Capitolul 1

CADRUL I NSTI TUTI ONAL AL AUDI TULUI

I. AUDIT FI NANCIAR I FAC (International Federation of Accountants) Federatia I nternationala a Contabililor - Standarde de audit financiar - Cadrul privind conduita etica si profesionala - Declaratii de practica de audit - 1001 MEDII CI S - Microcalculatoare - 1002 MEDII CI S - Sistem de Microcalculatoare on line - 1003 MEDII CI S - Sistem de baze de date - 1008 Evaluarea riscurilor si controlul intern, caracteristici si considerente CIS - 1009 Tehnici de audit asistate de calculator

I I . AUDITUL SISTEMELOR I NFORMATIONALE ISACA (INFORMATI ON SYSTEMS AUDI T AND CONTROL ASSOCIATION) - Standarde de audit al sistemelor informationale - Codul etic al auditorilor de sisteme informationale - COBIT (Control Objectives for I nformation and Related Technology) - I SA 401 Auditul intern - mediu cu sisteme informatice - I APS 1003 Mediul CIS Sistem de baze de date - I APS 1002 Riscuri asociate auditului intern in CIS.

LOCUL AUDI TULUI PRI VI ND PAD I N ANSAMBLUL ACTI VI TATI LOR DE AUDI T DI N CADRUL ORGANI ZATI EI

Audit managerial Audit financiar Audit intern Audit PAD Audit general al SI Auditul contabil Auditul jurnalelor contabile Auditul aplicatiilor contabile Auditul
DSOLFD LHL

COBI T reprezinta cadrul general de aplicabilitate a practicilor privind securitatea si controlul tehnologiei informationale. = enuntarea obiectivelor de atins prin implementarea unor masuri de control specifice unui domeniu particular de activitate a tehnologiilor informationale

Resurse folosite in IT : Date (reprezentari si proiecte) Aplicatii (suma procedurilor manuale si automatizate) Tehnologia propriu-zisa (hard, soft de baza, retele de comunicatii) Resurse umane Facilitati (resurse de sustinere a sistemului informational)

Criterii de evaluare a informatiei : - eficacitate - confidentialitate - integritate - disponibilitate - realitate - oportunitate

AUDITUL reprezinta o activitate de concepere a unui sistem care previne, detecteaza si corecteaza evenimente ilicite in viata unei organizatii.

Capitolul 2

RI SCURI LE ASOCI ATE SI STEMELOR I NFORMATI CE

Managementul riscurilor procesul prin care se identifica si se cuantifica evenimentele ce pot genera pierderi unei organizatii. Riscurile asociate auditului financiar Riscul de audit a) Riscul inerent general - riscul de management - riscul contabil - riscul de afaceri - o eroare sau un grup de erori cu impact semnificativ nu a fost prevenita, detectata sau corectata la timp de sistemul contabil sau auditul intern - procedurile fundamentale de audit nu detecteaza o eroare semnificativa sau mai multe erori insumate cu efect cumulat semnificativ

b) Riscul de control

c) Riscul de nedectare

d) Riscul de esantionare Auditorul financiar trebuie sa ia in considerare modul in care un mediu CIS afecteaza auditul. Riscul inerent si riscul de control intr-un mediu CI S poate avea particularitati : - Riscuri generate de deficiente ale mediului CIS - Cresterea potentialului de aparitie a erorilor si a activitatilor frauduloase specifice - O eroare individuala in mediul CIS poate afecta intregul ansamblu informational al intreprinderii

Sursa STANDARDE DE AUDIT FINANCIAR

RI SCURI LE ASOCI ATE SI STEMULUI I NFORMATI ONAL

a) Riscurile de mediu hardware si retele de comunicatii sistem de operare softuri de aplicatie informatiile procesate de sistem pericole naturale si dezastre alterarea sau furtul aplicatiilor, datelor erori umane sau tehnice incompetenta manageriala pierderi financiare previzibile

b) Riscuri asociate mediului :

Riscurile trebuie :

- evaluate din punct de vedere al gravitatii efectelor lor - evaluate din punct de vedere al probabilitatii procedurilor - estimate financiar pentru fiecare aparitie a fenomenului si pe total

Particularitati ale sistemelor informatice in evaluarea riscului : A. Structura organizationala - Concentrarea functiilor si a cunostintelor - Concentrarea programelor si a datelor B. Natura procesarii Absenta documentelor de intrare Lipsa unei dovezi vizibile a tranzactiei Lipsa unor iesiri vizibile Usurinta de a accesa datele si softurile consecventa executiei proceduri de control programate o tranzactie are efect in fisiere multiple vulnerabilitatea mediilor de stocare

C. Aspecte procedurale

Riscuri asociate unui sistem informatic : a) pierderea, deturnarea, modificarea informatiilor b) accesul neautorizat la informatii c) intreruperea procesarii

