ISA 620 Utilizarea activitii unui expert din partea

auditorului Utilizarea unui expert IT n auditul

sistemelor informatice

- SUPORT DE CURS -




Prof. univ.dr. GHEORGHE MIRELA
Facultatea de Contabilitate i Informatic de Gestiune
Catedra Informatic de Gestiune, ASE Bucureti





CUPRINS

I. Cadrul conceptual al auditului sistemelor informatice ............................................................ 3
1.1 Necesitatea utilizrii unui expert IT n cadrul unei misiuni de audit financiar ..................... 3
1.2. Definirea auditului sitemelor informatice ........................................................................ 5
1.3. Standarde i ghiduri pentru auditul sistemelor informatice ............................................. 5
II. Metodologia de audit a sistemelor informatice ........................................................................ 7
2.1. Planificarea auditului sistemelor informatice ....................................................................... 7
2.2. Evaluarea controlului intern ............................................................................................... 10
2.3. Proceduri de audit IT .......................................................................................................... 11
2.3.1 Evaluarea i testarea controalelor generale ale sistemului informatic .................... 11
2.3.2 Evaluarea i testarea controalelor aplicaiilor informatice...................................... 16
2.4. Probe de audit ..................................................................................................................... 17
2.5. Raportul de audit ................................................................................................................ 17
III. Tehnici de audit asistate de calculator (CAATs) ................................................................... 18
IV. STUDIU DE CAZ - Abordarea practic a misiunii unui expert IT n auditul sistemului de
salarizare ....................................................................................................................................... 21
Bibliografie ................................................................................................................................... 27





I. Cadrul conceptual al auditului sistemelor informatice

1.1 Necesitatea utilizrii unui expert IT n cadrul unei misiuni de audit financiar

Amploarea pe care a luat-o dezvoltarea tehnologiilor informaionale n activitatea financiar-
contabil a organizaiilor a avut un impact puternic i asupra auditului. Avantajele generate de
integrarea tehnologiilor informaionale la nivelul activitilor oricrei entiti sunt apreciabile dar,
n acelai timp amploarea riscurilor IT a luat o alt dimensiune. Astfel, accesul neautorizat la
resursele informaionale ale unei entiti, modificarea, tergerea intenionat sau nu a datelor,
informaiilor, aplicaiilor financiar-contabile existente n sistem, atacuri cu virui informatici,
inexistena copiilor de siguran pentru datele i fiierele importante din sistem sunt doar cteva
exemple de riscuri specifice mediului informatizat care pot conduce la pierderea confidenialitii,
integritii i disponibilitii resurselor informaionale. n acelai timp, dezvoltarea accelerat a
mediului e-business, utilizarea pe scar larg a resurselor disponibile pe Internet a atras incidena
unor noi riscuri informatice, precum prelucrarea i transmiterea datelor la distan, furtul de
identitate, etc.
Scandalurile din companiile americane Enron i WorldCom, fraudele descoperite n cadrul
instituiilor financiare UBS sau Socit Gnrale, creterea numrului de infraciuni informatice,
au atras atenia specialitilor n domeniu asupra importanei auditului i controlului sistemelor
informaionale.
nelegerea mediului de control, a caracteristicilor sistemului informaional n ansamblul su este
un pas important i hotrtor pentru auditorii financiari, n vederea stabilirii gradului de
credibilitate al sistemului nsui i al informaiilor pe care le furnizeaz. Obiectivul general i
scopul procesului de audit financiar nu se modific ntr-un mediu informatizat. Acest mediu
influeneaz modul de introducere a datelor n sistem, modul de prelucrare i transmitere a
informaiilor avnd un impact deosebit att asupra sistemului contabil, ct i asupra sistemului de
control intern. n acest context, verificarea i aprecierea controlului intern, la nivelul sistemului
informaional, reprezint cheia care i confer auditorului financiar ncrederea asupra datelor ce
urmez a fi auditate. Verificarea integritii datelor este o etap premergtoare analizei situaiilor
financiare, deoarece auditorii trebuie s se asigure (de autenticitatea, completitudinea,
integritatea, acurateea, disponibilitatea informaiilor supuse auditului) c rezultatele din
rapoartele finale (situaiile financiare) sunt bazate pe date complete, precise i fiabile.
Standardul internaional ISA 620 Utilizarea activitii unui expert din partea auditorului
confer auditorului financiar dreptul de a apela la serviciile unui specialist atunci cnd: expertiza
ntr-un domeniu, altul dect contabilitatea sau auditul, este necesar n vederea obinerii de probe
de audit suficiente i adecvate, auditorul trebuie s stabileasc dac va utiliza activitatea unui
expert din partea auditorului. n viziunea standardului domeniul de expertiz vizeaz aspecte
precum:
Evaluarea instrumentelor financiare complexe, terenuri i cldiri, imobilizri corporale
i utilaje, bijuterii, opere de art, antichiti, imobilizri necorporale,
Calcularea actuarial a datoriilor asociate contractelor de asigurri sau planurilor de
beneficii ale angajailor,
Estimarea rezervelor de petrol i gaz,
Interpretarea contractelor, legilor i reglementrilor,
Evaluarea obligaiilor privind mediul nconjurtor i a costurilor de curare a
diferitelor locaii.
Dei prezentul standard nu face referire n mod expres la utilizarea unui expert IT pentru auditarea
sistemului informatic, totui prevede c pot fi situaii care impun necesitatea unui expert care va
asista auditorul financiar pentru obinerea unei nelegeri a entitii i a mediului su, inclusiv a
controlului su intern. n acest sens, standardul ISA 315 Identificarea i evaluarea riscurilor de
denaturare semnificativ prin nelegerea entitii i a mediului su recomand auditorului s
neleag sistemul informaional, riscurile care decurg din utilizarea tehnologiilor informaionale
pentru a putea realiza o evaluare a sistemului de control intern al entitii.

Inc din etapa de Planificare, auditorul financiar trebuie s obin informaii suficiente i relevante
care s-i confere o nelegere adecvat a mediului de lucru a entitii auditate. Pe baza informaiilor
culese se va realiza o analiz a mediului de control IT i a tuturor sistemelor care afecteaz situaiile
financiare. Concluziile acestei etape, referitoare la arhitectura i complexitatea sistemului
informational, i vor permite auditorului financiar s stabileasc dac este necesar sau nu
utilizarea experilor IT n cadrul misiunii de audit financiar. Factorii care vor determina aceast
decizie (prelucrare dupa SAS 94 si Ghid de audit al sistemelor informatice) pot include:
Abilitile i experiena IT a auditorului financiar
Arhitectura reelei IT i complexitatea tehnic a echipamentelor utilizate
Generarea automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice
Natura tranzaciilor entitii auditate (tranzacii de comer electronic)
Sisteme informatice complexe de tip ERP, SAP, Oracle, etc.
Modificri ale sistemelor informatice existente sau implementarea unor noi sisteme
Antecedente de probleme IT (fraud informatic, erori ale utilizatorilor sistemului,
incidente de securitate IT, greeli de programare, atacuri informatice, etc)
Sisteme IT n curs de dezvoltare
n concluzie, atunci cnd informaiile necesare auditului financiar sunt furnizate de sisteme
complexe este necesar consultarea sau utilizarea unui expert IT pentru auditarea sistemului
informatic. Colaborarea cu experii IT se poate realiza pentru nelegerea semnificaiei i
complexitii sistemelor informatice, a prelucrrii datelor furnizate de sistemul informatic, precum
i pentru nelegerea sistemului de control intern, n scopul planificrii i stabilirii strategiei de
audit. Evaluarea realizat de expertul IT se va materializa n identificarea punctelor slabe ale
sistemului informatic, formularea unor recomandri de diminuare a riscurilor IT prin
implementarea unor noi controale IT i formularea unei opinii privind ncrederea pe care o asigur
sistemul informatic. Plecnd de la opinia expertului IT, auditorul financiar i va diminua volumul
testelor n cadrul misiunii sale atunci cnd aceasta este favorabil.
1.2. Definirea auditului sitemelor informatice

