certified Information Systems Auditor)
3

IFAC

(International Federation of Accountants)

Web site: http://www.ifac.org Standarde: ISA (International Standards on Auditing) IAPS (International Auditing Practice Statements) Ghiduri: IITG (International Information Technology Guidelines)

IIA

(Institute of Internal Auditors)

Web site: http://www.theiia.org Standarde: SIAS (Statements on Internal Auditing Standards)

DECLARA IA INTERNA IONAL PRIVIND PRACTICA DE AUDIT 1001 Medii IT Calculatoare neincluse n re ea 1009 Tehnici de audit asistate de calculator Comitetul Interna ional pentru Practici de Audit (IAPC) al Federa iei Interna ionale a Contabililor (IFAC)

Societatea industrial - produc ia industrial - resursa capitalul Societatea informa ional - produc ia intelectual - resursa informa ia

Avantajul competitiv real se ob ine din surse invizibile, adic din informa ii sau circuite informa ionale, resursele vizibile pot fi cump rate sau copiate rapid, cele invizibile se acumuleaz ns n ani Hiroyouki Itami

SISTEMUL DECIZIONAL

SISTEMUL INFORMA IONAL

SISTEMUL OPERA IONAL

SISTEMUL INFORMATIC
Information system Elementele sistemului: Resursa fizic (hardware) Resursa logic (software) Baza de date Resursa uman i cadrul organizatoric
10

Systme dinformation

STRUCTURA SISTEMUL INFORMATIC

1. SISTEME DESTINATE CONDUCERII (Management Support Systems MSS)  Sisteme suport ale executivului (Executive Support Systems ESS)  Sisteme suport de decizie (Decision Support Systems DSS) Sisteme interactive de asistare a deciziei (SIAD) Sisteme expert (SE)  Sisteme destinate conducerii curente (Management Information Systems MIS)
11

STRUCTURA SISTEMUL INFORMATIC

2. SISTEME OPERA IONALE  Sisteme pentru procesarea tranzac iilor (Transaction Processing Systems TPS)  Sisteme pentru activitatea de birotic (Office Automation Systems OAS)  Sisteme pentru controlul proceselor (Process Control Systems PCS)

12

CLASIFICAREA SISTEMELOR INFORMATICE  SISTEME INFORMATICE PAR IALE  SISTEME INFORMATICE TOTALE  SISTEME INFORMATICE INTEGRATE

13

SISTEMUL INFORMATIC INTEGRAT

Principalele module:  PLANIFICAREA I CONTROLUL PRODUC IEI  MANAGEMENTUL APROVIZION RII, VNZAREA I DISTRIBU IA  CONTABILITATEA FINANCIAR GESTIUNE  MANAGEMENTUL CALIT II
14

I DE

 MANAGEMENTUL RESURSELOR UMANE

SISTEMUL INFORMATIC INTEGRAT

Principalele module (continuare) :  MANAGEMENTUL PROIECTELOR  MANAGEMENTUL SERVICIILOR  MENTENAN A ECHIPAMENTELOR CONTROLUL NTREPRINDERII

15

CARACTERSITICI  Ciclu de via lung  Cost ridicat ANALIZA PRODUSULUI SOFTWARE Tehnologia Arhitectura Mediul de dezvoltare Baza de date Flexibilitate utilizare modular i extindere n mai multe etape Deschidere noile tehnologii informatice Adaptabilitate la cerin ele beneficiarului integrarea aplica iilor interne 16

BAZA DE DATE
O colec ie de date opera ionale nregistrate pe suport adresabil, aflate n interdependen logic , mpreun cu descrierea datelor i a rela iilor dintre ele i care sunt prelucrate n aplica iile informatice ale unei organiza ii.

17

BAZA DE DATE
Este un ansamblu de date:  structurate  coerente  persistente  cu o redundan minim i controlat  independente de programul de aplica ie  direct accesibile dup mai multe criterii  simultan accesibile de c tre mai mul i utilizatori

18

ABD (Data Base Administrator)

responsabil cu realizarea fizic a BD, care include proiectarea, implementarea, exploatarea i ntre inerea acesteia, securitatea, acordarea drepturilor de acces i controlul integrit ii.

