BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

CONTROALE GENERALE
3.3 Controale interne IT Nucleul de probleme asupra cruia se concentreaz munca echipei de audit este reprezentat de sistemul de controale interne, aa cu a rezultat i din definirea obiectului auditului sistemelor informatice. Auditorul trebuie s tie CE controale trebuie s certifice i CUM se aplic controalele pentru ca activitatea I s se desfoare corect, fr erori i disfunc!ionalit!i. "e practic #ruparea controalelor interne I $n dou clase% & controale #enerale' & controale de aplica!ii. 3.3.1 Controale generale Controalele #enerale, sunt acele controale care se aplic la nivelul $ntre#ului sistem I al or#aniza!iei, tuturor compartimentelor implicate $n realizarea i func!ionarea sistemului pentru certificarea proiectrii, realizrii, implementrii, e(ploatrii i dezvoltrii corecte a $ntre#ului sistem informatic. Controalele #enerale se refer la % & controale privind planificarea i or#anizarea sistemului informatic' & controale ale ciclului de via! al sistemului' & controale de securitate I ' & controale ale mana#ementului schimbrilor $n sistemul informatic.

a) controalele privind planificarea i organizarea Controalele privind planificarea i or#anizarea sistemului informatic mai sunt numite i )controale ale mana#ementului*. Cerin!ele #uvernan!ei I impun mana#ementului corelarea strate#iei i obiectivele I cu obiectivele strate#ice ale or#aniza!iei. Auditul trebuie s controleze c $ntr&adevr mana#ementul I duce la $ndeplinire aceast cerin! #eneral, respectiv ini!iaz i controleaz ac!iunile prin care aceste obiective sunt transpuse $n practic. Aceste ac!iuni concrete $nseamn% & planificarea sistemului informatic' & or#anizarea sistemului' & inte#rarea sistemului informatic. +lanificarea sistemului informatic trebuie $n!eleas ca i planificarea produc!iei, $n sensul c trebuie s ne stabilim !intele pentru viitor, ceea ce avem de fcut $n viitor, cu ce resurse i cu ce beneficii. Auditul trebuie s constate dac e(ist un plan strate#ic i un plan opera!ional pentru sistemul informatic. +lanul strate#ic trebuie s con!in direc!iile de dezvoltare ale sistemului pe termen lun#, $n vreme ce planul opera!ional are un orizont mai mic p,n la doi trei ani. -ar e bine s avem planuri anuale. Acest plan opera!ional include de e(emplu% ce servicii se doresc a fi oferite

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

de sistem, ce aplica!ii se vor dezvolta i desi#ur cu ce resurse i cu ce costuri vor fi ob!inute aceste resurse. .n con!inutul acestor planuri se re#sete acea corelare a obiectivelor I cu obiectivele economice ale firmei, cum ar fi, de e(emplu, viziunea asupra investi!iilor $n tehnolo#ia I corelat cu dezvoltarea afacerilor electronice ale firmei $n mediul Internet. rebuie incluse aici i problemele de bu#et, cheltuieli, beneficii, indicatori de eficien!. /r#anizarea sistemului informatic are $n vedere stabilirea sarcinilor, a responsabilit!ilor, rspunderilor conform or#ani#ramei, posturilor i rela!iilor de subordonare, coordonare i colaborare din cadrul acesteia. +roblemele or#anizatorice sunt deosebit de importante av,nd $n vedere le#turile informa!ionale pe care le asi#ur sistemul informatic pentru% & automatizarea proceselor de prelucrare p,n la nivelul fiecrui post de lucru' & comunicarea datelor at,t $n interiorul firmei c,t i $n e(teriorul sau $n primul r$nd cu clien!ii i furnizorii firmei' & suport pentru fundamentarea proceselor decizionale. Atitudinea mana#ementului fa! de problematica I este hotr,toare pentru func!ionarea cu succes a sistemului informatic. rebuie incluse aici i problemele de bu#et, cheltuieli, beneficii, indicatorii de eficien!. b) Controale privind ciclul de via al sistemului, Aceste controale sunt denumite frecvent $n literatura de specialitate controale "0-C & s1stem life development c1cle, urmresc modul $n care se respect etapele i fazele specificate de metodolo#ia de analiz i proiectare a sistemelor informatice. 2om considera c etapele ce se re#sesc $n ma3oritatea metodolo#iilor, desi#ur pu!in schimbate ca terminolo#ie, sunt urmtoarele% & studiu de fezabilitate sau preliminar' & analiz i formularea cerin!elor' & proiectare' & realizare' & implementare. Studiul de fezabilitate st la baza deciziei privind oportunitatea i eficien!a realizrii proiectului I . Auditorul, prin documentarea pe care o face va certifica dac aceast decizie este conform cu strate#ia , cu obiectivele firmei i se bazeaz pe o analiz cost 4 beneficiu pertinent. Auditorul trebuie s urmreasc $ndeplinirea unor cerin!e $n acest sens, ca de e(emplu & determinarea beneficiilor strate#ice ale implementrii sistemului I sub aspectul creterii productivit!ii, reducerea costurilor, ob!inerea unei rate acceptabile de recuperare a investi!iei $n sistemul I ' & planificarea proiectului I i atribuirea responsabilit!ilor, inclusiv $n ceea ce privete discutarea i aprobarea eventualelor revizuiri si modificri ale proiectului. Analiza i formularea erin!elor informa!ionale are o importan! ma3or pentru auditul sistemului I pentru c se verific faptul c s&au identificat corect cerin!ele utilizatorilor finali precizate $n specifica!iile de sistem. Urmeaz evaluarea modului $n care s&a ales varianta de realizare a sistemului informatic% & in & house, cu resurse proprii' & outsourcin#, printr&un contract cu o companie de soft5are.