MODEL CALI TATI V DE EVALUARE A RI SCURI LOR

RISC

VULNERABILITATE

COMPLEXITATE

FINANCIAR

- ACCES FIZIC - ACCES RETEA

COMPLEXITATE ORGANIZATIONALA FUNCTIILOR SI STEMULUI PERSONAL PERSONAL DE SPECIALITATE MANAGERI DOCUMENTATIE CICLU DE VIATA

RISCUL ASOCIAT ACCESULUI FIZI C

NI VEL RI SC MARE MEDIU SCAZUT DESCRI ERE Resursele informationale sunt accesibile tuturor angajatilor Resursele informationale sunt in birouri organizate cu acces limitat de personal Resursele informationale sunt in zona cu acces strict controlat

RISCUL ASOCIAT RETELEI DE COMUNI CATI I

NI VEL RI SC MARE MEDIU SCAZUT DESCRI ERE Sistem conectat la reteaua publica Sistem conectat la retea privata. Comunicarea cu exteriorul cu linii dedicate Nici o conexiune cu mediul

Sursa : http://www.itandit.org/memberana/form/newitanditor/F213.na.htm

RI SCURI SI ACCI DENTE DECLANSATE

1. Eroare de operare - Acest risc genereaza 70-80 % din accidente Cazuri = 1980 declansarea alertei nucleare in SUA 1992 suspendarea activitatii centralei nucleare in Pennsylvania.

2. Functionarea defectuoasa a hardware-ului Cazuri = 1994 functionarea defectuoasa a microprocesorului PENTIUM. Pierderea a 475 milioane USD. 1994 (1 august) NASDAQ nu a functionat 34 minute din cauza defectarii liniilor de comunicatie. 1993 24 de cazuri de afectare a zborurilor aviatiei civile prin interferarea cu mijloacele electronice de la bord ale pasagerilor. 3. Functionarea defectuoasa a software-ului Cazuri = problema anului 2000 1999 transferuri gresite de sume BANK OF NW 5 milioane USD. 4. Date eronate nedectate de sistem Cazuri = Controlul automat imposibil pentru situatia : Varsta variaza intre 18 si 70 ani Data reala 10/02/ 45 Data eronata 10/ 02/ 54 1993 indicele Down Jons a cazut cu 12 puncte din interpretarea gresita a unei comenzi de vanzare : 11 milioane USD 11 milioane actiuni. 5. Riscuri asociate componentelor nonelectronice Cazuri = 1991 operatorul AT&T nu a precizat prioritatea comunicatiilor pentru liniile aeriene 102 minute nu au functionat radarele aeroporturilor din NW. 6. Riscuri asociate performantelor inadecvate ale sistemului Cazuri = 1987 bursa din NW a calculat costul actiunilor in 2 ore (nu in timp real) deoarece volumul vanzarilor a fost de 500 de operatii de 3 ori mai mult decat normal. 7. Riscuri asociate responsabilitatilor legale Cazuri = Romania. 87% din softuri sunt pirat.

NIVEL DE VULNERABILITATE
Numar utilizatori autorizati Majoritatea utilizatori autorizati 50 % utilizatori autorizati Numar limitat de utilizatori autorizati RI SCUL ACCESI BI LI TATI I MARE MEDI U SCAZUT MARE MARE MEDIU MARE MEDIU SCAZUT MEDIU SCAZUT SCAZUT

Riscul complexitatii organizationale MARE -- Erorile din sistem afecteaza intreaga organizatie MEDIU Erorile din sistem afecteaza anumite compartimente SCAZUT Erorile din sistem afecteaza un compartiment Riscul functiilor sistemului MARE Functii multiple ce se intersecteaza MEDIU Functii multiple independente SCAZUT Sistemul realizeaza o singura functie

Riscul asociat personalului MARE Personalul nu a fost verificat inainte de angajare si nici in prezent MEDIU Personalul este verificat imediat dupa angajare SCAZUT Personalul este verificat inainte de angajare

Riscul asociat personalului de specialitate MARE O singura persoana se ocupa de tot sistemul MEDIU Exista 2-3 persoane ce asigura functionarea si intretinerea sistemului SCAZUT Exista mai mult de 3 persoane implicate in functionarea sistemului

Riscul asociat managerilor MARE Nici o preocupare a managerilor MEDIU Manageri preocupati numai de securitatea sistemelor SCAZUT Manageri implicati activ si constant in asigurarea securitatii ca evenimentelor produse in trecut

urmare a

Riscul asociat ciclului de viata MARE Sistem implementat de cel mult un an si durata de viata este de cel putin 20 ani MEDIU Sistem cu durata de viata mai mare de 4 ani SCAZUT Sistem cu durata de viata intre 1-4 ani

Riscul asociat documentatiei MARE Nu exista documentatie MEDIU Documentatia exista, dar nu reflecta realitatea din sistem SCAZUT Documentatia este actualizata si este disponibila Exista softuri specializate in evaluarea riscurilor :

RI SK Simularea riscurilor BUDDY SYSTEM Analiza securitatii si managementul riscurilor RI SK PAC Sistem expert pe baza de chestionar. Surse : www.palisade.com www.buddysystem.net/html/product.shtml http://computers.software-directory.com

