ISA 620 Utilizarea activitii unui expert din partea
auditorului Utilizarea unui expert IT n auditul
sistemelor informatice
- SUPORT DE CURS -
Prof. univ.dr. GHEORGHE MIRELA Facultatea de Contabilitate i Informatic de Gestiune Catedra Informatic de Gestiune, ASE Bucureti
CUPRINS
I. Cadrul conceptual al auditului sistemelor informatice ............................................................ 3 1.1 Necesitatea utilizrii unui expert IT n cadrul unei misiuni de audit financiar ..................... 3 1.2. Definirea auditului sitemelor informatice ........................................................................ 5 1.3. Standarde i ghiduri pentru auditul sistemelor informatice ............................................. 5 II. Metodologia de audit a sistemelor informatice ........................................................................ 7 2.1. Planificarea auditului sistemelor informatice ....................................................................... 7 2.2. Evaluarea controlului intern ............................................................................................... 10 2.3. Proceduri de audit IT .......................................................................................................... 11 2.3.1 Evaluarea i testarea controalelor generale ale sistemului informatic .................... 11 2.3.2 Evaluarea i testarea controalelor aplicaiilor informatice...................................... 16 2.4. Probe de audit ..................................................................................................................... 17 2.5. Raportul de audit ................................................................................................................ 17 III. Tehnici de audit asistate de calculator (CAATs) ................................................................... 18 IV. STUDIU DE CAZ - Abordarea practic a misiunii unui expert IT n auditul sistemului de salarizare ....................................................................................................................................... 21 Bibliografie ................................................................................................................................... 27
I. Cadrul conceptual al auditului sistemelor informatice
1.1 Necesitatea utilizrii unui expert IT n cadrul unei misiuni de audit financiar
Amploarea pe care a luat-o dezvoltarea tehnologiilor informaionale n activitatea financiar- contabil a organizaiilor a avut un impact puternic i asupra auditului. Avantajele generate de integrarea tehnologiilor informaionale la nivelul activitilor oricrei entiti sunt apreciabile dar, n acelai timp amploarea riscurilor IT a luat o alt dimensiune. Astfel, accesul neautorizat la resursele informaionale ale unei entiti, modificarea, tergerea intenionat sau nu a datelor, informaiilor, aplicaiilor financiar-contabile existente n sistem, atacuri cu virui informatici, inexistena copiilor de siguran pentru datele i fiierele importante din sistem sunt doar cteva exemple de riscuri specifice mediului informatizat care pot conduce la pierderea confidenialitii, integritii i disponibilitii resurselor informaionale. n acelai timp, dezvoltarea accelerat a mediului e-business, utilizarea pe scar larg a resurselor disponibile pe Internet a atras incidena unor noi riscuri informatice, precum prelucrarea i transmiterea datelor la distan, furtul de identitate, etc. Scandalurile din companiile americane Enron i WorldCom, fraudele descoperite n cadrul instituiilor financiare UBS sau Socit Gnrale, creterea numrului de infraciuni informatice, au atras atenia specialitilor n domeniu asupra importanei auditului i controlului sistemelor informaionale. nelegerea mediului de control, a caracteristicilor sistemului informaional n ansamblul su este un pas important i hotrtor pentru auditorii financiari, n vederea stabilirii gradului de credibilitate al sistemului nsui i al informaiilor pe care le furnizeaz. Obiectivul general i scopul procesului de audit financiar nu se modific ntr-un mediu informatizat. Acest mediu influeneaz modul de introducere a datelor n sistem, modul de prelucrare i transmitere a informaiilor avnd un impact deosebit att asupra sistemului contabil, ct i asupra sistemului de control intern. n acest context, verificarea i aprecierea controlului intern, la nivelul sistemului informaional, reprezint cheia care i confer auditorului financiar ncrederea asupra datelor ce urmez a fi auditate. Verificarea integritii datelor este o etap premergtoare analizei situaiilor financiare, deoarece auditorii trebuie s se asigure (de autenticitatea, completitudinea, integritatea, acurateea, disponibilitatea informaiilor supuse auditului) c rezultatele din rapoartele finale (situaiile financiare) sunt bazate pe date complete, precise i fiabile. Standardul internaional ISA 620 Utilizarea activitii unui expert din partea auditorului confer auditorului financiar dreptul de a apela la serviciile unui specialist atunci cnd: expertiza ntr-un domeniu, altul dect contabilitatea sau auditul, este necesar n vederea obinerii de probe de audit suficiente i adecvate, auditorul trebuie s stabileasc dac va utiliza activitatea unui expert din partea auditorului. n viziunea standardului domeniul de expertiz vizeaz aspecte precum: Evaluarea instrumentelor financiare complexe, terenuri i cldiri, imobilizri corporale i utilaje, bijuterii, opere de art, antichiti, imobilizri necorporale, Calcularea actuarial a datoriilor asociate contractelor de asigurri sau planurilor de beneficii ale angajailor, Estimarea rezervelor de petrol i gaz, Interpretarea contractelor, legilor i reglementrilor, Evaluarea obligaiilor privind mediul nconjurtor i a costurilor de curare a diferitelor locaii. Dei prezentul standard nu face referire n mod expres la utilizarea unui expert IT pentru auditarea sistemului informatic, totui prevede c pot fi situaii care impun necesitatea unui expert care va asista auditorul financiar pentru obinerea unei nelegeri a entitii i a mediului su, inclusiv a controlului su intern. n acest sens, standardul ISA 315 Identificarea i evaluarea riscurilor de denaturare semnificativ prin nelegerea entitii i a mediului su recomand auditorului s neleag sistemul informaional, riscurile care decurg din utilizarea tehnologiilor informaionale pentru a putea realiza o evaluare a sistemului de control intern al entitii.
