Documente Academic
Documente Profesional
Documente Cultură
Tema 5 Contoale Generale
Tema 5 Contoale Generale
CONTROALE GENERALE
3.3 Controale interne IT Nucleul de probleme asupra cruia se concentreaz munca echipei de audit este reprezentat de sistemul de controale interne, aa cu a rezultat i din definirea obiectului auditului sistemelor informatice. Auditorul trebuie s tie CE controale trebuie s certifice i CUM se aplic controalele pentru ca activitatea I s se desfoare corect, fr erori i disfunc!ionalit!i. "e practic #ruparea controalelor interne I $n dou clase% & controale #enerale' & controale de aplica!ii. 3.3.1 Controale generale Controalele #enerale, sunt acele controale care se aplic la nivelul $ntre#ului sistem I al or#aniza!iei, tuturor compartimentelor implicate $n realizarea i func!ionarea sistemului pentru certificarea proiectrii, realizrii, implementrii, e(ploatrii i dezvoltrii corecte a $ntre#ului sistem informatic. Controalele #enerale se refer la % & controale privind planificarea i or#anizarea sistemului informatic' & controale ale ciclului de via! al sistemului' & controale de securitate I ' & controale ale mana#ementului schimbrilor $n sistemul informatic.
a) controalele privind planificarea i organizarea Controalele privind planificarea i or#anizarea sistemului informatic mai sunt numite i )controale ale mana#ementului*. Cerin!ele #uvernan!ei I impun mana#ementului corelarea strate#iei i obiectivele I cu obiectivele strate#ice ale or#aniza!iei. Auditul trebuie s controleze c $ntr&adevr mana#ementul I duce la $ndeplinire aceast cerin! #eneral, respectiv ini!iaz i controleaz ac!iunile prin care aceste obiective sunt transpuse $n practic. Aceste ac!iuni concrete $nseamn% & planificarea sistemului informatic' & or#anizarea sistemului' & inte#rarea sistemului informatic. +lanificarea sistemului informatic trebuie $n!eleas ca i planificarea produc!iei, $n sensul c trebuie s ne stabilim !intele pentru viitor, ceea ce avem de fcut $n viitor, cu ce resurse i cu ce beneficii. Auditul trebuie s constate dac e(ist un plan strate#ic i un plan opera!ional pentru sistemul informatic. +lanul strate#ic trebuie s con!in direc!iile de dezvoltare ale sistemului pe termen lun#, $n vreme ce planul opera!ional are un orizont mai mic p,n la doi trei ani. -ar e bine s avem planuri anuale. Acest plan opera!ional include de e(emplu% ce servicii se doresc a fi oferite
BDSA ASE
de sistem, ce aplica!ii se vor dezvolta i desi#ur cu ce resurse i cu ce costuri vor fi ob!inute aceste resurse. .n con!inutul acestor planuri se re#sete acea corelare a obiectivelor I cu obiectivele economice ale firmei, cum ar fi, de e(emplu, viziunea asupra investi!iilor $n tehnolo#ia I corelat cu dezvoltarea afacerilor electronice ale firmei $n mediul Internet. rebuie incluse aici i problemele de bu#et, cheltuieli, beneficii, indicatori de eficien!. /r#anizarea sistemului informatic are $n vedere stabilirea sarcinilor, a responsabilit!ilor, rspunderilor conform or#ani#ramei, posturilor i rela!iilor de subordonare, coordonare i colaborare din cadrul acesteia. +roblemele or#anizatorice sunt deosebit de importante av,nd $n vedere le#turile informa!ionale pe care le asi#ur sistemul informatic pentru% & automatizarea proceselor de prelucrare p,n la nivelul fiecrui post de lucru' & comunicarea datelor at,t $n interiorul firmei c,t i $n e(teriorul sau $n primul r$nd cu clien!ii i furnizorii firmei' & suport pentru fundamentarea proceselor decizionale. Atitudinea mana#ementului fa! de problematica I este hotr,toare pentru func!ionarea cu succes a sistemului informatic. rebuie incluse aici i problemele de bu#et, cheltuieli, beneficii, indicatorii de eficien!. b) Controale privind ciclul de via al sistemului, Aceste controale sunt denumite frecvent $n literatura de specialitate controale "0-C & s1stem life development c1cle, urmresc modul $n care se respect etapele i fazele specificate de metodolo#ia de analiz i proiectare a sistemelor informatice. 2om considera c etapele ce se re#sesc $n ma3oritatea metodolo#iilor, desi#ur pu!in schimbate ca terminolo#ie, sunt urmtoarele% & studiu de fezabilitate sau preliminar' & analiz i formularea cerin!elor' & proiectare' & realizare' & implementare. Studiul de fezabilitate st la baza deciziei privind oportunitatea i eficien!a realizrii proiectului I . Auditorul, prin documentarea pe care o face va certifica dac aceast decizie este conform cu strate#ia , cu obiectivele firmei i se bazeaz pe o analiz cost 4 beneficiu pertinent. Auditorul trebuie s urmreasc $ndeplinirea unor cerin!e $n acest sens, ca de e(emplu & determinarea beneficiilor strate#ice ale implementrii sistemului I sub aspectul creterii productivit!ii, reducerea costurilor, ob!inerea unei rate acceptabile de recuperare a investi!iei $n sistemul I ' & planificarea proiectului I i atribuirea responsabilit!ilor, inclusiv $n ceea ce privete discutarea i aprobarea eventualelor revizuiri si modificri ale proiectului. Analiza i formularea erin!elor informa!ionale are o importan! ma3or pentru auditul sistemului I pentru c se verific faptul c s&au identificat corect cerin!ele utilizatorilor finali precizate $n specifica!iile de sistem. Urmeaz evaluarea modului $n care s&a ales varianta de realizare a sistemului informatic% & in & house, cu resurse proprii' & outsourcin#, printr&un contract cu o companie de soft5are.