Auditul sistemelor informatice reprezint o activitate complex de evaluare a unui sistem
informatic n scopul emiterii unei opinii calificate asupra gradului de conformitate a sistemului
cu standardele n domeniu i, totodat, asupra capacitii sistemului informatic de a atinge
obiectivele strategice ale unei organizaii, utiliznd eficient resursele informaionale i asigurnd
integritatea datelor prelucrate i stocate.
Pe plan internaional, cea mai cunoscut autoritate n domeniul auditului sistemelor informatice
este ISACA (Information System Audit and Control Associaton), n viziunea creia auditul
sistemelor informaionale presupune verificarea i evaluarea tuturor aspectelor legate de sistemele
de prelucrare automat a datelor, incluznd i prelucrrile manuale care au legtur cu sistemul i
interfeele acestuia.
Scopul concret al activitii de audit a sistemelor informatice poate varia de la evaluarea
controalelor automate dintr-un sistem pn la verificarea detaliat a procesului de dezvoltare a noi
aplicaii informatice. Auditul sistemelor informatice se poate desfura fie independent, fie n
conjuncie cu o misiune de audit financiar sau audit intern. n acest fel, funcia auditorului IT o
completeaz pe cea a auditorului financiar sau a celui intern, furniznd o asigurare rezonabil cu
privire la implementarea i funcionalitatea sistemului informatic, securitatea activelor, acuratetea,
integritatea, completitudinea datelor prelucrate i stocate n sistem.
Auditul sistemelor informatice ofer o asigurare rezonabil asupra faptului c sistemul auditat este
un sistem de ncredere care asigur protejarea resurselor informaionale, integritatea i
disponibilitatea datelor prelucrate i stocate, conformitatea cu un cadru de referin.
1.3. Standarde i ghiduri pentru auditul sistemelor informatice

La nivel internaional, cele mai recunoscute refereniale asociate auditului sistemelor informatice
sunt:
Standardele internaionale de audit a sistemelor informaionale(IS Audit and Assurance Standards)
publicate de ISACA (Information System Audit and Control Association), unanim recunoscute i
acceptate pe plan internaional. Pentru a sprijini implementarea cu succes a acestora au fost
publicate, de asemenea, o serie de ghiduri metodologice i proceduri specifice care i ofer
auditorului IT elementele practice de aplicare a standardelor. Ca prim element iniiat de aceast
asociaie a fost publicarea unui Cod de etic profesional pentru auditori.
COBIT (Control Objectives for Information and related Technology) publicat de ITGI (IT
Governance Institute) definit ca un set de bune practici privind definirea i implementarea
obiectivelor de control asociate sistemelor informatice.
Standardele de audit publicate de INTOSAI (International Organization of Supreme Audit
Institutions) pentru instituiile publice alturi de care se regsesc i o serie de ghiduri pentru
implementarea acestora, ntre care amintim i ghidul de audit IT(IT Audit Guidelines).
Internal Control Integrated Framework publicat de COSO (Committee of Sponsoring
Organizations of the Treadway Commision) reprezint un cadru de evaluare a controlului intern.

Standardul ISO 27002 conine un cadru de lucru pentru managementul securitii informaiei.

Risk Management Guide for Information Technology Systems publicat de NIST (Nationale
Institute of Standards and Technology U.S) este un ghid pentru evaluarea riscurilor IT.

Standardele Internaionale de Audit I SA (I nternational Standards on Auditing) si I APS
(I nternational Auditing Practice Statements) publicate de Asociaia Internaional a Contabililor
Profesioniti (I FAC - I nternational Federation of Certified Accountants) .

SAS nr. 94, The Effect of Information Technology on the Auditors Consideration of Internal
Control in a Financial Statement Audit publicat Institutul american AI CPA (American Institute
of Certified Public Accountants).

Pe plan naional, reglementrile legislative privind protecia i securitatea informaiilor sunt:
Legea nr. 365/2002 privind comertul electronic, Legea nr. 455/2001 privind semnatura
electronic, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protecia vieii
private n sectorul comunicaiilor electronice, Legea nr. 102/2005 privind nfiinarea, organizarea
i funcionarea Autoritii Naionale de Supraveghere a prelucrrii datelor cu caracter personal,
Legea nr. 64/2004 pentru ratificarea Conveniei Consiliului Europei privind criminalitatea
informatic, Manualul de audit al sistemelor informatice i Ghidul de audit al sistemelor
informatice publicat de Curtea de Conturi a Romaniei pentru domeniul asociat la nivelul
institutiilor publice.



II. Metodologia de audit a sistemelor informatice

Demersul metodologic al unei misiuni de audit a sistemelor informatice presupune parcurgerea
urmtoarelor etape generice:
1. Planificarea auditului
2. Evaluarea controlului intern
3. Proceduri de audit
a. Evaluarea i testarea controalelor generale
b. Evaluarea i testarea controalelor aplicaiilor informatice
4. Concluziile auditului i ntocmirea raportului de audit.

