AUDITUL SISTEMELOR INFORMATICE

Bogdan Patrut

Ghid de audit IT (controale generale) pentru masteranzii C.A.A.,

anul II

1. La nivelul managementului

Auditorul va trebui sa se asigure ca sunt clar definite organizarea, functiile si localizarea

sistemului informatic.

1. Tipul de organizare (centralizata, descentralizata, combinata) este potrivit pentru

obiectivele firmei?
2. Sunt bine stabilite si ierarhizate obiectivele organizarii sistemului informatic?
3. Sunt definite clar serviciile ce vor fi oferite intreprinderii de catre acest sistem?
4. Sunt determinate functiile si activitatile ce se vor executa?
5. Este specificat localizarea sistemului informatic folosit (echipamentele hardware
si software)?

2. Proiectarea sistemului informatic

Auditorul trebuie sa se asigure ca decizia privind realizarea sau achizitia unui nou
sistem este in conformitate cu obiectivele si planurile organizatiei. Auditorul va trebui sa
verifice daca inainte de a se lua aceasta decizie, au fost consultati utilizatorii finali si s-a
facut un studiu al costurilor, precum si al beneficiilor rezultate prin implementarea
sistemului. De asemenea, trebuie sa controleze daca exista proceduri prin care sa se
asigure ca sistemul ce va fi dezvoltat sau achizitionat satisface cerintele utilizatorilor.

6. S-a realizat o planificare a proiectarii sistemului informatic?

7. Cand s-a proiectat sistemul, in proiect a fost implicat o persoana din conducerea
firmei?
8. S-a cooptat un reprezentant din fiecare departament care va folosi sistemul,
pentru a fi consultat in timpul proiectarii?
9. S-a facut o estimare cantitativ-calitativa a costurilor si beneficiilor aduse de noul
sistem, pe baza unui studiu de fezabilitate?
10. Se au in vederea realizarea ulterioara de studii de fezabilitate privind dezvoltarea
sistemului?
11. Se cunoaste impactul pe care noul sistem il va avea la nivelul organizatiei?
12. Se cunosc costurile sociale datorate introducerii noului sistem?
13. Au fost consultati reprezentanti ai utilizatorilor pentru a afla cerintele acestora de
la sistem?
14. Sunt capabili utilizatorii sa identifice cerintele noului sistem de la acestia?
15. Exista specificatii tehnice ale sistemului (in format tiparit sau electronic)?
 16. Exista specificatii privind impactul sistemului asupra comportamentului
utilizatorilor (in format tiparit sau electronic)?
17. Exista specificatii privind datele de intrare, fisierele si bazele de date folosite,
sau datele de iesire sistemului? (De exemplu, pentru datele de intrare trebuie
precizate tipul si originea lor, volumul si cresterea anticipata, dependenta
temporala; pentru fisiere trebuie specificate tipul, originea, frecventa actualizarii,
relatia cu fisierele din alte sisteme, iar pentru datele de iesire volumul si cresterea
anticipata.)

3. Dezvoltarea/achizitionarea sistemului

Este specificat clar unde este dezvoltat sistemul informatic? (Exista trei variante: in-
house: aplicatiile sunt dezvoltate in interiorul intreprinderii, pe echipamente proprii;
out-side: echipamentele sunt achizitionate, iar aplicatiile sunt dezvoltate local;
outsourcing: se apeleaza la servicii externe pentru tot sistemul informatic.)

In cazul dezvoltarii softului in propria intreprindere:

18. S-au proiectat cu atentie datele de iesire?
19. Sunt precizate suporturile de memorare pentru datele de iesire?
20. Se pot identifica caracteristicile procesarilor?
21. Sunt precizate echipamentele hardware si sistemele de operare pe care vor fi
instalate aplicatiile sistemului informatic?
22. S-au stabilit proceduri de implementare a noului sistem?
23. S-au proiectat teste?
24. S-au redactat manualele de operare si de documentare a sistemului?