Inc din etapa de Planificare, auditorul financiar trebuie s obin informaii suficiente i relevante care s-i confere o nelegere adecvat a mediului de lucru a entitii auditate. Pe baza informaiilor culese se va realiza o analiz a mediului de control IT i a tuturor sistemelor care afecteaz situaiile financiare. Concluziile acestei etape, referitoare la arhitectura i complexitatea sistemului informational, i vor permite auditorului financiar s stabileasc dac este necesar sau nu utilizarea experilor IT n cadrul misiunii de audit financiar. Factorii care vor determina aceast decizie (prelucrare dupa SAS 94 si Ghid de audit al sistemelor informatice) pot include: Abilitile i experiena IT a auditorului financiar Arhitectura reelei IT i complexitatea tehnic a echipamentelor utilizate Generarea automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice Natura tranzaciilor entitii auditate (tranzacii de comer electronic) Sisteme informatice complexe de tip ERP, SAP, Oracle, etc. Modificri ale sistemelor informatice existente sau implementarea unor noi sisteme Antecedente de probleme IT (fraud informatic, erori ale utilizatorilor sistemului, incidente de securitate IT, greeli de programare, atacuri informatice, etc) Sisteme IT n curs de dezvoltare n concluzie, atunci cnd informaiile necesare auditului financiar sunt furnizate de sisteme complexe este necesar consultarea sau utilizarea unui expert IT pentru auditarea sistemului informatic. Colaborarea cu experii IT se poate realiza pentru nelegerea semnificaiei i complexitii sistemelor informatice, a prelucrrii datelor furnizate de sistemul informatic, precum i pentru nelegerea sistemului de control intern, n scopul planificrii i stabilirii strategiei de audit. Evaluarea realizat de expertul IT se va materializa n identificarea punctelor slabe ale sistemului informatic, formularea unor recomandri de diminuare a riscurilor IT prin implementarea unor noi controale IT i formularea unei opinii privind ncrederea pe care o asigur sistemul informatic. Plecnd de la opinia expertului IT, auditorul financiar i va diminua volumul testelor n cadrul misiunii sale atunci cnd aceasta este favorabil. 1.2. Definirea auditului sitemelor informatice
Auditul sistemelor informatice reprezint o activitate complex de evaluare a unui sistem informatic n scopul emiterii unei opinii calificate asupra gradului de conformitate a sistemului cu standardele n domeniu i, totodat, asupra capacitii sistemului informatic de a atinge obiectivele strategice ale unei organizaii, utiliznd eficient resursele informaionale i asigurnd integritatea datelor prelucrate i stocate. Pe plan internaional, cea mai cunoscut autoritate n domeniul auditului sistemelor informatice este ISACA (Information System Audit and Control Associaton), n viziunea creia auditul sistemelor informaionale presupune verificarea i evaluarea tuturor aspectelor legate de sistemele de prelucrare automat a datelor, incluznd i prelucrrile manuale care au legtur cu sistemul i interfeele acestuia. Scopul concret al activitii de audit a sistemelor informatice poate varia de la evaluarea controalelor automate dintr-un sistem pn la verificarea detaliat a procesului de dezvoltare a noi aplicaii informatice. Auditul sistemelor informatice se poate desfura fie independent, fie n conjuncie cu o misiune de audit financiar sau audit intern. n acest fel, funcia auditorului IT o completeaz pe cea a auditorului financiar sau a celui intern, furniznd o asigurare rezonabil cu privire la implementarea i funcionalitatea sistemului informatic, securitatea activelor, acuratetea, integritatea, completitudinea datelor prelucrate i stocate n sistem. Auditul sistemelor informatice ofer o asigurare rezonabil asupra faptului c sistemul auditat este un sistem de ncredere care asigur protejarea resurselor informaionale, integritatea i disponibilitatea datelor prelucrate i stocate, conformitatea cu un cadru de referin. 1.3. Standarde i ghiduri pentru auditul sistemelor informatice
La nivel internaional, cele mai recunoscute refereniale asociate auditului sistemelor informatice sunt: Standardele internaionale de audit a sistemelor informaionale(IS Audit and Assurance Standards) publicate de ISACA (Information System Audit and Control Association), unanim recunoscute i acceptate pe plan internaional. Pentru a sprijini implementarea cu succes a acestora au fost publicate, de asemenea, o serie de ghiduri metodologice i proceduri specifice care i ofer auditorului IT elementele practice de aplicare a standardelor. Ca prim element iniiat de aceast asociaie a fost publicarea unui Cod de etic profesional pentru auditori. COBIT (Control Objectives for Information and related Technology) publicat de ITGI (IT Governance Institute) definit ca un set de bune practici privind definirea i implementarea obiectivelor de control asociate sistemelor informatice. Standardele de audit publicate de INTOSAI (International Organization of Supreme Audit Institutions) pentru instituiile publice alturi de care se regsesc i o serie de ghiduri pentru implementarea acestora, ntre care amintim i ghidul de audit IT(IT Audit Guidelines). Internal Control Integrated Framework publicat de COSO (Committee of Sponsoring Organizations of the Treadway Commision) reprezint un cadru de evaluare a controlului intern.
Standardul ISO 27002 conine un cadru de lucru pentru managementul securitii informaiei.
Risk Management Guide for Information Technology Systems publicat de NIST (Nationale Institute of Standards and Technology U.S) este un ghid pentru evaluarea riscurilor IT.
Standardele Internaionale de Audit I SA (I nternational Standards on Auditing) si I APS (I nternational Auditing Practice Statements) publicate de Asociaia Internaional a Contabililor Profesioniti (I FAC - I nternational Federation of Certified Accountants) .
SAS nr. 94, The Effect of Information Technology on the Auditors Consideration of Internal Control in a Financial Statement Audit publicat Institutul american AI CPA (American Institute of Certified Public Accountants).
Pe plan naional, reglementrile legislative privind protecia i securitatea informaiilor sunt: Legea nr. 365/2002 privind comertul electronic, Legea nr. 455/2001 privind semnatura electronic, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul comunicaiilor electronice, Legea nr. 102/2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale de Supraveghere a prelucrrii datelor cu caracter personal, Legea nr. 64/2004 pentru ratificarea Conveniei Consiliului Europei privind criminalitatea informatic, Manualul de audit al sistemelor informatice i Ghidul de audit al sistemelor informatice publicat de Curtea de Conturi a Romaniei pentru domeniul asociat la nivelul institutiilor publice.
II. Metodologia de audit a sistemelor informatice
Demersul metodologic al unei misiuni de audit a sistemelor informatice presupune parcurgerea urmtoarelor etape generice: 1. Planificarea auditului 2. Evaluarea controlului intern 3. Proceduri de audit a. Evaluarea i testarea controalelor generale b. Evaluarea i testarea controalelor aplicaiilor informatice 4. Concluziile auditului i ntocmirea raportului de audit.