19

ARHITECTURA BAZELOR DE DATE

baza de date propriu-zis n care se memoreaz datele sistemul de gestiune al bazei de date (SGBD) metabaza de date - dic ionarul datelor (DD) mijloacele hardware personalul (ABD, anali ti, programatori, utilizatori finali)

20

NTREPRINDEREA SISTEM CIBERNETIC SUBSISTEMUL LOGISTIC I DE PRODUC IE SUBSISTEMUL FINANCIAR CONTABIL SUBSISTEMUL DE MARKETING SUBSISTEMUL RESURSE UMANE SUBSISTEMUL DE CONTROL I GESTIUNE STRATEGIC
21

IT GOVERNANCE - procesul de control i coordonare a resurselor informa ionale: - mijloacele de culegere, prelucrare, stocare i transmitere automat a datelor (calculatoare, periferice, re ele, servere, routere, software etc.) - politicile i procedurile care guverneaz procesele informatice - utilizatorii, personalul implicat n dezvoltarea i conducerea sistemului informa ional (anali ti, programatori, manageri etc.), furnizorii de resurse informa ionale i auditorii sistemului informa ional
22

IT GOVERNANCE
obiectivele principale sunt: stabilirea unor strategii pentru ca utilizarea resurselor informa ionale s fie n concordan cu obiectivele organiza iei; utilizarea ct mai eficient i cu riscuri minime a resurselor informa ionale (hardware, software).

23

Factorii ce impun auditul SI :

- Costul pierderii datelor - Costul lu rii unor decizii incorecte - Costul abuzului n sistemul informatic - Valoarea ridicat a sistemului hardware, software i a personalului specializat - Costul ridicat al erorilor datorate calculatoarelor - Protec ia confiden ialit ii - Controlul evolu iei modului de utilizare al calculatoarelor.
24

Necesitatea activit ii de audit informatic:

y Auditorii financiari i interni au realizat c sistemul informatic are un impact tot mai mare asupra obiectivelor misiunilor lor y Managerii din cadrul ntreprinderilor au recunoscut calculatorul ca fiind o resurs cheie n competi ia de pe pia i ca atare se impune controlul i auditarea proceselor unde este utilizat y Asocia iile i organiza iile profesionale, precum i guvernele, au recunoscut necesitatea controlului i auditatarea sistemelor informatice
25

Rezultatele Auditului Sistemului Informatic:

- cre terea securit ii mijloacelor sistemului informatic - cre terea integrit ii datelor - cre terea utiliz rii efective a sistemului informatic - cre terea eficien ei exploat rii sistemului informatic - cre terea eficien ei i calit ii procedurilor i politicilor de securitate - cre terea calit ii controlului intern

26

Rezultatele Auditului Sistemului Informatic:

Identificarea i evaluarea riscurilor din sistem. Evaluarea i testarea controlului din sistem. Verificarea i evaluarea fizic a mediului informa ional. Verificarea i evaluarea administr rii sistemului informatic. Verificarea i evaluarea aplica iilor informatice. Verificarea i evaluarea securit ii re elelor de calculatoare. Verificarea i evaluarea planurilor i procedurilor de recuperare n caz de dezastre i continuare a activit ii. Testarea integrit ii datelor.

27

Ce cuno tin e sunt necesare unui auditor de sisteme informatice ? cuno tin e din domeniul auditului financiar; cuno tin e din domeniul managementului; cuno tin e din domeniul contabilit ii; cuno tin e din domeniu financiar; cuno tin e privind evaluarea riscurilor; cuno tin e privind controlul; cuno tin e privind arhitectura fizic (hardware) a sistemelor informatice;
28

 cuno tin e privind sistemele de operare i aplica iile informatice; cuno tin e privind re elele de calculatoare; cuno tin e privind securitatea sistemelor informatice; cuno tin e privind analiza, proiectarea i implementarea sistemelor informatice; cuno tin e privind programarea i limbajele de programare; cuno tin e privind sistemele de gestiune a bazelor de date;
29

 cuno tin e privind tehnicile de procesare automat a datelor n cadrul sistemelor informatice de gestiune; cuno tin e de baz din statistic economic ; cuno tin e privind legisla ia.

