Documente Academic
Documente Profesional
Documente Cultură
2012
GHIDUL DE AUDIT
AL
SISTEMELOR INFORMATICE
BUCURETI
2012
Pag. 1 din 180
CUPRINS
Introducere............................................................................................................................................ 6
Capitolul 1.
Problematica general.................................................................................... 8
Capitolul 5.
Introducere
Ghidul de audit al sistemelor informatice constituie o extensie a Manualului de audit al
sistemelor informatice elaborat n cadrul Curii de Conturi a Romniei (CCR) i detaliaz
implementarea practic a procedurilor de audit n medii informatizate, transpunnd la
nivel operaional elementele cu caracter metodologic prezentate n manual.
Manualul se axeaz preponderent, pe descrierea celor mai noi concepte, metode, tehnici i
proceduri aferente contextului general al auditului sistemelor informatice, precum i pe
problematica auditului sistemelor informatice financiar-contabile.
In timp ce manualul se concentreaz pe aspectele strict necesare nelegerii conceptelor,
standardelor, metodologiilor i procedurilor asociate auditului IT/IS 1 fr de care un
auditor nu poate aborda corect acest domeniu, ghidul prezint n mod concret, activitile,
procesele, tehnicile, procedurile i documentele specifice acestui tip de audit i furnizeaz
auditorilor publici externi informaii practice privind evaluarea mediului informatizat,
facilitnd integrarea procedurilor proprii ale auditului IT/IS n contextul misiunilor de
audit n care auditorii publici externi sunt implicai.
n ceea ce privete tipul i coninutul aciunilor de verificare desfurate de CCR (aciuni
de control, misiuni de audit financiar i misiuni de audit al performanei), n condiiile
extinderii pe scar larg a informatizrii instituiilor publice, auditul IT/IS constituie o
component a misiunilor de audit ale CCR, avnd la baz cerinele Regulamentului privind
organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea
actelor rezultate din aceste activiti. n acest context, ghidul prezint n detaliu
procedurile de audit specifice mediului informatizat pe care auditorii trebuie s le aplice
atunci cnd evalueaz disponibilitatea, integritatea i confidenialitatea informaiilor care
provin din sistemul informatic financiar-contabil n scopul formulrii unei opinii n
legtur cu ncrederea n acestea.
Structura documentului
Documentul este structurat dup cum urmeaz: un capitol introductiv, cinci capitole
dedicate problemelor de fond, o list de referine bibliografice i un numr de anexe
(glosar de termeni; lista documentelor specifice auditului IT/IS solicitate entitii,
machete i liste de verificare)
Capitolul 1 cuprinde o sintez a problematicii generale specifice auditului sistemelor
informatice, sunt prezentate probleme de audit asociate cu utilizarea sistemelor
informatice i aspectele specifice evalurii sistemelor informatice financiar-contabile.
Capitolul 2 prezint n detaliu procedurile de audit IT pentru evaluarea mediului
informatizat: obinerea informaiilor de fond privind sistemele IT ale entitii auditate
(Procedurile A1 A7), evaluarea controalelor generale IT (Procedurile B1 B8),
evaluarea controalelor de aplicaie (Procedurile CA1 CA13). Aceste proceduri au fost
Ediia 2012
Pag. 7 din 180
1.1
determina care sunt activitile care vor fi incluse n procesul de revizuire. Cnd auditul
sistemului informatic este o parte din misiunea de audit financiar, evaluarea controalelor
IT face parte dintr-un efort consistent att de evaluare a controalelor, ct i de evaluare a
fiabilitii datelor financiare raportate.
Tabelul 1
Descrierea riscurilor
Arii de Risc
Dependena
informatic
de
Ameninri
Vulnerabiliti
Evenimente
nedorite
Slbiciuni ale
controalelor IT
Probabilitate
de apariie
%
Impact
Major (Mare)
Mediu
Sczut (Mic)
sistemul
_
_
...
Resurse i cunotine IT
_
_
...
ncrederea n sistemul
informatic
_
_
...
Schimbrile n sistemul
informatic
_
_
...
Externalizarea serviciilor
de tehnologia informaiei
_
_
...
Focalizarea pe activitate
_
_
...
Securitatea informaiei i a
sistemului
_
_
...
Managementul tehnologiei
informaiei
_
_
...
1.1.10
audit
1.1.11
1.1.12
Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate
de auditor i aducerea lor la cunotina entitii auditate prin intermediul raportului de
audit i al unei scrisori care conine sinteza principalelor constatri i recomandri.
Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp
i aria de acoperire ale activitii de auditare efectuate.
Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit
i va include cele mai semnificative constatri, recomandri i concluzii care au rezultat n
cadrul misiunii de audit cu privire la stadiul i evoluia implementrii i utilizrii
sistemelor informatice existente n entitatea auditat. Raportul va include, de asemenea,
opinia auditorilor cu privire la natura i extinderea punctelor slabe ale controlului intern
n cadrul entitii auditate i impactul posibil al acestora asupra activitii entitii.
Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind
toate constatrile relevante, inclusiv cele pozitive, s fie constructiv i s prezinte
concluziile i recomandrile formulate de echipa de audit.
n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la
legalitate i regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea
Pag. 16 din 180
1.2
n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte audit
IT/audit IS, cu semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT
(hardware, software, comunicaii i alte faciliti utilizate pentru introducerea, memorarea, prelucrarea,
transmiterea i ieirea datelor, n orice form), precum i auditul sistemelor, aplicaiilor i serviciilor
informatice.
1.3
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale
care identific utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor
aciuni ostile ale acestora. Riscul poate fi redus prin obligativitatea autentificrii la
accesarea sistemului i prin introducerea unor controale suplimentare, sub form de
semnturi electronice.
Avnd n vedere faptul c datele tranzaciilor electronice se regsesc ntr-o form
intangibil pe diverse medii de stocare, acestea pot fi modificate fr a lsa nici o urm.
Auditorii trebuie s evalueze existena i eficacitatea controalelor care previn efectuarea de
modificri neautorizate. Controale neadecvate pot conduce la situaia n care auditorul s
nu poat acorda ncredere nregistrrilor din calculatoare sau integritii pistei de audit
(traseului tranzaciilor).
Programul de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri
neautorizate prin utilizarea de controale adecvate ale accesului fizic i logic.
Plile prin calculator, ca i transferurile electronice de fonduri, sunt mult mai uor de
modificat dect instrumentele de plat pe hrtie i de aceea trebuie sa aib o protecie
adecvat. Integritatea tranzaciilor electronice poate fi protejat prin tehnici precum
criptarea datelor, semnturi electronice sau prin utilizarea unui algoritm de dispersare a
datelor.
Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n
mod deosebit important. Sistemele utilizatorului trebuie s ncorporeze controale care s
detecteze i s previn procesarea de tranzacii duble.
Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de
rutin a totalurilor de control.
Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin implementarea
unor controale ale accesului fizic. Mijloace similare de protecie pot fi utilizate pentru
protecia dispozitivelor de stocare a datelor (CD-ROM, benzi magnetice i dischete). Dac
datele sunt accesibile pe o reea de calculatoare, atunci apare un grad de incertitudine cu
privire la cine are acces la software i la fiierele de date. Conectarea sistemelor de
calculatoare la reeaua global Internet mrete substanial riscul de acces neautorizat de
la distan i de atacuri cu virui sau alte forme de alterare a informaiei sau de distrugere a
unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi dificil de
realizat i necesit controale de nivel nalt, specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea
utilizatorilor de la distan s vad, s modifice, s tearg sau s creeze date. Controalele
de acces ale sistemului de operare pot fi mrite prin controale suplimentare de
identificare i autorizare n cadrul fiecrei tranzacii. n ambele cazuri, eficacitatea
controalelor de acces depinde de proceduri de identificare i autentificare i de o bun
administrare a sistemelor de securitate.
Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru
auditor. Auditorii pot vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire
la ceea ce se ntmpl pe parcurs. Aceast slbiciune poate fi exploatat de programe
neautorizate ascunse n programele autorizate. Ameninarea modificrilor neautorizate
poate fi redus prin adoptarea de proceduri adecvate de control al modificrilor, inclusiv
controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i o
separare eficient a sarcinilor ntre actorii implicai n sistem.
Pag. 20 din 180
d)
e)
f)
g)
h)
i)
j)
Evoluia tehnologiei informaiei a cunoscut n ultimii ani un ritm accelerat, dar nu acelai
lucru se poate spune despre progresele nregistrate n domeniul securitii datelor.
Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de
comunicaie i a proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt
doar un exemplu n acest sens, dar se poate afirma c aceast evoluie a deschis i mai
mult apetitul specialitilor n ceea ce privete frauda informaional.
Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al
noului mediu de lucru; n acest sens modificarea datelor, adugarea sau chiar tergerea lor
au devenit operaii mult mai uor de realizat, dar, n acelai timp, destul de greu de
depistat.
Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica
modalitile prin care datele i, implicit, sistemul informatic care le conine, sunt expuse la
risc. Elementele prezentate n paragraful anterior conduc la ideea c mediul informatizat
genereaz noi riscuri i c orice organizaie, n vederea asigurrii unei protecii eficiente a
informaiilor, este necesar s dezvolte un proces complex de studiu i analiz a riscurilor.
Riscul implicat de utilizarea tehnologiei informaiei se manifest prin intermediul
componentelor proprii ale acestei tehnologii: ameninri, vulnerabiliti i impact.
Ameninrile exploateaz vulnerabilitile unui sistem cauznd impactul i, n esen,
Pag. 30 din 180
combinaia celor trei elemente determin mrimea riscului. Riscul la nivelul unei
organizaii nu poate fi eliminat, el va exista ntotdeauna, managementul organizaiei fiind
responsabil de reducerea acestuia la un nivel acceptabil.
Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date poate rezulta
dintr-o utilizare greit sau neautorizat a unor programe utilitare.