Planificarea auditului este prima etap a unui proces de audit, al crui scop principal l reprezint asigurarea eficienei i eficacitii misiunii prin culegerea unor probe suficiente i relevante pentru emiterea unei opinii de audit. Planificarea presupune culegerea de informaii care va asigura cunoaterea i nelegerea sistemului informaional, identificarea i analiza riscurilor IT, dezvoltarea unei strategii de audit i elaborarea planului de audit. n mod practic, planificarea activitii de audit va urmri delimitarea ariei de audit, a obiectivelor misiunii, stabilirea unei strategii de audit care va include procedurile de audit, termenele i responsabilitile asociate, bugetul necesar pentru ndeplinirea obiectivelor misiunii. Pe parcursul acestei etape, auditorul IT trebuie s desfoare o serie de proceduri: Activitatea de cunoatere i nelegere a sistemului informaional Analiza riscurilor IT Stabilirea obiectivelor specifice ale misiunii de audit Dezvoltarea unei strategii de audit Elaborarea unui plan de audit. Activitatea de cunoatere i nelegere a sistemului informaional reprezint o activitate esenial a planificrii care va asigura bunul mers al aciunilor care vor urma. Tehnicile i metodele folosite de auditor pentru culegerea informaiilor sunt: Discuii preliminare cu reprezentanii managementului entitii auditate Interviuri cu managementul IT i persoanele implicate n monitorizarea, administrarea, ntreinerea i utilizarea sistemului informatic Consultarea legislaiei aferente domeniului auditat Consultarea rapoartelor de audit anterioare, rapoartele de audit intern Documentare n domeniul standardelor, ghidurilor i bunelor practici Consultarea documentaiei tehnice a sistemului auditat Participarea la demonstraii privind utilizarea sistemului informatic Analiza informaiilor publicate pe website-ul entitii auditate Pe baza informaiilor culese, auditorul IT va realiza o evaluare preliminar a sistemului care se va baza pe analiza structurii organizatorice a entitii, arhitectura sistemului informatic (platforma hardware/software), arhitectura de reea, licene, politicile i procedurile interne de securitate, procedurile de operare n sistem, identificarea contractele de externalizare din sistemul informaional, complexitatea aplicaiilor financiar-contabile, identificarea sistemelor informatice financiar-contabile n curs de dezvoltare, fluxurile de transmitere i stocare a informaiilor, cderile sistemului IT i alte incidente de securitate IT, asigurarea continuitii activitii. Analiza riscurilor I T Dup obinerea unei nelegeri a sistemului informaional, auditorul va analiza riscurile inerente i de control pentru a putea aprecia riscul de audit. Riscul de audit reprezint probabilitatea ca un auditor s nu observe o eroare sau fraud n sistemul auditat, formulnd astfel o opinie greit. El se poate exprima prin componente sale: risc inerent, risc de control i risc de nedetectare i poate fi exprimat att n termeni cantitativi (n procente), ct i calitativi (risc sczut, mediu i ridicat). Riscul inerent reprezint probabilitatea ca o eroare sau fraud s se produc n mod inerent ca urmare a activitii desfurate n cadrul entitii. ntr-un mediu informatizat riscurile inerente sunt multiple i cu titlu de exemplu amintim: copieri neautorizate a informaiilor sensibile, acces de la distan neautorizat, anonimatul unor tranzacii, dependena de furnizorii de soft, etc. Riscul de control reprezint probabilitatea ca o eroare sau fraud s se produc fr a fi detectat sau prevenit de sistemul de control intern. Exemple de riscuri asociate controlului intern pot fi: politici IT de securitate inadecvate care afecteaz integritatea, confidenialitatea i disponibilitatea informaiilor din sistem, securizarea transferului de date, recuperarea acestora, etc. Riscul de nedetectare reprezint probabilitatea ca un auditor s nu detecteze prin testele aplicate o eroare din cadrul sistemului de control auditat. Acesta este singurul risc controlat de auditor i este direct legat de volumul testelor pe care le va aplica. n mediul informatizat, analiza riscului IT se va realiza prin prisma urmtoarelor elemente: Ameninrile i vulnerabilitile asociate proceselor i/sau activelor informaionale Impactul ameninrilor i vulnerabilitilor asupra activelor organizaiei Probabilitatea de apariie a ameninrilor. Ameninrile sunt acele evenimente sau activiti, de regul externe unui sistem, care pot exploata la un moment dat punctele slabe ale sistemului (vulnerabilitile) cauznd pierderi semnificative. n mod practic, analiza riscurilor IT se poate realiza pe baza unor chestionare de evaluare a sistemului informatic, elaborate de auditor, pe arii diferite precum: organizarea i funcionarea departamentelor IT, dezvoltarea, implementarea i mentenana sistemelor informatice, securitate IT, continuitatea activitii, conformitatea cu politicile interne, standardele i normele n domeniu. Informaiile culese i vor permite auditorului IT identificarea ameninrilor i vulnerabilitilor sistemului, a probabilitii de apariie i aprecierea impactului. Studiu de caz Un auditor financiar apeleaz la serviciile unui expert IT pentru evaluarea unei aplicaii din sistem i n acest sens se propune identificarea ameninrilor i vulnerabilitilor asociate unui acces neautorizat la resursele informaionale ale sistemul auditat. Tabel Analiza riscurilor de acces neautorizat la resursele informaionale Aria de risc Ameninri (Evenimente nedorite) Vulnerabiliti (Slbiciuni ale controalelor IT) Probabili tatea de apariie* Impact** Risc***
Securitate IT Atacatori interni care se prezint drept utilizatori ai sistemului Inexistena unei proceduri formale pentru administrarea conturilor utilizatorilor. 1 1 1 Atacuri din partea fotilor angajai Inexistena unei proceduri formale de tergere a conturilor utilizatorilor care pleac din sistem 1 1 1 Aflarea parolelor de ctre alte persoane neautorizate Inexistena unei proceduri formale cu reguli pentru parolele din sistem 1 1 1 Furt de identitate al utilizatorilor din sistem Gestionarea incorect a parolelor din sistem 1 1 1 Modificarea neautorizat a datelor din sistem, acces la informaii confideniale Utilizatori care au drepturi permisive n sistem 1 2 2 Instalarea, dezinstalarea de ctre utilizator de soft fr licen Utilizatori cu drepturi de administrator de sistem 1 1 1 Informaii confideniale pot fi Staiile de lucru inactive nu sunt blocate automat 3 3 9 vizualizate de persoane neautorizate Frauda informatic, acces neautorizat la date Nu exist o segregare a funciilor incompatibile n sistem 1 1 1 Frauda informatic, acces neautorizat la date Programatorii au drepturi de acces la datele din mediul de producie. 3 3 9 Frauda informatic, acces neautorizat la date Nu exist o monitorizare a utilizatorilor n afara orelor de program 3 3 9 Atacatori externi au acces la resusele sistemului Lipsa unei politici privind accesul de la distanta 2 3 6 * Scala probabilitate: 1 foarte rar (0-0.3), 2 rar (0.3-0.6), 3 aproape sigur (0.6-1) ** Scala Impact: 1 scazut, 2 mediu, 3 ridicat *** Risc: minim (verde) - <=3, mediu - (galben) (3-6], critic (rosu) - >6 Scopul final al analizei riscurilor IT este de a identifica ariile cu risc ridicat care urmeaz a fi controlate i testate. Dezvoltarea strategie de audit este recomandat a fi realizat, n concordan cu standardul de audit ISACA S5. Planning, pe baza riscurilor I T identificate. Elaborarea planului de audit va urmri stabilirea naturii i ntinderii ariei de audit, durata i programarea procedurilor care urmeaz a fi desfurate, ct i resursele necesare (de personal, timp, resurse tehnice i financiare) pentru executarea acestora n condiii de eficien i eficacitate. 2.2. Evaluarea controlului intern
La nivelul oricrei organizaii, controlul intern asociat unui sistem informaional trebuie proiectat i implementat astfel nct s asigure: protejarea activelor organizaiei, asigurarea integritii operaiilor din sistem, asigurarea integritaii progamelor i aplicaiilor importante din sistem, asigurarea eficienei i eficacitii operaionale, conformitatea cu politicile, procedurile interne, legislaia n vigoare i referenialele din domeniu, dezvoltarea unui plan de continuitate i a unui plan de refacere n caz de dezastre, dezvoltarea unui plan de rspuns n cazul incidentelor IT. In viziunea ISACA (Manual CISA), procedurile de control asupra sistemelor informatice includ: Strategia IT i planificarea resurselor informaionale Organizarea general i managementul sistemului informatic Accesul la resursele IT, inclusiv la date i programe Metodologii de dezvoltare a sistemelor i controlul modificrilor Proceduri operaionale Programarea sistemelor i funciilor de suport tehnic Proceduri de asigurare a calitii procesrii datelor Controale de acces fizic Plan de Continuitate a afacerii/Plan de Recuperare n caz de dezastre Monitorizarea reelei i a comunicaiilor din sistem Administrarea bazelor de date Mecanisme de protecie i detecie mpotriva atacturilor interne/externe Standardul ISA 315 prevede c din perspectiva auditorului, controalele sistemelor informatice sunt eficiente i eficace atunci cnd pstreaz integritatea informaiilor i securitatea datelor pe care aceste sisteme le proceseaz, i includ controale generale ale sistemelor informatice i controale ale aplicaiilor. Controalele generale ale sistemelor informatice, n conformitate cu ISA 315, sunt politici i proceduri aferente numeroaselor aplicaii i susin functionarea eficient a controalelor aplicaiilor. Controalele generale se vor evalua din dou perspective, pe de o parte din punct de vedere procedural (politica de securitate i procedurile aferente) i din punct de vedere operaional (practic, cum opereaz procedura). Controalele aplicaiilor sunt proceduri manuale sau automate care funcioneaz, de obicei, la nivel de proces de afaceri al entitii i se aplic procesrii tranzaciilor de ctre aplicaiile individuale (conform ISA 315). Altfel spus, sunt controale automate implementate la nivelul aplicaiilor informatice din sistem, ct i controale manuale realizate de utilizatorii acestora, care vor asigura autorizarea, completitudinea, integritatea, acurateea i disponibilitatea tranzaciilor, ct i ncrederea n activitatea de procesare a informaiilor. Relaia ntre controalele generale i controalele de aplicaie Punctele slabe identificate la nivelul controalelor generale vor influena eficacitatea tuturor controalelor din aplicaiile sistemului i implicit, vor slbi ncrederea n informaiile prelucrate i situaiile financiar-contabile generate de acestea. 2.3. Proceduri de audit IT
2.3.1 Evaluarea i testarea controalelor generale ale sistemului informatic
ntr-un context general, evaluarea controalelor generale implic analiza politicilor IT, a infrastructurii IT i a practicilor de lucru privind controlul accesului fizic, controlul accesului logic, controlul operaional, controlul de management al schimbrilor de program, separarea sarcinilor, planificarea recuperrii n caz de dezastre, controlul asupra aplicaiilor dezvoltate, externalizarea serviciilor IT, etc.