MODELUL CANTI TATI V DE EVALUARE A RI SCURI LOR

A. FACTORII DE RI SC - AMENINTARI (A) evenimente exterioare sistemului - VULNERABILITATI (V) puncte slabe ale sistemului - IMPACT (I ) consecinte RI SC = A x V x I Clasificare calitativa RI SC MARE RI SC MEDIU RI SC REDUS RI SC INEXISTENT 3 2 1 0

ia RI SCUL GENERAL = valori intre 0 si 27 B. FACTORII DE RI SC SI ELEMENTE COLATERALE pierderea anticipata anualizata rata aparitiei factorul de vulnerabilitate pierderea potentiala riscul unei singure pierderi PAA RA FV PP RSP

PAA = RA x PP x FV Calculat pentru fiecare pereche activ amenintare Tipuri de pierderi : Fraude realizate prin intermediul sistemului Divulgarea neautorizata de informatii Furturi de echipamente Distrugerea fizica a echipamentelor

METODE DE MI NI MI ZARE A RI SCULUI

IMPERATIVE : - Creeaza din start un sistem informatic corect - Pregateste utilizatorii pentru procedurile de securitate - Odata sistemul pornit, mentine securitatea sa fizica - Securitatea fizica asigurata, previne accesul neautorizat - Avand controlul accesului, se asigura ca reluarile de proceduri sa fie corecte - Chiar daca exista proceduri de control, cauta cai de a-l perfectiona - Chiar daca sistemul pare sigur, auditeaza-l si identifica noi probleme de securitate

- Chiar daca este foarte vigilent, pregateste-te de dezastre CAI : 1. Dezvoltarea si modificarea sistemului de control - Orice modificare de soft trebuie verificata - Asigurarea documentatiei la zi - Asigurarea cu softuri specializate antivirus la zi 1. Controlul softului Soft de verificat Biblioteca

Soft Istoric sistem

2.

Modificare si testarea softului

Soft si documentatie

3.

Controlul softului modificat si documentatiei

Soft si documentatie

4. Inlocuire

2. Pregatirea personalului pentru reducerea riscului - periodicitate - selectie 3. Mentinerea securitatii fizice - acces fizic restrans 4. Controlul accesului la date, hardware si retele - controlul operatiunilor vamale - definirea exacta a accesului privilegiat - eliminarea intruziunilor - parole - carduri ID - chei hardware - control retinei, amprentei digitale palmare etc.

- criptare si decriptare date. Controlul accesului pe baza : a ce stii a ce ai a ce esti locului in care te afli.

5. Controlul tranzactiilor - segregarea indatoririlor - validarea datelor - corectarea erorilor - Backup

Capitolul 3 CONTROLUL GENERAL AL SI STEMELOR I NFORMATI ONALE

A. CONTROL LA NIVELUL MANAGEMENTULUI : - evaluarea anuala a sistemului informational - directiile de dezvoltare - strategiile de dezvoltare CONTROLUL CICLULUI DE VIATA - Controlul initierii proiectului sistemului informational - Controlul analizei si proiectarii initiale a sistemului informational - Controlul achizitiei (dezvoltarii) sistemului informational - Controlul testarii sistemului informational - Controlul implementarii si conversiei sistemului informational - Controlul intretinerii sistemului informational CONTROLUL SECURITATII SISTEMULUI - Responsabilitatea managementului - Separarea functiilor incompatibile - Controlul accesului - Controlul securitatii fizice - Controlul prevenirii efectelor dezastrelor CONTROALELE NIVELULUI OPERATIONAL - Controlul modului de operare - Controlul retelei de calculatoare - Controlul pregatirii si introducerii datelor in sistem - Controlul procesarii datelor - Controlul gestiunii mediilor de stocare - Controlul gestiunii aplicatiilor si a documentatiilor - Controlul asistentei tehnice EVALUAREA PERFORMANTELOR SISTEMULUI

B.

C.

D.

E.

CONTROLUL CI CLULUI DE VI ATA

I. Controlul initierii proiectului

- Realizarea sistemului (achizitia) in corelatie cu dezvoltarea societatii - Determinarea costurilor, economicitatii sau alte avantaje Auditorul membru al echipei de proiectare Organizarea proiectului Analiza sistemului informational existent Studii de fezabilitate Raportul studiului initial

Auditor A. B. C. D. -

Auditor

Auditor

Auditor

STRUCTURAREA CORESPUNZATOARE A ECHIPEI DE LUCRU REVIZUIREA ANALIZEI SISTEMULUI INFORMATIONAL EXISTENT REVIZUIREA COSTURILOR NOULUI SISTEM REVIZUIREA DOCUMENTATIEI PROIECTARII CONCEPTUALE

II. Controlul analizei si proiectarii initiale

Scop general Sistemul dezvoltat utilizatorului Proiectarea procesarii Organizare proiect Proiectarea iesirilor Proiectarea fisierelor Proiectarea intrarilor Necesar echipamente Estimare costuri (achizitionat) corespunde cerintelor