Seciune
A
Denumirea seciunii
Informaii de fond privind sistemele IT ale entitii
auditate
Privire general asupra entitii auditate
Principalele probleme IT rezultate din activitile anterioare
de audit
Dezvoltri informatice planificate
Echipament informatic [hardware] i programe informatice
[software]
Cerine pentru specialitii n auditul informatic
Activitatea necesar pentru revizuirea sistemelor
Contacte cheie
A1
A2
A3
A4
A5
A6
A7
Procedura
B1
B2
B3
B4
B5
B6
B7
B8
CA
2.1
CA1
CA2
CA3
CA4
CA5
CA6
CA7
CA8
CA9
CA10
CA11
CA12
CA13
2.2
Obiective de control
Documente de
lucru
Tabelul 3
Surse probe
de audit
MANAGEMENT IT
Implicarea
conducerii la cel
mai nalt nivel n
coordonarea
activitilor
LV_ Controale
generale IT
Strategii
Politici
Registrul
riscurilor
Analize
Informri
Minute /
procese
verbale ale
edinelor
Direcii de
evaluare
Obiective de control
Documente de
lucru
Surse probe
de audit
LV_ Controale
generale IT
Strategii
Politici
administrative
Proceduri
Organigrama
Fie de post
Direcii de
evaluare
Comunicarea
inteniilor i
obiectivelor
conducerii
Obiective de control
Dezvoltarea de ctre conducere a unui
cadru de referin al controlului IT la
nivelul ntregii organizaii, definirea i
comunicarea politicilor
Documente de
lucru
LV_ Controale
generale IT
Surse probe
de audit
Politica IT
Declaraii de
intenie
Organigrama
Fie de post
Rapoarte de
evaluare
Rapoarte de
instruire
LV_ Controale
generale IT
Strategiile de
reducere i de
tratare a
riscurilor
Plan de
aciune pentru
reducerea
riscului
Monitorizare i
evaluare
Cadrul de
referin
pentru
managementul
riscurilor
LV_ Controale
generale IT
Rapoarte de
evaluare
Direcii de
evaluare
Obiective de control
Documente de
lucru
Surse probe
de audit
Tabelul 4
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Plan strategic
MANAGEMENT IT
Planificarea
activitilor IT
Planuri tactice
Rapoarte de
evaluare
Tabelul 5
Obiective de control
Documente
de lucru
Surse probe
de audit
MANAGEMENT IT
Managementul
investiiilor
LV_ Controale
generale IT
Cadrul de
referin
pentru
Pag. 43 din 180
Direcii de evaluare
Managementul
costurilor i al
beneficiilor
Obiective de control
Documente
de lucru
Surse probe
de audit
management
financiar
Finanarea IT
Documentaii
i situaii
privind
finanarea IT,
managementul
costurilor i al
beneficiilor
LV_ Controale
generale IT
Documente
care reflect
strategia de
finanare
pentru
proiectele
aferente
serviciilor IT
Bugetul
pentru
investiii i
cheltuieli
legate de IT
Situaii
privind
managementul
costurilor i al
beneficiilor
Evidene
contabile
Tabelul 6
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Documentaia
proiectelor
MANAGEMENT IT
Managementul
programelor i al
proiectelor.
Raportarea ctre
conducerea
instituiei
Grafice de
realizare
Rapoarte de
stadiu
Managementul portofoliilor de
proiecte
Planul calitii
proiectelor
Situaii de
raportare
ctre
conducere
Registrul
riscurilor
proiectelor IT
Controlul
schimbrilor
n cadrul
proiectelor
Situaii de
raportare a
indicatorilor
de
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
performan
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Manualul SMC
MANAGEMENT IT
Managementul
calitii
Standarde i
practici de
calitate IT
Standarde de
dezvoltare i
achiziie
Evaluri ale
satisfaciei
clientului
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Reclamaii
Msuri de
mbuntire
continu
Documente
privind
msurarea,
monitorizarea
i revizuirea
calitii
Calitatea serviciilor
furnizate
utilizatorilor
LV_ Controale
generale IT
SLA (Service
Level
Agreement)
Obiective de control
Tabelul 8
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Politici i
proceduri
referitoare la
recrutarea i
retenia
personalului
MANAGEMENT IT
Managementul
resurselor umane IT
Fie de
evaluare a
performanel
or angajailor
Proceduri
privind
acoperirea
rolurilor din
punctul de
vedere al
personalului
i dependena
de persoanele
critice
Proceduri
referitoare la
schimbarea
locului de
munc i
rezilierea
contractului
de munc
Educarea i
instruirea
utilizatorilor i a
personalului IT
LV_ Controale
generale IT
Politici
privind
instruirea
utilizatorilor
Programe de
instruire
Rapoarte de
evaluare
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Evaluarea instruirii
Autorizarea
operrii i utilizrii
Documentaii
i manuale
pentru
utilizatori i
pentru
personalul IT
Situaii
privind
pregtirea
profesional
privind noile
sisteme
Tabelul 9
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Contractele cu
furnizorii
MANAGEMENT IT
Respectarea
reglementrilor n
domeniu i a
cerinelor
proiectului
Existena
responsabilului
Grafice de
implementare
Documentaia
tehnic
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Licene
software
Suport tehnic
Obiective de control
Documente
de lucru
Surse probe
de audit
SEPARAREA ATRIBUIILOR
Cadrul organizatoric
i de implementare
privind separarea
atribuiilor
LV_ Controale
generale IT
Fie de post
Separarea
sarcinilor
realizat prin
intermediul
sistemului
informatic
Decizii ale
conducerii
Regulamente,
norme,
instruciuni,
Prevederi
contractuale
referitoare la
externalizarea
serviciilor
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Auditorul trebuie s determine prin interviu, prin observare direct i prin analiza
documentelor relevante (organigram, fia postului, decizii ale conducerii, contracte etc.)
dac personalul IT are responsabiliti n departamentele utilizatorilor, dac funciile IT
sunt separate de funciile de utilizare (financiar, gestiunea stocurilor, etc.) pentru a nu se
opera schimbri neautorizate, de obicei dificil de detectat, dac alte funcii incompatibile,
potrivit aspectelor menionate mai sus, sunt separate.
Controalele administrative:
Uniforma personalului sau utilizarea ecusoanelor;
tergerea drepturilor de acces la plecarea persoanei din organizaie i informarea
personalului care asigur paza n legtur cu acest lucru. Pentru aceast situaie
trebuie s existe proceduri de identificare a celor care pleac i de asigurare c
accesul fizic al acestora n zona de operare IT nu mai este permis;
Identificarea vizitatorilor i primirea acestora;
Proceduri pentru evenimente neateptate: plecarea temporar din birou a unor
salariai pentru a lua masa, sau la o solicitare expres. Msurile pentru aceste
situaii pot include: ncuierea laptop-urilor n sertare sau dulapuri, blocarea
tastaturii, ncuierea suporilor tehnici care conin date.
Tabelul 11
Seciunea Controale privind securitatea fizic i controalele de mediu B.3.1
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Regulamente,
norme,
instruciuni
Planuri de
amplasare
Proceduri de
acces
Evidene
privind
accesul
Evidene
referitoare la
echipamente
i la software
Inspecie,
observaie
(probe de
audit fizice)
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n
care sunt amplasate echipamentele) dac exist dotrile necesare pentru asigurarea
controlului accesului fizic n zona de securitate definit. De asemenea, trebuie s verifice
existena i modul de implementare a procedurilor asociate.
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Regulamente,
norme,
instruciuni
Planuri/
scheme de
amplasare
Evidene
referitoare la
echipamente
pentru
protecia
mediului
Inspecie,
observaie
(probe de
audit fizice)
Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n
care sunt amplasate echipamentele) dac exist dotrile necesare pentru protecia mediului
(sisteme de prevenire a incendiilor, dispozitive pentru controlul umiditii, aer condiionat,
dispozitive UPS, senzori de micare, camere de supraveghere video). De asemenea, trebuie s
verifice existena i modul de implementare a procedurilor asociate.
Obiective de control
Documente
de lucru
Tabelul 13
Surse probe
de audit
LV_ Controale
generale IT
Politica de
securitate
Msuri
Tabele de
luare la
cunotin sau
mesaje e-mail
Proceduri
asociate
Se analizeaz coninutul
documentului pentru a evalua
domeniile acoperite de politica de
securitate i cadrul procedural asociat
Pag. 57 din 180
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Tabelul 14
Obiective de control
Documente
de lucru
Surse probe
de audit
Revizuirea logurilor
Asigurarea c logurile aplicaiilor
importante monitorizate i analizate
periodic (cine, cnd, cum, dovezi)
Administrarea utilizatorilor
Existena unei proceduri pentru
LV_ Controale
generale IT
Politica de
securitate
Msuri
Regulamente,
Norme
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
administrarea drepturilor
utilizatorilor. Se verific modul de
implementare
Declaraii
privind
securitatea
Tabele de
luare la
cunotin sau
mesaje e-mail
Proceduri
asociate
Jurnale de
operaii
(log-uri)
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Acces IT
Verificarea drepturilor de acces la
datele reale pentru programatori
Verificarea drepturilor de acces la
datele celorlalte structuri ale entitii
pentru compartimentul IT
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Politica de
securitate
Msuri
Regulamente,
Norme
Asigurarea separrii
responsabilitilor pentru
administratorul securitii
Proceduri
Jurnale de
operaii
(log-uri)
Responsabili
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea controlului administrrii securitii
(examinarea documentelor din care rezult responsabilitile i sarcinile cu privire la
administrarea securitii IT, separarea atribuiilor, reflectarea acestora n politica de
securitate).
B.4.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele
privind conexiuni externe
Controale de acces slabe mresc riscul atacurilor din partea hackerilor, al viermilor i al
viruilor care afecteaz integritatea i disponibilitatea evidenelor financiare.
Managementul inadecvat al reelei poate expune organizaia ameninrilor interne i
externe cu privire la integritatea datelor. O reea slab securizat poate, de exemplu, s fie
vulnerabil la difuzarea viruilor informatici.
Tabelul 16
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Politica de
securitate
Msuri
Regulamente,
Norme
Direcii de evaluare
Obiective de control
Modul de protejare a conexiunilor
externe mpotriva atacurilor
informatice (virui, acces neautorizat)
Dac este permis accesul la sistem
unor organizaii externe (ex. Internet,
conexiuni on-line)
Documente
de lucru
Surse probe
de audit
Proceduri
Jurnale de
operaii
(log-uri)
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea controlului reelei: existena unei
persoane desemnate pentru administrarea reelei IT, msurile luate pentru monitorizarea
securitii reelei, pentru protejarea conexiunilor externe mpotriva atacurilor informatice
(virui, acces neautorizat), reglementarea accesului la sistem din partea unor organizaii
externe (de exemplu, Internet, conexiuni on-line), existena unor proceduri de control privind
accesul de la distan i msurile de securitate aplicate.
B.4.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele de
reea i de utilizare a Internetului
Extinderea reelei Internet a scos n eviden i a impus cerine, concepte i riscuri noi,
care au avut consecine privind securitatea sistemelor i controalele asociate.
ntruct conectarea sistemelor n reele comport riscuri specifice, reeaua trebuie
controlat astfel nct s poat fi accesat numai de ctre utilizatorii autorizai, iar datele
transmise s nu fie pierdute, alterate sau interceptate.