30

Aptitudinile Auditorului de Sisteme Informatice:

s fie un bun membru ntr-o echip de audit; s fie un bun manager al activit ilor de audit; s aib un spirit de observa ie bine dezvoltat; s fie un bun colaborator; s dispun de abilit i de comunicare; s fie capabil s ia decizii obiective; s fie un bun analist.
31

RISCUL N SISTEMELE INFORMATICE

Reprezint probabilitatea de apari ie a unei pierderi care s afecteze negativ resursele informa ionale i func ionalitatea sistemului. MANAGEMENTUL RISCULUI reprezint procesul de identificare a vulnerabilit ilor i amenin rilor din cadrul unei ntreprinderi, precum i de elaborare a unor m suri de minimizare a impactului acestora asupra resurselor informa ionale din ntreprindere. NIVELUL RISCULUI TOTAL = f ( amenin ri, vulnerabilit i, valoarea SI )
32

NIVELUL RISCULUI TOTAL = amenin ri x vulnerabilit i x impacturi unde: amenin ri evenimente sau activit i ce pot afecta punctele slabe existente n sistem; vulnerabilit i punctele slabe existente n sistem i care pot fi exploatate de c tre amenin ri impacturi consecin e pe termen scurt, mediu sau lung pe care organiza ia le suport ca urmare a exploat rii vulnerabilit ilor de c tre amenin ri. mare (3) mediu (2) redus (1) inexistent (0)
33

1. RISCUL DE AFACERE
- probabilitatea ca o firm s nu- i ating obiectivele sale de afaceri datorit factorilor interni (de ex. func ionarea defectuas a sistemului informatic hardware isau software), sau a factorilor externi (de ex. apari ia pe pia a unor concuren i mai puternici).

2. RISCUL DE AUDIT
- probabilitatea ca un auditor s nu observe o eroare sau fraud din sistemul auditat.
34

Riscul de audit con ine mai multe tipuri de riscuri: Riscul inerent. Reprezint probabilitatea ca o eroare sau o fraud s se produc n mod inerent datorit naturii activit ii desf urate n ntreprindere. Riscul de control. Reprezint probabilitatea ca o eroare sau o fraud s se produc f r a fi detectat sau prevenit de c tre controlul intern. Riscul de detectare. Reprezint probabilitatea ca un auditor s nu detecteze prin testele aplicate o eroare din cadrul sistemului de control auditat.

35

1. RISCUL SISTEMULUI INFORMA IONAL

- probabilitatea de apari ie a unor erori sau fraude datorit utiliz rii inadecvate a sistemului informa ional. Cuprinde: A. Riscurile la nivelul aplica iilor i opera iilor din sistemul informatic: securitatea sc zut a aplica iilor; accesul neautorizat la datele sistemului; introducerea unor date inadecvate sau false; procesarea incomplet a datelor;
36

 dublarea datelor tranzac ionate; procesarea cu ntrziere a datelor; nefunc ionarea corect a transmisiei datelor; segregarea inadecvat sau inexistent a func iilor i responsabilit ilor; analiza i proiectarea defectuoas a aplica iilor; incompatibilitatea dintre aplica iile informatice; infectarea aplica iilor cu viru i electronici; instruirea inadecvat a utilizatorilor; suportul i mentenan a inadecvat a aplica iilor.
37

B. Riscul de continuare a activit ii sistemului informatic cuprinde: riscul disponibilit ii sistemului probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit securit ii sale (atacuri informatice); riscul recuper rii sistemului probabilitatea ca datele i opera iile sistemului s nu mai poat fi recuperate (lipsa unor copii de siguran i a procedurilor de de recuperare).