In cazul apelarii la solutia outsourcing:

25. Furnizorul are stabilitate financiara?
26. Furnizorul are o reputatie buna?
27. Furnizorul a mai oferit servicii similare si altor firme din aceeasi zona de
activitate?
28. Prin alegerea acestei solutii se reduc costurile programarii aplicatiilor
sistemului?
29. Dupa expirarea contractului de inchiriere a echipamentelor (cand e cazul), pot fi
portate aplicatiile pe echipamentele proprii ale firmei?
30. Echipamentele sistemului sunt in proprietatea firmei sau a furnizorului?
31. Fisierele cu date sunt in proprietatea firmei si furnizorul nu va avea acces la ele?
32. Furnizorul ofera instruire a personalului, consultanta, servicii de implementare?

Intrebari comune:
33. Este precizat mediul de programare/dezvoltare folosit?
34. Programele (aplicatiile) si documentaria aferenta sunt in proprietatea firmei?
35. Este specificat clar daca softul este facut la comanda, special pentru firma
respectiva, sau este un pachet generalizat de aplicatii?
36. Este asigurata documentatie pentru sistemul informatic?
37. Documentatia (daca exista) este de calitate?
 38. Se ofera instruire si consultanta din partea furnizorului?
39. Sistemul poate fi actualizat (la cerere sau automat) in functie de modificarile
legislative, tehnice etc.
40. Sistemul contine elemente proprii de control, de protejare a fisierelor sau a
datelor confidentiale?
41. Sistemul contine proceduri de restaurare si de realizare a copiilor de siguranta,
statistici?
42. Exista sistem de asistenta de tip “help”?
43. Exista cerinte privind datele de intrare, sunt acestea validate?
44. Exista flexibilitate in privinta formularelor de culegere a datelor?
45. Exista flexibilitate in privinta rapoartelor de afisare a iesirilor?

4. Testarea sistemului

Auditorul trebuie sa se asigure ca sistemul s-a achizitionat pe baza unui contract, ca

functioneaza corect, ca exista modalitati de avertizare a utilizatorilor in caz de
intrerupere a functionarii si ca nu raman prelucrari neefectuate.

46. Au existat proceduri de selectie a echipamentelor pentru sistemul informatic?

47. Au fost trimise cereri de oferta catre potentialii furnizori?
48. Ofertele au fost evaluate?
49. Produsele din oferta au fost testa si evaluate?
50. S-a negociat contractul cu furnizorul sistemului?
51. Echipamentele achizitionate functioneaza fara defectiuni?
52. Echipamentele respecta performantele specificate in manualele de utilizare si in
specificatiile tehnice?
53. Inainte de a fi folosit efectiv, sistemul nou introdus a fost testat pe o cantitate
mare de date reprezentative, similare celor din situatiile reale?
54. S-a realizat o testare in paralel a sistemului nou si a sistemului vechi, pentru
aceleasi date, pentru a face o comparatie intre ele?
55. Functioneaza sistemul corect pe date reale?
56. In cazul intreruperii accidentale a prelucrarilor, sistemul transmite mesaje de
avertizare utilizatorilor?
57. Sistemul poate continua prelucrarile, in cazul intreruperii acestora de catre
utilizatori?
58. Sistemul poate continua prelucrarile, in cazul intreruperii acestora accidentale?

5. Implementarea si conversia sistemului

Auditorul trebuie sa se asigure ca au fost stabilite proceduri privind implementarea si

conversia sistemului.

59. Au fost atribuite responsabilitati persoanelor care s-au ocupat de implementare?

60. S-au stabilit standarde prin care sa se asigure eficienta si eficacitatea procesului
de implementare?
61. S-a verificat integritatea si acuratetea fisierelor initiale?
 62. A existat un plan al implementarii, pe baza caruia sa se poata evalua progresele
facute?
63. S-au mentionat proceduri de conversie la noul sistem?
64. Utilizatorii au fost implicati in etapa de conversie?
65. Sistemul final corespunde obiectivelor initiale?
66. Este noul sistem mai eficient decat cel vechi?
67. Activitatile din timpul dezvoltarii sistemului s-au incadrat in planificarea
calendaristica?
68. Au fost testate procedurile de restaurare?
69. Au avut in vedere posibilitati viitoare de imbunatatire a sistemului?

6. Intretinerea sistemului

Auditorul va verifica daca organizatia isi modifica periodic programele, pentru a face
fata noilor cerinte legislative, tehnologice, sociale etc.