Cele mai relevante controale de reea i de utilizare a Internetului, pe care entitile
trebuie s le implementeze, sunt:
a) Controalele privind erorile de transmisie i de comunicaie: se refer la erorile
care pot s apar n fiecare stadiu al ciclului comunicaiei, de la introducerea
datelor de ctre utilizator, continund cu transferul pn la destinaie.
b) Controalele de reea
c) Controalele de utilizare a Internetului
Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei
entit sunt:
a) Implicaiile privind securitatea decurg din: caracterul anonim al unor utilizatori
care vor s contravin principiilor accesului n Internet, vulnerabilitatea
confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
n cursul nregistrrii pe anumite site-uri, aciunile hackerilor, pirateria i
pornografia, software ru intenionat (virui, programe "cal troian").
b) Protecia securitii: educarea utilizatorilor proprii privind consecinele unui
comportament neadecvat sau ale neglijrii unor precauii legate de utilizarea
Pag. 62 din 180
Obiective de control
Documente
de lucru
Surse probe
de audit
Se verific implementarea
controalelor pentru fiecare stadiu al
ciclului comunicaiei n parte, de la
introducerea datelor de ctre
utilizator, continund cu transferul
pn la destinaie
LV_ Controale
generale IT
Politica de
securitate
Msuri
Regulamente,
Norme
Proceduri
Jurnale de
operaii
(log-uri)
Controale de reea
LV_ Controale
generale IT
Politica de
securitate a
reelei i
procedurile
asociate
Standarde de
reea,
proceduri i
instruciuni de
operare
Documentaia
reelei
Jurnale de
operaii
Documentaii
tehnice
Probe de audit
fizice:
observare,
demonstraii,
teste
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Politica de
securitate i
procedurile
asociate
Msuri
Regulamente,
Norme
Documentaii
tehnice
privind soluia
Internet
Jurnale de
operaii
(log-uri)
Responsabili
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat cadrul procedural pentru asigurarea c reeaua este controlat astfel nct s
poat fi accesat numai de ctre utilizatorii interni sau externi autorizai, iar datele
transmise s nu fie pierdute, alterate sau interceptate: implementarea unei politici de
securitate a reelei, utilizarea standardelor de reea, a procedurilor i a instruciunilor de
operare asociate acestei politici, existena i disponibilitatea documentaiei aferente
cadrului procedural i a documentaiei reelei (care descrie structura logic i fizic a
reelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind
parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea
resurselor externe, existena unui personal cu instruire i experien adecvate, nregistrarea
automat n jurnalele de operaii i revizuirea periodic a acestora pentru a se depista
activitile neautorizate, utilizarea unor instrumente software/hardware pentru
managementul i monitorizarea reelei, monitorizarea accesului furnizorilor de servicii i al
consultanilor, criptarea datelor.
Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este
implementat o politic pentru minimizarea consecinelor negative generate de conexiunea
direct la Internet, care s abordeze aspectele prezentate mai sus: protecie firewall,
administrator cu experien i de ncredere pentru supravegherea calculatoarelor cu acces
la Internet, politica privind parolele, ncriptarea, Instrumentele de evaluare a securitii
utilizate, serviciile de pot electronic perfecionate, monitorizarea atacurilor.
Tabelul 18
Obiective de control
Documente
de lucru
Surse probe
de audit
CONTINUITATEA SISTEMELOR
Copii de siguran
(back-up) ale
datelor, aplicaiilor
i sistemelor
LV_ Controale
generale IT
Proceduri de
salvare/
restaurare,
testare a
copiilor de
siguran
Pag. 66 din 180
Direcii de evaluare
Obiective de control
-
Documente
de lucru
Surse probe
de audit
Msuri
Regulamente,
Norme
Probe de audit
fizice:
observare,
Inspecie,
demonstraii
Scenarii de
testare
LV_ Controale
generale IT
Proceduri
pentru
managementul
datelor
Probe de audit
fizice:
observare,
inspecie,
demonstraii,
teste
Obiective de control
Documente
de lucru
Surse probe
de audit
CONTINUITATEA SISTEMELOR
Managementul
performanei i al
capacitii
LV_ Controale
generale IT
Proceduri
referitoare la:
planificarea
performanei
i capacitii,
evaluarea
performanei
i capacitii
actuale i
viitoare,
monitorizare
i raportare
Scenarii de
testare
Responsabili
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Proceduri
referitoare la
managementul
problemelor
CONTINUITATEA SISTEMELOR
Managementul
problemelor
Proceduri
referitoare la
Service Desk/
Help Desk:
Pag. 69 din 180
Direcii de evaluare
Obiective de control
Documente
de lucru
form de eviden);
-
Responsabilitatea documentrii i
aducerii la cunotina celor direct
implicai a acestor proceduri
Surse probe
de audit
nregistrarea
cerinelor
clienilor,
nregistrarea
incidentelor,
nchiderea
unui incident,
raportarea i
analiza
tendinelor
Integrarea managementului
configuraiei, incidentelor i al
problemelor
Obiective de control
Documente
de lucru
Surse probe
de audit
CONTINUITATEA SISTEMELOR
Planificarea i
asigurarea
continuitii
serviciilor
LV_ Controale
generale IT
Cadrul de
referin
pentru
continuitatea
IT
Planul de
continuitate a
activitii
Cadrul
procedural
referitor la
continuitatea
IT
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
siguran
Revizia post-reluare
Obiective de control
Tabelul 22
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Planul de
continuitate a
activitii
CONTINUITATEA SISTEMELOR
Managementul
operaiunilor IT
Proceduri operaionale IT
Implementarea unui cadru procedural
care s conin urmtoarele proceduri
operaionale:
-
Raportarea incidentelor
Rezolvarea problemelor
Cadrul
procedural
pentru
managementul
operaiunilor
IT
Procedura
privind
utilizarea unei
soluii
antivirus
Tabelul 23
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Planul de
continuitate a
activitii
CONTINUITATEA SISTEMELOR
Managementul
configuraiilor IT
Manualele de
instalare/utilizare sunt
actualizate n concordan cu
ultima versiune de sistem;
Se realizeaz o gestiune a
versiunilor programelor i
documentaiei, iar personalul
utilizator tie care sunt cele
mai noi versiuni ale
programelor i ale
documentaiei
Cadrul
procedural
referitor la:
configuraii,
documentaia
tehnic de
instalare /
utilizare,
gestiunea
versiunilor
programelor i
documentaiei,
personalul
utilizator
Obiective de control
Tabelul 24
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Politic de
externalizare a
activitilor IT
EXTERNALIZAREA SERVICIILOR IT
Externalizarea
serviciilor IT
Contractele cu
furnizorii IT
Rapoarte de
evaluare
Includerea clauzelor de
confidenialitate n contractele cu
furnizorii de servicii
Este monitorizat performana
furnizorului
Se efectueaz o analiz privind nivelul
de dependen fa de furnizor
Obiective de control
Documente
de lucru
Tabelul 25
Surse probe
de audit
LV_ Controale
generale IT
Politici privind
schimbarea/
dezvoltarea
sistemului i
procedurile
asociate
Standardele i
procedurile
pentru
schimbare
Contractele cu
furnizorii IT
Rapoarte de
evaluare
Pag. 77 din 180
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
LV_ Controale
generale IT
Cadrul de
control al
achiziiilor
Contractele cu
furnizorii
Politici i
proceduri
Instalarea i
acreditarea
soluiilor i
schimbrilor
LV_ Controale
generale IT
Program de
instruire
Direcii de evaluare
Obiective de control
Documente
de lucru
Plan de testare
Plan de
implementare
Achiziia i
ntreinerea
infrastructurii
tehnologice
Surse probe
de audit
Proceduri
LV_ Controale
generale IT
Proiecte
Cadrul de
securitate
Cadrul
procedural
Contractele cu
furnizorii
Politici i
proceduri
Documentaii
tehnice
LV_ Controale
generale IT
Planul de
achiziie a
infrastructurii
tehnologice
Contracte
Documentaii
tehnice
Tabelul 26
Seciunea Auditul Intern B8
Direcii de evaluare
Obiective de control
Documente
de lucru
Surse probe
de audit
AUDIT INTERN IT
Audit intern IT
LV_ Controale
generale IT
Planul de audit
intern
Rapoarte de
audit
Metodologia
pentru audit
IT
2.3
Seciunile urmtoare se refer la problematica specific aplicaiilor informatice financiarcontabile, din perspectiva auditului.
SCOP: S consolideze cunotinele privind sistemul informatic al entitii auditate, obinute
prin evaluarea controalelor generale aferente mediului informatizat, s permit auditorului
financiar s identifice, s documenteze i s evalueze orice proceduri i controale care
opereaz n cadrul fiecrei aplicaii financiare, s permit auditorului s evalueze nivelul
general al riscului de audit asociat fiecrei aplicaii i s identifice riscurile specifice care pot
influena realizarea conformitii i riscurile asociate programelor informatice.
Descrierea aplicaiei
Cod
procedur
Controale de
aplicaie
CA1
Descrierea
aplicaiei
Documente de
lucru
LV_Controale
Aplicaie
Revizuiri / Teste
Funciile pe care le realizeaz aplicaia
Arhitectura aplicaiei (platforma hardware /
software, produsele software de tip
instrument, sistemul de gestiune a bazelor de
date, sistemul de comunicaie)
Desemnarea administratorului aplicaiei
Care este numrul utilizatorilor? Cine sunt
utilizatorii?
Volumul i valoarea tranzaciilor procesate
lunar de aplicaia financiar contabil
Puncte slabe sau probleme cunoscute
Auditorul trebuie s evalueze riscul de audit n cadrul fiecrui proces, utiliznd urmtorii
trei factori:
(a) ameninrile la adresa integritii i disponibilitii informaiilor financiare;
(b) vulnerabilitatea informaiilor financiare la ameninrile identificate;
(c) impactul posibil n ceea ce privete obiectivele auditului.
Pag. 85 din 180
Tabelul 28
Controale de
aplicaie
Documente de
lucru
CA2
Posibilitatea
de efectuare
a auditului
LV_Controale
Aplicaie
Revizuiri / Teste
Evidenele tranzaciilor s fie stocate i s fie
complete pentru ntreaga perioad de raportare
Evidenierea unei tranzacii s conin suficiente
informaii pentru a stabili un parcurs de audit
Totalurile tranzaciilor s se regseasc n
situaiile financiare
Dac oricare dintre aceste revizuiri nu primete un rspuns afirmativ, auditorul, pe baza
raionamentului profesional, trebuie s decid dac sistemul informatic ofer ncredere n
situaiile financiare generate de acest sistem. n condiiile n care concluzia auditorului
este c nu poate avea ncredere n sistemul informatic, auditorul trebuie s analizeze ce
msuri trebuie luate pentru a continua misiunea de audit financiar.
Auditorul trebuie s constate dac exist evidene contabile alternative manuale i dac este
posibil s se efectueze auditul pe baza acestora (pe lng sistemul informatic).
Controale de
aplicaie
Utilizarea
tehnicilor de
audit asistat
de calculator
(CAAT)
Documente de
lucru
LV_Controale
Aplicaie
Tabelul 29
Revizuiri / Teste
Identificarea informaiilor care vor fi necesare
pentru prelucrare n scopul obinerii probelor de
audit
Obinerea datelor ntr-un format adecvat pentru
a fi prelucrate
Stocarea datelor ntr-o structur care s permit
prelucrrile impuse de necesitile auditului
Obinerea asigurrii privind versiunea de
programe utilizat i corectitudinea surselor de
date
nelegerea modului n care opereaz sistemul
(identificarea fiierelor care conin datele de
interes i a structurii acestora)
Cunoaterea structurii nregistrrilor, pentru a
le putea descrie n programul de interogare
Formularea interogrilor asupra fiierelor/
bazelor de date
Cunoaterea modului de operare a sistemului
Determinarea criteriilor de selecie a
nregistrrilor n funcie de metoda de
eantionare i de tipurile de prelucrri
Interogarea sistemului i obinerea probelor de
audit. Trebuie adoptat cea mai adecvat form
de prezentare a rezultatelor
Datele trebuie s fie furnizate ntr-o form care s permit utilizarea lor n mod direct de
ctre programul de audit asistat de calculator sau ntr-un format standard compatibil cu
versiunea sofware utilizat de auditor (fiiere Windows, Lotus, Excel, mdb, text cu
separatori, etc.);
Datele trebuie s fie furnizate n format electronic, pentru a permite importul direct n
baza de date a auditorului, pe suport magnetic, optic sau prin reea (Internet, intranet). In
toate cazurile trebuie analizate implicaiile infectrii cu virui.