Abordarea evalurii controalelor generale IT a fost realizat n concordan cu ISA 315 i n funcie de complexitatea sistemului auditat i a obiectivului misiunii de audit a sistemelor informatice, auditorul IT, pe baza raionamentului profesional, va decide aplicarea setului de proceduri prezentate n continuare sau le va selecta pe cele aplicabile la situaia sa concret. De asemenea, va putea proiecta noi proceduri sau va putea detalia coninutul acestora de la caz la caz.
Setul de proceduri de audit pentru evaluarea controalelor generale este structurat pe urmtoarele domenii: CG-01. Organizarea i managementul sistemului informatic CG -02.Centrul de date i operaiunile de reea CG-02. Achiziia, modificarea i mentenaa sistemului de software CG-03. Managementul schimbrii i al dezvoltrii sistemelor de aplicaii CG-04. Managementul securitii CG-05. Planificarea continuitii activitii i a recuperrii n caz de dezastre.
Procedurile de audit nu vor fi dezvoltate n mod exhaustiv, ci cu titlu de exemplu se vor prezenta controalele relevante care ar trebui testate de auditorul IT i se va descrie modul de testare pentru un control IT.
Procedura CG-01. Organizarea i managementul sistemului informatic Analiza i evaluarea managementului sistemului informatic va pleca de la analiza strategiei IT i a managementului de proiecte IT. Auditorul IT va verifica dac exista un proces de planificare strategic a afacerii, care s includ o definire clar a viziunii i misiunii de afacere ct i o metodologie de planificare strategic. Controalele implementate la acest nivel vor evidenia psihologia managementului i stilul su de operare, gradul de contientizare a importanei tehnologiei informaiei i a riscurilor IT. n verificarea procesului de planificare strategic, auditorul analizeaz dac: Exista o metodologie de planificare strategic a componentei IT Aceasta metodologie coreleaz obiectivele de afacere la obiectivele IT Procesul de planificare este periodic actualizat (cel puin o dat pe an) Acest plan identifica iniiativele IT majore i resursele necesare Numrul de persoane implicate n acest proces n verificarea planificrii tactice, auditorul IT va analiza practicile managementului portofoliului de proiecte existent, considernd: Metodologia de management de proiect existent Controalele aplicate managementului de proiect Instrumentele utilizate de managementul de proiect Metodologia de management al schimbrilor utilizat pentru proiectele ample.
Procedura CG-02. Centrul de date i operaiunile de reea Asigurarea completitudinii i integritii datelor necesit un management eficient al operaiunilor din reea. Acest proces implic definirea unor politici de operare n reea, de protecie a acesteia, implementarea unor controale adecvate, monitorizarea acestora i instruirea adecvat a personalului. Auditorul IT va analiza procedurile definite n politica de securitate privind accesul fizic la centrul de date, ct i procedurile operaionale de reea, va verifica i testa urmtoarele controale implementate la nivelul organizaiei: Controlul accesului fizic la centrul de date Controlul care protejeaz centrul de date asupra riscului de inundaie, incendiu, supranclzire, pierderea alimentrii cu energie electric Controlul privind erorile de transmisie i de comunicaie Controlul operaional (operarea la staiile de lucru, monitorizarea reelei, protecie antivirus, gestiunea mediilor de stocare, managementul incidentelor,etc.) Testarea controlului de acces fizic la centrul de date implic obinerea unei liste a angajailor organizaiei care au acces la camera serverelor, determinarea completitudinii acesteia, i verificarea existenei controalelor care s asigure restricionarea corect a accesului (ex. ncuietori, carduri de acces, paz, sisteme de alarm, etc). Procedura CG-03. Achiziia, modificarea i mentenaa sistemului de software Dezvoltarea sau achiziia sistemului software este un proces elaborat realizat n mai multe etape: Decizia de investiie (studiul de fezabilitate) Analiza sistemului i a proiectrii iniiale Dezvoltarea/achiziia sistemului Testarea sistemului Implementarea i conversia sistemului Mentenana sistemului Auditorul IT va analiza i testa controalele implementate pentru fiecare etap a procesului i n plus separarea atribuiilor n cadrul dezvoltrii, testrii i implementrii sistemului software. n prima etap, spre exemplu, auditorul se va asigura c decizia de investiie este n conformitate cu obiectivele i planurile organizaiei i va verifica existena unui studiu de fezabilitate care s releve costurile i beneficiile aduse de dezvoltarea/achiziia noului sistem. Procedura CG-04. Managementul schimbrii i al dezvoltrii sistemelor de aplicaii
Managementul schimbrilor aduse sistemelor se caracterizeaz printr-un set de aciuni care urmresc: Definirea cerinelor pentru schimbarea solicitat Obinerea autorizrii pentru dezvoltarea/achiziia de sisteme noi sau pentru schimbri asupra sistemelor existente Clasificarea i prioritizarea cererilor autorizate Stabilirea n detaliu a specificaiilor funcionale Stabilirea specificaiilor tehnice n concordan cu cerinele i standardele definite n cadrul organizaiei Ajustarea infrastructurii pentru a susine schimbarea autorizat Stabilirea planului de testare i scenariilor de test pentru testele funcionale, de integrare i de acceptan din partea utilizatorilor Definirea pailor de revenire n caz de eec la implementare i obinerea aprobrii pentru migrarea soluiei n producie Efectuarea de verificri post-implementare Cele mai relevante controale care trebuie evaluate de auditorul IT vizeaz: Autorizarea schimbrilor Testarea schimbrilor Aprobarea schimbrilor i autorizarea de implementare n producie Monitorizarea schimbrilor (inclusiv controlul versiunilor) Separarea atribuiilor n cadrul managementului schimbrilor. Testarea controlului de autorizare a schimbrilor implic obinerea unei liste complete cu schimbrile aduse componentelor relevante ale mediului IT n cursul perioadei auditate. Pornind de la acest list se selecteaz un eantion corespunzator i se stabileste dac acestea au fost autorizate n mod corespunztor. n situaia n care exist schimbri care nu sunt autorizate formal, auditorul IT, folosind raionamentul profesional, va aprecia dac aceasta este o situaie critic. Procedura CG-04. Managementul securitii