2.1. Planificarea auditului sistemelor informatice

Planificarea auditului este prima etap a unui proces de audit, al crui scop principal l reprezint
asigurarea eficienei i eficacitii misiunii prin culegerea unor probe suficiente i relevante pentru
emiterea unei opinii de audit. Planificarea presupune culegerea de informaii care va asigura
cunoaterea i nelegerea sistemului informaional, identificarea i analiza riscurilor IT,
dezvoltarea unei strategii de audit i elaborarea planului de audit. n mod practic, planificarea
activitii de audit va urmri delimitarea ariei de audit, a obiectivelor misiunii, stabilirea unei
strategii de audit care va include procedurile de audit, termenele i responsabilitile asociate,
bugetul necesar pentru ndeplinirea obiectivelor misiunii.
Pe parcursul acestei etape, auditorul IT trebuie s desfoare o serie de proceduri:
Activitatea de cunoatere i nelegere a sistemului informaional
Analiza riscurilor IT
Stabilirea obiectivelor specifice ale misiunii de audit
Dezvoltarea unei strategii de audit
Elaborarea unui plan de audit.
Activitatea de cunoatere i nelegere a sistemului informaional reprezint o activitate esenial
a planificrii care va asigura bunul mers al aciunilor care vor urma. Tehnicile i metodele folosite
de auditor pentru culegerea informaiilor sunt:
Discuii preliminare cu reprezentanii managementului entitii auditate
Interviuri cu managementul IT i persoanele implicate n monitorizarea, administrarea,
ntreinerea i utilizarea sistemului informatic
Consultarea legislaiei aferente domeniului auditat
Consultarea rapoartelor de audit anterioare, rapoartele de audit intern
Documentare n domeniul standardelor, ghidurilor i bunelor practici
Consultarea documentaiei tehnice a sistemului auditat
Participarea la demonstraii privind utilizarea sistemului informatic
Analiza informaiilor publicate pe website-ul entitii auditate
Pe baza informaiilor culese, auditorul IT va realiza o evaluare preliminar a sistemului care se va
baza pe analiza structurii organizatorice a entitii, arhitectura sistemului informatic (platforma
hardware/software), arhitectura de reea, licene, politicile i procedurile interne de securitate,
procedurile de operare n sistem, identificarea contractele de externalizare din sistemul
informaional, complexitatea aplicaiilor financiar-contabile, identificarea sistemelor informatice
financiar-contabile n curs de dezvoltare, fluxurile de transmitere i stocare a informaiilor, cderile
sistemului IT i alte incidente de securitate IT, asigurarea continuitii activitii.
Analiza riscurilor I T
Dup obinerea unei nelegeri a sistemului informaional, auditorul va analiza riscurile inerente i
de control pentru a putea aprecia riscul de audit.
Riscul de audit reprezint probabilitatea ca un auditor s nu observe o eroare sau fraud n sistemul
auditat, formulnd astfel o opinie greit. El se poate exprima prin componente sale: risc inerent,
risc de control i risc de nedetectare i poate fi exprimat att n termeni cantitativi (n procente),
ct i calitativi (risc sczut, mediu i ridicat).
Riscul inerent reprezint probabilitatea ca o eroare sau fraud s se produc n mod inerent ca
urmare a activitii desfurate n cadrul entitii. ntr-un mediu informatizat riscurile inerente sunt
multiple i cu titlu de exemplu amintim: copieri neautorizate a informaiilor sensibile, acces de la
distan neautorizat, anonimatul unor tranzacii, dependena de furnizorii de soft, etc.
Riscul de control reprezint probabilitatea ca o eroare sau fraud s se produc fr a fi detectat
sau prevenit de sistemul de control intern. Exemple de riscuri asociate controlului intern pot fi:
politici IT de securitate inadecvate care afecteaz integritatea, confidenialitatea i disponibilitatea
informaiilor din sistem, securizarea transferului de date, recuperarea acestora, etc.
Riscul de nedetectare reprezint probabilitatea ca un auditor s nu detecteze prin testele aplicate o
eroare din cadrul sistemului de control auditat. Acesta este singurul risc controlat de auditor i este
direct legat de volumul testelor pe care le va aplica.
n mediul informatizat, analiza riscului IT se va realiza prin prisma urmtoarelor elemente:
Ameninrile i vulnerabilitile asociate proceselor i/sau activelor informaionale
Impactul ameninrilor i vulnerabilitilor asupra activelor organizaiei
Probabilitatea de apariie a ameninrilor.
Ameninrile sunt acele evenimente sau activiti, de regul externe unui sistem, care pot exploata
la un moment dat punctele slabe ale sistemului (vulnerabilitile) cauznd pierderi semnificative.
n mod practic, analiza riscurilor IT se poate realiza pe baza unor chestionare de evaluare a
sistemului informatic, elaborate de auditor, pe arii diferite precum: organizarea i funcionarea
departamentelor IT, dezvoltarea, implementarea i mentenana sistemelor informatice, securitate
IT, continuitatea activitii, conformitatea cu politicile interne, standardele i normele n domeniu.
Informaiile culese i vor permite auditorului IT identificarea ameninrilor i vulnerabilitilor
sistemului, a probabilitii de apariie i aprecierea impactului.
Studiu de caz
Un auditor financiar apeleaz la serviciile unui expert IT pentru evaluarea unei aplicaii din sistem
i n acest sens se propune identificarea ameninrilor i vulnerabilitilor asociate unui acces
neautorizat la resursele informaionale ale sistemul auditat.
Tabel Analiza riscurilor de acces neautorizat la resursele informaionale
Aria de
risc
Ameninri
(Evenimente
nedorite)
Vulnerabiliti
(Slbiciuni ale
controalelor IT)
Probabili
tatea de
apariie*
Impact** Risc***






Securitate
IT
Atacatori interni care
se prezint drept
utilizatori ai
sistemului
Inexistena unei
proceduri formale pentru
administrarea conturilor
utilizatorilor.
1 1 1
Atacuri din partea
fotilor angajai
Inexistena unei
proceduri formale de
tergere a conturilor
utilizatorilor care pleac
din sistem
1 1 1
Aflarea parolelor de
ctre alte persoane
neautorizate
Inexistena unei
proceduri formale cu
reguli pentru parolele din
sistem
1 1 1
Furt de identitate al
utilizatorilor din
sistem
Gestionarea incorect a
parolelor din sistem
1 1 1
Modificarea
neautorizat a datelor
din sistem, acces la
informaii
confideniale
Utilizatori care au
drepturi permisive n
sistem
1 2 2
Instalarea,
dezinstalarea de ctre
utilizator de soft fr
licen
Utilizatori cu drepturi de
administrator de sistem
1 1 1
Informaii
confideniale pot fi
Staiile de lucru inactive
nu sunt blocate automat
3 3 9
vizualizate de
persoane neautorizate
Frauda informatic,
acces neautorizat la
date
Nu exist o segregare a
funciilor incompatibile
n sistem
1 1 1
Frauda informatic,
acces neautorizat la
date
Programatorii au drepturi
de acces la datele din
mediul de producie.
3 3 9
Frauda informatic,
acces neautorizat la
date
Nu exist o monitorizare
a utilizatorilor n afara
orelor de program
3 3 9
Atacatori externi au
acces la resusele
sistemului
Lipsa unei politici
privind accesul de la
distanta
2 3 6
* Scala probabilitate: 1 foarte rar (0-0.3), 2 rar (0.3-0.6), 3 aproape sigur (0.6-1)
** Scala Impact: 1 scazut, 2 mediu, 3 ridicat
*** Risc: minim (verde) - <=3, mediu - (galben) (3-6], critic (rosu) - >6
Scopul final al analizei riscurilor IT este de a identifica ariile cu risc ridicat care urmeaz a fi
controlate i testate.
Dezvoltarea strategie de audit este recomandat a fi realizat, n concordan cu standardul de
audit ISACA S5. Planning, pe baza riscurilor I T identificate.
Elaborarea planului de audit va urmri stabilirea naturii i ntinderii ariei de audit, durata i
programarea procedurilor care urmeaz a fi desfurate, ct i resursele necesare (de personal,
timp, resurse tehnice i financiare) pentru executarea acestora n condiii de eficien i eficacitate.
2.2. Evaluarea controlului intern