In cazul auditului financiar, sunt oferite faciliti specifice pentru prelucrarea i analiza
unor colecii mari de date, prin efectuarea unor teste i utilizarea unor proceduri
adecvate, cum ar fi:
Pag. 87 din 180
Tabelul 30
Determinarea rspunderii
Cod
procedur
CA4
Controale de
aplicaie
Documente
de lucru
Determinarea
rspunderii
LV_Controale
Aplicaie
Revizuiri / Teste
Cod
procedur
Controale de
aplicaie
Documente
de lucru
Revizuiri / Teste
Auditorul va verifica dac exist controale adecvate pentru a asigura c personalul care
introduce sau proceseaz tranzacii nu poate s modifice i dac sunt nregistrate
activitilor lor.
Controale de
aplicaie
Documente
de lucru
CA5
Documentaia LV_Controale
aplicaiei
Aplicaie
Tabelul 31
Revizuiri / Teste
Se va evalua:
dac documentaia aplicaiei este
adecvat, cuprinztoare i actualizat;
dac personalul ndreptit are copii ale
documentaiei relevante sau acces la
aceasta;
dac exist instruciuni de lucru pentru
procedurile zilnice i pentru rezolvarea
unor probleme frecvente;
dac se pstreaz copii de rezerv ale
documentaiei aplicaiei n scopul
recuperrii dup dezastru i al relurii
rapide a procesrii.
Pag. 89 din 180
Tabelul 32
Securitatea aplicaiei
Cod
procedur
CA6
Controale de
aplicaie
Securitatea
aplicaiei:
acces fizic i
logic
Documente de
lucru
LV_Controale
Aplicaie
Revizuiri / Teste
Se vor evalua proteciile fizice n vigoare pentru
a preveni accesul neautorizat la aplicaie sau la
anumite funcii ale acesteia, n funcie de
atribuii, pentru punerea n aplicare a separrii
sarcinilor i a respectrii atribuiilor
Se vor testa controalele logice de acces utilizate
pentru a restriciona accesul la aplicaie sau la
anumite funcii ale acesteia pentru punerea n
aplicare a separrii sarcinilor i a respectrii
atribuiilor
Se vor testa controalele logice existente pentru
restricionarea activitii utilizatorilor dup ce a
fost obinut accesul la o aplicaie (de exemplu,
meniuri restricionate)
Evaluarea controalelor existente n cadrul
aplicaiei pentru identificarea aciunilor
utilizatorilor individuali (utilizarea de
identificri unice, jurnale de operaii, utilizarea
semnturii electronice)
cuta adresa n fiierele sale i apoi operatorul o compar cu adresa din documentele de
intrare.
Numerele de cont i alte cmpuri cheie pot ncorpora cifre de control. Cifrele de control
sunt calculate prin aplicarea unui algoritm la coninutul cmpului i pot fi utilizate pentru
a verifica dac acel cmp a fost introdus corect.
Cmpurile financiare pot face obiectul verificrii unui set de date pentru a evita
introducerea de sume neautorizate sau nerezonabile. Datele introduse care ncalc
limitele prestabilite vor fi respinse i evideniate ntr-un registru de audit.
Utilizarea numerelor de ordine ale tranzaciilor poate releva tranzaciile lips, ajut la
evitarea tranzaciilor duble sau neautorizate i asigur un parcurs de audit.
Controalele precizate mai sus nu sunt valide n condiiile n care este posibil ca acestea s
fie ocolite prin aciuni de introducere sau modificare a datelor, din afara aplicaiei.
Controale privind introducerea datelor
Cod
procedur
Controale de
aplicaie
Documente
de lucru
CA7
Controale
LV_Controale
privind
Aplicaie
introducerea
datelor
Tabelul 33
Revizuiri / Teste
Evaluarea procedurilor/controalelor existente care
s asigure c introducerea datelor este autorizat i
exact
Evaluarea controalelor care asigur c toate
tranzaciile valabile au fost introduse (verificri de
completitudine si exactitate), c exist proceduri
pentru tratarea tranzaciilor respinse sau eronate
Evaluarea controalelor care asigur c toate
tranzaciile sunt valabile
Evaluarea controalelor care asigur c toate
tranzaciile sunt autorizate
Evaluarea controalelor care asigur c toate
tranzaciile sunt nregistrate n perioada financiar
corect
Verificarea aciunilor care se ntreprind de ctre
conducere pentru monitorizarea datelor de intrare
Auditorul trebuie s urmreasc existena unor verificri automate ale aplicaiei care s
detecteze i s raporteze orice modificri externe ale datelor, de exemplu modificri
neautorizate efectuate de personalul de operare al calculatorului, direct n baza de date
aferent aplicaiei. Auditorul trebuie s examineze i rezultatele analizelor efectuate de
sistem, pentru a se asigura c utilizarea facilitilor de modificare ale sistemului, precum
editoarele, este controlat corespunztor.
Auditorul va evalua procedurile / controalele existente care s asigure c introducerea
datelor este autorizat i exact, precum i controalele care asigur c toate tranzaciile
Pag. 92 din 180
Controale
de aplicaie
Documente
de lucru
CA8
Controale
privind
transmisia
de date
LV_Controale
Aplicaie
Tabelul 34
Revizuiri / Teste
Asigurarea c transferul de date n reea este att
complet, ct i exact (utilizarea semnturii digitale,
criptarea datelor, secvenierea tranzaciilor)
Cod
procedur
Controale
de aplicaie
Documente
de lucru
Revizuiri / Teste
Identificarea i tratarea riscurilor asociate
transferului de date n reea
Tabelul 35
Controalele prelucrrii
Cod
Controale
procedur de aplicaie
CA9
Documente
de lucru
Controalele LV_Controale
prelucrrii Aplicaie
Revizuiri / Teste
Evaluarea controalelor existente care s asigure c
toate tranzaciile au fost procesate, pentru a reduce
riscul de procesare a unor tranzacii incomplete,
eronate sau frauduloase
Evaluarea controalelor existente care s asigure c
sunt procesate fiierele corecte (controalele pot fi de
natur fizic sau logic i previn riscul de procesare
necorespunztoare a unor tranzacii)
Se va verifica existena controalelor pentru a asigura
exactitatea procesrii i a controalelor pentru
detectarea / prevenirea procesrii duble
Se va verifica existena controalelor pentru a asigura
c toate tranzaciile sunt valabile
Se va verifica existena controalelor pentru a asigura
c procesele din calculator sunt auditabile
Se va verifica modul n care aplicaia i personalul
trateaz erorile de procesare
Controale
de
aplicaie
Documente
de lucru
CA10
Controale
privind
datele de
ieire
LV_Controale
Aplicaie
Revizuiri / Teste
Se va verifica existena controalelor care s asigure c
rezultatele furnizate de sistemul informatic sunt
complete, sunt exacte; au fost distribuite corect
Se va verifica existena controalelor care s asigure c
ieirile de la calculator sunt stocate corect i atunci
cnd sunt transmise acestea ajung la destinaie
Se va verifica existena controalelor corespunztoare
privind licenele software
Se va verifica existena controalelor privind caracterul
rezonabil, exactitatea i completitudinea ieirilor
Tabelul 37
Controale
de aplicaie
Documente
de lucru
CA11
Controale
LV_Controale
privind
Aplicaie
fiierele de
date
permanente
Revizuiri / Teste
Se va verifica existena i se vor testa controalele
privind autorizarea accesului i a modificrilor
datelor permanente
Se va obine asigurarea c datele permanente sunt
create, modificate, recuperate sau terse numai de
personal autorizat
Verificri operative prin listarea periodic a
coninutului fiierelor de date permanente
Fiierele importante de date permanente au copii de
rezerv ori de cte ori se fac modificri importante
Conducerea trebuie s probeze c se realizeaz
verificri independente, care s asigure c
administratorul sistemului de control al accesului
aplicaiei nu abuzeaz de privilegiile sale
Controale de
aplicaie
Documente
de lucru
Conformitatea LV_Controale
aplicaiilor cu Aplicaie
legislaia n
vigoare
Tabelul 38
Revizuiri / Teste
Existena unor politici sau proceduri formale prin
care se atribuie responsabilitatea monitorizrii
mediului legislativ care poate avea impact asupra
sistemelor informatice
Este alocat responsabilitatea asigurrii
conformitii aplicaiilor cu clauzele contractuale
privind:
asigurarea c sistemul implementat este
actualizat n conformitate cu ultima versiune
furnizat;
respectarea termenelor privind distribuirea
ultimelor versiuni de echipamente, software,
documentaie;
livrarea i instalarea configuraiilor hardware
/ software pe baza unui grafic, conform
clauzelor contractuale, pe etape i la termenele
stabilite;
respectarea obligaiilor privind instruirea i
suportul tehnic, stabilite prin contract;
furnizarea pachetelor software conform
clauzelor contractuale. Verificarea existenei i
valabilitii licenelor furnizate n cadrul
contractului;
Pag. 98 din 180
Cod
procedur
Controale de
aplicaie
Documente
de lucru
Revizuiri / Teste
asigurarea suportului tehnic (prin telefon, email sau utiliznd un portal; portalul poate
avea seciuni distincte foarte utile pentru
suport tehnic specializat pe categorii relevante
de probleme / anomalii sau pentru instruirea
continu a utilizatorilor;
furnizarea documentaiei tehnice conform
contractului: coninutul (lista, numrul
manualelor, limba) i formatul (tiprit, n
format electronic, on-line);
Existena unor proceduri scrise privind analiza i
acceptarea produselor i serviciilor furnizate n
cadrul contractului, precum i recepia cantitativ
i calitativ
Existena specificaiilor funcionale, a manualelor
de utilizare i administrare pentru proiectele de
dezvoltare software
Existena manualelor de utilizare pentru
echipamentele livrate
Controale de
aplicaie
CA13
Efectuarea
testelor de
audit
Documente
de lucru
LV_Controale
Aplicaie
Tabelul 39
Revizuiri / Teste
Se va verifica existena evidenelor complete ale
tranzaciilor aferente aplicaiei
Se va evalua fezabilitatea colectrii probelor de
audit relevante i suficiente
Pag. 99 din 180
Cod
procedur
Controale de
aplicaie
Documente
de lucru
Revizuiri / Teste
Se va evalua dac parcursul (pista) de audit se
poate reconstitui din fluxul de prelucrare
Se va evalua dac aplicaia este disponibil atunci
cnd este nevoie, funcioneaz conform cerinelor,
este fiabil i are implementate controale sigure
asupra integritii datelor
Se va detalia procedura de actualizare a aplicaiei n
concordan cu modificrile legislative
Se va evalua aplicaia din punct de vedere al
gestionrii resurselor informatice disponibile (date,
funcionalitate, tehnologii, faciliti, resurse umane,
etc.)
