5/16/2012

1
AUDITUL SISTEMELOR
INFORMATICE
DE GESTIUNE
Prof.univ.dr. Dorin LIXNDROIU
Facultatea de tiine Economice
Universitatea TRANSILVANIA din Braov
1
BIBLIOGRAFIE
1. MUNTEANU A., Auditul sistemelor informaionale contabile,
Ed. Polirom, 2001.
2. EDEN A., STANCIU V., Auditul sistemelor informatice,
Ed. Dual Tech, 2004.
3. POPA ., IONESCU C., Auditul n medii informatizate,
Ed. Expert, 2005.
4. NSTASE P., .a., Auditul i controlul sistemelor informaionale,
Ed. Economic, 2007.
2
AUDITUL SISTEMELOR INFORMATICE
DE GESTIUNE
3
reprezint activitatea de colectare i evaluare a unor
probe pentru a determina dac sistemul informatic este
securizat, menine integritatea datelor prelucrate i
stocate, permite atingerea obiectivelor strategice ale
ntreprinderii i utilizeaz eficient resursele
informaionale.
to audit = a examina, a verifica, a revizui conturi
i nregistrri contabile
auditus = a asculta, a audia ( limba latin)
4
ISACA (Information Systems Audit
and Control Association)
Web site: http://www.isaca.org
Standarde: SISAS (Statement of Information Systems
Auditing Standards)
Ghiduri: Guidelines and Procedures for Audit and
Control Professionals
CobiT (Control Objectives for Information and
related Technology)
Certificri: CISA (Certified Information Systems
Auditor)
5/16/2012
2
5
IFAC (International Federation of
Accountants)
Web site: http://www.ifac.org
Standarde: ISA (International Standards on Auditing)
IAPS (International Auditing Practice
Statements)
Ghiduri: IITG (International Information
Technology Guidelines)
6
IIA (Institute of Internal Auditors)
Web site: http://www.theiia.org
Standarde: SIAS (Statements on Internal Auditing
Standards)
7
DECLARAIAINTERNAIONAL
PRIVIND PRACTICA DE AUDIT
1001 Medii IT Calculatoare neincluse n reea
1009 Tehnici de audit asistate de calculator
Comitetul Internaional pentru Practici de Audit
(IAPC) al Federaiei Internaionale a Contabililor
(IFAC)
8
1. IT GOVERNANCE
Guvernana IT o clas de probleme manageriale ce
cuprinde optimizarea resurselor IT: informaiile,
infrastructura IT &C, procesele IT i resursele umane
asociate.
Guvernana IT face parte din Guvernana corporativ.
Guvernana corporativ este definit de saltul calitativ
realizat n coninutul i formele managementului
actual.
Factorii care au condus Guvernana corporativ:
- globalizarea
- Internetul (e-business, e-comer, ERP II),
- internaionalizarea acionariatului.
5/16/2012
3
9
Guvernana IT reprezint activitatea de conducere,
coordonare i control a activitilor IT dintr-o
organizaie.
IT Governance Institut definete acest concept ca
reprezentnd totalitatea structurilor de conducere,
organizatorice precum i procedurile prin care
funcionarea sistemului IT susine ndeplinirea
obiectivelor i a strategilor organizaiei.
Resursele IT :
- informaiile
- infrastructura IT&C
- procesele IT
- resursa uman 10
Guvernana IT :
Reprezint:
structuri de conducere
structuri organizatorice
proceduri
Explicaii:
- reprezint mai mult dect managementul clasic al
informaiilor;
- realizeaz corelarea strategiei i obiectivelor IT cu
strategia i obiectivele economice ale ntreprinderii;
- realizeaz organizarea proceselor IT ntr-un model
general acceptat i integrat organizaiei, prin legarea
proceselor IT de procesele de business;
11
- este principala condiie prin care sistemul IT
susine creterea eficienei, a valorii adugate pe
care o produce ntreprinderea;
- oblig managementul organizaiei s se implice n
deciziile strategice privind investiiile n IT;
- asigur participarea la deciziile strategice a
acionarilor, a partenerilor de afaceri, furnizori sau
clieni i a compartimentelor funcionale din firm,
financiar, marketing, resurse umane etc.
- are n vedere controlul, prevenirea i soluionarea
riscurilor datorate erorilor i disfuncionalitilor din
sistemul IT.
12
Obiectivele Guvernanei IT:
- alinierea activitilor IT cu cerinele proceselor de
business, asigurnd continuitatea i dezvoltarea
afacerilor ntreprinderii;
- activitile IT trebuie s susin maximizarea
beneficiilor;
- utilizarea resurselor IT cu responsabilitate i riscuri
minime respectnd principiile eficacitii;
- administrarea corespunztoare, corect a riscurilor
IT.
5/16/2012
4
13
alinierea
strategiilor
managementul
resurselor
managementul
riscului
creterea val.
adugate
msurarea
performanei
Guvernana
IT
Problemele Guvernanei IT
14
Alinierea strategiilor se concentreaz pe corelarea
strategiei IT n relaie cu strategia de business a
ntreprinderii; alinierea trebuie s reflecte: definirea,
validarea i materializarea ofertei IT i legarea
proceselor IT de procesele de afaceri ale
ntreprinderii.
Creterea valorii adugate urmrete ca prin cantitatea
i calitatea informaiilor livrate de sistemul IT,
conform ofertei de servicii IT modelat pe nevoile
managementului, s se asigure o optimizare a
costurilor i o cretere a beneficiilor.
Msurarea performanelor urmrete o cuantificare a
performanelor proceselor IT i a furnizrii de
servicii IT n cadrul sistemului informatic integrat.
15
Managementul resurselor urmrete i controleaz
toate resursele implicate n precesul de Guvernan
IT: informaiile, infrastructura IT&C, procesele IT,
resursa uman.
Managementul riscului urmrete gestionarea corect
i minimizarea riscurilor din sistemul IT. Este un
proces de identificare a riscurilor IT i de
implementare a unor aciuni de control i
activiti de prevenire, eliminare i diminuare a
pierderilor.
16
CobiT - Control Objectives for Information and
related Technology
Guvernarea IT este responsabilitatea directorilor si a
consiliului de administraie si este format din
conducerea, structurile organizatorice si procesele
care ofer asigurri c tehnologiile informaionale
susin si extind strategiile si obiectivele
organizaiei.
5/16/2012
5
17
CONTROL I AUDIT
1. Guvernana IT necesit un cadru de control al
proceselor IT
2. Guvernana IT are n vedere prevenirea i
soluionarea riscurilor datorate:
- erorilor
- disfuncionalitilor din sistemul IT
3. Guvernana IT (ca sistem de management)
utilizeaz
funcia de Evaluare i Control
18
Funcia de evaluare control urmrete:
- evaluarea activitilor specifice i a rezultatelor;
- compararea rezultatelor cu cele planificate;
- respectarea standardelor, a normelor, a prevederilor
legale pe plan intern i internaional;
- identificarea abaterilor, erorilor, comunicarea i
urmrirea soluionrii acestora.
Controlul intern:
- previne producerea unor disfuncionaliti;
- sesizeaz erorile produse de ceva ce trebuie s
mearg bine i merge sau a mers ru,
WCGR What Could Go Wrong
! Producerea unor astfel de erori reprezint un risc al
crui impact se poate repercuta printr-o pierdere
(material, financiar sau de imagine).
19
Auditul evalueaz sistemul de control al unei entiti,
proces, aplicaie, subsistem sau sistemul n
ansamblul su.
Auditul certific sau nu funcionarea corect a
sistemului de control i ofer managementului o
asigurare rezonabil (nu absolut), referitoare la
funcionarea entitii.
Controlul intern este organizat i urmrit de ctre
manager.
Controlul intern este stabilit i actualizat pe baza
analizei riscurilor.
Auditul realizeaz numai evaluarea controlului intern
corelat cu riscurile asociate.
20
Auditul intern este o activitate independent, i
obiectiv, care d unei organizaii o asigurare n
ceea ce privete gradul de control deinut asupra
operaiunilor, o ndrum pentru a-i mbunti
operaiunile i contribuie la creterea valorii
adugate (Institutul Auditorilor Interni din Marea
Britanie)
Domeniile de responsabilitate incluse n cadrul de
referin al auditului sunt:
- riscul;
- controlul intern;
- administrarea proceselor i afacerilor.
Ipotezele desfurrii auditului:
1. Se presupune c obiectivele sunt de la bun nceput
bine i clar definite i msurabile printr-un sistem de
indicatori.