La nivelul oricrei organizaii, controlul intern asociat unui sistem informaional trebuie proiectat
i implementat astfel nct s asigure: protejarea activelor organizaiei, asigurarea integritii
operaiilor din sistem, asigurarea integritaii progamelor i aplicaiilor importante din sistem,
asigurarea eficienei i eficacitii operaionale, conformitatea cu politicile, procedurile interne,
legislaia n vigoare i referenialele din domeniu, dezvoltarea unui plan de continuitate i a unui
plan de refacere n caz de dezastre, dezvoltarea unui plan de rspuns n cazul incidentelor IT. In
viziunea ISACA (Manual CISA), procedurile de control asupra sistemelor informatice includ:
Strategia IT i planificarea resurselor informaionale
Organizarea general i managementul sistemului informatic
Accesul la resursele IT, inclusiv la date i programe
Metodologii de dezvoltare a sistemelor i controlul modificrilor
Proceduri operaionale
Programarea sistemelor i funciilor de suport tehnic
Proceduri de asigurare a calitii procesrii datelor
Controale de acces fizic
Plan de Continuitate a afacerii/Plan de Recuperare n caz de dezastre
Monitorizarea reelei i a comunicaiilor din sistem
Administrarea bazelor de date
Mecanisme de protecie i detecie mpotriva atacturilor interne/externe
Standardul ISA 315 prevede c din perspectiva auditorului, controalele sistemelor informatice
sunt eficiente i eficace atunci cnd pstreaz integritatea informaiilor i securitatea datelor pe
care aceste sisteme le proceseaz, i includ controale generale ale sistemelor informatice i
controale ale aplicaiilor.
Controalele generale ale sistemelor informatice, n conformitate cu ISA 315, sunt politici i
proceduri aferente numeroaselor aplicaii i susin functionarea eficient a controalelor
aplicaiilor. Controalele generale se vor evalua din dou perspective, pe de o parte din punct de
vedere procedural (politica de securitate i procedurile aferente) i din punct de vedere operaional
(practic, cum opereaz procedura).
Controalele aplicaiilor sunt proceduri manuale sau automate care funcioneaz, de obicei, la
nivel de proces de afaceri al entitii i se aplic procesrii tranzaciilor de ctre aplicaiile
individuale (conform ISA 315). Altfel spus, sunt controale automate implementate la nivelul
aplicaiilor informatice din sistem, ct i controale manuale realizate de utilizatorii acestora, care
vor asigura autorizarea, completitudinea, integritatea, acurateea i disponibilitatea tranzaciilor,
ct i ncrederea n activitatea de procesare a informaiilor.
Relaia ntre controalele generale i controalele de aplicaie
Punctele slabe identificate la nivelul controalelor generale vor influena eficacitatea tuturor
controalelor din aplicaiile sistemului i implicit, vor slbi ncrederea n informaiile prelucrate i
situaiile financiar-contabile generate de acestea.
2.3. Proceduri de audit IT

2.3.1 Evaluarea i testarea controalelor generale ale sistemului informatic

ntr-un context general, evaluarea controalelor generale implic analiza politicilor IT, a
infrastructurii IT i a practicilor de lucru privind controlul accesului fizic, controlul accesului logic,
controlul operaional, controlul de management al schimbrilor de program, separarea sarcinilor,
planificarea recuperrii n caz de dezastre, controlul asupra aplicaiilor dezvoltate, externalizarea
serviciilor IT, etc.

Abordarea evalurii controalelor generale IT a fost realizat n concordan cu ISA 315 i n
funcie de complexitatea sistemului auditat i a obiectivului misiunii de audit a sistemelor
informatice, auditorul IT, pe baza raionamentului profesional, va decide aplicarea setului de
proceduri prezentate n continuare sau le va selecta pe cele aplicabile la situaia sa concret. De
asemenea, va putea proiecta noi proceduri sau va putea detalia coninutul acestora de la caz la caz.

Setul de proceduri de audit pentru evaluarea controalelor generale este structurat pe urmtoarele
domenii:
CG-01. Organizarea i managementul sistemului informatic
CG -02.Centrul de date i operaiunile de reea
CG-02. Achiziia, modificarea i mentenaa sistemului de software
CG-03. Managementul schimbrii i al dezvoltrii sistemelor de aplicaii
CG-04. Managementul securitii
CG-05. Planificarea continuitii activitii i a recuperrii n caz de dezastre.

Procedurile de audit nu vor fi dezvoltate n mod exhaustiv, ci cu titlu de exemplu se vor prezenta
controalele relevante care ar trebui testate de auditorul IT i se va descrie modul de testare pentru
un control IT.

Procedura CG-01. Organizarea i managementul sistemului informatic
Analiza i evaluarea managementului sistemului informatic va pleca de la analiza strategiei
IT i a managementului de proiecte IT. Auditorul IT va verifica dac exista un proces de planificare
strategic a afacerii, care s includ o definire clar a viziunii i misiunii de afacere ct i o
metodologie de planificare strategic. Controalele implementate la acest nivel vor evidenia
psihologia managementului i stilul su de operare, gradul de contientizare a importanei
tehnologiei informaiei i a riscurilor IT.
n verificarea procesului de planificare strategic, auditorul analizeaz dac:
Exista o metodologie de planificare strategic a componentei IT
Aceasta metodologie coreleaz obiectivele de afacere la obiectivele IT
Procesul de planificare este periodic actualizat (cel puin o dat pe an)
Acest plan identifica iniiativele IT majore i resursele necesare
Numrul de persoane implicate n acest proces
n verificarea planificrii tactice, auditorul IT va analiza practicile managementului
portofoliului de proiecte existent, considernd:
Metodologia de management de proiect existent
Controalele aplicate managementului de proiect
Instrumentele utilizate de managementul de proiect
Metodologia de management al schimbrilor utilizat pentru proiectele ample.

Procedura CG-02. Centrul de date i operaiunile de reea
Asigurarea completitudinii i integritii datelor necesit un management eficient al operaiunilor
din reea. Acest proces implic definirea unor politici de operare n reea, de protecie a acesteia,
implementarea unor controale adecvate, monitorizarea acestora i instruirea adecvat a
personalului. Auditorul IT va analiza procedurile definite n politica de securitate privind accesul
fizic la centrul de date, ct i procedurile operaionale de reea, va verifica i testa urmtoarele
controale implementate la nivelul organizaiei:
Controlul accesului fizic la centrul de date
Controlul care protejeaz centrul de date asupra riscului de inundaie, incendiu,
supranclzire, pierderea alimentrii cu energie electric
Controlul privind erorile de transmisie i de comunicaie
Controlul operaional (operarea la staiile de lucru, monitorizarea reelei, protecie
antivirus, gestiunea mediilor de stocare, managementul incidentelor,etc.)
Testarea controlului de acces fizic la centrul de date implic obinerea unei liste a angajailor
organizaiei care au acces la camera serverelor, determinarea completitudinii acesteia, i
verificarea existenei controalelor care s asigure restricionarea corect a accesului (ex. ncuietori,
carduri de acces, paz, sisteme de alarm, etc).
Procedura CG-03. Achiziia, modificarea i mentenaa sistemului de software
Dezvoltarea sau achiziia sistemului software este un proces elaborat realizat n mai multe etape:
Decizia de investiie (studiul de fezabilitate)
Analiza sistemului i a proiectrii iniiale
Dezvoltarea/achiziia sistemului
Testarea sistemului
Implementarea i conversia sistemului
Mentenana sistemului
Auditorul IT va analiza i testa controalele implementate pentru fiecare etap a procesului i n
plus separarea atribuiilor n cadrul dezvoltrii, testrii i implementrii sistemului software. n
prima etap, spre exemplu, auditorul se va asigura c decizia de investiie este n conformitate cu
obiectivele i planurile organizaiei i va verifica existena unui studiu de fezabilitate care s releve
costurile i beneficiile aduse de dezvoltarea/achiziia noului sistem.
Procedura CG-04. Managementul schimbrii i al dezvoltrii sistemelor de aplicaii

Managementul schimbrilor aduse sistemelor se caracterizeaz printr-un set de aciuni care
urmresc:
Definirea cerinelor pentru schimbarea solicitat
Obinerea autorizrii pentru dezvoltarea/achiziia de sisteme noi sau pentru schimbri
asupra sistemelor existente
Clasificarea i prioritizarea cererilor autorizate
Stabilirea n detaliu a specificaiilor funcionale
Stabilirea specificaiilor tehnice n concordan cu cerinele i standardele definite n cadrul
organizaiei
Ajustarea infrastructurii pentru a susine schimbarea autorizat
Stabilirea planului de testare i scenariilor de test pentru testele funcionale, de integrare i
de acceptan din partea utilizatorilor
Definirea pailor de revenire n caz de eec la implementare i obinerea aprobrii pentru
migrarea soluiei n producie
Efectuarea de verificri post-implementare
Cele mai relevante controale care trebuie evaluate de auditorul IT vizeaz:
Autorizarea schimbrilor
Testarea schimbrilor
Aprobarea schimbrilor i autorizarea de implementare n producie
Monitorizarea schimbrilor (inclusiv controlul versiunilor)
Separarea atribuiilor n cadrul managementului schimbrilor.
Testarea controlului de autorizare a schimbrilor implic obinerea unei liste complete cu
schimbrile aduse componentelor relevante ale mediului IT n cursul perioadei auditate. Pornind
de la acest list se selecteaz un eantion corespunzator i se stabileste dac acestea au fost
autorizate n mod corespunztor. n situaia n care exist schimbri care nu sunt autorizate formal,
auditorul IT, folosind raionamentul profesional, va aprecia dac aceasta este o situaie critic.
Procedura CG-04. Managementul securitii