A. B. C. D. E.

REVIZUIREA PROIECTULUI INITIAL ASIGURAREA DOCUMENTATIEI REVIZUIREA SPECIFI CATIILOR FISIERELOR SI INTRARILE ASOCIATE REVIZUIREA SPECIFI CATIILOR ECHIPAMENTELOR REVIZUIREA COSTURILOR SI STANDARDELOR DE PROCESARE

OBI ECTI VELE AUDI TULUI

Date de intrare

tipul originea volumul si cresterea anticipata dependenta temporala

Fisiere

- tipul

Iesiri -

- principale - tranzactii - baze de date modul de control si de arhivare marimea si cresterea anticipata frecventa actualizarii relatiile cu fisierele din alte sisteme tipul si continutul rapoartelor volumul si cresterile anticipate frecventa de raportare suportul de prezentare necesar de hard cerintele de securitate cerintele legale (soft) auditibilitatea (proceduri)

Altele

III. Controlul achizitiei (dezvoltarii) sistemului

a. Dezvoltarea integrala din interiorul organizatiei (in-house) b. Echipamente achizitionate de organizatie; soft de aplicatie achizitionat de la furnizor (outside) c. Aplicatie integrala la cheie (outsourcing) a. Este necesara proiectarea de detaliu cu interventia specifica a auditorului b. Soft-ul se poate comanda in mod specific c. Criteriile foarte exacte de selectie ale furnizorului

I V. Controlul testarii sistemului

- testare paralela - testare pilot Obiectivele auditului : - asigurarea ca sistemul functioneaza corect - in cazul intreruperilor, se emit mesaje de documentare - nu exista prelucrari neefectuate

V. Controlul implementarii sistemului

Obiectivele auditului : - controlul atribuirii responsabilitatilor la implementare - controlul standardelor de eficacitate a implementarii - controlul planului de implementare - controlul modului de implicare a utilizatorilor la implementare

VI. Controlul intretinerii sistemului

Obiectivele auditului : - identificarea factorilor care genereaza necesitatea modificarii sistemului - controlul autorizarii executiei modificarii - controlul mecanismelor ce previn modificari neautorizate Factorii care impun modificari ale sistemului : Aparitia de functii noi Necesitatea modificarii raportarii Modificari in cadrul legislativ Aparitia de probleme neprevazute in proiectare

CONTROLUL SECURI TATI I SI STEMELOR I NFORMATI CE

Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia de a proteja sistemele impotriva folosirii, publicarii sau modificarii neautorizate, distrugerii sau pierderii informatiilor stocate. Securitatea sistemelor informatice este asigurata prin controale logice de acces, care asigura accesul la sisteme, programe si date numai utilizatorilor autorizati. Elemente de control logic care asigura securitatea sistemelor informatice :

cerintele de confidentialitate a datelor; controlul autorizarii, autentificarii si accesului; identificarea utilizatorului si profilele de autorizare; stabilirea informatiilor necesare pentru fiecare profil de utilizator; controlul cheilor de criptare; gestionarea incidentelor, raportarea si masurile ulterioare; protectia impotriva atacurilor virusilor si prevenirea acestora; firewalls; administrarea centralizata a securitatii sistemelor; training-ul utilizatorilor; metode de monitorizare a respectarii procedurilor IT, teste de intruziune si rapotari.

Obiective de control detaliate

Asigurarea securitatii sistemelor informatice

1. Controlul masurilor de securitate

Securitatea sistemelor informatice trebuie organizata astfel incat sa fie in concordanta cu obiectivele de afaceri ale organizatiei: includerea informatiilor legate de evaluarea riscurilor la nivel organizational in proiectarea securitatii informatice; implementarea si actualizarea planului de securitate IT pentru a reflecta modificarile intervenite in structura organizatiei; evaluarea impactului modificarilor planurilor de securitate IT, si monitorizarea implementarii procedurilor de securitate; alinierea procedurilor de securitate IT la procedurile generale ale organizatiei.

2. I dentificarea, autentificarea si accesul

Accesul logic la resursele informatice trebuie restrictionat prin implementarea unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei legaturi intre utilizatori si resurse, bazata pe drepturi de acces.

3. Securitatea accesului on- line la date

Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu politica de securitate, care presupune controlul securitatii accesului bazat pe necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor.

4. Managementul conturilor utilizator

Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator. O procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in planul de securitate.

5. Verificarea conturilor utilizator de catre conducere

Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa confirme periodic drepturile de acces.

6. Verificarea conturilor utilizator de catre utilizatori

Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor conturi, in vederea detectarii activitatilor neobisnuite.

7. Supravegherea securitatii sistemului

Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile legate de securitatea sistemului sunt inregistrate intr-un jurnal, si orice indiciu referitor la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.

8. Clasificarea datelor
Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor. Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printr-o decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii ulterioare a gradului de confidentialitate.