5/16/2012
6
21
2. Procesele i activitile sunt reglementate prin norme
interne, metodologii, standarde i acte legislative
care stabilesc cadrul de desfurare practic i de
control, mediul i resursele necesare.
Prin audit se dorete s se demonstreze c sistemul,
procesele supuse auditrii, ndeplinesc urmtoarele
trei condiii eseniale pentru asigurarea corect a
succesului n afaceri:
1. Conformitatea, prin care se probeaz c realitatea
este conform cu legislaia, cu standardele, cu cele
mai bune practici;
2. Credibilitatea rezultatelor i ncrederea n rapoarte;
3. Performana, sub aspectul economicitii, eficienei
i eficacitii activitilor organizaiei.
22
Not.
Economicitatea se refer la minimizarea costului
resurselor alocate pentru obinerea rezultatelor
estimate, dar meninnd calitatea
corespunztoare a rezultatelor.
Eficacitatea trebuie neleas ca raport ntre rezultatele
obinute i rezultatele planificate, urmrindu-se
ndeplinirea obiectivelor pentru fiecare activitate,
sau altfel spus urmrindu-se raportul dintre
rezultatele efective i efectele proiectate.
Eficiena trebuie neleas ca raport ntre rezultatele
obinute i resursele cheltuite.
23
Definiie CobiT:
Auditul reprezint procesul desfurat de persoane
fizice sau juridice legal abilitate, numite auditori, prin
care se analizeaz i evalueaz, n mod profesional,
informaii legate de o anumit entitate, utiliznd
tehnici i procedee specifice n scopul obinerii de
dovezi, numite probe de audit, pe baza crora
auditorii emit ntr-un document, numit raport de
audit, o opinie responsabil i independent, prin
apelarea la criterii de evaluare care rezult din
reglementrile legale sau din buna practic
recunoscut unanim n domeniul n care i
desfoar activitatea entitatea auditat.
24
Procesul de audit, numit i misiune de audit, se
deruleaz pe baza unor standarde naionale sau
internaionale;
Auditorii sunt persoane care dobndesc aceast calitate
n condiiile strict reglementate de legislaia n
vigoare;
Entitatea auditat poate fi: o unitate patrimonial
(societate comercial, regie autonom), guvernul
n ansamblu, ministere sau departamente
ministeriale, programe, operaiuni, tranzacii,
aciuni;
5/16/2012
7
25
Analiza informaiilor se face pe baza unor procese i
tehnici unanim recunoscute n domeniu, care
furnizeaz auditorului probe de audit, pe baza
crora el i fundamenteaz opinia;
Evaluarea i interpretarea rezultatelor se efectueaz
lund n consideraie norme naionale sau
internaionale sau referine recunoscute unanim
n domeniu, drept principii sntoase de
management, respectiv norme de bune practici
manageriale.
Auditul nglobeaz aciuni prin care:
activitile,
procesele,
nregistrrile,
sunt examinate i comparate cu:
criterii de verificare
standarde de control prestabilite
pentru identificarea i diminuarea riscurilor.
26
Principalele tipuri de audit (clasificare)
1. Dup modul de organizare a activitii de audit:
Auditul intern - reprezint o evaluare sau
monitorizare organizat de ctre conducerea
unei entiti sub forma unui serviciu pentru
examinarea sistemelor proprii i de control
intern.
Auditul extern - este efectuat de un profesionist
independent i rspunde nevoilor terilor i
entitii auditate n ceea ce privete: gradul de
ncredere care poate fi acordat acestei entiti.
27
2. Dup momentul n care se face auditul:
Auditul preventiv se definete ca o examinare a
operaiunilor administrative sau financiare
anterior desfurrii lor efective.
Auditul corectiv se definete ca o examinare a
operaiunilor administrative sau financiare dup
desfurarea lor.
28
5/16/2012
8
3. Dup obiectul i aria de aplicabilitate:
Auditul conformitii sau legalitii:
- atestarea responsabilitii financiare a
administraiei guvernamentale n ansamblu;
- auditul sistemelor i tranzaciilor financiare,
cuprinznd evaluarea conformitii cu statutele
i reglementrile n vigoare;
- auditul controlului intern i al funciilor acestuia.
Auditul de atestare: furnizeaz prin rapoarte de
audit, credibilitate asupra situaiilor financiare,
atestnd sau nu, dac declaraiile financiare
prezint corect situaia financiar i tranzaciile
entitii.
29
Observaie:
De cele mai multe ori, auditul de conformitate se
deruleaz concomitent cu auditul de atestare
financiar i se numete audit de regularitate
sau audit legislativ.
Auditul performanei evalueaz latura calitativ a
cheltuirii banilor (publici) prin analiza utilizrii
resurselor financiare pe baza principiilor
- economicitii,
- eficienei,
- eficacitii.
30
AUDITUL SISTEMELOR IT
Auditul IT reprezint o examinare a controalelor n
cadrul unei entiti IT. (CobiT)
Auditul IT se efectueaz asupra :
controalelor specifice referitoare la
managementul sistemului informatic,
securitii sistemului,
continuitii sistemului,
managementului schimbrii i dezvoltrii
sistemului.
(Popa t., Ionescu C. Auditul n medii informatizate, Ed. Expert 2005)
31
Auditul IT este un proces prin care se evalueaz
dovezi cu scopul de a determina dac protecia
fizic a sistemului IT i msurile prin care se
asigur integritatea datelor, contribuie la
utilizarea eficace a resurselor i ajut n mod
eficient la atingerea obiectivelor organizaiei.
(Ivan Ion, Auditul sistemelor informatice, Ed. ASE Buc. 2005)
32
5/16/2012
9
Auditul sistemelor informatice este o activitate
planificat, de evaluare a sistemului informatic,
pe baza probelor de audit, n scopul emiterii
unei opinii calificate i obiective, privind
conformitatea sistemului cu legislaia, cu
standardele n domeniu i totodat, asupra
capacitii sistemului de a susine efortul de
realizare eficient a obiectivelor strategice ale
organizaiei.
(Traian Surcel, Auditul sistemelor informatice, Note de curs ASE,
Buc., 2008)
33
Tipuri de audit IT i obiective
Legat de realizarea unui sistem IT:
Ce trebuie fcut i cum se lucreaz corect ?
Rspunsurile rezult din respectarea urmtoarelor 3
clase de cerine practice:
a) stabilirea obiectivelor sistemului IT i a ariei sale
de cuprindere;
34
b) definirea, proiectarea i realizarea
componentelor ce se regsesc n structura
sistemului informatic:
infrastructura hardware i de comunicaie,
infrastructura software cu software de baz
i software aplicativ,
infrastructura informaional bazele de date,
fluxurile informaionale i sistemele
de codificare,
componenta tiinific i metodologic,
reprezentat de modele, algoritmi, norme,
standarde, prevederi legale;
c) respectarea metodologiei de realizare a
sistemelor informatice;
35
Obiectivele stabilite pentru proiectul unui sistem IT
se clasific dup mai multe criterii astfel:
dup sfera de cuprindere deosebim: obiective
generale i obiective specifice;
dup domeniul de activitate stabilim: obiective
ce vizeaz mbuntirea activitilor de baz i
obiective care vizeaz mbuntirea sistemului
informaional;
dup posibilitatea de cuantificare avem:
obiective cuantificabile (cantitativ-valorice) i
obiective necuantificabile (calitative);
36
5/16/2012
10
! Auditul sistemului informatic trebuie s revad
documentaia i s examineze dac obiectivele
i n viitor, sistemul, rspund cerinelor i
restriciilor formulate prin studiul de fezabilitate
pe baza cruia s-a fcut investiia n IT.
Managementul IT se concentreaz pe arii de
probleme distincte, difereniate datorit
particularitilor etapelor ciclului de via a
sistemului informatic
SDLC, System Development Life Cycle.
37
Etapelor SLDC planificarea sistemului, analiza
sistemului, proiectarea conceptual, evaluarea
i selecia soluiilor tehnice hardware i
software, proiectarea de detaliu, implementarea
i ntreinerea sistemului, le vor corespunde
urmtoarele categorii de activiti de
management:
- managementul proiectului sistemului
informatic;
- managementul funcionrii sistemului
informatic;
- managementul schimbrii n cadrul sistemului
informatic.
Acestor tipuri specifice de management le vor
corespunde tipuri specifice de audit care
evalueaz gradul de respectare a metodologiei
de realizare a sistemului IT.