Managementul securitii poate fi evaluat att la nivelul sistemului, ct i la nivelul aplicaiilor informatice. La nivelul sistemului, controalele implementate vor restriciona pe de o parte, accesul utilizatorilor la anumite aplicaii, informaii confideniale din sistem i pe de alt parte, vor mpiedica accesul oricrui intrus la resursele informaionale ale sistemului. Controalele vor viza att o restricionare a accesului fizic, ct i a celui logic. Auditorul IT va determina prin consultarea politicii de securitate, discuii cu angajaii entitii, managementul IT, ct i prin observarea direct la nivelul staiilor de lucru dac sunt implementate controale adecvate care s asigure securitatea accesului i monitorizarea acestuia. n mod practic vor fi verificate i testate controale asociate urmtoarelor domenii: Administrarea conturilor utilizatorilor Administrarea parolelor Configurarea profilurilor pentru utilizatori/grupuri de utilizatori Conturile privilegiate (ex: administratori, ingineri de sistem, programatori de sistem, administratorii BD) Accesul de la distan Monitorizarea accesului la sistemul informatic Incidente de securitate Separarea responsabilitilor n cadrul managementului securitii. Testarea controlului de administrare a conturilor utilizatorilor urmrete crearea, modificarea i tergerea conturilor de utilizator. Spre exemplu, pentru procedura de creare conturi, auditorul IT va obine o list cu userii creai n perioada auditat i va determina, pe baza unui eantion adecvat, dac pentru fiecare cont creat exist o solicitare (formular, e-mail) care a fost autorizat de managementul IT/ proprietarul aplicaiei i dac drepturile asociate utilizatorului n sistem sunt n concordan cu fia de post (atribuiile acestuia). Dac acest control ar fi evaluat ca ineficent (spre exemplu, nu toi userii sunt creai pe baza unui document formal), dar o dat pe lun se realizeaz un control de revizuire a tuturor user-ilor creai (acesta fiind un control compensatoriu) atunci se poate evalua controlul testat ca fiind eficient. De asemenea este necesar testarea verificrii periodice a drepturilor de acces al utilizatorilor, prin verificarea rapoartelor de monitorizare periodic. Dac aceste rapoarte nu exist, un control alternativ poate fi reprezentat de testarea utilizatorilor dezactivai i a celor pentru care a fost cerut modificarea drepturilor de acces. Procedura CG-05. Planificarea continuitii activitii i a recuperrii n caz de dezastre Asigurarea continuitii activitii unei entiti este un obiectiv fundamental care va fi realizat prin dezvoltarea unui plan de continuitate a activitii, asigurarea unor locaii secundare externe pentru pstrarea backup-urilor i instruirea personalului implicat n acest proces. Auditorul IT va analiza procesele i resursele critice necesare pentru asigurarea continuitii, procedura de asigurare a continuitii activitii, va verifica planul de continuitate, procedurile de reluare a activitii, lista responsabililor acestor activiti, existena locaiilor secundare de stocare a backup-urilor, modul de testare a planului de continuitate, inclusiv periodicitatea acestei testri. Controalele implementate la nivelul entitii care vor fi testate de auditorul IT urmresc elementele:
Backup-ul datelor, software-ului de sistem i al aplicaiilor Procedura asociat planului de continuitate a activitii Testarea controlului privind backup-ul datelor implic obinerea unor probe suficiente pentru a determina datele pentru care este necesar realizarea copiilor de siguran. Auditorul IT va testa modul de realizare a backup-ului (cum se face backup-ul?, cine l realizeaz?, Ce se ntmpl dac apar erori de back-up?), va revizui procedura de testare periodic a copiilor de siguran i recuperarea datelor, precum i determinarea mediilor de stocare folosite, a gradului de adecvare a locaiei fizice i a timpului de stocare a datelor.
2.3.2 Evaluarea i testarea controalelor aplicaiilor informatice
n viziunea Cobit 4.1 obiectivele de control specifice aplicaiilor sunt: Pregtirea i autorizarea surselor de date asigur faptul c documentele surs sunt pregtite de personal autorizat i calificat Colectarea surelor de date i introducerea n sistem stabilete c introducerea datelelor de intrare are loc la timp, de catre personal autorizat i calificat. Verificri privind acurateea, completitudinea i autenticitatea tranzaciilor Integritatea i validitatea procesului Revizuirea rezultatelor, reconcilierea i tratarea erorilor Autentificarea i integritatea tranzaciilor Setul de proceduri de audit pentru evaluarea controalelor aplicaiilor informatice este structurat pe urmtoarele domenii: Controlul datelor de intrare Controlul asupra procesrii i a fiierelor de date Controlul privind transmisia de date Controlul datelor de ieire Evaluarea conformitii aplicaiei informatice cu legislaia n vigoare (spre exemplu Ordinul 3512/2008 privind documentele financiar-contabile, sectiunea G-Criterii minimale privind programele informatice utilizate n activitatea financiar-contabil) Pentru evaluarea aplicaiilor, auditorul IT trebuie s neleag funcionalitatea acesteia, fluxul informaional al tranzaciilor de la iniiere pn la reflectarea lor n situaiile financiare. n acest sens, acesta va realiza i va include n documentaia misiunii descrieri narative, diagrame de flux pentru a reprezenta echipamentele i aplicaiile informatice care contribuie la obinerea situaiilor finale, fluxul tranzaciilor, interfeele de introducere a datelor sau preluare de la distan prin aplicaii web, etc. Diversitatea testelor realizate de auditor este ampl i poate include: Testul privind formatul datelor: natura datelor, lungimea cmpurilor, acceptarea valorilor negative sau doar a celor pozitive, etc Testul verificrii domeniului de definire Tetul privind acurateea matematic prin refacerea calculelor Testul tranzaciilor duplicate Testul de verificare secvenial sau ncruciat pentru asigurarea completitudinii datelor de intrare Testul de control al totalurilor pentru asigurarea completitudinii datelor introduse sau a prelucrrilor Testul de audit trail care asigur probe privind nregistrarea tranzaciilor, cum sunt fiierele jurnal (log-uri), fiiere de nregistrare a erorilor i emite rapoarte privind excepiile; Verificarea drepturilor de acces asupra tranzaciilor Verificarea transferului de date ntre aplicaii (utilizarea semnturii digitale, tehnici de criptare) Verificarea i validarea fluxului de aprobri Testul de separare a atribuiilor la nivelul aplicaiei informatice 2.4. Probe de audit Probele de audit reprezint ansamblul documentelor, fiierelor i observaiilor obinute n cursul misiunii de audit, care vor susine concluziile formulate i opinia auditorului. Standardul ISACA S14 Audit Evidence recomand auditorilor IT s obin probe suficiente i relevante, pentru fundamentarea unor concluzii ct mai reale i exprimarea unei opinii pertinente. Procedurile de obinere a probelor de audit pot fi: interogarea, observarea, inspecia, reconstituirea fluxului unei tranzacii sau a unei prelucrri, monitorizarea. La nivelul unei misiuni de audit a sistemului informatic, probele pot fi: documente privind politica de securitate i procedurile asociate, documente privind structura organizaional, diagrame de tip flowchart de reprezentare a fluxurilor informaionale, descrieri narative a funcionalitilor sistemului, chestionare, liste de verificare, foi de lucru elaborate de auditori cu observaii personale, fiiere cu date din aria auditat, fiiere de tip jurnal (log-uri), fiiere cu erori, fiiere cu date test, situaii listate din aplicatia auditat, capturi de ecran care relev rezultatul unor teste de audit. 