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

Este #reu, dar util s se analizeze comparativ efortul i beneficiile realizrii sistemului cu informaticienii proprii, ca o solu!ie perfect modelat pe nevoile firmei cu efortul, disfunc!ionalit!ile dar si numeroasele avanta3e ale implementrii unei solu!ii E6+ personalizat de specialitii firmei care a c,ti#at licita!ia pentru sistem. Indiferent de variant sistemul trebuie s furnizeze output& urile conform cerin!elor utilizatorilor. "roie tarea este $n aten!ia auditorului pentru verificarea controalelor #enerale sub aspectul respectrii conformit!ii cu cerin!ele ini!iale a specifica!iilor pentru baza de date, a specifica!iilor de pro#ramare, pentru crearea unui plan pentru testarea securit!ii i stabilirea unui control formal al modificrilor necesar prevenirii modificrilor necontrolate ale procesului de realizare a sistemului. Realizarea este etapa $n care controalele #enerale vizeaz utilizarea corect a specifica!iilor de realizare a pro#ramelor, procedurilor automate, definitivarea flu(urilor informa!ionale, definitivarea formei i formatului pentru ieiri, intrri, realizarea nomenclatoarelor de coduri, asi#urarea unui caracter omo#en i unitar pentru interfa!a #rafic cu utilizatorii. Auditorul va urmri i modul cum func!ioneaz controalele pentru diversele nivele de testare intermediar pentru validarea realizrilor par!iale. / aten!ie deosebit trebuie acordat documenta!iei. Im#lementarea este o etap $n care controalele au o importan! i mai mare pentru c se $ncheie procesul realizrii sistemului i $n consecin! auditul trebuie s evalueze testarea, certificarea i acreditarea sistemului informatic. rebuie s facem distinc!ie $ntre testare, e(perimentare i implementare pentru a diferen!ia sarcinile echipei de audit. estarea se face pe componente individualizate% pro#rame, lan!uri de pro#rame. Aplica!ii, cu date de test special pre#tite de proiectan!i. E(perimentarea $nseamn verificarea func!ionrii aplica!iilor informatice $n condi!ii reale, cu date preluate normal din sistemul economic. .n faza de e(perimentare se mai pot face modificri i se pot aduce corec!ii sistemului, inclusiv $n documenta!ie, i aceste ac!iuni sunt considerate normale nu erori de proiectare. Implementarea $ncepe cu translatarea datelor din vechiul sistem $n noul sistem, popularea bazelor de date, $nlocuirea documentelor i activarea noilor circuite informa!ionale, recrea la operarea cu noile proceduri de prelucrare i la utilizarea noilor situa!ii i rapoarte. +rocesele informatice se inte#reaz $n procesele de business curente ale $ntreprinderii. c) controale de securitate Controalele de securitate incluse $n controalele #enerale au ca scop verificarea accesului utilizatorilor la sistem, identificarea, autentificarea i autorizarea utilizatorilor i a drepturilor acestora de acces i prelucrare. Numai persoanele autorizate au acces la date, procedurile automate i pro#ramele surs. Numai persoanele autorizate pot realiza opera!ii de actualizare sau accesare a bazelor de date. oate acestea i $nc alte controale i msuri se re#sesc $n politica de securitate a firmei. Comple(itatea problemelor de securitate, e(isten!a unui standard rom,n pentru securitatea informa!iilor, este vorba de 7codul de practic pentru mana#ementul securit!ii informa!iei "6 I"/4CEI 899::%;<<<* au determinat includerea tuturor acestor probleme $ntr&un 7sistem de mana#ement al securit!ii informa!iilor = Information "ecurit1 Mana#ement "1stem* ca parte component a sistemelor I >C, alturi de -?M" = -ata ?ase Mana#ement "1stem, -@M" & -ata @arehouse Mana#ement "1stem, -"" & -ecision "upport "1stem. +entru c vom discuta despre acest sistem $n capitolul urmtor, acum vom men!iona doar principalele aspecte vizate de controalele #enerale, le#ate de securitatea sistemului i anume'