38
Auditul managementului proiectelor sistemelor IT
vizeaz:
- obiectivele sistemului,
- activitile proiectului i sarcinile ce revin
echipei de realizatori i cele ce revin
beneficiarului,
- fondurile disponibile,
- documentaia tehnic i specificaiile
sistemului informatic,
- setul de date de test i setul de nregistrri
privind comportamentul sistemului pe
parcursul efecturii testelor,
- bibliotecile de sistem cu modulele i modelele
utilizate,
- documentaia de realizare, de prezentare i
instalare a software-ului sistemului.
39
Auditul managementul funcionrii sistemului IT
vizeaz:
- managementul riscurilor,
- respectarea consecvent a politicii de
securitate.
Sistemul informatic trebuie s rspund cerinelor
utilizatorilor SI:
- personalul IT ce lucreaz n sistem,
- utilizatorii individuali,
- managerii de nivel mediu, manageri de top,
- grupurile informale n care se regsesc
clieni, furnizori, bnci, organizaii de
reglementare, organe fiscale i de administraie
public, organe de control i instituii de
sintez.
40
5/16/2012
11
Cerinele pe care trebuie s le satisfac informaia
prelucrat i furnizat de SI (Cobit):
- operativitate,
- eficien,
- confidenialitate,
- integritate,
- disponibilitate,
- conformitate,
- ncredere i siguran.
41
Managementul funcionrii sistemului informatic
trebuie s asigure respectarea unor indicatori
cantitativi care cuantific impactul sistemelor
asupra grupurilor de interese menionate
anterior:
- coeficientul de satisfacere a cerinelor
informaionale,
- coeficientul timpului de rspuns,
- coeficientul eficienei economice,
- coeficientul duratei de recuperare,
- coeficientul economiei de personal, etc.
42
Auditul managementului schimbrii
i al dezvoltrii SI
- verific i certific:
implementarea procedurilor de schimbare este
conform cu cerinele controalelor generale i
controalele de aplicaie,
- asigur disponibilitatea sistemului,
funcionarea sa conform cerinelor, fiabilitatea
sistemului i ncadrarea n bugetele aprobate .
Aspectele avute n vedere la implementarea
schimbrilor deriv din schimbri survenite n
procesele de afacerii, schimbri de natur
tehnologic, procedural, apoi uzura moral a
componentelor informatice i cerinele de
trainig i implementare.
43
Auditul managementului schimbrii sistemului IT
trebuie s fie n msur s verifice dac
schimbrile s-au finalizat fr incidente, fr
costuri suplimentare, n concordan cu
ateptrile estimate ale utilizatorilor.
Aria de cuprindere este cel mai important criteriu
avut n vedere la stabilirea misiunii de audit.
Aria de probleme cu cea mai mare prioritate
este SECURITATEA INFORMAIILOR.
44
5/16/2012
12
Auditul de securitate IT are n vedere urmtoarele
segmente:
sisteme i aplicaii procesul de audit verific
dac sistemele i aplicaiile sunt
corespunztoare, eficiente i controlate
adecvat, asigur validitate, ncredere,
actualitate, pentru intrri i ieiri, la toate
nivelurile organizaiei;
medii de procesare a informaiilor proces de
audit care verific dac mediile de procesare
sunt controlate pentru a asigura o prelucrare n
timp util, corect i complet a aplicailor
informatice n condiii normale dar i n condiii
de dificultate;
45
dezvoltare de sisteme proces de audit care
verific dac sistemele sunt dezvoltate n
concordan cu standardele general acceptate
de dezvoltare de sisteme informatice;
IT Management proces de audit care verific
dac managementul IT a dezvoltat o structur
organizaional i proceduri care asigur un
mediu de control eficient pentru procesarea
informaiilor;
comunicaii pe reea intranet i extranet
proces de audit care verific dac exist
controale definite i aplicate pentru a controla
mediile fizice i comunicaiile n reea.
46
47
Ce cunotine sunt necesare unui auditor de sisteme
informatice?
cunotine din domeniul auditului financiar;
cunotine din domeniul managementului;
cunotine din domeniul contabilitii;
cunotine din domeniu financiar;
cunotine privind evaluarea riscurilor;
cunotine privind controlul;
cunotine privind arhitectura fizic (hardware) a
sistemelor informatice;
48
cunotine privind sistemele de operare i aplicaiile
informatice;
cunotine privind reelele de calculatoare;
cunotine privind securitatea sistemelor informatice;
cunotine privind analiza, proiectarea i
implementarea sistemelor informatice;
cunotine privind programarea i limbajele de
programare;
cunotine privind sistemele de gestiune a bazelor de
date;
5/16/2012
13
49
cunotine privind tehnicile de procesare automat a
datelor n cadrul sistemelor informatice de
gestiune;
cunotine de baz din statistic economic;
cunotine privind legislaia.
50
Aptitudinile
Auditorului de Sisteme Informatice:
s fie un bun membru ntr-o echip de audit;
s fie un bun manager al activitilor de audit;
s aib un spirit de observaie bine dezvoltat;
s fie un bun colaborator;
s dispun de abiliti de comunicare;
s fie capabil s ia decizii obiective;
s fie un bun analist.
51
Factorii ce impun auditul SI :
- Costul pierderii datelor
- Costul lurii unor decizii incorecte
- Costul abuzului n sistemul informatic
- Valoarea ridicat a sistemului hardware, software i a
personalului specializat
- Costul ridicat al erorilor datorate calculatoarelor
- Protecia confidenialitii
- Controlul evoluiei modului de utilizare al
calculatoarelor.
52
Necesitatea activitii de audit informatic:
Auditorii financiari i interni au realizat c sistemul
informatic are un impact tot mai mare asupra
obiectivelor misiunilor lor;
Managerii din cadrul ntreprinderilor au recunoscut
calculatorul ca fiind o resurs cheie n competiia de
pe pia i ca atare se impune controlul i auditarea
proceselor unde este utilizat;
Asociaiile i organizaiile profesionale, precum i
guvernele, au recunoscut necesitatea controlului i
auditarea sistemelor informatice.
5/16/2012
14
53
Rezultatele Auditului Sistemului Informatic:
- creterea securitii mijloacelor sistemului
informatic;
- creterea integritii datelor;
- creterea utilizrii efective a sistemului informatic;
- creterea eficienei exploatrii sistemului informatic;
- creterea eficienei i calitii procedurilor i
politicilor de securitate;
- creterea calitii controlului intern.
54
n ce const Auditul Sistemului Informatic:
Identificarea i evaluarea riscurilor din sistem.
Evaluarea i testarea controlului din sistem.
Verificarea i evaluarea fizic a mediului
informaional.
Verificarea i evaluarea administrrii sistemului
informatic.
Verificarea i evaluarea aplicaiilor informatice.
Verificarea i evaluarea securitii reelelor de
calculatoare.
Verificarea i evaluarea planurilor i procedurilor de
recuperare n caz de dezastre i continuare a
activitii.
Testarea integritii datelor.
55
RISCUL N SISTEMELE INFORMATICE
Reprezint probabilitatea de apariie a unei pierderi care
s afecteze negativ resursele informaionale i
funcionalitatea sistemului.
MANAGEMENTUL RISCULUI reprezint procesul de
identificare a vulnerabilitilor i ameninrilor din
cadrul unei ntreprinderi, precumi de elaborare a unor
msuri de minimizare a impactului acestora asupra
resurselor informaionale din ntreprindere.
NIVELUL RISCULUI TOTAL =
f ( ameninri, vulnerabiliti, impacturi )
56
Vulnerabilitile sunt verigile slabe, punctele slabe ale
sistemului informatic care-l expun din interior
evenimentelor ce pot afecta negativ
funcionarea sistemului.
Ameninrile reprezint pericolele poteniale din exterior
ce exploateaz vulnerabilitile sistemului
informatic.
Riscul este asociat cu probabilitatea ca o ameninare
potenial s devin una real i s produc un impact
a crui consecin va reprezenta o pierdere, o daun
pentru ntreprindere
Riscurile afecteaz n primul rnd securitatea sistemului
informatic.
5/16/2012
15
57
Cele cinci atribute ale securitii sistemului informatic
pe care le poate afecta producerea unor astfel de
riscuri:
- confidenialitatea;
- integritatea;
- disponibilitatea;
- ncrederea;
- conformitatea.
58
Vulnerabilitile unui sistem informatic pot fi grupate, de
exemplu, n urmtoarele categorii:
1. vulnerabiliti ale infrastructurii hardware i de
comunicaie;
2. vulnerabiliti ale sistemului software - software
de baz i software aplicativ;
3. vulnerabiliti ale bazelor de date i arhivelor de
date istorice;
4. vulnerabiliti umane;
5. vulnerabiliti naturale.