9. Centralizarea identificarii utilizatorilor si drepturilor de acces

Identificarea si controlul asupra drepturilor de acces trebuie efectuate centralizate pentru a asigura consistenta si eficienta controlului global al accesului.

10. Rapoarte privind violarea securitatii sistemului

Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta trebuie sa aiba acces numai la informatiile care ii sunt necesare).

11. Gestionarea incidentelor

Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie eficient, rapid si adecvat.

12. I ncrederea in terte parti

Organizatia trebuie sa asigure implementarea unor proceduri de control si autentificare a tertilor cu care intra in contact prin medii electronice de comunicare.

13. Autorizarea tranzactiilor

Politica organizatiei trebuie sa asigure implementarea unor controale care sa verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza tranzactia.

14. Prevenirea refuzului de acceptare a tranzactiei

Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate ulterior de nici un participant. Aceasta presupune implementarea unui sistem de confirmare a efectuarii tranzactiei.

15. I nformatiile sensibile trebuie transmise numai pe un canal de comunicatii considerat sigur de parti, care sa nu permita interceptarea datelor

16. Protectia functiilor de securitate

Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in mod special, in vederea mentinerii integritatii acestora. Organizatiile trebuie sa pastreze secrete procedurile de securitate.

17. Managementul cheilor de criptare

Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de criptare pentru a asigura protectia impotriva accesului neautorizat.

18. Prevenirea, detectarea si corectarea programelor distructive

In vederea protejarii sistemului impotriva aplicatiilor distructive (virusi), trebuie implementata o procedura adecvata care sa includa masuri de prevenire, detectare, actiune, corectare si raportare a incidentelor de acest fel.

19. Arhitecturi Firew all si conectarea la retele publice

In cazul in care sistemul organizatiei este conectat la Internet sau alte retele publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a proteja accesul neautorizat la resursele interne ale sistemului.

20. Protectia valorilor electronice

Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor dispozitive folosite pentru autentificare sau inregistrare de date considerate sensibile (financiare).

SECURI TATEA SI STEMELOR I NFORMATI ONALE RESPONSABILITATI

Organizatia trebuie sa aiba o politica se securitate informationala. Responsabilitatile personalului Atributiile responsabilului cu securitatea Clarificarea datelor si nivelurile de securitate Controlul (auditul) intern al securitatii Politica de securitate se refera la tot personalul angajat : - standarde interne si principii privind securitatea S.I. - la nivel grobal - pe grupe (functii, sectii) de lucru - codul etic al angajatilor si pregatirea acestora.

SEPARAREA FUNCTIILOR INCOMPATIBI LE

- Limiteaza erorile si fraudele - Creste probabilitatea detectarii fraudelor Separarea functiilor se realizeaza in domeniile : - initierea si autorizarea tranzactiilor - inregistrarea tranzactiilor -custodia activelor Persoane diferite pentru operatiile : - programare operare - procesare date pregatire - gestionar memorie externa operator - eliberare, multiplicare, distrugere informatii autorizare - programare administrare baza de date - responsabil securitate orice alte activitati - controlul drepturilor de acces alte functii (activitati)

AUTORI ZAREA UTILI ZATORILOR

1. I dentificare : 2. Autentificare : 3. Autorizare : calculatorul recunoaste un potential utilizator al sistemului functia de stabilire a validitatii identitatii pretinse utilizatorului recunoscut i se permite accesul la resursele sistemului

CONTROLUL ACCESULUI
Riscurile accesului neautorizat : - Diminuarea confidentialitatii - Furtul informatiilor - Divulgarea neautorizata de informatii - Diminuarea integritatii informatiilor - I ntreruperea functionarii sistemului Controlul accesului in mediile publice utilizand FIREWALL Impune o politica de control a accesului intre doua retele. - I ntreg traficul de date trece prin el - Este permisa numai trecerea autorizata prin politica locala de securitate - Sistemul insusi este imun la penetrare

- Monitorizarea comunicatiilor TCP/I P - Poate inregistra toate comunicatiile - Poate fi folosit la criptare.

ETAPELE ATACULUI LA O RETEA

I. Colectare de informatii

- Protocol SNMP -

- examineaza tabela de rutare pentru un router neprotejat Programe TRACE ROUTE - ofera adresele retelelor si routelor intermediare spre o tinta Serverele DNS - pot fi interogate pentru a obtine informatii referitoare la tipul calculatoarelor, numele si adresele IP ascoiate Protocol FINGER - informatii despre utilizatorii unui calculator gazda login, nr. telefon, data ultimei conectari Programul PING - determina daca un calculator e disponibil

II. Testarea securitatii sistemelor - Program de scanare a securitatii sistemelor - I SS (INTERNET SECURITY SCANNER) - SATAN (SECURITY ADMINISTRATOR TOOL FOR AUDITING NETWORK) - Programe proprii pentru conectare la porturile specifice ale serviciilor vulnerabile. III. Accesarea sistemelor protejate - obtinerea accesului (privilegiat) - instaleaza SNIFEER program de monitorizare a pachetelor din retea pentru a obtine nume de conturi si parole. Avantajele folosirii FIREWALL Concentrarea securitatii la server sau nod de retea Impunerea unei politici de acces la retea Asigura protectia serviciilor vulnerabile NFS, MIS, FINGER Monitorizeaza si furnizeaza statistici cu privire la folosirea retelei

Limitele unui FI REWALL

Restrictioneaza, blocheaza accesul la unele servicii TELENET, FTP Protectie scazuta pentru atacuri din interior Protectie scazuta fata de virusi Diminueaza viteza de comunicare cu exteriorul Fiabilitate redusa datorita centralizarii.