Se va evalua cunoaterea funcionrii aplicaiei de
ctre utilizatori
Se vor efectua teste de verificare a parametrilor i
funcionalitii aplicaiei din punct de vedere
operaional i al conformitii cu legislaia n
vigoare
Se vor efectua teste de verificare la nivel de funcie
pentru procedurile critice din punctul de vedere al
performanei (lansarea, derularea i abandonarea
procedurilor, accesul la informaii n funcie de
perioada de nregistrare/raportare, restaurarea
bazei de date)
Se vor efectua teste privind corectitudinea
ncrcrii / actualizrii informaiilor n baza de
date. Se vor meniona metodele de depistare i
rezolvare a erorilor. Se vor testa funciile de
regsire i analiz a informaiei
Se va evalua interoperabilitatea aplicaiei cu
celelalte aplicaii din sistemul informatic
Se vor evalua: sistemul de raportare propriu
aplicaiei i sistemul de raportare global
Se vor efectua teste privind modul de accesare a
aplicaiei la nivel de reea, la nivelul staiei de lucru
i la nivel de aplicaie
Se vor testa funciile de conectare ca utilizator final
i de operare n timp real, pe tranzacii de test
Se va evalua funcionalitatea comunicrii cu
nivelele superior i inferior
Cod
procedur
Controale de
aplicaie
Documente
de lucru
Revizuiri / Teste
Se va analiza soluia de gestionare a documentelor
electronice
Se va efectua verificarea prin teste a proteciilor
aferente aplicaiei
c) Posibiliti de verificare complet sau prin sondaj a fluxului de prelucrri prin teste
de control.
c) Criterii minimale pentru produsele informatice de gestiune i contabilitate
a) Concordana cu legislaia n vigoare;
b) Precizarea tipului de suport care s asigure prelucrarea n siguran a
informaiilor;
c) Identificarea complet a fiecrei informaii nregistrate;
d) Respectarea criteriului cronologic n liste, cu imposibilitatea actualizrii ulterioare
a listei;
e) Transferul automat al soldurilor precedente pentru perioada curent;
f) Conservarea datelor (arhivarea) conform Legii contabilitii nr. 82/1991;
g) Posibilitatea restaurrii datelor arhivate;
h) Imposibilitatea actualizrii datelor pentru perioadele de gestiune precedente;
i) Preluarea informaiilor eseniale pentru identificarea operaiunilor: dat,
denumire jurnal, numr pagin sau numr nregistrare, numr document;
j) Acces parolat;
k) Identificarea n liste a unitii patrimoniale, a paginrii cronologice, a tipului de
document, a perioadei de gestiune, a datei de listare i a versiunii de produs
progam;
l) Listarea documentelor de sintez necesare conducerii ntreprinderii;
m) Respectarea coninutului informaional pentru formularele cu regim special;
n) Asigurarea concordanei ntre cartea mare a fiecrui cont i jurnalul de
nregistrare;
o) S respecte cerinele de normalizare a bazelor de date cu privire la conturi i
documente;
p) S existe posibilitatea actualizrii conturilor fr afectarea situaiilor patrimoniale
i a celei de gestiune;
q) S existe documentaie tehnic asociat caracteristicilor produselor program
(mono / multi post, mono / multi societate, portabilitatea fiierelor, arhitectura de
reea, aplicaii) care s permit utilizarea optim a produselor informatice n
cauz;
r) Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control
ulterior, n timp real cu control imediat, combinat);
s) S nu fie limitat volumul informaiilor contabile;
t) S asigure securitatea datelor i fiabilitatea;
u) S existe clauze de actualizare a procedurilor de prelucrare a informaiilor
financiar-contabile;
v) S asigure continuitatea sistemului n cazul ncetrii activitii de dezvoltare
software, inclusiv arhivarea i restaurarea datelor;
w) S funcioneze gestiunea versiunilor.
Capitolul 3. Riscuri IT
Riscul IT este o component a universului general al riscurilor organizaiei. Alte categorii
de riscuri cu care se confrunt o ntreprindere includ: riscul strategic, riscul de mediu,
riscul de pia, riscul de credit, riscul operaional i riscul de conformitate. Riscul legat de IT
poate fi considerat, n acelai timp, ca find o component a riscului operaional, sau a
riscului strategic.
Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea,
implicarea, influena i adoptarea IT n cadrul unei organizaii. Se compune din
evenimente legate de IT i din condiii care ar putea avea impact potential asupra afacerii.
Acesta poate aprea cu frecven i amploare incerte, i poate s creeze probleme n
atingerea obiectivelor strategice i a obiectivelor.
Riscurile IT pot fi clasificate n diferite moduri:
Riscuri privind beneficiile/valoarea generate de IT: tehnologia ca suport pentru;
iniiativele de afaceri noi, tehnologia ca suport pentru eficientizarea operaiunilor
Riscuri privind livrarea programelor i proiectelor IT: calitatea proiectului, relevana
proiectului, perturbri n derularea proiectului;
Riscuri privind operarea i livrarea serviciilor IT: stabilitatea n funcionare,
disponibilitatea, protecia i recuperarea serviciilor, probleme de securitate,
cerine de conformitate.
Multe probleme legate de riscul IT pot aprea din cauza problemelor generate de teri
(furnizarea de servicii, dezvoltarea de soluii), parteneri IT i parteneri de afaceri. Prin
urmare, buna gestionare a riscurilor IT impune dependene semnificative care urmeaz s
fie cunoscute i bine nelese.
Datorita importanei IT pentru organizaie (afacere), riscurile IT ar trebui s fie tratate la
fel ca alte riscuri cheie ale afacerii, cum ar fi riscul strategic, riscul de mediu, riscul de
pia, riscul de credit, riscurile operaionale i riscul de conformitate, toate acestea avnd
impact major asupra ndeplinirii obiectivelor strategice.
n acest sens, n conformitate cu OMF nr. 946/2005 pentru aprobarea Codului controlului
intern, cuprinznd standardele de management/control intern la entitile publice i pentru
dezvoltarea sistemelor de control managerial, instituiile publice sunt obligate s
ntocmesc i s actualizeze periodic un registru al riscurilor care va avea o seciune
dedicat riscurilor IT.
Riscul IT nu este doar o problem tehnic. Dei experii n IT sunt interesai s neleag i
s gestioneze aspectele legate de riscurile IT, managementul este cel mai important dintre
prile interesate.
3.1
3.2
3.2.1 Dependena de IT
Dependena de tehnologiile informaiei este un factor cheie n condiiile n care tendina
actual este de a se generaliza utilizarea calculatoarelor n toate domeniile economice i
sociale.
n scopul evalurii dependenei conducerii de tehnologiile informaiei, auditorul va
examina urmtoarele aspecte relevante: gradul de automatizare al entitii, complexitatea
sistemelor informatice utilizate i timpul de supravieuire al entitii n lipsa sistemului IT.
Tabelul 40
Dependena de IT
Arii de risc
Gradul de automatizare
Factori de risc
Numrul i importana sistemelor informatice sau
aplicaiilor care funcioneaz i sunt utilizate n
cadrul entitii pentru conducerea proceselor
Documente
de lucru
LV_Riscuri
Arii de risc
Factori de risc
Complexitatea
sistemului IT
Documente
de lucru
LV_Riscuri
Tabelul 41
Resurse i cunotine IT
Arii de risc
Aptitudini curente
Factori de risc
Structura profesional a angajailor din compartimentul IT
(organigram, numr, stat funciuni, fie de post etc.)
Documente
de lucru
LV_Riscuri
Arii de risc
Factori de risc
Documente
de lucru
LV_Riscuri
Suprancrcarea personalului IT
Activitatea personalului IT nu este una specific exclusiv
domeniului IT
Fluctuaia
personalului
LV_Riscuri
Insatisfacia profesional
Moralul personalului IT (nivel de salarizare, stimulente,
posibiliti de promovare, stagii de pregtire i de
perfecionare etc.).
3.2.3 ncrederea n IT
ncrederea actorilor implicai n utilizarea sistemelor informatice sau n valorificarea
rezultatelor furnizate de acestea n cadrul unei entiti (management, utilizatori, auditori)
este determinat att de calitatea informaiilor obinute, ct i gradul n care se asigur
utilizarea tehnologiilor informatice ca instrumente accesibile i prietenoase n activitatea
curent.
Tabelul 42
ncrederea n IT
Arii de risc
Complexitatea
sistemului i
documentaia
aplicaiilor
informatice
Factori de risc
ncrederea conducerii de vrf i a personalul implicat n
proiectele legate de implementarea serviciilor IT, n
implementarea programelor i proiectelor
Documente
de lucru
LV_Riscuri
Arii de risc
Factori de risc
Documente
de lucru
LV_Riscuri
LV_Riscuri
Arii de risc
Erori
sistematice/
intervenii
manuale
Factori de risc
Erori raportate n cadrul utilizrii sistemului
Documente
de lucru
LV_Riscuri
Scalabilitate
LV_Riscuri
LV_Riscuri
Schimbri n domeniul IT / IS
Arii de risc
Dezvoltarea
de aplicaii
informatice
Factori de risc
Lipsa unei metodologii de dezvoltare intern a aplicaiilor
informatice
Tabelul 43
Documente de
lucru
LV_Riscuri
Noi tehnologii
Modificri ale
proceselor
activitii
Externalizarea serviciilor IT
Arii de risc
Externalizarea
Factori de risc
Tabelul 44
Documente de
lucru
Furnizorii IT
LV_Riscuri
LV_Riscuri
Focalizarea pe afacere
Arii de risc
Factori de risc
Tabelul 45
Documente
de lucru
Corelaia ntre
strategia IT i
strategia
ntregii afaceri
Contientizarea
conducerii
privind
riscurile IT
Necesiti
curente
comparativ cu
funcionalitatea
sistemului
informatic
LV_Riscuri
Factori de risc
Motivaia
pentru fraud/
infraciuni
(intern i
extern)
Sensibilitatea
datelor
Documente
de lucru
LV_Riscuri
Arii de risc
Factori de risc
Documente
de lucru
Pierderi financiare
Legislaie i
regulamente
LV_Riscuri
Factori de risc
Msuri pentru a preveni distrugerea sau deteriorarea
accidental sau intenionat din partea personalului
(personalul IT, personalul care asigur curenia, personalul
care asigur securitatea, ali salariai)
Documente
de lucru
LV_Riscuri
Arii de risc
Asigurarea
condiiilor de
mediu
Factori de risc
Msuri pentru a preveni distrugeri provocate de foc, ap sau
de alte dezastre naturale
Documente
de lucru
LV_Riscuri
nou.