(Ali Eden, Victoria Stanciu, Auditul sistemelor informatice, Editura Dual
Tech, Bucureti, 2004)
59
1. Vulnerabilitile infrastructurii hardware i de
comunicaie relev o serie de surse ale unor
incidente care ar putea duce chiar la suspendarea
temporar a proceselor din sistemul informatic.
Aici se includ:
- avariile hardware - inclusiv cele de alimentare la
reeaua electric,
- imposibilitatea rulrii unor tranzacii on-line sau
a unor servicii Internet,
- apariia unor puncte sensibile n reelele
wireless, n general, a unor bree de securitate n
reea.
60
2. Vulnerabilitile software sunt o clas complex de
vulnerabiliti care includ:
- utilizarea de software neliceniat,
- lipsa de corelare n utilizarea acelorai versiuni de
programe de ctre toi userii,
- lipsa unei protecii consistente mpotriva abuzurilor
software,
- posibilitatea apariiei unor erori n programele surs
nedepistate n faza de testare.
5/16/2012
16
61
3. Vulnerabiliti ale bazelor de date i arhivelor de date
istorice se refer la pierderile de date datorit:
- procedurilor de prelucrare neconsistente,
- neprotejarea structurilor de date,
- accesul neautorizat al unor programe la fiiere,
- alterri sau pierderi de copii de siguran, chiar i a
unor biblioteci de programe.
62
4. Vulnerabilitile umane, provin din nenumrate
direcii:
- persoanele care administreaz sistemul prezint
cea mai mare vulnerabilitate,
- operatorii i utilizatorii care voluntar sau involuntar
pot afecta sistemul informatic.
Statisticile arat c:
- 80 % din atacuri provin din interior,
- 42 % din firme nu au un specialist n securitatea
sistemelor
- 17% au un singur specialist n domeniu.
Se pot aduga i vulnerabilitile fizice produse tot de
oameni, de intruziunile fizice n spaiul serverelor de
exemplu , sau n spaiul arhivelor de date pentru
sustrageri de echipamente sau date.
63
5. Vulnerabiliti naturale au n vedere:
- incendiile,
- inundaiile i cutremurele,
- evenimente nedorite, cu o probabilitate greu de
estimat, de fapt evenimente incerte, dar posibile i
care trebuie neaprat luate n calcul.
64
Ameninrile unui sistem informatic se grupeaz n
urmtoarele categorii:
1. ameninri cu caracter general,
2. ameninri legate de autentificare i autorizare,
controlul accesului i non repudiere,
3. ameninri legate de credibilitatea i continuitatea
serviciilor,
4. ameninri legate de integritatea datelor,
5. ameninri secrete
6. ameninri legale.
(Ali Eden, Victoria Stanciu, Auditul sistemelor informatice, Editura Dual
Tech, Bucureti, 2004)
5/16/2012
17
65
1. Ameninrile cu caracter general vizeaz n primul
rnd ameninrile cele mai frecvent posibile,
erorile umane care duc la accidente
neintenionate cu impact asupra datelor, pierderi,
distrugeri sau modificri incorecte.
Cauze:
- superficialitatea, ignorarea sau necunoaterea
documentaiei,
- slaba pregtire profesional a administratorilor
sistemului.
- inadecvarea sau chiar inexistena msurilor de
securitate,
- documentaia incomplet,
- suprancrcarea cu sarcini i proasta programare a
proceselor.
66
Comentarii. De multe ori fluctuaiile de personal fac ca
administratorul de facto al sistemului s nu fi participat
n echipa de proiectare sau nici mcar n echipa de
implementare pentru a urmri i prelua sistemul.
Tot n aceast categorie a ameninrilor generale, se
includ: frauda, furtul, prin care se ofer informaii
confideniale contra avantaje oneroase, date despre
bree de securitate, abuzurile de privilegii, folosirea
neautorizat a unor staii de lucru pornite,
nesupravegheate, sau folosirea neautorizat a unor
produse software.
67
Mai elaborate sunt ameninrile folosirii unor infrastructuri
publice de comunicare pentru a produce pagube
sistemului folosind telefoane, mail-uri aparent de la
organele superioare pentru asumarea unei identiti
false n ncercarea ilicit de a obine date, de a iniia
unele proceduri de prelucrare sau chiar n a-i determina
pe unii angajai s ruleze programe maliioase.
Viruii sunt ameninri generale la ordinea zilei i
reprezint o preocupare permanent pentru toi
informaticienii.
Virusarea i devirusarea devine astfel o industrie
profitabil.
68
2. Ameninrile legate de identificarea i autorizarea
utilizatorilor i controlul accesului sunt cele ce creeaz
aparena unor utilizatori valizi, din interior sau
exterior, sau chiar a unor echipamente hardware
comerciale normale care mascheaz intenia
frauduloas de a sustrage date sau de a provoca
daune.
Controlul accesului previne:
- spargerea parolelor, unele chiar defectuos
gestionate i neactualizate,
- ptrunderea neautorizat n sistem prin
cunoscutele pori ascunse n setup-ul programelor
surs, backdoors.
- manipulri clandestine ale modem-urilor pentru
extensii necontrolabile ale reelelor firmei,
- accesul fizic neautorizat la reea.
5/16/2012
18
69
3. Ameninrile privind credibilitatea i continuitatea
serviciilor sunt legate de acele evenimente care prin
producerea lor induc o stare de nencredere n
fiabilitatea sistemului, n capacitatea acestuia de a
continua procesarea fr a fi afectate datele,
procesele care erau active la momentul producerii
unor incidente.
n aceast categorie de ameninri se include:
- dezastrele naturale att cele minore - ntreruperea
curentului electric, ct i cele majore,
- erorile de funcionare a echipamentelor, ale mediilor
de comunicaie, cabluri, instalaiile de climatizare
etc.
70
Una din ameninrile frecvente preferate de ruvoitorii ce
utilizeaz Internetul este DoS (Denial of Service) - un
abuz n reea produs prin suprasolicitarea serverelor cu
e-mail-uri sau download-uri de ActivX-uri sau applet-uri
mari, macroinstruciuni periculoase sau chiar folosirea
eronat a unor protocoale de rutare pentru a induce o
funcionare defectuas a serverelor.
Credibilitatea poate fi plasat sub semnul incertitudinii si
prin aciuni de sabotaj produse din rea credin,
rzbunare sau de ctre concurena neloial.
Sabotajul are o arie larg de manifestri de la distrugeri
intenionate de echipamente, programe, alterarea
sistemului de operare, furt de echipamente, de date, de
programe surs ale unor sisteme de software aplicativ
i pn la tierea cablurilor de alimentare, etc.
71
4. Ameninrile integritii datelor privite din perspectiva
meninerii integritii fizice a acestora, prevenirea
distrugerilor neintenionate sau cu intenie a datelor.
Mai ru dect distrugerea fizic este modificarea eronat
sau ru intenionat a datelor cu acelai efect duntor
asupra integritii resurselor informaionale ale
sistemului informatic.
72
5. Ameninrile secrete nu sunt de neglijat de ctre marile
companii. Pentru firmele mici efortul este prea
costisitor.
Este vorba despre ascultare electromagnetic a traficului
n reea , interceptarea radiaiilor VanEck emise de
micarea mouse-ului sau de hard-disk sau alte tehnici,
ca s nu mai vorbim de interceptarea e-mail-urilor,
modificri ale adreselor DNS pentru redirectri de
pachete de date, i deloc de neglijat recuperarea unor
date din mediile magnetice de stocare nlocuite,
aruncate sau vndute.
5/16/2012
19
73
6. Ameninrile legale sunt cele generate de nendeplinirea
unor prevederi legale stipulate prin acte normative,
reglementri, necesitatea respectrii unor standarde
impuse de organisme i instituii abilitate prin lege.
De exemplu: interzicerea unor activiti ilegale n reeaua
Internet - instigare la violen, discriminarea
minoritilor, rasism, terorism, splarea de bani i
atacuri asupra unor alte reele.