BDSA ASE
Este #reu, dar util s se analizeze comparativ efortul i beneficiile realizrii sistemului cu informaticienii proprii, ca o solu!ie perfect modelat pe nevoile firmei cu efortul, disfunc!ionalit!ile dar si numeroasele avanta3e ale implementrii unei solu!ii E6+ personalizat de specialitii firmei care a c,ti#at licita!ia pentru sistem. Indiferent de variant sistemul trebuie s furnizeze output& urile conform cerin!elor utilizatorilor. "roie tarea este $n aten!ia auditorului pentru verificarea controalelor #enerale sub aspectul respectrii conformit!ii cu cerin!ele ini!iale a specifica!iilor pentru baza de date, a specifica!iilor de pro#ramare, pentru crearea unui plan pentru testarea securit!ii i stabilirea unui control formal al modificrilor necesar prevenirii modificrilor necontrolate ale procesului de realizare a sistemului. Realizarea este etapa $n care controalele #enerale vizeaz utilizarea corect a specifica!iilor de realizare a pro#ramelor, procedurilor automate, definitivarea flu(urilor informa!ionale, definitivarea formei i formatului pentru ieiri, intrri, realizarea nomenclatoarelor de coduri, asi#urarea unui caracter omo#en i unitar pentru interfa!a #rafic cu utilizatorii. Auditorul va urmri i modul cum func!ioneaz controalele pentru diversele nivele de testare intermediar pentru validarea realizrilor par!iale. / aten!ie deosebit trebuie acordat documenta!iei. Im#lementarea este o etap $n care controalele au o importan! i mai mare pentru c se $ncheie procesul realizrii sistemului i $n consecin! auditul trebuie s evalueze testarea, certificarea i acreditarea sistemului informatic. rebuie s facem distinc!ie $ntre testare, e(perimentare i implementare pentru a diferen!ia sarcinile echipei de audit. estarea se face pe componente individualizate% pro#rame, lan!uri de pro#rame. Aplica!ii, cu date de test special pre#tite de proiectan!i. E(perimentarea $nseamn verificarea func!ionrii aplica!iilor informatice $n condi!ii reale, cu date preluate normal din sistemul economic. .n faza de e(perimentare se mai pot face modificri i se pot aduce corec!ii sistemului, inclusiv $n documenta!ie, i aceste ac!iuni sunt considerate normale nu erori de proiectare. Implementarea $ncepe cu translatarea datelor din vechiul sistem $n noul sistem, popularea bazelor de date, $nlocuirea documentelor i activarea noilor circuite informa!ionale, recrea la operarea cu noile proceduri de prelucrare i la utilizarea noilor situa!ii i rapoarte. +rocesele informatice se inte#reaz $n procesele de business curente ale $ntreprinderii. c) controale de securitate Controalele de securitate incluse $n controalele #enerale au ca scop verificarea accesului utilizatorilor la sistem, identificarea, autentificarea i autorizarea utilizatorilor i a drepturilor acestora de acces i prelucrare. Numai persoanele autorizate au acces la date, procedurile automate i pro#ramele surs. Numai persoanele autorizate pot realiza opera!ii de actualizare sau accesare a bazelor de date. oate acestea i $nc alte controale i msuri se re#sesc $n politica de securitate a firmei. Comple(itatea problemelor de securitate, e(isten!a unui standard rom,n pentru securitatea informa!iilor, este vorba de 7codul de practic pentru mana#ementul securit!ii informa!iei "6 I"/4CEI 899::%;<<<* au determinat includerea tuturor acestor probleme $ntr&un 7sistem de mana#ement al securit!ii informa!iilor = Information "ecurit1 Mana#ement "1stem* ca parte component a sistemelor I >C, alturi de -?M" = -ata ?ase Mana#ement "1stem, -@M" & -ata @arehouse Mana#ement "1stem, -"" & -ecision "upport "1stem. +entru c vom discuta despre acest sistem $n capitolul urmtor, acum vom men!iona doar principalele aspecte vizate de controalele #enerale, le#ate de securitatea sistemului i anume'