38

ETAPELE DE EVALUARE A RISCURILOR DIN SISTEMUL INFORMA IONAL  identificarea factorilor de risc;  ierarhizarea factorilor de risc dup acestora pentru sistemul auditat; importan a

 determinarea frecven ei i duratei de apari ie a fiec rui factor de risc;  cuantificarea i evaluarea nivelului de risc;  programarea auditului i alocarea resurselor de audit corespunz toare nivelului de risc stabilit.
39

UN MODEL DE EVALUARE A RISCURILOR ( A- B- C ) DIN SISTEMUL INFORMA IONAL Riscul accesibilit ii = f (riscul accesului fizic, riscul accesului la re ea) A. Nivelul de vulnerabilitate = f (riscul accesibilit ii, nr.de utilizatori autoriza i) Riscul dependen ei de speciali ti = f (riscul asociat angaja ilor, riscul documenta iei)
40

Riscul tehnologic = f (riscul ciclului de via , riscul dependen ei de speciali ti) Complexitatea organiza ional i a proiectului = f (riscul complexit ii organiza ionale, riscul asociat func iilor) B. Complexitatea sistemului = f (riscul tehnologic, complexitatea organiza ional a proiectului) C. Riscul de ncredere = f (riscul asociat personalului, riscul asociat managerilor)
41

Controlul n cadrul Sistemului Informa ional Controlul intern - asigur prevenirea, identificarea i corectarea problemelor cauzate de c tre factorii de risc.  Controlul preventiv permite identificarea problemelor (erori, omisiuni, fraude) nainte ca acestea s apar ;  Controlul detectiv permite raportarea problemelor ap rute; detectarea i

 Controlul corectiv - permite remedierea unei probleme sau minimizarea amenin rii identificate prin controlul detectiv.
42

Obiectivele controlului intern specifice SI: asigurarea securit ii fizice i logice a resurselor informa ionale; asigurarea integrit ii aplica iilor informatice; asigurarea eficien ei dezvolt rii sau achizi iei de aplica ii informatice i asigurarea compatibilit ii; asigurarea eficacit ii i eficien ei opera iilor i procedurilor din sistem; asigurarea concordan ei dintre procedurile, respectiv opera iile din sistem i reglement rile legale i regulamentele interne n vigoare; asigurarea recuper rii datelor i continuarea activit ii n caz de dezastre sau evenimente neprev zute.
43

Controlul n cadrul Sistemului Informa ional (conform standardului IFAC-IAPS 1008)

A. Controlul managementului SI - auditorul identific , evalueaz i testeaz :

 organizarea sistemului informatic;  proiectarea i implementarea sistemului informatic;  procedurile i opera iile din sistem;  organizarea securit ii sistemului;  asigurarea calit ii sistemului.
44

B. Controlul aplica iilor informatice - auditorul identific , evalueaz i testeaz :

 intrarea datelor n sistem (autenticitate, acurate e, integralitate);  efectuarea tranzac iilor (acurate e, integralitate, integritate);  ie irile din sistem.

45

Standarde de evaluare a riscurilor i implementarea controlului n SI

ISACA (Information Systems Audit and Control Association) IT Governance Institute (fondat de c tre ISACF Information Systems Audit and Control Foundation) Standardul - CobiT (Control OBjectives for Information and related Technology) Con ine: prezentarea general , cadrul de lucru, obiectivele controlului, ghidul pentru management, ghidul pentru audit, instrumentele de implementare. 46

IFAC

(International Federation of Accountants)

Standarde: ISA (International Standards on Auditing) IAPS (International Auditing Practice Statements) ISA 400: reglementeaz evaluarea riscurilor i a controlului intern. ISA 401: reglementeaz procesul de audit n cadrul sistemelor informatice. IAPS 1008: reglementeaz evaluarea riscurilor i controlului intern din cadrul sistemelor informatice.
47

Metodologia de audit a sistemelor informatice

Principalele etape: 1. 2. 3. 4. 5. 6. Planificarea Evaluarea riscurilor i controlului intern Elaborarea programului de audit Culegerea probelor Formularea concluziilor i elaborarea raportului Urm rirea (monitorizarea) implement rii recomand rilor din raportul de audit
48

1. PLANIFICAREA
 s se informeze cu privire la obiectul de activitate al clientului i domeniul n care i desf oar activitatea;  s se documenteze cu privire la structura sistemului informa ional. Auditorul trebuie s analizeze structura organizatoric (organigrama), organigrama sistemului informatic i flowcharturile din sistem;  s determine complexitatea sistemului informatic;  s se documenteze cu privire la aplica iile informatice utilizate;  s se documenteze cu privire la infrastructura re elei de calculatoare; 49

PLANIFICAREA (continuare)
 s se documenteze cu privire la politicile i procedurile de securitate, respectiv procedurile de operare din sistemul informatic;  s identifice contractele de outsourcing (externalizare) din sistemul informa ional;  s se documenteze cu privire la controlul intern i mai cu seam a controalelor ce privesc procesele ce vor fi auditate;  s s evalueze riscurile din sistem (inerent, de detectare i de control);  s stabileasc nivelul pragului de materialitate;  s stabileasc i s documenteze foile de lucru 50 necesare pentru misiunea de audit.