Managementul securitii poate fi evaluat att la nivelul sistemului, ct i la nivelul aplicaiilor
informatice. La nivelul sistemului, controalele implementate vor restriciona pe de o parte, accesul
utilizatorilor la anumite aplicaii, informaii confideniale din sistem i pe de alt parte, vor
mpiedica accesul oricrui intrus la resursele informaionale ale sistemului. Controalele vor viza
att o restricionare a accesului fizic, ct i a celui logic. Auditorul IT va determina prin consultarea
politicii de securitate, discuii cu angajaii entitii, managementul IT, ct i prin observarea direct
la nivelul staiilor de lucru dac sunt implementate controale adecvate care s asigure securitatea
accesului i monitorizarea acestuia. n mod practic vor fi verificate i testate controale asociate
urmtoarelor domenii:
Administrarea conturilor utilizatorilor
Administrarea parolelor
Configurarea profilurilor pentru utilizatori/grupuri de utilizatori
Conturile privilegiate (ex: administratori, ingineri de sistem, programatori de sistem,
administratorii BD)
Accesul de la distan
Monitorizarea accesului la sistemul informatic
Incidente de securitate
Separarea responsabilitilor n cadrul managementului securitii.
Testarea controlului de administrare a conturilor utilizatorilor urmrete crearea, modificarea i
tergerea conturilor de utilizator. Spre exemplu, pentru procedura de creare conturi, auditorul IT
va obine o list cu userii creai n perioada auditat i va determina, pe baza unui eantion adecvat,
dac pentru fiecare cont creat exist o solicitare (formular, e-mail) care a fost autorizat de
managementul IT/ proprietarul aplicaiei i dac drepturile asociate utilizatorului n sistem sunt n
concordan cu fia de post (atribuiile acestuia). Dac acest control ar fi evaluat ca ineficent (spre
exemplu, nu toi userii sunt creai pe baza unui document formal), dar o dat pe lun se realizeaz
un control de revizuire a tuturor user-ilor creai (acesta fiind un control compensatoriu) atunci se
poate evalua controlul testat ca fiind eficient.
De asemenea este necesar testarea verificrii periodice a drepturilor de acces al utilizatorilor,
prin verificarea rapoartelor de monitorizare periodic. Dac aceste rapoarte nu exist, un control
alternativ poate fi reprezentat de testarea utilizatorilor dezactivai i a celor pentru care a fost
cerut modificarea drepturilor de acces.
Procedura CG-05. Planificarea continuitii activitii i a recuperrii n caz de dezastre
Asigurarea continuitii activitii unei entiti este un obiectiv fundamental care va fi realizat prin
dezvoltarea unui plan de continuitate a activitii, asigurarea unor locaii secundare externe pentru
pstrarea backup-urilor i instruirea personalului implicat n acest proces. Auditorul IT va analiza
procesele i resursele critice necesare pentru asigurarea continuitii, procedura de asigurare a
continuitii activitii, va verifica planul de continuitate, procedurile de reluare a activitii, lista
responsabililor acestor activiti, existena locaiilor secundare de stocare a backup-urilor, modul
de testare a planului de continuitate, inclusiv periodicitatea acestei testri. Controalele
implementate la nivelul entitii care vor fi testate de auditorul IT urmresc elementele:

Backup-ul datelor, software-ului de sistem i al aplicaiilor
Procedura asociat planului de continuitate a activitii
Testarea controlului privind backup-ul datelor implic obinerea unor probe suficiente pentru a
determina datele pentru care este necesar realizarea copiilor de siguran. Auditorul IT va testa
modul de realizare a backup-ului (cum se face backup-ul?, cine l realizeaz?, Ce se ntmpl dac
apar erori de back-up?), va revizui procedura de testare periodic a copiilor de siguran i
recuperarea datelor, precum i determinarea mediilor de stocare folosite, a gradului de adecvare a
locaiei fizice i a timpului de stocare a datelor.

2.3.2 Evaluarea i testarea controalelor aplicaiilor informatice

n viziunea Cobit 4.1 obiectivele de control specifice aplicaiilor sunt:
Pregtirea i autorizarea surselor de date asigur faptul c documentele surs sunt
pregtite de personal autorizat i calificat
Colectarea surelor de date i introducerea n sistem stabilete c introducerea datelelor de
intrare are loc la timp, de catre personal autorizat i calificat.
Verificri privind acurateea, completitudinea i autenticitatea tranzaciilor
Integritatea i validitatea procesului
Revizuirea rezultatelor, reconcilierea i tratarea erorilor
Autentificarea i integritatea tranzaciilor
Setul de proceduri de audit pentru evaluarea controalelor aplicaiilor informatice este structurat pe
urmtoarele domenii:
Controlul datelor de intrare
Controlul asupra procesrii i a fiierelor de date
Controlul privind transmisia de date
Controlul datelor de ieire
Evaluarea conformitii aplicaiei informatice cu legislaia n vigoare (spre exemplu
Ordinul 3512/2008 privind documentele financiar-contabile, sectiunea G-Criterii
minimale privind programele informatice utilizate n activitatea financiar-contabil)
Pentru evaluarea aplicaiilor, auditorul IT trebuie s neleag funcionalitatea acesteia, fluxul
informaional al tranzaciilor de la iniiere pn la reflectarea lor n situaiile financiare. n acest
sens, acesta va realiza i va include n documentaia misiunii descrieri narative, diagrame de flux
pentru a reprezenta echipamentele i aplicaiile informatice care contribuie la obinerea situaiilor
finale, fluxul tranzaciilor, interfeele de introducere a datelor sau preluare de la distan prin
aplicaii web, etc.
Diversitatea testelor realizate de auditor este ampl i poate include:
Testul privind formatul datelor: natura datelor, lungimea cmpurilor, acceptarea valorilor
negative sau doar a celor pozitive, etc
Testul verificrii domeniului de definire
Tetul privind acurateea matematic prin refacerea calculelor
Testul tranzaciilor duplicate
Testul de verificare secvenial sau ncruciat pentru asigurarea completitudinii datelor
de intrare
Testul de control al totalurilor pentru asigurarea completitudinii datelor introduse sau a
prelucrrilor
Testul de audit trail care asigur probe privind nregistrarea tranzaciilor, cum sunt
fiierele jurnal (log-uri), fiiere de nregistrare a erorilor i emite rapoarte privind
excepiile;
Verificarea drepturilor de acces asupra tranzaciilor
Verificarea transferului de date ntre aplicaii (utilizarea semnturii digitale, tehnici de
criptare)
Verificarea i validarea fluxului de aprobri
Testul de separare a atribuiilor la nivelul aplicaiei informatice
2.4. Probe de audit
Probele de audit reprezint ansamblul documentelor, fiierelor i observaiilor obinute n cursul
misiunii de audit, care vor susine concluziile formulate i opinia auditorului. Standardul ISACA
S14 Audit Evidence recomand auditorilor IT s obin probe suficiente i relevante, pentru
fundamentarea unor concluzii ct mai reale i exprimarea unei opinii pertinente.
Procedurile de obinere a probelor de audit pot fi: interogarea, observarea, inspecia, reconstituirea
fluxului unei tranzacii sau a unei prelucrri, monitorizarea.
La nivelul unei misiuni de audit a sistemului informatic, probele pot fi: documente privind politica
de securitate i procedurile asociate, documente privind structura organizaional, diagrame de tip
flowchart de reprezentare a fluxurilor informaionale, descrieri narative a funcionalitilor
sistemului, chestionare, liste de verificare, foi de lucru elaborate de auditori cu observaii
personale, fiiere cu date din aria auditat, fiiere de tip jurnal (log-uri), fiiere cu erori, fiiere cu
date test, situaii listate din aplicatia auditat, capturi de ecran care relev rezultatul unor teste de
audit.
2.5. Raportul de audit
Raportul de audit este documentul prin care se comunic obiectivul misiunii de audit, referenialul
de raportare (norme/standarde aplicate), constatrile i concluziile misiunii. Standardul ISACA de
audit a sistemelor informatice S7. Reportingofer elementele de baz pentru realizarea acestui
document. Dei normele legale nu impun un raport standardizat, n practic, se regsete o tendin
de formalizare a acestui document pentru a se asigura o bun nelegere i o identificare uoar a
elementelor semnificative din partea utilizatorului final. n structura raportului de audit se vor
regsi elementele de baz:
Paragraf introductiv care va include: scopul misiunii de audit, obiectivele, perioada
auditat, natura i ntinderea procedurilor de audit.
Cuprinsul va detalia:
slbiciunile controalelor analizate, riscurile asociate i
recomandrile necesare pentru diminuarea riscurilor
orice rezerv pe care auditorul o are asupra sistemului auditat
opinia i concluziile misiunii
referenialul de raportare reprezentat de standardele, normele i
ghidurile asociate domeniului auditat.
Paragraf final n care se nscriu data raportului, adresa i semntura auditorului
III. Tehnici de audit asistate de calculator (CAATs)