e(isten!a i func!ionarea unei structuri de administrare a securit!ii, $n care s se re#seasc de e(emplu func!ii i atribu!ii pentru administratorul resurselor informatice i de comunica!ie, ofi!erul de securitate a informa!iilor' & controlul i administrarea parolelor i drepturilor utilizatorilor' & controlul lo#ic pentru accesul la instalarea i confi#urarea de echipamente i pachete soft5are' & controlul procedurilor de monitorizare a prevenirii, comunicrii i solu!ionrii incidentelor de securitate' & controale de securitate fizic. & controlul procedurilor de realizare a copiilor de si#uran!. Copiile de si#uran!, at,t ale datelor c,t i pro#ramelor servesc desi#ur procesului de refacere a sistemului $n caz de incidente. +entru procesul de audit ele sunt importante $n testarea unor controale privind disponibilitatea, acurate!ea i credibilitatea raportrilor, $n special ale raportrilor financiare. +entru auditare sunt necesare uneori verificarea procesului de prelucrare a unor tranzac!ii al cror istoric se ob!ine numai cu a3utorul copiilor, arhivelor de date i pro#rame. Este important s avem fiierul facturilor de acum A luni dar i versiunea pro#ramului de facturare cu care s&a operat la acea vreme. Auditul trebuie s verifice le#at de aceste aspecte urmtoarele% & instrumentele hard5are i soft5are pentru bacBup' & procesele i controalele care certific faptul c se fac cu re#ularitate copii de si#uran!' & completitudinea copiilor, dac se fac, de e(emplu, copii ale $ntre#ului fiier sau numai a ultimelor $nre#istrri actualizate, & controalele care evalueaz acurate!ea, corectitudinea proceselor de bacBup' & controalele pentru verificarea completitudinii i acurate!ea datelor i pro#ramelor dup ce au fost restaurate pe baza copiilor efectuate' & documentarea i solu!ionarea incidentelor de bacBup. Copiile de si#uran! ale datelor i ale pro#ramelor sunt absolut necesare i pentru derularea planului de refacere $n caz de dezastre. 6efacerea $n caz de dezastre, incendii, inunda!ii, cutremure, atacuri teroriste sau conflicte armate colaterale, este un proces comple(,. -6+ = -ezaster 6ecover1 +lan, parte a ?C+ = ?usiness Continuit1 +lan, ia $n discu!ie amplasarea copiilor de si#uran! i a unor echipamente principale, servere, sta!ii, hub&uri, s5itch&uri, routere, imprimante, $ntr&o alt loca!ie, si#ur, chiar $ntr&o alt !ar, apoi necesit e(isten!a unor echipe de rezerv formate din informaticieni instrui!i pentru astfel de proceduri. Nu trebuie uitate consumabilele i alte cerin!e materiale care vor face func!ional sistemul de rezerv. Copiile de si#uran! i toat suita de controale amintite p,n acum sunt o munc cam plicticoas pentru proiectan!ii de sistem dar ele trebuie operate $n mod obli#atoriu. / eroare dac s& a strecurat, un calcul dac are o #reeal, dac lipsesc c,teva $nre#istrri de date, totul se poate corecta, dar dac nu ai o copie de si#uran! un fiier distrus s&ar putea s nu mai poat fi refcut deloc sau cu foarte mare efort. d) controale pentru managementul schimbrilor /biectivul acestor controale este acela de a verifica c toate modificrilor aduse aplica!ilor sunt corect autorizate i aprobate $naintea implementri. Ac!iunile tipice care apar $n aceste situa!ii sunt%
ob!inerea cerin!elor informa!ionale pe baza crora se autorizeaz implementarea unor sisteme noi sau modificarea celor e(istente' & clasificarea i stabilirea priorit!ilor' & aprobarea cerin!elor informa!ionale noi' & selectarea solu!iilor $n concordan! cu cerin!ele de asi#urare a consisten!ei solu!iilor' & mana#ementul achizi!iilor de echipamente i pachete soft5are' & modificarea infrastructurii tehnolo#ice pentru a sus!ine solu!iile' & instalarea, testarea i certificarea solu!iilor de modificare, ob!inerea acceptului utilizatorilor' & monitorizarea post&implementare' & stabilirea procedurilor pentru modificri ur#ente. Aplicarea acestor controale asi#ur caracterul unitar al proceselor I , prevenirea i eliminarea disfunc!ionalit!ilor provocate de efectuarea haotic a modificrilor cu consecin!ele care se bnuiesc asupra credibilit!ii sistemului informatic.