2. Evaluarea riscurilor i a controlului intern

 s identifice vulnerabilit ile i amenin rile la care este expus aria de audit;  s evalueze prin tehnici adecvate (metoda scorurilor sau judecata liber ) nivelurile de risc din cadrul ariei de audit;  s stabileasc riscul inerent i de control;  s evalueze controlul intern din aria de audit.

51

3. Elaborarea programului de audit

Scopul auditului Obiectivele auditului Procedurile i tehnicile de audit ce vor fi utilizate Planificarea i programarea sarcinilor i responsabilit ilor membrilor echipei  Bugetul misiunii de audit    

52

4. Culegerea probelor
 documente privind politicile i procedurile de securitate din sistemul informa ional al clientului;  documente privind procedurile de lucru din sistemul informatic;  documente sau observa ii privind infrastructura fizic (hardware) i logic (software) a sistemului auditat;  interviurile i chestionarele aplicate;  flowchart-uri de sistem i/sau de aplica ii;  observa ii personale n cadrul foilor de lucru;  fi iere cu datele extrase din aria de auditat;  fi iere cu tranzac iile de date necesare auditului
53

Culegerea probelor (continuare)

 fi iere jurnal pentru intr ri, prelucr ri, tranzac ii de date i tratare a erorilor;  situa ii listate din aplica iile sistemului;  fi ierele cu datele de test;  fi iere cu erori;  con inutul i rezultatul testelor controlului din sistem;  liste cu surse ale programelor utilizate n procesele auditate;  con inutul i rezultatul testelor securit ii sistemului.
54

5. Formularea concluziilor i elaborarea raportului care va con ine:

         Denumirea organiza iei auditate. Titlul, data i semn tura. Descrierea obiectivelor auditului. Scopul auditului. Perioada acoperit prin audit. Standardele i criteriile de desf urare a auditului. Descrierea detaliat a rezultatelor auditului. Concluziile i opiniile auditorului. Recomand rile i m surile corective. 55

6. Urm rirea (monitorizarea) implement rii recomand rilor din raportul de audit

 n aceast etap se stabilesc de comun acord cu clientul datele n care auditorul va reveni s verifice dac recomand rile i m surile corective propuse de el au fost implementate.

56

TEHNICI DE AUDIT A SISTEMELOR INFORMATICE

1. Tehnici de investigare a sistemului auditat. 2. Tehnici de identificare i evaluare a riscurilor. 3. Tehnici de testare a controlului din cadrul sistemului auditat.

57

1. Tehnici de investigare a sistemului auditat.

 Interviul  Chestionarul  Diagrama de flux informa ional (Flowchart)

58

2. Tehnici de identificare i evaluare a riscurilor

 Abordarea intuitiv (judecat liber / intui ia)  Tehnica scorurilor  Metoda cantitativ PAE = I x F unde PAE pierderea anual datorat expunerii I impactul estimat n LEI / USD / EURO F frecven a de apari ie a factorilor de risc
59

3. Tehnici de testare a controlului din cadrul sistemului auditat

 Teste de concordan  Teste de integritate  Tehnica datelor de test  Tehnica testului integrat  Simularea paralel
60

TEHNICI DE AUDIT ASISTATE DE CALCULATOR CAAT (Computer Assisted Audit Techniques)

 Instrumente pentru cre terea productivit ii muncii de audit  Aplica ii generale de audit (GAS - Generalized Audit Software)  Aplica ii informatice (utilitare) pentru testarea i verificarea sistemului
61

CAAT (Computer Assisted Audit Techniques)