Componente FI REWALL
A. ROUTER cu filtrare de pachete Regulile de filtrare sunt impuse de administratorul sistemului. Criterii de organizare a filtrului : - Adresa IP a sursei - Adresa IP a destinatiei - Portul sursa TCP/UDP - Portul destinatie TCP/ UDP B. SERVERELE PROXY = se interpun intre client si serverul REAL si permite transferul de date conform politicii de securitate. Monitorizeaza toate comunicatiile. Realizeaza controlul la nivelul aplicatiei : - autentificarea utilizatorilor interni si externi - filtrarea individuala a operatiilor protocolului - monitorizare C. Poarta la nivel de circuit este un proxy local. Functioneaza ca un filtru de pachet.

ARHI TECTURI FI REWALL

I. FIREWALL TIP FILTRU DE PACHETE Principii = tot ce nu este permis explicit este interzis. II. FIREWALL TIP CALCULATOR GAZDA PROTEJAT Este format din = router de filtrare = statie bastion (proxy) III. FIREWALL TIP SUBRETEA PROTEJATA - doua routere de filtrare - statie bastion (proxy) OFERTE DE FIREWALL : NETWALL

http://www.bull.com www.cisco.com www.raptor.com www.incog.com

PIX FIREWALL EAGLE SUNSCREEM

CONTROLUL SECURI TATI I FI ZI CE

Auditorul verifica masura in care accesul fizic la date si resursele hardw are sunt restrictionate corespunzator : - Cum este restrictionat accesul fizic la facilitatile IT din firma? - Cum este restrictionat accesul la spatiile unde se afla echipamentele pe care se realizeaza prelucrarile? - Cum sunt protejate stocarile offline de date? - Cat de sigura, din punct de vedere informational, este scoaterea din uz a calculatoarelor si mediilor de stocare a datelor? Existenta unor programe gen Easy Recovery sau Lost & found care permit recuperarea datelor sterse de pe mediile de stocare. Comanda UNFORMAT din DOS. dificultatea asigurarii controlului accesului fizic la fiecare componenta hardware extinderea lucrului in retea si a utilizarii sistemelor distribuite s-a caracterizat prin concentrarea atentiei pe controlul accesului logic, dar controlul accesului fizic ramane in continuare important, el reprezentand o componenta a sistemului de securitate.

COPI I DE SI GURANTA SI EVENI MENTE NEPREVAZUTE

Auditorul trebuie sa verifice daca la nivelul organizatiei exista : - Proceduri prin care sa se asigure functionarea sistemului in cazul caderii alimentarii cu energie electrica sau a cailor de comunicatii. Exista sectoare sensibile bancar, bursier, securitatea statului, energetic etc. care impun asigurarea functionarii continue a sistemelor informatice ceea ce implica existenta unor surse alternative de energie si/sau comunicatii. - Planuri bine testate si documentate, actualizate periodic prin care sa se asigure operationalitatea sistemului informatic in conditiile producerii unor evenimente neprevazute. - Proceduri si controlul aplicarii acestora, privind realizarea copiilor de siguranta si refacerea starii sistemului in cazul caderii acestuia ca urmare a unor cauze hard sau soft. - Existenta unui contract de asigurare a organizatiei pentru evenimente neprevazute. - Nivelul de instruire a personalului cu privire la procedurile aplicabile in cazul realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza in cazul producerii dezastrelor. Dezastre : - actiuni cu scop distructiv produse intentionat sau nu, inclusiv VIRUSI - dezastre naturale

Conceptul de BUSINESS CONTINUITY MANAGEMENT (BCM) : anticiparea incidentelor care pot afecta functiile critice si procesele organizatiei asigurand ca organizatia va raspunde oricarui incident conform planurilor elaborate pana la revenirea activitatii la o desfasurare normala. functia IT este una fin functiile critice ale organizatiei. plan de actiune care cuprinde proceduri si persoanele responsabile cu punerea in practica a actiunilor de limitare a distrugerilor si refacerea sistemului :