2.5. Raportul de audit Raportul de audit este documentul prin care se comunic obiectivul misiunii de audit, referenialul de raportare (norme/standarde aplicate), constatrile i concluziile misiunii. Standardul ISACA de audit a sistemelor informatice S7. Reportingofer elementele de baz pentru realizarea acestui document. Dei normele legale nu impun un raport standardizat, n practic, se regsete o tendin de formalizare a acestui document pentru a se asigura o bun nelegere i o identificare uoar a elementelor semnificative din partea utilizatorului final. n structura raportului de audit se vor regsi elementele de baz: Paragraf introductiv care va include: scopul misiunii de audit, obiectivele, perioada auditat, natura i ntinderea procedurilor de audit. Cuprinsul va detalia: slbiciunile controalelor analizate, riscurile asociate i recomandrile necesare pentru diminuarea riscurilor orice rezerv pe care auditorul o are asupra sistemului auditat opinia i concluziile misiunii referenialul de raportare reprezentat de standardele, normele i ghidurile asociate domeniului auditat. Paragraf final n care se nscriu data raportului, adresa i semntura auditorului III. Tehnici de audit asistate de calculator (CAATs)
n activitatea de audit a sistemelor informatice, auditorul poate utiliza calculatorul ca un instrument pentru extragerea i analiza datelor din sistemul informatic al entitii auditate, dar i ca tehnic de verificare i testare pentru creterea eficienei i eficacitii misiunii de audit. n mod practic, aceste tehnici i instrumente informatice sunt utilizate pentru efectuarea procedurilor de audit i se regsesc n literatura de specialitate i standardele asociate domeniului sub numele de CAATs (Computer Assisted Audit Techniques). n viziunea INTOSAI, CAATs sunt definite ca fiind instrumente bazate pe calculator care pot contribui la mbuntirea eficienei i eficacitii procesului de audit. Aceste instrumente software i tehnici moderne pot asista auditorul pentru a realiza: 1. Extragerea i analiza datelor entitatii auditate 2. Investigarea criminalitatii informatice 3. Analiza securitii sistemului informatic 4. Documentarea procesului de audit 5. Monitorizarea ricurilor i auditul continuu CAATs pentru extragerea datelor reprezint instrumente software care permit preluarea datelor din diverse surse (fiiere, baze de date, pagini web, rapoarte pdf, etc) i transformarea lor ntr-un format prelucrabil cu alt CAATs pentru analiza datelor. Aceste instrumente pot realiza conectarea la baze de date SQL Server, Oracle, importul datelor din fiiere de tip word, excel, pdf, verificarea completitudinii datelor, exportul datelor n format EXCEL, ACCESS, ACL. Exemple de CAATs pentru extragerea datelor din cadrul sistemului informatic al entitii auditate sunt: Datawatch Monarch instrument specializat n prelucrarea de fiiere n format structurat sau semi-structurat (ex. rapoarte PDF) AX Datasource instrument de extragere a datelor integrat cu pachetul ACL Direct Link instrument de extragere a datelor din sistemul SAP integrat cu pachetul ACL Smart Exporter - instrument de extragere a datelor din sistemul SAP integrat cu pachetul IDEA CAATs pentru analiza datelor - Instrumente software pentru prelucrarea i analiza unor volume mari de date n vederea obinerii de informaii pertinente pentru auditor n exprimarea unei opinii. Studiul acestor instrumente evideniaz existena unor tehnici comune de analiz precum: Verificarea nregistrrilor duplicate Eantionarea - stabilirea de eantioane pe baz aleatoare sau valoric (MUS-Monetary Unit Sample) Stratificarea - calculul numrului i valorii unor nregistrri ce se regsesc n anumite intervale definite. Analiza datelor pe baza legii Benford prin examinarea distribuiei frecvenei reale a cifrelor n structura datelor. Analiza de tip aging realizeaz nsumarea valoric a datelor pe baza unui interval de timp Data Mining furnizeaz analize comparative i trenduri care vor indica ariile de risc pentru viitoarele teste de audit. Cumulare de fiiere (Merge) - combinarea mai multor fiiere cu structur identic, ntr-un singur fiier Cmpuri calculate - crearea de cmpuri noi, pe baz de formule, utiliznd valorile altor cmpuri Identificarea valorilor nule n cmpuri Filtrarea, sortarea datelor Exportul datelor analizate Exemple de CAATs pentru analiza datelor : ACL (Audit Command Language), www.acl.com IDEA (Interactive Data Extraction and Analysis),www.casewareanalytics.com/products CA Panaudit Plus , www.ca.com ActiveData (Add-Ins la Excel), www.informationactive.com TopCAATs(Add-Ins la Excel), www.topcaats.com ACL Acerno (Add-Ins la Excel), www.acl.com/solutions/products/acl-acerno UNIT4 Account Analyser, www.unit4.com/products/account-analyser Web CAAT, http://ezrstats.com/Xampp CATTs pentru investigarea criminalitaii informatice - Instrumente software i echipamente hardware ce permit preluarea de imagini exacte (bit image) ale datelor din diverse surse (calculatoare, hard-diskuri, aparate foto digitale, telefoane mobile) i analiza lor fr alterarea sursei. EnCase Forensics soluie complex pentru capturarea i analiza imaginilor de disc COFEE soluie de analiz a sistemelor Windows MOBILedit! Forensics sistem de analiz a telefoanelor mobile Tableau Imager sistem de realizare a imaginilor de disc FTK Imager sistem de realizare a imaginilor de disc CAATs pentru analiza securitii sistemelor informatice - Instrumente software utilizate pentru evaluarea configuraiilor i vulnerabilitilor sistemelor informatice Core IMPACT pachet complex de functionaliti pentru identificarea i analiza vulnerabilitilor Backtrack colecie de instrumente pentru identificarea i analiza vulnerabilitilor Nmap scanarea porturilor n reea Nessus identificarea vulnerabilitilor dintr-o retea de calculatoare Burp Suite interceptarea i modificarea traficului web IDA Pro analiza codului executabil (reverse engineering) CAATs pentru gestionarea procesului de audit - Instrumente software utilizate pentru a asigura calitatea execuiei procesului de audit, prin asigurarea aplicrii metodologiilor specifice. PENTANA AutoAudit AX Gateway sistem de gestionare a proiectelor de audit CaseWare Working Papers sistem de gestionare a proiectelor de audit TeamMate sistem de gestionare a proiectelor de audit CAATs pentru monitorizarea riscurilor i audit continuu - tehnic de supraveghere continu a funcionrii controalelor implementate n sistemele informatice. Cteva exemple de CAATs: ACL Continuous Controls Monitoring CaseWare Monitor Approva BWise IV. STUDIU DE CAZ - Abordarea practic a misiunii unui expert IT n auditul sistemului de salarizare