Operarea sistemelor IT
Arii de risc
Managementul
operaiilor
Factori de risc
Planificarea capacitii pentru asigurarea c sistemele de
calcul vor continua s furnizeze servicii cu nivel de
performan satisfctor pe o perioad mare de timp:
personal de operare IT, capacitate de calcul i de memorare,
capacitate de ncrcare a reelei
Tabelul 48
Documente
de lucru
LV_Riscuri
LV_Riscuri
Arii de risc
Factori de risc
Documente
de lucru
3.2.10
Dezvoltri
efectuate de
utilizatori
Factori de risc
Amploarea aplicaiilor dezvoltate de ctre utilizatori
Tabelul 50
Documente
de lucru
LV_Riscuri
Arii de risc
Factori de risc
Documente
de lucru
de afaceri n care opereaz calculatoarele personale, acesta fiind mai puin structurat
dect un mediu IT complex, i, n consecin, nivelul controalelor generale fiind mai
sczut.
Auditul n medii cu calculatoare individuale se va axa pe urmtoarele direcii:
a) Evaluarea procedurilor i politicilor organizaionale
Pentru obinerea unei nelegeri a mediului de control IT pentru calculatoarele neinstalate
n reea, auditorul ia n considerare structura organizatoric a entitii i, n special,
alocarea responsabilitilor referitoare la prelucrarea datelor. Politicile i procedurile
eficiente de achiziie, implementare, operare i ntreinere a calculatoarelor neincluse n
reea pot mbunti mediul de control general. Lipsa unor astfel de politici poate conduce
la utilizarea de ctre entitate a programelor expirate i la erori n datele i informaiile
generate de astfel de programe, ducnd n acelai timp i la un risc crescut de apariie a
fraudei. Astfel de politici i proceduri includ urmtoarele:
Standarde referitoare la achiziie, implementare i documentare;
Programe de pregtire a utilizatorilor;
Recomandri cu privire la securitate, copii de back-up i stocare;
Gestiunea parolelor;
Politici privind utilizarea personal;
Standarde referitoare la achiziionarea i utilizarea produselor software;
Standarde de protecie a datelor;
ntreinerea programului i suport tehnic;
Un nivel corespunztor de separare a sarcinilor i responsabilitilor;
Protecie mpotriva viruilor.
b) Evaluarea proteciei fizice a echipamentelor
Din cauza caracteristicilor lor fizice, calculatoarele neinstalate n reea i mediile lor de
stocare sunt susceptibile de furt, deteriorare fizic, acces neautorizat sau utilizare greit.
Protecia fizic se realizeaz prin urmtoarele metode:
nchiderea lor ntr-o camer, ntr-un dulap de protecie sau ntr-un nveli
protector;
Utilizarea unui sistem de alarm care este activat ori de cte ori calculatorul este
deconectat sau deplasat de la locul lui;
Fixarea calculatorului de o mas;
Politici care s menioneze procedurile corecte care trebuie urmate atunci cnd se
cltorete cu un laptop sau cnd acesta se folosete n afara biroului;
Criptarea fiierelor cheie;
Instalarea unui mecanism de nchidere pentru a controla accesul la ntreruptorul
de pornire/oprire al calculatorului. Acesta nu poate s previn furtul
calculatorului, dar poate preveni folosirea neautorizat a acestuia;
Implementarea controalelor de mediu pentru prevenirea daunelor de pe urma
dezastrelor naturale, cum ar fi incendii, inundaii etc.
c) Evaluarea proteciei fizice a mediilor portabile i fixe
Programele i datele instalate pe un calculator pot fi stocate pe medii de stocare portabile
(dischet, CD, stik) i fixe (hard-disk). n plus, componentele interioare ale multor
calculatoare, n special ale laptop-urilor sunt uor accesibile. Atunci cnd un calculator
este folosit de mai multe persoane, este mai probabil ca mediile de stocare s fie pierdute,
modificate fr autorizare sau distruse.
Este responsabilitatea utilizatorului s protejeze mediile portabile de stocare, de exemplu
prin pstrarea copiilor de rezerv curente ale acestora, ntr-o alt locaie protejat.
Aceast situaie se aplic n mod egal sistemului de operare, programelor de aplicaii i
datelor.
d) Evaluarea securitii programelor i a datelor
Atunci cnd calculatoarele sunt accesibile mai multor utilizatori, exist riscul ca sistemul
de operare, programele i datele s poat fi modificate fr autorizare, sau ca utilizatorii
s i instaleze propriile versiuni ale programelor, dnd natere unor poteniale probleme
legate de licenele software.
Gradul de control i restriciile de securitate prezente n sistemul de operare al unui
calculator pot s varieze. Dei unele sisteme de operare evoluate conin proceduri
complexe de securitate ncorporate, cele utilizate la calculatoarele individuale nu conin
astfel de protecii. Cu toate acestea, exist tehnici care ofer asigurarea c datele sunt
procesate i citite numai n mod autorizat i c distrugerea accidental a datelor este
prevenit, limitnd accesul la programe i date doar personalului autorizat:
1. Folosirea parolelor este o tehnic de control eficient care se bazeaz pe utilizarea
profilelor i a parolelor, care controleaz accesul permis unui utilizator. De exemplu,
unui utilizator i se poate atribui un profil protejat de o parol, care s permit doar
introducerea de date, iar calculatorul poate fi configurat astfel nct s solicite parola
nainte de putea fi accesat.
2. Implementarea unui pachet de control al accesului poate furniza un control eficient
asupra accesului i utilizrii sistemelor de operare, programelor i fiierelor de date.
De exemplu, numai unui anumit utilizator i se poate acorda accesul la fiierul cu parole
sau i se poate permite s instaleze programe. Astfel de pachete pot, de asemenea, s
examineze cu regularitate programele existente pe calculator pentru a detecta dac
sunt utilizate programe sau versiuni ale programelor neautorizate.
3. Utilizarea mediilor de stocare portabile pentru programele sau fiierele de date
eseniale sau sensibile poate furniza o protecie sporit prin depozitarea acestora n
locaii protejate i sub control independent att ct este necesar. De exemplu, datele
referitoare la salarii pot fi pstrate pe un mediu portabil i utilizate numai atunci cnd
este necesar procesarea acestora.
4. Folosirea de fiiere i directoare ascunse. Salvarea programelor i a datelor din
calculatoarele care dispun de medii portabile de stocare (de exemplu, dischete, CD-uri
i stik-uri) constituie o modalitate eficient de pstrare a acestora n condiii de
securitate. Mediile de stocare sunt apoi depozitate n custodia bibliotecarilor de fiiere
sau a utilizatorilor responsabili pentru datele sau programele respective.
5. Criptografia este o tehnic folosit, n general, atunci cnd date sensibile sunt
transmise pe linii de comunicaie, dar poate fi folosit i n cazul informaiei stocate pe
un calculator individual.
e) Evaluarea continuitii sistemului
ntr-un mediu cu calculatoare neinstalate n reea, conducerea se bazeaz, n mod
obinuit, pe utilizator pentru a asigura disponibilitatea continu a sistemelor n caz de
(b)
Dac nivelul controalelor generale pare a fi adecvat, auditorul poate decide adoptarea
unei abordri diferite, stabilind proceduri care reduc riscul de control.
Calculatoarele neinstalate n reea se ntlnesc n mod frecvent n entitile mici. Pe baza
unei analize preliminare a controalelor, planul de audit ar putea include testri ale
controalelor pe care auditorul intenioneaz s se bazeze.
4.2
mediu de baz de date, multe controale pot fi centralizate iar baza de date este proiectat
pentru a servi necesitilor informaionale integrale ale organizaiei.
Utilizarea acelorai date de ctre diferite programe de aplicaii subliniaz importana
coordonrii centralizate a utilizrii i definirii datelor precum i a meninerii integritii,
securitii, exhaustivitii i exactitii acestora. Gestionarea resurselor de date este
necesar pentru a promova integritatea datelor i include o funcie de administrare a
bazei de date care se ocup n principal cu implementarea tehnic a bazei de date, cu
operaiunile zilnice precum i cu politicile i procedurile care guverneaz accesarea
acesteia i utilizarea zilnic. n general, administrarea bazei de date este responsabil cu
definirea, structurarea, securitatea, controlul operaional i eficientizarea bazelor de date,
inclusiv definirea regulilor de accesare i stocare a datelor.
2.
ntr-un sistem de baze de date, controalele generale privind baza de date, SGBD i
administrarea bazei de date au un efect esenial asupra aplicaiilor. Aceste
controale pot fi clasificate dup cum urmeaz:
(a)
(b)
(c)
(d)
(e)
(f)
bazei de date poate asigura un control n plus asupra accesrii diferitelor informaii de
ctre utilizator. Implementarea improprie a procedurilor de acces poate avea ca rezultat
accesul neautorizat la baza de date.
d) Separarea sarcinilor
Responsabilitile pentru efectuarea diferitelor activiti necesare pentru a proiecta,
implementa i opera o baz de date sunt divizate ntre personalul tehnic, proiectant,
administrativ i utilizator. ndatoririle acestora includ proiectarea sistemului, proiectarea
bazei de date, administrarea i operarea. Meninerea unei separri adecvate a acestor
ndatoriri este absolut necesar pentru asigurarea integritii, exhaustivitii i acurateei
bazei de date. De exemplu, persoanele responsabile cu modificarea programelor de baze
de date care conin informaii despre personal, nu vor fi aceleai persoane care sunt
autorizate s efectueze modificri individuale ale plilor salariale n baza de date.
e) Securitatea datelor i recuperarea bazei de date
Exist o probabilitate crescut ca bazele de date s fie utilizate de diferii utilizatori n
diferite zone ale operaiunilor entitii, ceea ce nsemn c aceste zone din cadrul entitii
vor fi afectate n cazul n care datele nu sunt accesibile sau conin erori. De aici decurge
nivelul nalt de importan al controalelor generale privind securitatea datelor i
recuperarea bazelor de date.
care acestea sunt utilizate. Dac ulterior auditorul decide s se bazeze pe aceste
controale, el va proiecta i efectua teste corespunztoare.
c) Atunci cnd auditorul decide efectuarea unor teste ale controalelor sau teste detaliate
de audit privitoare la sistemul cu baz de date, n cele mai multe cazuri va fi mai eficient
realizarea acestora cu ajutorul tehnicilor de audit asistat de calculator. Faptul c datele
sunt stocate integral ntr-un singur loc i organizate ntr-o manier structurat face ca
extragerea probelor s fie mai simpl. De asemenea, este posibil ca bazele de date s
conin date generate n afara funciei contabile, ceea ce va face ca efectuarea aplicaiei
procedurilor analitice s fie mult mai eficient.
d) Procedurile de audit pot include utilizarea funciilor SGBD pentru rezolvarea
urmtoarelor probeme, dup ce, n prealabil, s-a verificat dac acestea funcioneaz
corect:
- Testarea controalelor de acces;
- Generarea datelor de testare;
- Furnizarea unui proces de audit;
- Verificarea integritii bazei de date;
- Furnizarea accesului la informaiile din baza de date sau a unei copii a prilor
relevante din baza de date, pentru a face posibil utilizarea de produselor software
de audit;
- Obinerea informaiilor necesare auditului.
e) n cazul n care controalele privind administrarea bazei de date sunt neadecvate, este
posibil ca auditorul s nu poat compensa aceste controale slabe indiferent de ct de
mult munc va depune. Prin urmare, atunci cnd devine clar c nu se poate baza pe
controalele din sistem, auditorul va lua n considerare necesitatea de a efectua teste
detaliate de audit asupra tuturor aplicaiilor contabile importante care utilizeaz baza de
date i va decide dac aceste proceduri sunt suficiente pentru atingerea obiectivelor
auditului. n cazul n care auditorul nu poate compensa slbiciunile din mediul de control
prin teste detaliate pentru a reduce riscul de audit la un nivel ct mai redus, acceptabil,
standardul ISA 700 solicita ca auditorul s emit o opinie cu rezerve, sau s se declare n
imposibilitatea de a exprima o opinie.
f) Caracteristicile sistemelor cu baze de date pot face mai eficient pentru auditor
efectuarea unor revizuiri pre-implementare a noilor aplicaii contabile dect revizuirea
aplicaiilor dup ce acestea au fost instalate. Aceste revizii pre-implementare i revizii ale
procesului de modificare a gestionrii pot furniza auditorului oportunitatea de a solicita
noi funcii, cum ar fi rutine ncorporate sau controale adiionale n proiectarea aplicaiei.