n activitatea de audit a sistemelor informatice, auditorul poate utiliza calculatorul ca un instrument
pentru extragerea i analiza datelor din sistemul informatic al entitii auditate, dar i ca tehnic de
verificare i testare pentru creterea eficienei i eficacitii misiunii de audit. n mod practic, aceste
tehnici i instrumente informatice sunt utilizate pentru efectuarea procedurilor de audit i se
regsesc n literatura de specialitate i standardele asociate domeniului sub numele de CAATs
(Computer Assisted Audit Techniques).
n viziunea INTOSAI, CAATs sunt definite ca fiind instrumente bazate pe calculator care pot
contribui la mbuntirea eficienei i eficacitii procesului de audit. Aceste instrumente
software i tehnici moderne pot asista auditorul pentru a realiza:
1. Extragerea i analiza datelor entitatii auditate
2. Investigarea criminalitatii informatice
3. Analiza securitii sistemului informatic
4. Documentarea procesului de audit
5. Monitorizarea ricurilor i auditul continuu
CAATs pentru extragerea datelor reprezint instrumente software care permit preluarea datelor
din diverse surse (fiiere, baze de date, pagini web, rapoarte pdf, etc) i transformarea lor ntr-un
format prelucrabil cu alt CAATs pentru analiza datelor. Aceste instrumente pot realiza conectarea
la baze de date SQL Server, Oracle, importul datelor din fiiere de tip word, excel, pdf, verificarea
completitudinii datelor, exportul datelor n format EXCEL, ACCESS, ACL.
Exemple de CAATs pentru extragerea datelor din cadrul sistemului informatic al entitii auditate
sunt:
Datawatch Monarch instrument specializat n prelucrarea de fiiere n format structurat
sau semi-structurat (ex. rapoarte PDF)
AX Datasource instrument de extragere a datelor integrat cu pachetul ACL
Direct Link instrument de extragere a datelor din sistemul SAP integrat cu pachetul
ACL
Smart Exporter - instrument de extragere a datelor din sistemul SAP integrat cu pachetul
IDEA
CAATs pentru analiza datelor - Instrumente software pentru prelucrarea i analiza unor volume
mari de date n vederea obinerii de informaii pertinente pentru auditor n exprimarea unei opinii.
Studiul acestor instrumente evideniaz existena unor tehnici comune de analiz precum:
Verificarea nregistrrilor duplicate
Eantionarea - stabilirea de eantioane pe baz aleatoare sau valoric (MUS-Monetary
Unit Sample)
Stratificarea - calculul numrului i valorii unor nregistrri ce se regsesc n anumite
intervale definite.
Analiza datelor pe baza legii Benford prin examinarea distribuiei frecvenei reale a
cifrelor n structura datelor.
Analiza de tip aging realizeaz nsumarea valoric a datelor pe baza unui interval de
timp
Data Mining furnizeaz analize comparative i trenduri care vor indica ariile de risc
pentru viitoarele teste de audit.
Cumulare de fiiere (Merge) - combinarea mai multor fiiere cu structur identic, ntr-un
singur fiier
Cmpuri calculate - crearea de cmpuri noi, pe baz de formule, utiliznd valorile altor
cmpuri
Identificarea valorilor nule n cmpuri
Filtrarea, sortarea datelor
Exportul datelor analizate
Exemple de CAATs pentru analiza datelor :
ACL (Audit Command Language), www.acl.com
IDEA (Interactive Data Extraction and Analysis),www.casewareanalytics.com/products
CA Panaudit Plus , www.ca.com
ActiveData (Add-Ins la Excel), www.informationactive.com
TopCAATs(Add-Ins la Excel), www.topcaats.com
ACL Acerno (Add-Ins la Excel), www.acl.com/solutions/products/acl-acerno
UNIT4 Account Analyser, www.unit4.com/products/account-analyser
Web CAAT, http://ezrstats.com/Xampp
CATTs pentru investigarea criminalitaii informatice - Instrumente software i echipamente
hardware ce permit preluarea de imagini exacte (bit image) ale datelor din diverse surse
(calculatoare, hard-diskuri, aparate foto digitale, telefoane mobile) i analiza lor fr alterarea
sursei.
EnCase Forensics soluie complex pentru capturarea i analiza imaginilor de disc
COFEE soluie de analiz a sistemelor Windows
MOBILedit! Forensics sistem de analiz a telefoanelor mobile
Tableau Imager sistem de realizare a imaginilor de disc
FTK Imager sistem de realizare a imaginilor de disc
CAATs pentru analiza securitii sistemelor informatice - Instrumente software utilizate pentru
evaluarea configuraiilor i vulnerabilitilor sistemelor informatice
Core IMPACT pachet complex de functionaliti pentru identificarea i analiza
vulnerabilitilor
Backtrack colecie de instrumente pentru identificarea i analiza vulnerabilitilor
Nmap scanarea porturilor n reea
Nessus identificarea vulnerabilitilor dintr-o retea de calculatoare
Burp Suite interceptarea i modificarea traficului web
IDA Pro analiza codului executabil (reverse engineering)
CAATs pentru gestionarea procesului de audit - Instrumente software utilizate pentru a asigura
calitatea execuiei procesului de audit, prin asigurarea aplicrii metodologiilor specifice.
PENTANA
AutoAudit
AX Gateway sistem de gestionare a proiectelor de audit
CaseWare Working Papers sistem de gestionare a proiectelor de audit
TeamMate sistem de gestionare a proiectelor de audit
CAATs pentru monitorizarea riscurilor i audit continuu - tehnic de supraveghere continu a
funcionrii controalelor implementate n sistemele informatice. Cteva exemple de CAATs:
ACL Continuous Controls Monitoring
CaseWare Monitor
Approva
BWise
IV. STUDIU DE CAZ - Abordarea practic a misiunii unui expert IT n auditul
sistemului de salarizare