Stabilirea echipei responsabile cu realizarea unui plan de refacere a sistemului formata din personalul din compartimentul de specialitate, auditorul sistemului informatic, utilizatori. Elaborarea procedurilor de verificare a principalelor componente ale sistemului (date, soft, hard, documentatii) in cazul producerii evenimentelor distructive si stabilirea responsabilitatilor. Stabilirea locatiilor in care vor fi pastrate copiile de siguranta, documentatiile si componente hardware. Stabilirea prioritatilor privind procedurile ce trebuie efectuate. Stabilirea locatiei in care se vor executa procedurile. Testarea planului pe elemente componente. Documentarea planului

Nu toate incidentele (evenimentele distructive) pot fi anticipate prin BCM Planificarea continuitatii activitatii in cadrul organizatiei implica aspectele functiei IT : Ce a facut managementul privitor la riscul de cadere a sistemului si fata de scenariul de dezastre. Cum sunt testate si actualizate planurile de continuitate a activitatii : - Revederea planurilor existente - Sunt clar precizate responsabilitatile? - Care este nivelul de instruire a personalului implicat? NOTA : Riscul anului 2000 a reprezentat un eveniment pentru care BCM a trebuit sa prevada un plan de actiune.

Refacerea in cazul esecului operational Auditorul verifica : - daca sunt stabilite proceduri adecvate in cazul producerii unor esecuri operationale - daca aceste proceduri sunt verificate si aprobate de staff-ul IT - daca aceste esecuri operationale sunt identificate, rezolvate la timp, comsemnate si raportate - in ce masura echipamentele sunt adecvat plasate si protejate pentru a se preveni riscul distrugerii accidentale (foc, fum, praf, vibratii, radiatii electromagnetice etc.) - in ce masura echipamentele sunt corect intretinute - ce controale exista pentru prevenirea esecurilor operationale produse din : cauze hardware neaplicarea corecta a procedurilor de operare erori software - care sunt procedurile de RESTART si REFACERE (Recovery) pentru refacerea starii sistemului in urma unui esec operational - in caz de incidente sunt evaluate actiunile operatorilor pentru a se vedea daca prin actiunile lor nu au afectat calitatea prelucrarilor sau structurile de date. BACKUP Actualizarile folosind backup-urile datelor (fisierelor), aplicatiilor software-ul de sistem trebuie sa fie posibile in caz de urgenta : - Sunt procedurile de backup (pentru date si soft) cele potrivite? - Sunt backup-urile corect jurnalizate si stocate in locatii sigure?

si

- Exista siguranta ca backup-urile si procedurile RECOVERY vor lucra la nevoie? - Datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor operationale? Frecventa realizarii copiilor este direct proportionala cu volumul tranzactiilor si importanta datelor pentru organizatie Conform procedurilor backup copiile pot fi : - partiale - totale Cea mai populara tehnica de backup este GFS (bunic-tata-fiu) : - se fac copii zilnice - copia zilnica se va rescrie in saptamana urmatoare - la sfarsitul saptamanii se realizeaza copia saptamanii (corespunde ultimei copii zilnice) - copia saptamanii se reface in luna urmatoare - la sfarsitul fiecarei luni se realizeaza copia lunii. Aceasta se reface in trimestrul sau anul urmator

SOFTWARE BACKUP

- Copii ale sistemului de operare si ale aplicatiilor (se realizeaza in masura in care licenta permite acest lucru) - Copiile trebuie pastrate in loc sigur (chiar alte locatii decat sediul firmei).

HARDWARE BACKUP

- Achizitionarea unui al doilea sistem care poate fi : Un sistem STANDBY HOT : poate prelua imediat functia sistemului operational Un sistem STANDBY COLD : stocat separat si la nevoie conectat pentru a putea fi folosit - I ncheierea unui contract cu o firma al carei sistem de procesare a datelor are aceleasi facilitati si poate sa suporte prelucrarile firmei al carui sistem nu mai este operational - Apelarea la o firma care ofera servicii in acest domeniu - Contractele de service cu furnizorul hardware sa prevada furnizarea, pe timp limitat, a echipamentelor care vor inlocui pe cele avariate.
SISTEME DUPLICATE : - specifice domeniilor cu risc mare : banci, burse, etc. - au locatii geografice separate pentru minimalizarea riscului de mediu - actualizarea simultana, prin tranzactiile curente atat a sistemului operational cat si pe cel duplicat.

CONTROLUL NI VELULUI OPERATI ONAL

Distribuirea prelucrarii impune controlul la nivel operational Activitati auditate :

1. Operarea efectiva la postul de lucru

- restrictionarea accesului - utilizarea eficienta a timpului de lucru - intretinerea si repararea echipamentului - cunoasterea si respectarea procedurilor de catre utilizatori