De asemenea, poate oferi suficient timp auditorului pentru a dezvolta i testa proceduri de
audit naintea utilizrii sistemului.
n cazul mediilor informatizate cu calculatoare individuale, controalele se pot implementa
prin desemnarea unei persoane creia i se va aloca o funcie independent cu atribuii
legate de definirea accesului i a regulilor de securitate, sau, n cazul n care nu exist
personal suficient, aceste sarcini vor fi atribuite persoanei desemnate cu gestionarea
sistemului informatic.
4.3
Tehnicile de audit asistat de calculator pot fi utilizate n executarea unor proceduri, cum
ar fi:
Testarea detaliilor tranzaciilor i balanelor;
Procedure de revizuire analitic;
Teste de conformitate a controalelor IT generale;
Teste de conformitate a controalelor de aplicaie;
Teste de penetrare.
Luarea deciziei de a utiliza tehnici de audit asistat de calculator se bazeaz pe o serie de
factori care sunt luai n considerare:
Cunotinele, expertiza i experiena auditorului IT;
Disponibilitatea unor programe de audit asistat de calculator i a facilitilor IT
necesare;
Eficiena i eficacitatea utilizrii tehnicilor de audit asistat de calculator fa de
tehnicile manuale;
Restriciile de timp;
Integritatea sistemului informatic i a mediului IT;
Nivelul riscului de audit.
Paii principali care trebuie ntreprini de ctre auditor n cazul utilizrii tehnicilor de
audit asistat de calculator sunt:
(a) Stabilirea obiectivului aplicaiei de audit asistat de calculator;
(b) Determinarea coninutului i a accesibilitii la fiierele entitii;
(c) Identificarea fiierelor sau bazelor de date specifice care urmeaz a fi
examinate:
(d) nelegerea relaiilor dintre tabelele de date, acolo unde urmeaz s fie
examinat o baz de date;
(e) Definirea testelor sau a procedurilor specifice, precum i a tranzaciilor i
soldurilor aferente afectate;
(f) Definirea cerinelor cu privire la ieirile de date;
(g) Stabilirea mpreun cu utilizatorul i cu personalul IT, dac este cazul, a
modalitii de efectuare i a formatului unor copii ale fiierelor i bazelor de
date relevante la o dat i un moment adecvate (corelate cu separarea
exerciiilor);
(h) Identificarea personalului care poate participa la proiectarea i aplicarea
procedurilor de audit asistat de calculator;
(i) Perfecionarea estimrilor costurilor i beneficiilor;
(j) Asigurarea c utilizarea programelor de audit asistat de calculator este
controlat i documentat corespunztor;
(k) Organizarea activitilor administrative, inclusiv cu privire la aptitudinile
necesare i facilitile informatizate;
(l) Reconcilierea datelor care vor fi utilizate pentru programul de audit asistat de
calculator cu nregistrrile contabile;
(m) Executarea aplicaiei de audit asistat de calculator;
(n) Evaluarea rezultatelor.
n cazul mediilor IT existente n entitile mici, nivelul controalelor generale poate fi sczut,
astfel nct auditorul se va baza mai puin pe sistemul de control intern. Aceast situaie va
avea ca rezultat un accent mai mare pus pe teste ale detaliilor tranzaciilor i soldurilor i
pe procedurile analitice de revizuire, care pot crete eficacitatea tehnicilor de audit asistat
de calculator.
n cazul n care sunt procesate volume mici de date, metodele manuale pot fi mai
rentabile.
n multe cazuri, s-ar putea ca auditorul s nu aib la dispoziie asistena tehnic adecvat
din partea entitii, n cazul unei entiti mai mici, acest lucru fcnd imposibil folosirea
tehnicilor de audit asistat de calculator.
Anumite pachete de programe de audit ar putea s nu funcioneze pe calculatoare mici,
limitndu-se astfel alegerea tehnicilor de audit asistat de calculator de ctre auditor. n
astfel de situaii, dac este posibil, fiierele de date ale entitii pot fi copiate i procesate pe
un alt calculator corespunztor.
Referine bibliografice
[1] Regulamentului privind organizarea i desfurarea activitilor specifice
Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti.
[2] Manual de audit al sistemelor informatice, Curtea de Conturi a Romniei,
Bucureti, 2012
[3] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd
standardele de management/control intern la entitatile publice i pentru
dezvoltarea sistemelor de control managerial
[4] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control
Professionals, ediia februarie 2010, www.isaca.org
[5] ITGI, COBIT Control Objectives, Ediia 4.0, www.isaca.org
[6] ITGI, IT Assurance Guide using COBIT, www.isaca.org
[7] ITGI, IT Assurance Guide: Using COBIT
[8] ITGI, Val IT Framework 2.0, www.isaca.org
[9] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp
[10] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for
the Public Sector, 2004
[11] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea
riscurilor i controlul intern caracteristici i considerente privind CIS
[12 ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de
audit asistat de calculator
Glosar de termeni
Acceptarea riscului - Decizie luat de management de acceptare a unui risc.
Analiza riscului - Utilizarea sistematic a informaiei pentru a identifica ameninrile i
pentru a estima riscul.
Aria de aplicabilitate a unui audit Domeniul acoperit de procedurile de audit care, n
baza raionamentului auditorului i a Standardelor Internaionale de Audit, sunt
considerate ca proceduri adecvate n mprejurrile date pentru atingerea obiectivului
unui audit.
Asigurare rezonabil (n contextul unei misiuni de audit) - Un nivel de asigurare adecvat,
ridicat dar nu absolut, reflectat n raportul auditorului ca fiind o asigurare rezonabil cu
privire la faptul c informaiile auditate nu conin greeli semnificative.
Audit extern Un audit efectuat de un auditor extern.
Autenticitate Proprietate care determin c iniiatorul unui mesaj, fiier, etc. este n
mod real cel care se pretinde a fi.
Audit online - Auditare prin consultarea online a bazelor de date ale entitilor auditate,
aflate la distan.
Audit continuu - Tip de auditare n care auditorul are acces permanent la sistemul
informatic al entitii auditate, diferena de timp ntre momentul producerii
evenimentelor urmrite de auditor i obinerea probelor de audit fiind foarte mic.
Autentificare Actul care determin c un mesaj nu a fost schimbat de la momentul
emiterii din punctul de origine. Un proces care verific identitatea pretins de un individ.
Autoritate de certificare O organizaie investit pentru a garanta autenticitatea unei
chei publice (PKI). Autoritatea de certificare cripteaz certificatul digital.
Backup O copie (de exemplu, a unui program software, a unui disc ntreg sau a unor
date) efectuat fie n scopuri de arhivare, fie pentru salvarea fiierelor valoroase pentru a
evita pierderea, deteriorarea sau distrugerea informaiilor. Este o copie de siguran.
Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor s
navigheze pe Web. Cele mai populare browsere sunt Microsoft Internet Explorer, Opera,
Mozilla.
BSI (British Standards Institution) Instituia care a publicat standardele naionale
britanice care au constituit baza evoluiei standardelor ISO 9001 (BS5750 sisteme de
management al calitii) i ISO 17799 (BS 7799 managementul securitii informaiei).
CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) Software care poate fi utilizat pentru interogarea, analiza i extragerea de fiiere de date i
pentru producerea de probe de tranzacii pentru testele de detaliu.
CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) calificare profesional oferit de Information Systems Audit and Control Association
(ISACA) (Asociaia de Audit i Control al Sistemelor Informatice).
Cloud Computing (configuraie de nori) - Stil de utilizare a calculatoarelor n care
capabilitile IT se ofer ca servicii distribuite i permit utilizatorului s acceseze servicii
bazate pe noile tehnologii, prin intermediul Internetului, fr a avea cunotine, expertiz
sau control privind infrastructura tehnologic suport a acestor servicii.
Confidenialitate Proprietate a informaiei care asigur c aceasta nu este fcut
disponibil sau dezvluit persoanelor, entitilor sau proceselor neautorizate.
Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru
a permite proceselor cheie ale afacerii s continue operarea n urma unor cderi majore
sau dezastre.
Controale generale n sistemele informaionale computerizate - Politici i proceduri
care se refer la sistemele informatice i care susin funcionarea eficient a controalelor
aplicaiilor contribuind astfel la asigurarea unei funcionri adecvate i continue a
sistemelor informatice. Controalele informatice generale includ, n mod obinuit,
controale asupra securitii accesului la date i reele, precum i asupra achiziiei,
ntreinerii i dezvoltrii sistemelor informatice.
Controlul accesului - Proceduri proiectate s restricioneze accesul la echipamente,
programe i datele asociate. Controlul accesului const n autentificarea utilizatorului i
autorizarea utilizatorului. Autentificarea utilizatorului se realizeaz, n general, prin
intermediul unui nume de utilizator unic, al unei parole, al unui card de acces, al datelor
biometrice. Autorizarea utilizatorului se refer la regulile de acces pentru a determina
resursele informatice la care poate avea acces fiecare utilizator.
Control intern - Procesul proiectat i efectuat de cei care sunt nsrcinai cu guvernarea,
de ctre conducere i de alte categorii de personal, pentru a oferi o asigurare rezonabil n
legtur cu atingerea obiectivelor entitii cu privire la credibilitatea raportrii financiare,
la eficacitatea i eficiena operaiilor i la respectarea legilor i reglementrilor aplicabile.
Controlul intern este compus din urmtoarele elemente: (a) Mediul de control; (b)
Procesul de evaluare a riscurilor entitii; (c) Sistemul informatic, inclusiv procesele de
afaceri aferente, relevante pentru raportarea financiar i comunicare; (d) Activitile de
control; i (e) Monitorizarea controalelor.
Controale de aplicaie n sistemele informatice - Proceduri manuale sau automate care
opereaz de obicei la nivelul proceselor ntreprinderii. Controalele de aplicaie pot fi de
natur preventiv sau de detectare i sunt proiectate s asigure integritatea informaiilor.
n mare parte, controalele de aplicaie se refer la procedurile folosite pentru a iniia,
nregistra, procesa i raporta tranzaciile sau alte date financiare.