74
CLASIFICAREA RISCURILOR
dup probabilitatea de apariie riscurile pot fi:
- riscuri poteniale, care se pot produce dac nu se
stabilesc aciuni de control prin care s
fie prevenite i corectate;
- riscuri posibile, sunt acele riscuri poteniale
pentru care controalele nu sunt suficiente
pentru a elimina sau pentru a le diminua
impactul;
75
CLASIFICAREA RISCURILOR
dup natura lor riscurile pot fi:
- riscuri fizice, datorit disfuncionalitilor
infrastructurii hardware i de comunicaie;
- riscuri logice, datorit funcionrii defectuoase a
programelor sau derularea greit a unor
proceduri de prelucrare sau unor erori umane;
76
CLASIFICAREA RISCURILOR
dup tipul activitile vizate:
- riscuri de funcionare a sistemului informatic;
- riscuri financiare;
- riscuri juridice - legislative;
- riscuri sociale;
- riscuri de imagine;
- riscuri de mediu;
- riscuri de securitate.
5/16/2012
20
77
CLASIFICAREA RISCURILOR
dup specificul exercitrii activitilor de audit:
- riscuri de organizare, care se refer la actualizarea
i documentarea procedurilor, la organizarea
resurselor umane i repartizarea
responsabilitilor;
- riscuri operaionale legate de controlul operaiilor,
mai ales cele cu cost ridicat.
78
MANAGEMENTUL RISCURILOR
Managementul riscurilor este un proces:
- de identificare a vulnerabilitilor, ameninrilor i
evaluare a riscurilor IT,
- de implementare a unor aciuni de control i msuri
de prevenire,
- de eliminare sau diminuare a pierderilor, a impactului
acestora asupra sistemului informatic i respectiv
asupra ntregii ntreprinderi.
79
Relaia audit - managementul riscurilor deriv din faptul c
identificarea i aplicarea controlului intern i
aplicarea msurilor pentru minimizarea riscurilor
revin ca responsabiliti managementului sistemului
informatic.
Auditul, ca activitate independent reanalizeaz riscurile,
controalele, evalueaz corectitudinea i eficacitatea
aplicrii practice a controlului intern.
Apoi disfuncionalitile sunt comunicate evident
sistemului de management i se propun msuri de
mbuntire.
Aceast relaie aduce n discuie i riscul de audit, care
trebuie s-i gseasc i el o abordare managerial.
Auditul n sine se confrunt cu propriile riscuri !
80
Riscul de audit (RA) - este riscul ca auditorul s exprime o
opinie de audit care nu este adecvat atunci cnd
rezultatele, rapoartele sunt eronate n mod
semnificativ.
Riscul de audit este determinat de riscul existenei unor
denaturri semnificative i respectiv a riscului ca
auditorul s nu detecteze o astfel de denaturare.
Riscul unor denaturri semnificative are dou
componente:
- riscul inerent
- riscul de control
Riscul ca auditorul s nu detecteze o denaturare
semnificativ se numete:
- riscul de (ne)detectare
5/16/2012
21
81
Riscul inerent (RI) - este susceptibilitatea ca o afirmaie s
fie denaturat n mod semnificativ, fie individual fie
agregat cu alte denaturri presupunnd c nu
existau controale interne aferente.
Reprezint probabilitatea ca o eroare sau o fraud
s se produc n mod inerent datorit naturii
activitii desfurate n firm.
Riscul de control (RC) - este riscul ca o denaturare care
poate fi semnificativ s nu poat fi prevenit sau
detectat i corectat n timp util de ctre sistemul
de control intern.
Reprezint probabilitatea ca o eroare sau o fraud
s se produc fr a fi detectat sau prevenit de
ctre controlul intern.
82
Riscul de nedetectare (RND) - este riscul ca procedurile
aplicate de ctre auditor s nu conduc la
detectarea unei denaturri semnificative, individual
sau agregat cu alte denaturri.
Reprezint probabilitatea ca un auditor s nu
detecteze prin testele aplicate o eroare din cadrul
sistemului de control auditat.
83
Auditorul se mai poate confrunta i alte riscuri specifice
ntre care:
- riscul independent de eantionare;
- riscul misiunii de asigurare;
- riscul de mediu.
84
Riscul independent de eantionare este determinat de
faptul c aplicarea procedurilor de audit nu se face
la toate elementele ntregului.
Eantionarea de audit urmrete determinarea mrimii
unui eantion reprezentativ pentru nivelul de
semnificaie stabilit.
Mrimea eantionului de sondaj se poate determina
printr-o metod statistic (sau nu !).
Riscul independent de eantionare apare ca rezultat al
factorilor care l determin pe auditor s ajung la o
concluzie eronat din orice motiv care nu are legtur
cu mrimea eantionului.
Auditorul nu identific producerea unei erori datorit
eantionrii.
5/16/2012
22
85
Riscul misiunii de asigurare - este riscul ca practicianul s
exprime o concluzie care nu este adecvat atunci
cnd informaiile despre un anumit subiect sunt
eronate n mod semnificativ.
Riscul de mediu - apare n anumite mprejurri cnd
factorii relevani pentru evaluarea riscului inerent,
pentru dezvoltarea planului general de audit, pot
include riscul unor denaturri semnificative a
rezultatelor, a rapoartelor care se datoreaz unor
aspecte care au loc n legtur cu mediul
nconjurtor.
86
Msurarea riscurilor ia n considerare:
- probabilitatea de apariie a riscurilor,
- impactul
- durata consecinelor.
Literatura de specialitate consemneaz ca metode:
- metoda probabilitilor care se aplic pentru
msurarea riscurilor majore, a pierderilor probabile
i a pierderii anuale;
- metoda factorilor de risc;
- metoda matricelor de apreciere care permite
stabilirea unui scor pe o scar numeric fixat
anterior, pentru domeniile auditate.
87
MODEL DE EVALUARE A RISCURILOR [1]
Model de evaluare a riscurilor bazat pe metoda
probabilitilor (UK Departament of Trade and
Industries)
Se bazeaz pe urmtorii indicatori:
PA - pierderea anticipat;
PAA - pierderea anticipat anual;
ARP - anticiparea reducerii pierderilor;
PP - pierderea potenial.
88
Pierderea anticipat este o valoare estimat a se pierde la
anumite intervale de timp.
Pierderea anticipat anual =valoarea medie a
pierderilor anticipate pe un an.
Anticiparea reducerii pierderilor =
Pierderea anticipat Pierderea anticipat anual
Rata de apariie (RA) : =numrul de apariii al ameninrii
ntr-o anumit perioad de timp; este caracteristic
pentru fiecare ameninare
5/16/2012
23
89
Observaii
- Pierderea anticipat anual (PAA) se calculeaz
independent pentru fiecare activ n parte.
- Fiecare pereche ameninare activ este caracterizat
de un indicator care se numete
factor de vulnerabilitate (FV) .
Factorul de vulnerabilitate (FV) =
pierderea curent cauzat de o singur apariie /
totalul pierderilor poteniale aferente unui activ
90
PAA =RA x PP x FV
unde:
PAA - pierderea anticipat anual,
RA - rata apariiei,
PP - pierderea potenial,
FV - factorul de vulnerabilitate
Pierderea anticipat anual total (PAAT) =
pierderilor anticipate anuale pentru fiecare
pereche activ ameninare
91
Observaii
Modelul are o aplicabilitate general, dar el se dovedete
operaional mai ales pentru urmtoarele tipuri de
pierderi:
- fraude cu calculatorul,
- furturi de echipamente sau de informaii,
- distrugeri fizice de echipamente i informaii,
- divulgarea neautorizat a informaiilor,
- ntrzieri cauzate de disfuncionalitatea sistemului
informatic.
Finalitatea modelului este reprezentat de analiza cost
beneficiu, n sensul estimrii costurilor controalelor
i implementrii msurilor de diminuare a riscurilor,
costuri comparate cu beneficiile poteniale. Se poate
determina astfel i o rat a recuperrii investiiei
pentru un anumit control.
92
MODEL DE EVALUARE A RISCURILOR [2]
NIVELUL RISCULUI TOTAL =
ameninri x vulnerabiliti x impacturi
unde:
ameninri evenimente sau activiti ce pot afecta
punctele slabe existente n sistem;
vulnerabiliti punctele slabe existente n sistem i
care pot fi exploatate de ctre
ameninri
impacturi consecine pe termen scurt, mediu sau
lung pe care organizaia le suport ca
urmare a exploatrii vulnerabilitilor
de ctre ameninri.
5/16/2012
24
93
mare (3) mediu (2) redus (1) inexistent (0)
unde:
0 - pentru nivelul inexistent al apariiei factorului,
1 - pentru nivel redus,
2 - pentru nivel mediu,
3 - pentru nivel mare.
Scorul total va avea valori pe o scar de la 0 la 27.