Elementele prezentate n capitolele anterioare vor constitui suportul acestui studiu de caz i
abordarea acestuia se va realiza pe structura unei misiuni de audit a sistemelor informatice.
Planificarea auditului
Scopul misiunii de audit fiind auditarea sistemului de salarizare, se poate aprecia c aria misiunii
de audit este delimitat.
Cunoaterea i nelegerea sistemului de auditat se va realiza pe baza unei ample aciuni de
documentare a sistemului. Astfel, n urma unor discuii cu managementul IT, personalul
departamentului de resurse umane i utilizatorii sistemului, analiza documentaiei sistemului de
salarizare, participarea la demonstraii privind utilizarea acestuia, revizuirea unor rapoarte de audit
din misiuni anterioare, rapoarte de audit intern, auditorul IT culege informaiile necesare pentru a
stabili complexitatea sistemului, generarea automat a tranzaciilor, transferul de date ntre
aplicaii, fluxurile de transmitere i stocare a informaiilor, backup-ul sistemului i al informaiilor
generate, etc.
Evaluarea preliminar a riscurilor pentru identificarea i evaluarea ameninrilor i
vulnerabilitilor sistemului. Rezultatul acestei evaluri va constitui fundamentul pentru
dezvoltarea strategiei de audit.
Obiectivul misiunii este reprezentat de:
1. Asigurarea acurateii i integritii informaiilor generate de aplicaia de salarizare
2. Evaluarea controalelor generale i a celor specifice aplicaiei de salarizare.
Scopul final al etapei de planificare este dezvoltarea unui plan de audit, care va include procedurile
de audit i activitile asociate, fondul de timp i auditorii responsabili de realizarea acestora.
Exemplu: Plan de audit
Cod Procedura audit Activitate Auditor Fond de
timp (ore)
CG-01 Control general privind
securitatea fizic a centrului
de date
Verificarea accesului fizic la
centrul de date
CA X
CG-02 Control general al
schimbrilor din aplicaia
de salarizare
Documentarea sistemului de
control al managementului
schimbrilor
RZ X
CG-03 Control general al
schimbrilor din aplicaia
de salarizare
Evaluarea controalelor de
autorizare, testare, aprobare,
monitorizare a
managementului
schimbrilor
RZ, CA X
CG-04 Control general al
schimbrilor din aplicaia
de salarizare
Testarea controalelor
asociate managementului
schimbrilor
RZ, CA X
CG-05 Control general al
securitii de acces
Documentarea sistemului de
securitate a sistemului
auditat
DV X
CG-06 Control general al
securitii de acces
Dezvoltare i implementare
CAAT
DV X
CG-07 Control general al
securitii de acces
Testarea securitii de acces DV, CA X
CG-08 Control general al
continuitii
Documentarea procedurii de
back-up
RZ X
CG-09 Control general al
continuitii
Testarea backup-ului de date
i verificarea locaiei
RZ, CA X
CA-01 Control aplicaie de
salarizare
Documentarea sistemului DV X
CA-02 Control aplicaie de
salarizare
Dezvoltare i implementare
CAAT
DV, CA X
CA-03 Control aplicaie de
salarizare
Testarea controalelor
aplicaiei
CA X
CA-04 Control aplicaie de
salarizare
Testarea controalelor
aplicaiei
DV X
CA-05 Control aplicaie de
salarizare
Realizarea documentaiei de
audit
DV, CA,
RZ
X
RA-01 Raportarea Raport preliminar de
constatri
DV X
RA-02 Raportarea Raport audit DV, CA X

Desfurarea auditului
Desfurarea auditului reprezint ansamblul activitilor desfurate de echipa de audit, plecnd
de la documentare, evaluare i testare controale implementate n entitatea auditat, culegerea
probelor i realizarea documentaiei de audit, pentru identificarea punctelor slabe i forte ale
sistemului auditat.
Evaluarea i testarea controalelor generale
In vederea testrii controalelor generale i a obinerii probelor de audit necesare, echipa de audit a
organizat interviuri cu persoanele din cadrul companiei care asigur administrarea i suportul
necesar funcionrii corecte a sistemului informatic (Departamentul I T).
Controlul securitii fizice i a mediului asupra centrului de date urmrete verificarea accesului
angajailor la camera serverelor i verificarea existenei controalelor implementate, cum ar fi:
sisteme de alarm, ncuietori, carduri de acces, identificare biometric, etc. De asemenea, se va
verifica modul n care se protejeaz centrul de date asupra riscului de inundaie, incendiu,
supranclzire, pierderea alimentrii cu energie electric.
Managementul schimbrilor realizate la nivelul sistemului auditat urmrete verificarea
controalelor de autorizare, autorizare, testare, aprobare, monitorizare i separare atribuiilor
realizate la nivelul acestui proces. n acest sens, auditorul IT va realiza urmtoarele verificri:
Cine a iniiat schimbarea (spre exemplu un raport de analiz a salariilor pe departamente)?
se verific existena solicitrii (un document, mail).
Cine a fcut autorizarea modificrii?
Modificrile au fost dezvoltate de furnizorii de soft i apoi testate, inclusiv de cel care a
iniiat schimbarea?- se verific existena documentaiei de testare care va conine: plan de
testare, teste funcionale, teste de intergrare i teste de acceptan din partea utilizatorilor.
Cine a aprobat modificarea?- dac aprobarea nu este documentat se poate accepta
confirmarea scris din partea responsabilului de aplicaie c schimbrile au fost aprobate.
Monitorizarea modificrii.
Separarea sarcinilor ( de exemplu persoana care a iniiat modificarea s fie diferit de
persoana care a aprobat modificarea)
Managementul securitii de acces se va analiza prin prisma politicii de securitate i a procedurilor
asociate securitii de acces. Controalele care vor fi testate includ:
Setrile generale de securitate (la nivel de reea/ sistem de operare)
Rolurile i responsabilitile
Setrile de parole (lungimea minim a parolelor, complexitatea parolelor, frecvena de
schimbare a parolelor,etc)
Accesul adecvat al utilizatorilor la nivelul aplicaiei informatice (se verific procedura de
creare/modificare/tergere utilizatori)
Accesul privilegiat la resursele informaionale (administratori BD, administratori domenii)
Monitorizarea accesului la aplicaia informatic (inclusiv protecie mpotriva viruilor,
utilizare firewalls, gestionarea incidentelor de securitate, training-ul utilizatorilor) prin
analiza jurnalelor de audit (audit_log).
Separarea responsabilitilor utilizatorilor la nivelul aplicaiei informatice.