Sunt programe i date computerizate pe care auditorul le folose te ca parte a procedurilor de audit, pentru a procesa date cu semnifica ie pentru audit con inute n sistemele informatice ale unei entit i. Datele pot fi date despre tranzac ii, asupra c rora auditorul dore te s efectueze teste ale controalelor sau proceduri de fond, sau alte tipuri de date. (Declara ia 1009)

62

CAAT include:

Teste ale detaliilor tranzac iilor i soldurilor, de exemplu folosirea software-ului de audit pentru recalcularea dobnzii sau pentru extragerea din nregistr rile computerizate a facturilor care dep esc o anumit valoare; Proceduri analitice, de exemplu identificarea neconcordan elor sau a fluctua iilor semnificative;

63

Teste ale controalelor generale, de ex. testarea set rii sau a configur rii SO sau a procedurilor de acces la bibliotecile de programe, sau prin folosirea programelor de comparare a codurilor pentru a verifica faptul c versiunea programului folosit este versiunea aprobat de conducere;  Programe de e antionare pentru extragerea datelor n vederea test rii de audit;  Teste ale controalelor aplica iilor, de exemplu testarea modului n care func ioneaz un control programat;  Reefectuarea calculelor efectuate de sistemele contabile ale entit ii. 
64

Sunt considerate CAAT:

Pachetele de programe - sunt programe de computer generalizate, proiectate s efectueze func ii de procesare de date (de ex. citirea datelor, selectarea i analizarea informa iilor, executarea calculelor, crearea fi ierelor de date i raportarea ntr-un format specificat de auditor).  Programele realizate pentru un anumit scop execut sarcini de audit n circumstan e specifice. Acestea pot fi elaborate de c tre auditor, de entitatea auditat sau de un programator extern angajat de auditor.
65

Programele utilitare sunt utilizate de c tre o entitate pentru a executa func ii comune de procesare de date, precum sortarea, crearea i tip rirea fi ierelor. Aceste programe, n general, nu sunt proiectate pentru scopuri de audit i, de aceea, ele pot s nu con in caracteristici de genul num r tori automate ale nregistr rilor sau totaluri de control.  Programele de gestionare a sistemelor sunt instrumente pentru mbun t irea productivit ii (de ex. programe de recuperare a datelor). Ca i n cazul programelor utilitare, aceste instrumente nu sunt proiectate n mod special pentru audit i necesit o aten ie suplimentar n utilizare.
66

 Programele de audit de rutin ncorporate includ: - Instantanee imaginea unei tranzac ii pe m sur ce aceasta parcurge sistemele de calcul. - Fi ier de revizuire a auditului referitor la controlul sistemelor module de program de audit ncorporate n sistem. Informa iile sunt colectate ntr-un fi ier special pe care auditorul l poate examina.  Tehnicile de testare a datelor pentru - Testarea accesului la date, parole on-line. - Testarea tranzac iilor selectate din tranzac iile procesate anterior sau create de auditor. - Testarea tranzac iilor folosind o unitate dummy (un departament sau un angajat fictiv).
67

Pa ii principali f cu i de AUDITOR n aplicarea unui CAAT  Stabilirea obiectivului aplica iei CAAT;  Determinarea con inutului i a accesibilit ii la fi ierele entit ii;  Identificarea fi ierelor sau bazelor de date specifice care urmeaz a fi examinate:  n elegerea rela iilor dintre tabelele de date, acolo unde urmeaz s fie examinat o baz de date;  Definirea testelor sau a procedurilor specifice, precum i a tranzac iilor i soldurilor aferente afectate;  Definirea cerin elor cu privire la ie irile de date;
68

 Stabilirea mpreun cu utilizatorul i resposabilul IT a efectu rii unor copii ale fi ierelor i bazelor de date relevante;  Identificarea personalului care poate participa la proiectarea i aplicarea CAAT-urilor;  Perfec ionarea estim rilor costurilor i beneficiilor;  Asigurarea c utilizarea CAAT-urilor este controlat i documentat corespunz tor;  Organizarea activit ilor administrative, inclusiv aptitudinile necesare i facilit ile computerizate;  Reconcilierea datelor care vor fi utilizate pentru CAAT-urile cu nregistr rile contabile;  Executarea aplica iei CAAT; 69  Evaluarea rezultatelor.