Scorul maxim =3 x 3 x 3 =27
Aprecieri procentuale ale nivelului de risc a sistemului
informatic:
Nivel 0 - risc inexistent,
Nivel 0 25% - risc redus,
Nivel 26 50% - risc mediu,
Nivel 51 100% - risc mare.
94
Modelul este aplicabil foarte bine riscului auditrii:
RA =RI x RC x RND
unde:
RA - este riscul auditului,
RI - este riscul inerent,
RC - este riscul controlului,
RND - este riscul de nedetectare.
95
Pentru a exprima nivelul riscului de audit se pot utiliza
termeni cantitativi (procente) sau calitativi
(sczut, mediu, ridicat).
Pentru a exemplifica evaluarea cantitativ a riscurilor s
presupunem c auditorul a estimat:
- riscul inerent (RI) =40%,
- riscul de control (RC) =40%,
- riscul de audit (RA) =5%.
Rezult c Riscul de nedetectare (RND) va fi determinat
pe baza formulei prezentate anterior, ca raport
ntre riscul de audit i riscul inerent nmulit cu
riscul de control la o valoare de 31%.
RND =RA / (RI xRC) =0.05 / (0.4x0.4) =0.31
96
n cazul n care auditorul stabilete c riscul inerent nu
poate fi estimat sau c efortul pentru a face aceasta este
prea mare comparativ cu avantajele determinrii lui
exacte, poate stabili valoarea acestuia ca fiind 100%. n
acest caz riscul de nedetectare va fi 13%.
RND =RA / (RI xRC) =0.05 / (1x0.4) =0.125
Dac ns hotrte s atribuie i riscului de control
100% riscul de nedetectare va fi 5%.
RND =RA / (RI xRC) =0.05 / (1x1) =0.05
5/16/2012
25
97
Observaii
Modelul din standarde pornete de la premisa c cele
trei componente ale riscului de audit sunt
independente ceea ce nu corespunde realitii
deoarece conducerea va stabili un nivel al
controlului astfel nct s poat fi determinate
erorile generate de riscul inerent.
n aceste condiii, evaluarea separat a riscului inerent
i a celui de control nu va avea ca rezultat un
nivel real al riscului.
Riscul de control
Ridicat Mediu Scazut
Riscul
Inerent
Ridicat Foarte scazut Scazut Mediu
Mediu Scazut Mediu Ridicat
Scazut Mediu Ridicat Foarte ridicat
98
O alt modalitate de evaluare a riscului este cea
calitativ, prin estimri de genul sczut, mediu,
ridicat, ca n figura urmtoare:
Estimarea riscului de nedetectare - exprimat calitativ
Sursa: [Cosserat, Modern Auditing, 2nd edition, John Wiley & Sons, Ltd., England, 2005 ]
99
Evaluarea i cuantificarea riscurilor n cadrul auditului
permite argumentarea alocrii de resurse pentru
mbuntirea msurilor de control din cadrul
sistemului informatic.
Metodologic este bine s se urmreasc parcurgerea
urmtoarelor etape pentru a finaliza corect procesul de
stabilire i evaluare a riscurilor, pentru a stabili un
sistem corespunztor de controale interne:
- identificarea elementelor entitilor auditabile;
- stabilirea riscurilor pentru fiecare element
auditabil;
- msurarea riscurilor;
- clasificare;
- ierarhizare;
- clasare i stabilirea prioritilor;
- evaluare controalelor interne i a msurilor.
100
RISCUL SISTEMULUI INFORMAIONAL
- probabilitatea de apariie a unor erori sau fraude
datorit utilizrii inadecvate a sistemului
informaional.
Cuprinde:
A. Riscurile la nivelul aplicaiilor i operaiilor din
sistemul informatic:
securitatea sczut a aplicaiilor;
accesul neautorizat la datele sistemului;
introducerea unor date inadecvate sau false;
procesarea incomplet a datelor;
5/16/2012
26
101
dublarea datelor tranzacionate;
procesarea cu ntrziere a datelor;
nefuncionarea corect a transmisiei datelor;
separarea inadecvat sau inexistent a funciilor i
responsabilitilor;
analiza i proiectarea defectuoas a aplicaiilor;
incompatibilitatea dintre aplicaiile informatice;
infectarea aplicaiilor cu virui electronici;
instruirea inadecvat a utilizatorilor;
suportul i mentenana inadecvat a aplicaiilor.
102
B. Riscul de continuare a activitii sistemului informatic
Cuprinde:
riscul disponibilitii sistemului probabilitatea ca
sistemul s devin indisponibil utilizatorilor datorit
securitii sale (atacuri informatice);
riscul recuperrii sistemului probabilitatea ca
datele i operaiile sistemului s nu mai poat fi
recuperate (lipsa unor copii de siguran i a
procedurilor de de recuperare).
103
ETAPELE DE EVALUARE A RISCURILOR
DIN SISTEMUL INFORMAIONAL
identificarea factorilor de risc;
ierarhizarea factorilor de risc dup importana
acestora pentru sistemul auditat;
determinarea frecvenei i duratei de apariie a
fiecrui factor de risc;
cuantificarea i evaluarea nivelului de risc;
programarea auditului i alocarea resurselor de audit
corespunztoare nivelului de risc stabilit.
104
UN MODEL DE EVALUARE A RISCURILOR
( A- B- C ) DIN SISTEMUL INFORMAIONAL
A. Nivelul de vulnerabilitate =
f (riscul accesibilitii, nr.de utilizatori autorizai)
Riscul accesibilitii =
f (riscul accesului fizic, riscul accesului la reea)
5/16/2012
27
105
B. Complexitatea sistemului =
f (riscul tehnologic, riscul dependenei de specialiti,
complexitatea organizaional i a proiectului)
Riscul tehnologic =
f (riscul ciclului de via, riscul dependenei de
specialiti)
Riscul dependenei de specialiti =
f (riscul asociat angajailor, riscul documentaiei)
Complexitatea organizaional i a proiectului =
f (riscul complexitii organizaionale, riscul asociat
funciilor)
C. Riscul de ncredere =f (riscul asociat personalului,
106
107
Controlul n cadrul Sistemului Informaional
Controlul intern - asigur prevenirea, identificarea i
corectarea problemelor cauzate de ctre factorii de
risc.
Controlul preventiv - permite identificarea
problemelor (erori, omisiuni, fraude) nainte ca
acestea s apar;
Controlul detectiv permite detectarea i raportarea
problemelor aprute;
Controlul corectiv - permite remedierea unei
probleme sau minimizarea ameninrii identificate
prin controlul detectiv.
108
Obiectivele controlului intern specifice SI:
asigurarea securitii fizice i logice a resurselor
informaionale;
asigurarea integritii aplicaiilor informatice;
asigurarea eficienei dezvoltrii sau achiziiei de
aplicaii informatice i asigurarea compatibilitii;
asigurarea eficacitii i eficienei operaiilor i
procedurilor din sistem;
asigurarea concordanei dintre procedurile, respectiv
operaiile din sistem i reglementrile legale i
regulamentele interne n vigoare;
asigurarea recuperrii datelor i continuarea
activitii n caz de dezastre sau evenimente
neprevzute.
5/16/2012
28
109
Controale interne IT
Nucleul de probleme asupra cruia se concentreaz
munca echipei de audit este reprezentat de
sistemul de controale interne, aa cu a rezultat i
din definirea obiectului auditului sistemelor
informatice.
Auditorul trebuie s tie CE controale trebuie s
certifice i CUM se aplic controalele pentru ca
activitatea IT s se desfoare corect, fr erori i
disfuncionaliti.
Se practic gruparea controalelor interne IT n dou
clase:
- controale generale;
- controale de aplicaii.
110
Controale generale
Controalele generale, sunt acele controale care se
aplic la nivelul ntregului sistem IT al organizaiei,
tuturor compartimentelor implicate n realizarea i
funcionarea sistemului pentru certificarea
proiectrii, realizrii, implementrii, exploatrii i
dezvoltrii corecte a ntregului sistem informatic.
Controalele generale se refer la :
- controale privind planificarea i organizarea
sistemului informatic;
- controale ale ciclului de via al sistemului;
- controale de securitate IT;
- controale ale managementului schimbrilor n
sistemul informatic.
111
a) controalele privind planificarea i organizarea
Controalele privind planificarea i organizarea
sistemului informatic mai sunt numite i
controale ale managementului.
Cerinele guvernanei IT impun managementului
corelarea strategiei i obiectivele IT cu obiectivele
strategice ale organizaiei.