Macheta 1
Instituia public ________________
Localitatea ____________________
Judeul _______________________
Nr.
crt.
Specificaie
Numr
Valoare
Servere
Calculatoare PC
Echipamente de reea
Licene
Aplicaii
Personal
ntreinere
Alte cheltuieli
Not: Se vor aduga linii distincte pentru fiecare proiect / sistem / aplicaie.
TOTAL VALOARE
Aprobat / Confirmat,
Intocmit,
Macheta 2
Instituia public _____________
Localitatea __________________
Judeul _____________________
Sisteme / aplicaii utilizate
Cod
serviciu
informatic
Denumire
sistem /
aplicaie
Categorie
sistem/
aplicaie
1 - aplicaie
2 - sistem
informatic
integrat
3managementul
documentelor
4 - arhiva
electronic
5 - altele
Cod
Serviciul
informatic
#1
Cod
Serviciul
informatic
#2
Stadiul
1 - n curs de
implementare
2 - neoperaional
3 - operaional
Productor
/
Furnizor
Arhitectura
1 - aplicaie
independent
2 - client-server
3 aplicaie
web
Tehnologia
SGBD /
Platforma
Mediu de
proiectare
i
dezvoltare
1-nou
2-perimat
Aplicaia 1
Aplicaia 2
.
Aplicaia ..
Aprobat / Confirmat,
Intocmit,
Pag. 146 din 180
Macheta 3
EVALUAREA INFRASTRUCTURILOR
HARDWARE, SOFTWARE I DE COMUNICAIE
ECHIPAMENTE HARDWARE
Nr. crt.
Tip echipament
Numr
1 Servere (total)
2 Servere securizate
3 Calculatoare personale desktop (total)
4 Calculatoare personale desktop legate n reea
5 Calculatoare portabile (laptop)
6 Imprimante
7 Scannere
8 Alte tipuri de echipamente
Pag. 147 din 180
LICENE SOFTWARE
Nr. crt.
Denumire
Numr
Tip conexiune
Numr
Intocmit,
Macheta 4
Instituia public ________
Localitatea _____________
Judeul ________________
Nr.
crt.
1 Personal cu
studii
superioare
care
efectueaz
activiti IT
Numr
personal
Categorii de activiti IT
Dezvoltare de programe
Consultan n domeniul hardware
Consultan i furnizare de produse software
Prelucrarea informatic a datelor
Activiti legate de baze de date
Activiti legate de asigurarea securitii sistemului
ntreinerea i repararea echipamentelor
Suport tehnic
Telecomunicaii (transmisie de date, acces Internet, etc.)
Consultan i management de proiect informatic
TOTAL (studii superioare)
2 Personal cu
studii medii
Operare
TOTAL PERSONAL
Aprobat / Confirmat,
Intocmit,
Anexa 3
Lista de verificare pentru evaluarea controalelor generale IT
Domeniul de evaluare
Comentarii/Constatri/Recomandri
I. Managementul IT
Implicarea conducerii entitii n
coordonarea activitii IT
a) n ce msur este implicat
conducerea entitii n coordonarea
activitilor IT?
b) Au loc ntlniri periodice ntre
reprezentanii compartimentului IT i
conducere? (modalitate, raportri,
procese verbale ale ntlnirilor,
minute)
Comunicarea inteniilor i obiectivelor
conducerii
a) Conducere a dezvoltat unui cadru de
referin al controlului IT la nivelul
ntregii organizaii, a definit i a
comunicat politicile?
b) Conducerea sprijin realizarea
obiectivelor IT i asigur
contientizarea i nelegerea
riscurilor afacerii i a riscurilor ce
decurg din IT, a obiectivelor i
inteniilor sale, prin intermediul
comunicrii?
Raportarea ctre conducerea entitii
a) Exist o raportare periodic a
activitilor IT ctre conducere?
b) Ce indicatori de performan IT sunt
adui la cunotina conducerii, n mod
formal?
Pag. 151 din 180
Monitorizare i evaluare
a) Este msurat performana sistemului
IT pentru a detecta la timp
problemele?
b) Managementul asigur eficiena i
eficacitatea controlului intern?
c) Se efectueaz evaluarea periodic a
proceselor IT, din perspectiva calitii
lor i a conformitii cu cerinele
controlului?
d) Serviciile IT sunt asigurate
corespunztor: sunt furnizate n
conformitate cu prioritile afacerii,
costurile IT sunt optimizate,
personalul poate folosi sistemele IT n
mod productiv i n siguran iar
confidenialitatea, disponibilitatea i
integritatea sunt adecvate?
Pag. 155 din 180
Managementul investiiilor/
managementul costurilor
a) Exist n entitate un cadru de referin
pentru managementul financiar?
b) Exist un buget separat pentru
investiii i cheltuieli legate de IT?
c) Dac da, este acesta urmrit periodic?
d) Cine urmrete bugetul, cum se
ntocmete, cine l aprob?
e) Se face o analiza a activitilor fa de
Strategia IT a entitii?
f) Au fost stabilite prioriti n cadrul
bugetului IT?
g) Este asigurat finanarea IT?
Managementul programelor i al
proiectelor
a) Pentru toate proiectele IT este stabilit
un program i un cadru de referin
pentru managementul proiectelor care
garanteaz o ierarhizare corect i o
bun coordonare a proiectelor ?
b) Include cadrul de referin un plan
general, alocarea resurselor, definirea
livrabilelor, aprobarea utilizatorilor,
livrarea conform fazelor proiectului,
asigurarea calitii, un plan formal de
testare, revizia testrii i revizia postimplementrii cu scopul de a asigura
managementul riscurilor proiectului i
furnizarea de valoare pentru
organizaie.
c) Se realizeaz monitorizarea
activitilor i progresului proiectelor
n raport cu planurile elaborate n
acest domeniu?
d) Este nominalizat unui colectiv i un
responsabil care supravegheaz
desfurarea activitilor n
concordan cu liniile directoare?
Pag. 156 din 180
Detaliai urmtoarele:
tip de copie (automat / manual)
frecvena copiilor de siguran
coninutul copiei (date, aplicaii,
sisteme, tip: complet / incremental)
locul de stocare a copiei/copiilor
tipul de suport
alte comentarii.
Managementul performanei i al
capacitii
a) Entitatea a implementat un cadru
procedural referitor la: planificarea
performanei i capacitii, evaluarea
performanei i capacitii actuale i
viitoare, monitorizare i raportare?
b) Se realizeaz o analiz a capacitii
pentru hardware i pentru reea? Dac
da, cu ce periodicitate? Detaliai.
c) Se realizeaz o analiz a performanei
i a capacitii aplicaiilor IT? Dac da,
ce indicatori sunt avui n vedere?
Detaliai.
d) Se realizeaz o analiz a gtuirilor de
trafic? Dac da, detaliai.
Managementul problemelor
a) Cum se semnaleaz compartimentului
IT apariia problemelor?
b) Cum se ine evidena problemelor n
cadrul compartimentului IT ? Exist
un registru al problemelor sau o alt
form de eviden?
c) Exist implementat o funcie de helpdesk? Dac da, ce date statistice sunt
disponibile i cum sunt ele utilizate?
d) Ce etape trebuie urmate pentru
rezolvarea problemelor?
e) Verific i analizeaz conducerea lista
de probleme?
f) Exist o procedur de urmrire a
problemelor rmase deschise?
g) Exist o procedur n caz de
nerezolvare a situaiei?
h) Sunt procedurile documentate i
aduse la cunotin celor direct
implicai?
Planificarea continuitii
a) Exist un cadru de referin pentru
continuitatea IT? Au fost stabilite
resurselor IT critice?
b) Exist un plan privind asigurarea
continuitii activitii instituiei i, n
particular, a operaiunilor IT? Dac da,
revizuii i evaluai planul.
c) Este planul ntreinut i testat cu
regularitate? Dac da, cu ce
periodicitate?
d) Au fost organizate instruiri privind
planul de continuitate IT?
a) Sunt stabilite proceduri pentru
recuperarea i reluarea serviciilor IT,
stocarea extern a copiilor de
siguran, revizia post-reluare?
Pag. 164 din 180
Managementul operaiunilor IT
Proceduri operaionale IT
a) Sunt documentate urmtoarele
proceduri operaionale:
-
Raportarea incidentelor
Rezolvarea problemelor
o
o
o
o
o
o
o
aplicaiilor
Securitatea i disponibilitatea
aplicaiilor
Configurarea i implementarea
aplicaiilor software achiziionate
Actualizri majore ale sistemelor
existente
Dezvoltarea aplicaiilor software
Asigurarea calitii software
Managementul cerinelor
aplicaiilor
ntreinerea aplicaiilor software?
Anexa 4
Lista de verificare pentru evaluarea riscurilor IT
Arii de risc
Nivel
risc
Comentarii / Observaii /
Concluzii
I. Dependena de IT
Complexitatea sistemului IT
a) Determinai volumul tranzaciilor
gestionate de fiecare din aplicaiile
informatice (subsisteme).
b) Determinai ct de nou este tehnologia
utilizat, pentru fiecare din subsistemele
sistemului informatic.
c) Determinai modul de operare.
d) Preluarea datelor are loc n format
electronic sau manual (suport hrtie), n
timp real sau pe loturi?
Timpul de supravieuire fr IT
a) Care ar fi consecinele asupra activitii
curente n eventualitatea ntreruperii
funcionrii sistemului informatic sau a
unui subsistem al acestuia?
b) Evaluai: posibilitatea refacerii
funcionalitii, costurile, intervalul de timp
necesar pentru reluarea funcionrii,
impact economic, social, de imagine, etc.
III. ncrederea n IT
Complexitatea sistemului i documentaia
aplicaiilor informatice
a) Cum este apreciat complexitatea
aplicaiilor (subsistemelor) din cadrul
sistemului informatic?
b) Aplicaiile sunt utilizate preponderent
pentru nregistrarea i raportarea datelor?
c) Ce interfee exist ntre aplicaii?
Erori / intervenii manuale
a) Care este tipul i numrul i erorilor
constatate n cazul fiecrei aplicaii n
parte?
IV. Schimbri n IT
Dezvoltarea de aplicaii informatice
a) Exist o metodologie de dezvoltare intern
a aplicaiilor informatice?
Noi tehnologii
a) Schimbrile n sistemele IT au n vedere
tehnologii de ultima generaie?
Modificri ale proceselor activitii
a) n ce msur se vor impune n viitorul
apropiat modificri structurale ale
proceselor activitii care s atrag
modificri ale sistemului informatic?
Este pregtit cadrul de reglementare n
acest sens?
IV. Externalizarea IT
Externalizarea
a) Care este nivelul externalizrii, incluznd
suportul tehnic, operare, dezvoltare, suport
utilizatori etc.?
b) Exist o politic de externalizare a
activitilor IT (existena unor colaboratori,
furnizori de servicii IT, etc.) bazat pe:
identificarea relaiilor cu toi furnizorii,
Pag. 171 din 180
Anexa 5
Lista de verificare privind evaluarea controalelor de aplicaie
Controale de aplicaie / Teste
Comentarii / Observaii
modului
de
operare