Elementele prezentate n capitolele anterioare vor constitui suportul acestui studiu de caz i abordarea acestuia se va realiza pe structura unei misiuni de audit a sistemelor informatice. Planificarea auditului Scopul misiunii de audit fiind auditarea sistemului de salarizare, se poate aprecia c aria misiunii de audit este delimitat. Cunoaterea i nelegerea sistemului de auditat se va realiza pe baza unei ample aciuni de documentare a sistemului. Astfel, n urma unor discuii cu managementul IT, personalul departamentului de resurse umane i utilizatorii sistemului, analiza documentaiei sistemului de salarizare, participarea la demonstraii privind utilizarea acestuia, revizuirea unor rapoarte de audit din misiuni anterioare, rapoarte de audit intern, auditorul IT culege informaiile necesare pentru a stabili complexitatea sistemului, generarea automat a tranzaciilor, transferul de date ntre aplicaii, fluxurile de transmitere i stocare a informaiilor, backup-ul sistemului i al informaiilor generate, etc. Evaluarea preliminar a riscurilor pentru identificarea i evaluarea ameninrilor i vulnerabilitilor sistemului. Rezultatul acestei evaluri va constitui fundamentul pentru dezvoltarea strategiei de audit. Obiectivul misiunii este reprezentat de: 1. Asigurarea acurateii i integritii informaiilor generate de aplicaia de salarizare 2. Evaluarea controalelor generale i a celor specifice aplicaiei de salarizare. Scopul final al etapei de planificare este dezvoltarea unui plan de audit, care va include procedurile de audit i activitile asociate, fondul de timp i auditorii responsabili de realizarea acestora. Exemplu: Plan de audit Cod Procedura audit Activitate Auditor Fond de timp (ore) CG-01 Control general privind securitatea fizic a centrului de date Verificarea accesului fizic la centrul de date CA X CG-02 Control general al schimbrilor din aplicaia de salarizare Documentarea sistemului de control al managementului schimbrilor RZ X CG-03 Control general al schimbrilor din aplicaia de salarizare Evaluarea controalelor de autorizare, testare, aprobare, monitorizare a managementului schimbrilor RZ, CA X CG-04 Control general al schimbrilor din aplicaia de salarizare Testarea controalelor asociate managementului schimbrilor RZ, CA X CG-05 Control general al securitii de acces Documentarea sistemului de securitate a sistemului auditat DV X CG-06 Control general al securitii de acces Dezvoltare i implementare CAAT DV X CG-07 Control general al securitii de acces Testarea securitii de acces DV, CA X CG-08 Control general al continuitii Documentarea procedurii de back-up RZ X CG-09 Control general al continuitii Testarea backup-ului de date i verificarea locaiei RZ, CA X CA-01 Control aplicaie de salarizare Documentarea sistemului DV X CA-02 Control aplicaie de salarizare Dezvoltare i implementare CAAT DV, CA X CA-03 Control aplicaie de salarizare Testarea controalelor aplicaiei CA X CA-04 Control aplicaie de salarizare Testarea controalelor aplicaiei DV X CA-05 Control aplicaie de salarizare Realizarea documentaiei de audit DV, CA, RZ X RA-01 Raportarea Raport preliminar de constatri DV X RA-02 Raportarea Raport audit DV, CA X
Desfurarea auditului Desfurarea auditului reprezint ansamblul activitilor desfurate de echipa de audit, plecnd de la documentare, evaluare i testare controale implementate n entitatea auditat, culegerea probelor i realizarea documentaiei de audit, pentru identificarea punctelor slabe i forte ale sistemului auditat. Evaluarea i testarea controalelor generale In vederea testrii controalelor generale i a obinerii probelor de audit necesare, echipa de audit a organizat interviuri cu persoanele din cadrul companiei care asigur administrarea i suportul necesar funcionrii corecte a sistemului informatic (Departamentul I T). Controlul securitii fizice i a mediului asupra centrului de date urmrete verificarea accesului angajailor la camera serverelor i verificarea existenei controalelor implementate, cum ar fi: sisteme de alarm, ncuietori, carduri de acces, identificare biometric, etc. De asemenea, se va verifica modul n care se protejeaz centrul de date asupra riscului de inundaie, incendiu, supranclzire, pierderea alimentrii cu energie electric. Managementul schimbrilor realizate la nivelul sistemului auditat urmrete verificarea controalelor de autorizare, autorizare, testare, aprobare, monitorizare i separare atribuiilor realizate la nivelul acestui proces. n acest sens, auditorul IT va realiza urmtoarele verificri: Cine a iniiat schimbarea (spre exemplu un raport de analiz a salariilor pe departamente)? se verific existena solicitrii (un document, mail). Cine a fcut autorizarea modificrii? Modificrile au fost dezvoltate de furnizorii de soft i apoi testate, inclusiv de cel care a iniiat schimbarea?- se verific existena documentaiei de testare care va conine: plan de testare, teste funcionale, teste de intergrare i teste de acceptan din partea utilizatorilor. Cine a aprobat modificarea?- dac aprobarea nu este documentat se poate accepta confirmarea scris din partea responsabilului de aplicaie c schimbrile au fost aprobate. Monitorizarea modificrii. Separarea sarcinilor ( de exemplu persoana care a iniiat modificarea s fie diferit de persoana care a aprobat modificarea) Managementul securitii de acces se va analiza prin prisma politicii de securitate i a procedurilor asociate securitii de acces. Controalele care vor fi testate includ: Setrile generale de securitate (la nivel de reea/ sistem de operare) Rolurile i responsabilitile Setrile de parole (lungimea minim a parolelor, complexitatea parolelor, frecvena de schimbare a parolelor,etc) Accesul adecvat al utilizatorilor la nivelul aplicaiei informatice (se verific procedura de creare/modificare/tergere utilizatori) Accesul privilegiat la resursele informaionale (administratori BD, administratori domenii) Monitorizarea accesului la aplicaia informatic (inclusiv protecie mpotriva viruilor, utilizare firewalls, gestionarea incidentelor de securitate, training-ul utilizatorilor) prin analiza jurnalelor de audit (audit_log). Separarea responsabilitilor utilizatorilor la nivelul aplicaiei informatice.