Auditul trebuie s controleze c ntr-adevr
managementul IT duce la ndeplinire aceast
cerin general, respectiv iniiaz i controleaz
aciunile prin care aceste obiective sunt t
ranspuse n practic.
Aceste aciuni concrete nseamn:
- planificarea sistemului informatic;
- organizarea sistemului;
- integrarea sistemului informatic.
112
Planificarea sistemului informatic trebuie neleas ca i
planificarea produciei, n sensul c trebuie s ne
stabilim intele pentru viitor, ceea ce avem de
fcut n viitor, cu ce resurse i cu ce beneficii.
Auditul trebuie s constate dac exist un plan strategic
i un plan operaional pentru sistemul informatic.
Planul strategic trebuie s conin direciile de
dezvoltare ale sistemului pe termen lung.
Planul operaional are un orizont mai mic pn la doi trei
ani. Dar e bine s avem planuri anuale. Acest plan
operaional include de exemplu: ce servicii se
doresc a fi oferite de sistem, ce aplicaii se vor
dezvolta i desigur cu ce resurse i cu ce costuri
vor fi obinute aceste resurse.
5/16/2012
29
113
n coninutul acestor planuri se regsete acea corelare
a obiectivelor IT cu obiectivele economice ale
firmei, cum ar fi, de exemplu:
- viziunea asupra investiiilor n tehnologia IT
- dezvoltarea afacerilor electronice ale firmei n
mediul Internet.
Trebuie incluse aici i problemele de buget, cheltuieli,
beneficii, indicatori de eficien.
114
Organizarea sistemului informatic are n vedere
stabilirea sarcinilor, a responsabilitilor,
rspunderilor conform organigramei, posturilor i
relaiilor de subordonare, coordonare i
colaborare din cadrul acesteia.
Not. Poblemele organizatorice sunt deosebit de
importante avnd n vedere legturile
informaionale pe care le asigur sistemul
informatic pentru:
- automatizarea proceselor de prelucrare pn la
nivelul fiecrui post de lucru;
- comunicarea datelor att n interiorul firmei ct
i n exteriorul sau n primul rnd cu clienii i
furnizorii firmei;
- suport pentru fundamentarea proceselor
decizionale.
115
Observaie.
Atitudinea managementului fa de problematica IT este
hotrtoare pentru funcionarea cu succes a
sistemului informatic. Trebuie incluse aici i
problemele de buget, cheltuieli, beneficii, indicatorii
de eficien.
116
Controlul n cadrul Sistemului Informaional
(conform standardului IFAC-IAPS 1008)
A. Controlul managementului SI
- auditorul identific, evalueaz i testeaz:
organizarea sistemului informatic;
proiectarea i implementarea sistemului
informatic;
procedurile i operaiile din sistem;
organizarea securitii sistemului;
asigurarea calitii sistemului.
5/16/2012
30
117
B. Controlul aplicaiilor informatice
- auditorul identific, evalueaz i testeaz:
intrarea datelor n sistem (autenticitate,
acuratee, integralitate);
efectuarea tranzaciilor (acuratee,
integralitate, integritate);
ieirile din sistem.
118
119
Standarde de evaluare a riscurilor i
implementarea controlului n SI
ISACA
(Information Systems Audit and Control Association)
IT Governance Institute (fondat de ctre ISACF
Information Systems Audit and Control Foundation)
Standardul - COBIT (Control OBjectives for
Information and related Technology)
Conine: prezentarea general, cadrul de lucru,
obiectivele controlului, ghidul pentru
management, ghidul pentru audit, instrumentele
de implementare.
120
IFAC
(International Federation of Accountants)
Standarde: ISA (International Standards on Auditing)
IAPS (International Auditing Practice
Statements)
ISA 400: reglementeaz evaluarea riscurilor i a
controlului intern.
ISA 401: reglementeaz procesul de audit n cadrul
sistemelor informatice.
IAPS 1008: reglementeaz evaluarea riscurilor i
controlului intern din cadrul
sistemelor informatice.
5/16/2012
31
121
Metodologia de audit a sistemelor informatice
Principalele etape:
1. Planificarea
2. Evaluarea riscurilor i controlului intern
3. Elaborarea programului de audit
4. Culegerea probelor
5. Formularea concluziilor i elaborarea raportului
6. Urmrirea (monitorizarea) implementrii
recomandrilor din raportul de audit
122
1. PLANIFICAREA
s se informeze cu privire la obiectul de activitate al
clientului i domeniul n care i desfoar
activitatea;
s se documenteze cu privire la structura sistemului
informaional. Auditorul trebuie s analizeze
structura organizatoric (organigrama), organigrama
sistemului informatic i flowchart-urile din sistem;
s determine complexitatea sistemului informatic;
s se documenteze cu privire la aplicaiile
informatice utilizate;
s se documenteze cu privire la infrastructura reelei
de calculatoare;
123
PLANIFICAREA (continuare)
s se documenteze cu privire la politicile i
procedurile de securitate, respectiv procedurile de
operare din sistemul informatic;
s identifice contractele de outsourcing
(externalizare) din sistemul informaional;
s se documenteze cu privire la controlul intern i
mai cu seam a controalelor ce privesc procesele ce
vor fi auditate;
s s evalueze riscurile din sistem (inerent, de
detectare i de control);
s stabileasc nivelul pragului de materialitate;
s stabileasc i s documenteze foile de lucru
necesare pentru misiunea de audit.
124
2. Evaluarea riscurilor i a controlului intern
s identifice vulnerabilitile i ameninrile la care
este expus aria de audit;
s evalueze prin tehnici adecvate (metoda scorurilor
sau judecata liber) nivelurile de risc din cadrul ariei
de audit;
s stabileasc riscul inerent i de control;
s evalueze controlul intern din aria de audit.
5/16/2012
32
125
3. Elaborarea programului de audit
Scopul auditului
Obiectivele auditului
Procedurile i tehnicile de audit ce vor fi utilizate
Planificarea i programarea sarcinilor i
responsabilitilor membrilor echipei
Bugetul misiunii de audit
126
4. Culegerea probelor
documente privind politicile i procedurile de
securitate din sistemul informaional al clientului;
documente privind procedurile de lucru din sistemul
informatic;
documente sau observaii privind infrastructura
fizic (hardware) i logic (software) a sistemului
auditat;
interviurile i chestionarele aplicate;
flowchart-uri de sistem i/sau de aplicaii;
observaii personale n cadrul foilor de lucru;
fiiere cu datele extrase din aria de auditat;
fiiere cu tranzaciile de date necesare auditului
127
Culegerea probelor (continuare)
fiiere jurnal pentru intrri, prelucrri, tranzacii de
date i tratare a erorilor;
situaii listate din aplicaiile sistemului;
fiierele cu datele de test;
fiiere cu erori;
coninutul i rezultatul testelor controlului din
sistem;
liste cu surse ale programelor utilizate n procesele
auditate;
coninutul i rezultatul testelor securitii sistemului.
128
5. Formularea concluziilor i elaborarea raportului care
va conine:
Denumirea organizaiei auditate.
Titlul, data i semntura.
Descrierea obiectivelor auditului.
Scopul auditului.
Perioada acoperit prin audit.
Standardele i criteriile de desfurare a auditului.
Descrierea detaliat a rezultatelor auditului.
Concluziile i opiniile auditorului.
Recomandrile i msurile corective.
5/16/2012
33
129
6. Urmrirea (monitorizarea) implementrii
recomandrilor din raportul de audit
n aceast etap se stabilesc de comun acord cu
clientul datele n care auditorul va reveni s verifice
dac recomandrile i msurile corective propuse de
el au fost implementate.
130
TEHNICI DE AUDIT A SISTEMELOR INFORMATICE
1. Tehnici de investigare a sistemului auditat.
2. Tehnici de identificare i evaluare a riscurilor.
3. Tehnici de testare a controlului din cadrul sistemului
auditat.