Politica de backup i restaurare a datelor
Backup-ul datelor i al sistemelor este o condiie esenial pentru asigurarea continuitii, fapt care
l va determina pe auditor s realizeze o evaluare a politicii de backup i restaurare a datelor n
caz de eec operaional. Culegerea informaiilor se va axa pe discuii, interviuri cu managementul
IT i utilizatorii aplicaiei (cum se face backup-ul?, cine realizeaz backup-ul?, Ce se ntmpl
dac apar erori de backup?, Backup-urile sunt corect jurnalizate i stocate n locaii sigure?), pe o
testare a modului de realizare a backup-ului, o evaluare a frecvenei realizrii copiilor de siguran.
Evaluarea i testarea controalelor aplicaiei de salarizare
Aplicaia de salarizare implic un cumul de procese specifice, cum ar fi gestiunea personalului,
prezena angajailor, n baza creia se calculeaz drepturile salariale ale acestora, gestiunea
reinerilor i plata salariilor. Pentru implementarea acestor procese, aplicaia informatic poate
gestiona n fiiere distincte informaii asociate personalului, prezenei, parametri specifici
legislaiei n vigoare pentru calculul reinerilor de tipul: fond de asigurare sntate, fond de omaj,
impozit pe salariu, fiiere distincte pentru sporuri, prime, alte reineri.
Procedurile de audit pentru evaluarea controalelor aplicaiilor informatice vor fi direcionate pe
urmtoarele domenii:
Controlul datelor de intrare
Controlul asupra procesrii i a fiierelor de date
Controlul privind transmisia de date
Controlul datelor de ieire
Evaluarea conformitii aplicaiei informatice cu legislaia n vigoare.
In vederea testrii controalelor de aplicaie i a obinerii probelor de audit necesare, echipa de audit
a organizat interviuri cu persoanele din cadrul companiei care utilizeaz sistemul de salarizare
(Departamentul de Resurse Umane).
In urma interviului, echipa de audit a realizat reconstituirea fluxului de tranzacii. Bazndu-se pe
observaiile realizate, precum i pe probele de audit electronice colectate, auditorii au realizat
documentarea misiunii precum i evaluarea controalelor testate:
Control de aplicaie Testarea controlului
Parametrii necesari pentru calculul
salariilor
Verificarea conformitii parametrilor cu legislaia n
vigoare
Istoricul actualizrilor parametrilor ntr-un fiier
distinct.
Responsabilitatea procesului de actualizarea a
parametrilor
Introducerea datelor n sistem Testarea formatului, domeniului de definire a datelor.
Observarea procedurii de introducere a datelor.
Analiza responsabilitilor utilizatorilor, a drepturilor
de modificare a nivelurilor de toleran.
Validarea datelor introduse Verificarea procedurii de validare a datelor n
aplicaie i testarea operaional.
Calcule automate Se reface calculul pentru o tranzacie, pentru toate
situaiile relevante. Se evalueaz integritatea,
acurateea i securitatea tabelelor care conin date
semnificative pentru tranzacia selectat.
Aprobri automate i drepturi de
suprascriere
Testare pe baza drepturilor de acces ale utilizatorilor.
Se testeaza privilegiile de acces pentru funcii i
tranzacii sensibile, dac sunt acordate corespunzator
n ceea ce privete nivelul i numrul.
Inregistrarea tranzaciilor Testul de audit trail privind nregistrarea
tranzaciilor in fiierele jurnal (log-uri), fiierele de
nregistrare a erorilor
Verificare flux de autorizri Revizuirea rapoartelor i a procedurilor de analiz a
fluxului de autorizare.
Analiza situaiilor n care este permis nclcarea
fluxului de autorizare (numr de aparitii, volum).
Verificri duplicate Evaluarea criteriilor utilizate pentru testarea
duplicatelor.
Verificarea erorilor de procesare Revizuire rapoarte cu erori i validarea pe baz de
eantion a reprocesarii tranzaciilor eronate.
Validarea prelucrrilor naintea
generrii situaiilor finale
Testarea modului de validare a tranzaciilor naintea
generrii situaiilor finale (mod automat sau
utilizator)
Coerena datelor dintre fiiere i situaii
finale
Se analizeaz coerena dintre tatele de plat,
fluturai, prime acordate i datele din fiierele
Personal, Prezena.
Inregistrarea automat a notelor
contabile aferente procesului de
salarizare n registrele financiar-
contabile
Verificarea corectitudinii notelor contabile generate
i coerena datelor din registrele financiar contabile.
Testarea prelurii unei tranzacii n Registru Jurnal
(de ex. un avans de concediu de odihn)
Conformitatea situaiilor finale cu
legislaia n vigoare
Analiza tatului de plat, fluturaii, fiele fiscale cu
legislaia n vigoare. Auditorul IT va analiza i modul
de arhivare, durata de arhivare a acestor situaii i
verificarea restaurrii din arhive.
Separarea responsabilitilor Se testeaza drepturile de acces pentru un eantion de
utilizatori, dac sunt n conformitate cu politica
organizaiei i cu bunele practici de separare a
sarcinilor (existena unor tranzacii ce se
autovalideaz i a unora cu validare manual, n
funcie de gradul de risc).
Transmisia fiierelor Verificarea procedurii de transmisie a fiierelor la
nivelul aplicaiei auditate. Pentru datele selectate se
observ rezultatele transmisiei fiierelor i
controalele specifice (totaluri de control). Se
evalueaz procedurile i metodele de autentificare.
Funcionaliti automate de filtrare Verificare regulilor de filtrare n corelaie cu
specificaiile funcionale. Testarea datelor extrase n
corelaie cu documentele surs pentru a determina
includerea corect.

Raportarea
Raportarea este etapa final a misiunii care se va caracteriza prin urmtoarele aciuni:
Formularea concluziilor privind controalele i integritatea sistemului de salarizare.
Prezentarea i discutarea rezultatelor obinute cu managementul entitii auditate.
Stabilirea recomandrilor.
Pregtirea i scrierea raportului de audit.
Prezentarea raportului de audit.
Concilierea recomandrilor.
Stabilirea condiiilor i termenilor pentru monitorizarea implementrii recomandrilor.


Bibliografie

AICPA(2001), SAS no. 94, The Effect of Information Technology on the Auditors
Consideration of Internal Control in a Financial Statement Audit.
AuditNet (2003), Principles of Computer Assisted Audit Techniques, Monograph Series
Guide in cooperation with INTOSAI, disponibil la www.auditnet.org.
IAASB, (2013), Manual de reglementari internationale de control al calitatii, audit,
revizuire, alte servicii de asigurare i servicii conexe-ISA 315, ISA 620, CAFR.
INTOSAI, (2004), Guidelines for Internal Control Standards for the Public Sector,
disponibil la www.intosai.org, www.idkk.gov.tr.
ISACA, (2004), CISA Review Manual, Rolling Meadows Illinois.
ISACA (2010), IT Standards, Guidelines, and Tools and Techniques for Audit and
Assurance and Control Professionals disponibil la www.isaca.org
IT Governance Institute (2007), COBIT 4.1, versiunea n limba romn.
Ministerul Economiei i Finantelor (2008), Ordinul 3512/2008 privind documentele
financiar-contabile.
Moeller R.(2010) IT Audit, Control and Security Ed. John Wiley & Sons.
Nastase P. & all., (2007) , Auditul i controlul sistemelor informaionale, Ed. Economica.
NIST (2002), NIST 800-30 Risk Management Guide for Information Technology Systems,
disponibil la http://csrc.nist.gov/publications/
Senft S., Gallegos F., Davis A.(2013), Information Technology Control and Audit,
Fourth Edition, CRC Press.
*** (2012), Auditul sistemelor informatice - manual, publicat de Curtea de Conturi
Romania, disponibil la www.curteadeconturi.ro.
*** (2012), Ghidul de audit al sistemelor informatice, publicat de Curtea de Conturi
Romania, disponibil la www.curteadeconturi.ro.