BDSA ASE &

Auditul Sistemelor Informatice Traian Surcel

e(isten!a i func!ionarea unei structuri de administrare a securit!ii, $n care s se re#seasc de e(emplu func!ii i atribu!ii pentru administratorul resurselor informatice i de comunica!ie, ofi!erul de securitate a informa!iilor' & controlul i administrarea parolelor i drepturilor utilizatorilor' & controlul lo#ic pentru accesul la instalarea i confi#urarea de echipamente i pachete soft5are' & controlul procedurilor de monitorizare a prevenirii, comunicrii i solu!ionrii incidentelor de securitate' & controale de securitate fizic. & controlul procedurilor de realizare a copiilor de si#uran!. Copiile de si#uran!, at,t ale datelor c,t i pro#ramelor servesc desi#ur procesului de refacere a sistemului $n caz de incidente. +entru procesul de audit ele sunt importante $n testarea unor controale privind disponibilitatea, acurate!ea i credibilitatea raportrilor, $n special ale raportrilor financiare. +entru auditare sunt necesare uneori verificarea procesului de prelucrare a unor tranzac!ii al cror istoric se ob!ine numai cu a3utorul copiilor, arhivelor de date i pro#rame. Este important s avem fiierul facturilor de acum A luni dar i versiunea pro#ramului de facturare cu care s&a operat la acea vreme. Auditul trebuie s verifice le#at de aceste aspecte urmtoarele% & instrumentele hard5are i soft5are pentru bacBup' & procesele i controalele care certific faptul c se fac cu re#ularitate copii de si#uran!' & completitudinea copiilor, dac se fac, de e(emplu, copii ale $ntre#ului fiier sau numai a ultimelor $nre#istrri actualizate, & controalele care evalueaz acurate!ea, corectitudinea proceselor de bacBup' & controalele pentru verificarea completitudinii i acurate!ea datelor i pro#ramelor dup ce au fost restaurate pe baza copiilor efectuate' & documentarea i solu!ionarea incidentelor de bacBup. Copiile de si#uran! ale datelor i ale pro#ramelor sunt absolut necesare i pentru derularea planului de refacere $n caz de dezastre. 6efacerea $n caz de dezastre, incendii, inunda!ii, cutremure, atacuri teroriste sau conflicte armate colaterale, este un proces comple(,. -6+ = -ezaster 6ecover1 +lan, parte a ?C+ = ?usiness Continuit1 +lan, ia $n discu!ie amplasarea copiilor de si#uran! i a unor echipamente principale, servere, sta!ii, hub&uri, s5itch&uri, routere, imprimante, $ntr&o alt loca!ie, si#ur, chiar $ntr&o alt !ar, apoi necesit e(isten!a unor echipe de rezerv formate din informaticieni instrui!i pentru astfel de proceduri. Nu trebuie uitate consumabilele i alte cerin!e materiale care vor face func!ional sistemul de rezerv. Copiile de si#uran! i toat suita de controale amintite p,n acum sunt o munc cam plicticoas pentru proiectan!ii de sistem dar ele trebuie operate $n mod obli#atoriu. / eroare dac s& a strecurat, un calcul dac are o #reeal, dac lipsesc c,teva $nre#istrri de date, totul se poate corecta, dar dac nu ai o copie de si#uran! un fiier distrus s&ar putea s nu mai poat fi refcut deloc sau cu foarte mare efort. d) controale pentru managementul schimbrilor /biectivul acestor controale este acela de a verifica c toate modificrilor aduse aplica!ilor sunt corect autorizate i aprobate $naintea implementri. Ac!iunile tipice care apar $n aceste situa!ii sunt%

BDSA ASE &

Auditul Sistemelor Informatice Traian Surcel

ob!inerea cerin!elor informa!ionale pe baza crora se autorizeaz implementarea unor sisteme noi sau modificarea celor e(istente' & clasificarea i stabilirea priorit!ilor' & aprobarea cerin!elor informa!ionale noi' & selectarea solu!iilor $n concordan! cu cerin!ele de asi#urare a consisten!ei solu!iilor' & mana#ementul achizi!iilor de echipamente i pachete soft5are' & modificarea infrastructurii tehnolo#ice pentru a sus!ine solu!iile' & instalarea, testarea i certificarea solu!iilor de modificare, ob!inerea acceptului utilizatorilor' & monitorizarea post&implementare' & stabilirea procedurilor pentru modificri ur#ente. Aplicarea acestor controale asi#ur caracterul unitar al proceselor I , prevenirea i eliminarea disfunc!ionalit!ilor provocate de efectuarea haotic a modificrilor cu consecin!ele care se bnuiesc asupra credibilit!ii sistemului informatic.