131
1. Tehnici de investigare a sistemului auditat.
Interviul
Chestionarul
Diagrama de flux informaional (Flowchart)
132
2. Tehnici de identificare i evaluare a riscurilor
Abordarea intuitiv (judecat liber / intuiia)
Tehnica scorurilor
Metoda cantitativ
PAE = I x F
unde PAE pierderea anual datorat expunerii
I impactul estimat n LEI / USD / EURO
F frecvena de apariie a factorilor de risc
5/16/2012
34
133
3. Tehnici de testare a controlului din cadrul sistemului
auditat
Teste de concordan
Teste de integritate
Tehnica datelor de test
Tehnica testului integrat
Simularea paralel
134
135
TEHNICI DE AUDIT ASISTATE DE CALCULATOR
CAAT (Computer Assisted Audit Techniques)
Instrumente pentru creterea productivitii muncii
de audit
Aplicaii generale de audit
(GAS - Generalized Audit Software)
Aplicaii informatice (utilitare) pentru testarea i
verificarea sistemului
136
CAAT (Computer Assisted Audit Techniques)
Sunt programe i date computerizate pe care
auditorul le folosete ca parte a procedurilor de
audit, pentru a procesa date cu semnificaie pentru
audit coninute n sistemele informatice ale unei
entiti. Datele pot fi date despre tranzacii, asupra
crora auditorul dorete s efectueze teste ale
controalelor sau proceduri de fond, sau alte tipuri de
date. (Declaraia 1009)
5/16/2012
35
137
CAAT include:
Teste ale detaliilor tranzaciilor i soldurilor, de
exemplu folosirea software-ului de audit pentru
recalcularea dobnzii sau pentru extragerea din
nregistrrile computerizate a facturilor care
depesc o anumit valoare;
Proceduri analitice, de exemplu identificarea
neconcordanelor sau a fluctuaiilor semnificative;
138
Teste ale controalelor generale, de ex. testarea
setrii sau a configurrii SO sau a procedurilor de
acces la bibliotecile de programe, sau prin folosirea
programelor de comparare a codurilor pentru a
verifica faptul c versiunea programului folosit este
versiunea aprobat de conducere;
Programe de eantionare pentru extragerea
datelor n vederea testrii de audit;
Teste ale controalelor aplicaiilor, de exemplu
testarea modului n care funcioneaz un control
programat;
Reefectuarea calculelor efectuate de sistemele
contabile ale entitii.
139
Sunt considerate CAAT:
Pachetele de programe - sunt programe de
computer generalizate, proiectate s efectueze
funcii de procesare de date (de ex. citirea datelor,
selectarea i analizarea informaiilor, executarea
calculelor, crearea fiierelor de date i raportarea
ntr-un format specificat de auditor).
Programele realizate pentru un anumit scop
execut sarcini de audit n circumstane specifice.
Acestea pot fi elaborate de ctre auditor, de entitatea
auditat sau de un programator extern angajat de
auditor.
140
Programele utilitare sunt utilizate de ctre o
entitate pentru a executa funcii comune de
procesare de date, precum sortarea, crearea i
tiprirea fiierelor. Aceste programe, n general, nu
sunt proiectate pentru scopuri de audit i, de aceea,
ele pot s nu conin caracteristici de genul
numrtori automate ale nregistrrilor sau totaluri
de control.
Programele de gestionare a sistemelor sunt
instrumente pentru mbuntirea productivitii (de
ex. programe de recuperare a datelor). Ca i n cazul
programelor utilitare, aceste instrumente nu sunt
proiectate n mod special pentru audit i necesit o
atenie suplimentar n utilizare.
5/16/2012
36
141
Programele de audit de rutin ncorporate includ:
- Instantanee imaginea unei tranzacii pe msur ce
aceasta parcurge sistemele de calcul.
- Fiier de revizuire a auditului referitor la controlul
sistemelor module de program de audit ncorporate
n sistem. Informaiile sunt colectate ntr-un fiier
special pe care auditorul l poate examina.
Tehnicile de testare a datelor pentru
- Testarea accesului la date, parole on-line.
- Testarea tranzaciilor selectate din tranzaciile
procesate anterior sau create de auditor.
- Testarea tranzaciilor folosind o unitate dummy
(un departament sau un angajat fictiv).
142
Paii principali fcui de AUDITOR n aplicarea unui
CAAT
Stabilirea obiectivului aplicaiei CAAT;
Determinarea coninutului i a accesibilitii la
fiierele entitii;
Identificarea fiierelor sau bazelor de date specifice
care urmeaz a fi examinate:
nelegerea relaiilor dintre tabelele de date, acolo
unde urmeaz s fie examinat o baz de date;
Definirea testelor sau a procedurilor specifice,
precum i a tranzaciilor i soldurilor aferente
afectate;
Definirea cerinelor cu privire la ieirile de date;
143
Stabilirea mpreun cu utilizatorul i resposabilul IT
a efecturii unor copii ale fiierelor i bazelor de date
relevante;
Identificarea personalului care poate participa la
proiectarea i aplicarea CAAT-urilor;
Perfecionarea estimrilor costurilor i beneficiilor;
Asigurarea c utilizarea CAAT-urilor este controlat
i documentat corespunztor;
Organizarea activitilor administrative, inclusiv
aptitudinile necesare i facilitile computerizate;
Reconcilierea datelor care vor fi utilizate pentru
CAAT-urile cu nregistrrile contabile;
Executarea aplicaiei CAAT;
Evaluarea rezultatelor.
144
5/16/2012
37
145
FILOSOFIA, PRINCIPIILE
I ARHITECTURA CADRULUI DE LUCRU
COBIT
(Control OBjectives for Information and related
Technology)
Principiile pe care se construiete cadrul de lucru COBIT reprezint o serie
de contrngeri i relaii impuse asupra conceptelor de control,
informaie i resurse IT.
Principiul nr. 1
Controlul n IT este abordat prin examinarea informaiei necesare
pentru a susine obiectivele sau cerinele afacerii.
Principiul nr.2
Informaia este privit ca fiind rezultatul aplicrii combinate a
resurselor IT, acestea fiind gestionate de ctre procese IT.
CATEGORIA Definiia de lucru COBIT
Efectivitate Informaia s fie relevant i pertinent
pentru procesul de afacere i s fie furnizat
n manier oportun n timp, corect,
consistent i utilizabil.
Eficien Furnizarea de informaie prin utilizarea
optimal (cea mai productiv i economic)
a resurselor.
Confidenialitate Are ca obiect protecia informaiei sensibile
fa de dezvluirea neautorizat.
146
Exist i principii secundare. Unul dintre acestea se refer la
informaia ca atare pentru a satisface obiectivele afacerii,
informaia trebuie s se conformeze unor criterii, denumite
cerinele afacerii pentru informaie.
COBIT opereaz cu un numr de 7 categorii, definite astfel:
Cerine ale afacerii impuse pentru informaie
CATEGORIA Definiia de lucru COBIT
Integritatea Se refer la exactitatea (precizia) i
completitudinea informaiei, precum i la
validitatea sa n concordan cu valorile i
ateptrile afacerii.
Disponibilitatea Informaia s fie disponibil atunci cnd este
cerut de procesul afacerii.
Conformitate Asigurarea conformitii cu acele legi,
reglementri i aranjamente contractuale care au
ca subiect procesul afacerii.
147
ncrederea n
informaie (sigurana
informaiei)
Se refer la furnizarea informaiei adecvate
managementului att pentru a opera entitatea, ct
i pentru a-i exercita responsabilitile financiare
i de raportare conforme.
CATEGORIA Definiia de lucru COBIT
Date Obiecte n sensul lor cel mai larg (interne sau
externe), structurate sau nestructurate, grafice,
sunete etc.
Sisteme de aplicaie Ansamblul procedurilor manuale i programate.
Tehnologie Hardware, sisteme de operare, SGBD (DBMS),
reele, multimedia etc.
148
Un alt principiu secundar se refer la resursele IT.
COBIT opereaz cu un numr de 5 resurse, definite astfel:
Resurse IT n cadrul COBIT
Faciliti Resursele de gzduire i suport pentru sistemele
informatice
Personal Include abilitile, contientizarea i
productivitatea dovedite de personal pentru a
planifica, organiza, achiziiona, furniza servicii IT
i a monitoriza sistemele informatice.
5/16/2012
38
149
Cadrul de lucru COBIT este format dintr-un set de obiective de
nivel nalt la care se adaug o structur global pentru
clasificarea ierarhizat a acestor obiective.
Managementul resurselor IT implic 3 niveluri de aciuni i eforturi
IT:
(1) Nivelul activitilor
(2) Nivelul proceselor
(3) Nivelul domeniilor
150
Cadrul conceptual COBIT definit anterior este caracterizat prin 3
perspective:
(1) Criterii impuse informaiei
(2) Resursele IT
(3) Procesele IT
Reuniunea acestor perspective are ca rezultat reprezentarea unui
cub 3D Cubul COBIT.
Ca domenii, au fost identificate 4 domenii:
Planificare i organizare
Achiziionare i implementare
Furnizare de servicii IT i suport
Monitorizare
151