Politica de backup i restaurare a datelor Backup-ul datelor i al sistemelor este o condiie esenial pentru asigurarea continuitii, fapt care l va determina pe auditor s realizeze o evaluare a politicii de backup i restaurare a datelor n caz de eec operaional. Culegerea informaiilor se va axa pe discuii, interviuri cu managementul IT i utilizatorii aplicaiei (cum se face backup-ul?, cine realizeaz backup-ul?, Ce se ntmpl dac apar erori de backup?, Backup-urile sunt corect jurnalizate i stocate n locaii sigure?), pe o testare a modului de realizare a backup-ului, o evaluare a frecvenei realizrii copiilor de siguran. Evaluarea i testarea controalelor aplicaiei de salarizare Aplicaia de salarizare implic un cumul de procese specifice, cum ar fi gestiunea personalului, prezena angajailor, n baza creia se calculeaz drepturile salariale ale acestora, gestiunea reinerilor i plata salariilor. Pentru implementarea acestor procese, aplicaia informatic poate gestiona n fiiere distincte informaii asociate personalului, prezenei, parametri specifici legislaiei n vigoare pentru calculul reinerilor de tipul: fond de asigurare sntate, fond de omaj, impozit pe salariu, fiiere distincte pentru sporuri, prime, alte reineri. Procedurile de audit pentru evaluarea controalelor aplicaiilor informatice vor fi direcionate pe urmtoarele domenii: Controlul datelor de intrare Controlul asupra procesrii i a fiierelor de date Controlul privind transmisia de date Controlul datelor de ieire Evaluarea conformitii aplicaiei informatice cu legislaia n vigoare. In vederea testrii controalelor de aplicaie i a obinerii probelor de audit necesare, echipa de audit a organizat interviuri cu persoanele din cadrul companiei care utilizeaz sistemul de salarizare (Departamentul de Resurse Umane). In urma interviului, echipa de audit a realizat reconstituirea fluxului de tranzacii. Bazndu-se pe observaiile realizate, precum i pe probele de audit electronice colectate, auditorii au realizat documentarea misiunii precum i evaluarea controalelor testate: Control de aplicaie Testarea controlului Parametrii necesari pentru calculul salariilor Verificarea conformitii parametrilor cu legislaia n vigoare Istoricul actualizrilor parametrilor ntr-un fiier distinct. Responsabilitatea procesului de actualizarea a parametrilor Introducerea datelor n sistem Testarea formatului, domeniului de definire a datelor. Observarea procedurii de introducere a datelor. Analiza responsabilitilor utilizatorilor, a drepturilor de modificare a nivelurilor de toleran. Validarea datelor introduse Verificarea procedurii de validare a datelor n aplicaie i testarea operaional. Calcule automate Se reface calculul pentru o tranzacie, pentru toate situaiile relevante. Se evalueaz integritatea, acurateea i securitatea tabelelor care conin date semnificative pentru tranzacia selectat. Aprobri automate i drepturi de suprascriere Testare pe baza drepturilor de acces ale utilizatorilor. Se testeaza privilegiile de acces pentru funcii i tranzacii sensibile, dac sunt acordate corespunzator n ceea ce privete nivelul i numrul. Inregistrarea tranzaciilor Testul de audit trail privind nregistrarea tranzaciilor in fiierele jurnal (log-uri), fiierele de nregistrare a erorilor Verificare flux de autorizri Revizuirea rapoartelor i a procedurilor de analiz a fluxului de autorizare. Analiza situaiilor n care este permis nclcarea fluxului de autorizare (numr de aparitii, volum). Verificri duplicate Evaluarea criteriilor utilizate pentru testarea duplicatelor. Verificarea erorilor de procesare Revizuire rapoarte cu erori i validarea pe baz de eantion a reprocesarii tranzaciilor eronate. Validarea prelucrrilor naintea generrii situaiilor finale Testarea modului de validare a tranzaciilor naintea generrii situaiilor finale (mod automat sau utilizator) Coerena datelor dintre fiiere i situaii finale Se analizeaz coerena dintre tatele de plat, fluturai, prime acordate i datele din fiierele Personal, Prezena. Inregistrarea automat a notelor contabile aferente procesului de salarizare n registrele financiar- contabile Verificarea corectitudinii notelor contabile generate i coerena datelor din registrele financiar contabile. Testarea prelurii unei tranzacii n Registru Jurnal (de ex. un avans de concediu de odihn) Conformitatea situaiilor finale cu legislaia n vigoare Analiza tatului de plat, fluturaii, fiele fiscale cu legislaia n vigoare. Auditorul IT va analiza i modul de arhivare, durata de arhivare a acestor situaii i verificarea restaurrii din arhive. Separarea responsabilitilor Se testeaza drepturile de acces pentru un eantion de utilizatori, dac sunt n conformitate cu politica organizaiei i cu bunele practici de separare a sarcinilor (existena unor tranzacii ce se autovalideaz i a unora cu validare manual, n funcie de gradul de risc). Transmisia fiierelor Verificarea procedurii de transmisie a fiierelor la nivelul aplicaiei auditate. Pentru datele selectate se observ rezultatele transmisiei fiierelor i controalele specifice (totaluri de control). Se evalueaz procedurile i metodele de autentificare. Funcionaliti automate de filtrare Verificare regulilor de filtrare n corelaie cu specificaiile funcionale. Testarea datelor extrase n corelaie cu documentele surs pentru a determina includerea corect.
Raportarea Raportarea este etapa final a misiunii care se va caracteriza prin urmtoarele aciuni: Formularea concluziilor privind controalele i integritatea sistemului de salarizare. Prezentarea i discutarea rezultatelor obinute cu managementul entitii auditate. Stabilirea recomandrilor. Pregtirea i scrierea raportului de audit. Prezentarea raportului de audit. Concilierea recomandrilor. Stabilirea condiiilor i termenilor pentru monitorizarea implementrii recomandrilor.
Bibliografie
AICPA(2001), SAS no. 94, The Effect of Information Technology on the Auditors Consideration of Internal Control in a Financial Statement Audit. AuditNet (2003), Principles of Computer Assisted Audit Techniques, Monograph Series Guide in cooperation with INTOSAI, disponibil la www.auditnet.org. IAASB, (2013), Manual de reglementari internationale de control al calitatii, audit, revizuire, alte servicii de asigurare i servicii conexe-ISA 315, ISA 620, CAFR. INTOSAI, (2004), Guidelines for Internal Control Standards for the Public Sector, disponibil la www.intosai.org, www.idkk.gov.tr. ISACA, (2004), CISA Review Manual, Rolling Meadows Illinois. ISACA (2010), IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals disponibil la www.isaca.org IT Governance Institute (2007), COBIT 4.1, versiunea n limba romn. Ministerul Economiei i Finantelor (2008), Ordinul 3512/2008 privind documentele financiar-contabile. Moeller R.(2010) IT Audit, Control and Security Ed. John Wiley & Sons. Nastase P. & all., (2007) , Auditul i controlul sistemelor informaionale, Ed. Economica. NIST (2002), NIST 800-30 Risk Management Guide for Information Technology Systems, disponibil la http://csrc.nist.gov/publications/ Senft S., Gallegos F., Davis A.(2013), Information Technology Control and Audit, Fourth Edition, CRC Press. *** (2012), Auditul sistemelor informatice - manual, publicat de Curtea de Conturi Romania, disponibil la www.curteadeconturi.ro. *** (2012), Ghidul de audit al sistemelor informatice, publicat de Curtea de Conturi Romania, disponibil la www.curteadeconturi.ro.