70. Exista proceduri care asigura documentarea si planificarea calendaristica a

oricarei modificari adusa sistemului initial sau a unor componente ale acestuia?
71. Exista personal specializat care sa se ocupe de intretinerea sistemului?
72. Exista proceduri prin care se asigura executarea numai a modificarilor
autorizate?
73. In exploatarea sistemului, au fost acceptate aplicatii modificate, numai dupa ce
au fost autorizate, testate si documentate?
74. Exista proceduri care asigura raportarea modificarilor aduse sistemului, atat
conducerii, cat si utilizatorilor implicati?
75. Exista mecanisme de control care sa previna modificarea neautorizata a
sistemului?
76. Exista proceduri care sa permita si sa controleze schimbarile urgente ce pot sa
intervina in cadrul sistemului?
77. Este sistemul informatic depasit din punct de vedere tehnologic?
78. Este sistemul informatic depasit din punct de vedere functional?
79. Exista proceduri de intretinere care sa anticipeze tendintele sau problemele
viitoare, pentru a le putea face fata?

7. Securitatea sistemului

Auditorul trebuie sa se asigure ca nu exista accesari neautorizate a informatiilor

organizatiei de catre persoane din afara acesteia, ca angajatii nu folosesc resursele
sistemului in mod neautorizat si ca nu exista intreruperi in prelucrarile realizate de
sistem.

80. Exista specificate responsabilitati ale personalului in privinta securitatii

informationale?
81. Exista o clasificare a datelor si sunt precizate nivelurile de securitate asociate
acestei clasificari?
82. Este precizat rolul auditorilor interni in monitorizarea securitatii sistemului?
 83. Exista proceduri privind separarea functiilor incompatibile? (De exemplu,
urmatoarele functii din zona prelucrarii automate a datelor trebuie sa fie
exercitate de persoane diferite: operare calculator – programare, pregatire date –
procesare date, procesare date – controlul prelucrarii, operare calculator –
gestiune suporturi de memorare, receptia materialelor importante – transmiterea
acestora, multiplicarea, eliberarea sau distrugerea informatiilor importante –
autorizarea acestor activitati, codarea programelor – administrarea bazei de
date.)
84. Este asigurat secretul informatiilor importante?
85. Este imposibil furtul informatiilor?
86. Informatiile organizatiei nu pot fi divulgate neautorizat?
87. Functionarea sistemului nu poate fi intrerupta in mod neautorizat?
88. Exista functii de identificare a prezentei unui potential utilizator al sistemului?
(Acest lucru poate fi realizat prin numele utilizatorului, o caracteristica
functionala sau un identificator arbitrar.)
89. Exista functii de autentificare/verificare a utilizatorilor sistemului? (Aici ne
referim la procesul prin care utilizatorul dovedeste ca este ceea ce pretinde ca
este.)
90. Exista functii de autorizare a accesarii anumitor resurse de catre anumiti
utilizatori? (Se realizeaza prin intermediul listelor de control al accesului, sau
tabelelor de autorizare.)
91. Sunt echipamentele sistemului separate fizic de celelalte
compartimente/departamente ale organizatiei?
92. La echipamentele sistemului au aces doar persoanele autorizate?
93. Sunt asigurate conditiile de mediu (temperatura, umiditate etc.) mentionate in
documentatiile de utilizare si in cartile tehnice ale echipamentelor?
94. Exista proceduri prin care sa se asigure functionarea sistemului in cazul
intreruperii alimentarii cu energie electrica?
95. Echipamentele folosesc surse de curent neintreruptibil (UPS)?
96. Exista planuri documentate si testate in mod regulat, prin care sa se asigure
operationalitatea activitatilor, prin care se realizeaza copiile de siguranta si
refacerea prelucrarilor in caz de intrerupere a functionarii sistemului?
97. Personalul care opereaza echipamentele au fost instruite in privinta protectiei
muncii si au semnat un proces verbal de instruire in acest sens?
98. Sunt instalate pe statiile de lucru programe antivirus?
99. Sunt instalate pe statiile de lucru programe firewall?
100. Este personalul suficient instruit si verificat in privinta procedurilor aplicabile in
cazul copiilor de siguranta?
101. Exista proceduri corespunzatoare in cazul copiilor de siguranta, proceduri prin
care sa se aiba in vedere actiunile ce trebuie intreprinse in cazul functionarii
incorecte, aparitia erorilor sau a avariilor la nivelul sistemului de procesare?
102. Exista copii de siguranta pastrate intr-o alta locatie decat ce a firmei (acasa la
proprietarul afacerii, la o banca, la un furnizor de echipamente etc.)?
103. Exista un plan de actiune in cazul aparitiei unor evenimente neprevazute de tipul
dezastrelor naturale?
104. Exista un contract de asigurare a companiei, astfel incat reinceperea activitatii in
urma unui dezastru natural sa nu implice “ruinarea” financiara a firmei?
105. Exista un contract de asigurare a sistemului informatic, astfel incat in urma unui
dezastru (natural sau software – virusi, atac informatic), acesta sa poate fi
achizitionat din nou?
106. Exista un contract cu o alta firma, avand un sistem similar, care sa asigure
aceleasi facilitati, in cazul in care sistemul firmei devine nefunctional?

8. Nivelul operational

Auditorul trebuie sa se asigure ca personalul nu foloseste sistemul informatic in afara

programului sau in interes personal, ca reteaua indeplineste conditiile minime de
operabilitate, iar administratorul de retea o monitorizeaza.

107. Cand se publica o oferta de serviciu pentru un anumit utilizator din sistemul
informatic, sunt precizate cunostintele, competentele pe care aplicantii sa le aiba,
precum si bibliografia necesara concursului?
108. Exista manuale standard de operare, pentru instruirea utilizatorilor incepatori?
109. Sistemul nu este folosit in afara programului de lucru, decat in cazul in care
conducerea cere acest lucru?
110. In timpul programului normal de lucru, calculatorul este folosit doar pentru
executarea sarcinilor curente de serviciu (nu si in interes personal)?
111. In afara sau chiar in timpul programului de lucru, sistemul nu este folosit si in
interes personal?
112. La proiectarea retelei de calculatoare au fost stabilite performantele minime pe
care aceasta trebuie sa le atinga (intarzierile maxime ce pot aparea, viteza
minima de transmisie, largimea de banda etc.)?
113. Administratorul de retea monitorizeaza traficul retelei si performantele retelei?
114. In cazul in care pe statiile de lucru nu exista instalate programe anti-virus, este
serverul programat sa efectueze actiuni de protectie impotriva virusilor?
115. Jurnalizeaza serverul toate evenimentele care au loc in retea?
116. In cazul in care reteaua are conexiune la Internet, este precizat cine (furnizorul
de servicii sau firma) asigura securitatea accesului a clientilor din exterior in
reteaua privata a firmei?
117. Birourile utilizatorilor sistemului sunt ergonomice?
118. Utilizatorii sistemului stau pe scaune ergonomice?
119. Salile utilizatorilor sistemului sunt luminate corespunzator pe timp de zi si seara
(fara neoane)?
120. Acustica salilor utilizatorilor sistemului este corespunzatoare, nu sunt deranjati
de zgomote?
121. Echipamentele folosite de utilizatori pentru introducerea datelor (tastaturi,
mouse, scannere pentru codurile de bare, cititoare de carduri, microfoane etc.)
functioneaza bine?
122. Exista proceduri clare privind procesarea datelor?
123. Exista proceduri clare privind gestiunea mediilor de stocare (cand au fost
achizitionate, cine le gestioneaza, cine le utilizeaza, cand continutul poate fi sters
etc.)?
124. Sunt pastrate in conditii de siguranta documentatiile (pdf, html, tiparite)?
125. Accesul la documentatii este asigurat doar persoanelor autorizate?
126. Documentatiile sunt actualizate periodic?
127. Exista copii de siguranta pentru documentatii?
128. Software-ul folosit are licente?
129. Exista personal angajat pentru a oferi asistenta in utilizarea echipamentelor si a
softului din cadrul sistemului?
130. Exista personal specializat care sa fie consultat in probleme de achizitii hardware
si software?
131. Exista personal specializat care sa instruiasca utilizatorii, sa rezolve problemele
cu care acestia se confrunta in utilizarea sistemului, sa identifice problemele care
ar putea afecta productivitatea utilizatorilor?

Bibliografie:

1. Adrian Munteanu – Auditul sistemelor informatice, suport de curs, F.E.A.A.,

Universitatea “Alexandru Ioan Cuza” Iasi