2. Reteaua de calculatoare
- Modul de monitorizare a traficului pe retea - Politica antivirus server sau post de lucru - Controlul politicilor de acces si restrictionare - Protectia conexiunii la retele publice Auditorul urmareste : Controlul retelei/ accesului dial-up: Accesul de la distanta la SI (prin conexiunile la retea sau dial-up) trebuie sa fie restrictionate corespunzator: - Cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei? - Daca reteaua este mare, in ce masura este organizata pe domenii separate? - Daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) ce controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de retea pentru care sunt autorizati? - Cum sunt protejate transmisiile in retea? - Daca este corespunzator numarul de utilizatori dial-up? - Cum sunt autentificati utilizatorii dial-up? - In ce masura disponibilitatea facilitatilor dial-up este restrictionata la momentele de timp (zi/ saptamana)? - Ce controale se folosesc pentru diagnosticul porturilor? Controlul conexiunilor externe la retea (Internet, EDI, EFT) - Conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea sistemului - I n ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei? - Cat de sigura este posta electronica a organizatiei? - Cat de bine este protejat gateway-ul dintre Internat si mediul firmei? -Ce controale exista pentru a preveni accesarea unor site-uri inadecvate? - Ce controale exista pentru a preveni navigarea neproductiva pe I nternet a personalului si in afara sarcinilor de serviciu? - Cat de bine sunt protejate conexiunile externe ale retelei pentru folosirea EDI si EFT? Solutia hardware si software a retelei trebuie sa asigure nevoile de disponibilitate, performanta si flexibilitate. - Ce documentatie de retea este disponibila?

- Cum sunt aprobate modificarile din retea, controlate si testate? - Ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului de performanta?

3. Pregatirea datelor si introducerea in sistem

- Pregatirea documentelor primare

Datele sunt clasificate, grupate, verificate, sortate si transmise pentru procesare.

- Controlul introducerii datelor

Acuratetea datelor depinde de : - calitatea controalelor - factorul uman - tipul echipamentelor folosite pentru introducerea datelor in system.

4. Procesarea datelor
- Acces autorizat pentru declansarea procedurilor - Respectarea termenelor si timpilor de procesare - Protejarea fisierelor - Pastrarea rezultatelor procesarii Auditorul va verifica cum managementul controleaza masura in care rolul si

responsabilitatile personalului implicat in procesarea datelor sunt cunoscute si respectate, focalizand pe procedurile de : - backup si refacerea sistemului - prelucarea pe loturi (batch) si/ sau on-line. Asigurarea la timp a datelor necesare prelucrarilor, mai ales in cazul in care acestea sunt asigurate de alte sisteme informatice (interne sau externe organizatiei) - intretinerea software-ului. Auditorul va urmari masura in care a asigurat documentatia necesara personalului implicat in procesarea datelor.

5. Gestionarea mediilor de stocare Pastrarea, utilizarea si intretinerea : - dischetelor - CD-urilor - HDD-urilor - casetelor cu banda (data cartdrige) - casetelor zip Jurnalul de evidenta a mediilor de stocare cuprinde : - identificatorul (eticheta) mediului de stocare - localizarea curenta

- persoana responsabila (gestionarul) - data achizitiei - utilizatorul - fisierele/ programele/ aplicatiile continute - persoanele autorizate sa acceseze mediul - data ultima cand a fost folosit? De cine? Data restituirii? - data la care continutul poate fi sters Cum sunt protejate stocarile offline de date?

6. Gestionarea aplicatiilor si a documentatiei

modul de pastrare modul de acces actualizarea documentatiei copii de siguranta.

7. Asistenta tehnica
- modul de achizitionare a hardware-ului - instruire utilizatori - identificarea erorilor de procesare si modul de rezolvare - controlul soft-urilor - raportarea incidentelor. Managementul trebuie sa stabileasca nivelurile de service necesitate de utilizatori si sa stabileasca politicile privind asigurarea acestora : - I n ce masura corespund contractele de service existente nevoilor reale? - I n ce masura service-ul asigurat raspunde cerintelor de securitate?

8. Monitorizarea performantelor

Monitorizarea performantei operationale si aprobarea procedurilor documentate.

Managementul trebuie sa monitorizeze performanta privitoare la nivelele de service si a procedurilor de operare. - Ce informatii primeste managerul pentru a-i permite sa monitorizeze starea mediului hard si terminarea la timp a prelucrarilor batch? - Cat de des se primesc aceste informatii? - I n ce masura au existat probleme cu performanta componentelor hardware si/sau executarea la timp a prelucrarilor batch? - Ce monitorizare se desfasoara pentru verificarea operarii eficiente a calculatorului? - In ce masura au existat probleme cu neaprobarea unor proceduri definite pentru operarea calculatorului?

Capitolul 4 CONTROLUL APLI CATI I LOR CONTROLUL GENERAL CONTROLUL APLI CATI I LOR
- Controlul general asigura integritatea sistemului vazut ca un intreg, inclusiv executia aplicatiilor si controlul fisierelor exploatate. - Controlul aplicatiilor asigura acuratetea, integritatea si completitudinea tranzactiilor.

CONTROLUL APLI CATI I LOR

- Obiectivele controlului raman aceleasi - Controalele derulate pot fi manuale sau automate. 1. TIPURI DE CONTROALE Controlul Controlul Controlul Controlul Controlul Controlul datelor de intrare prelucrarilor integritatii fisierelor securitatii aplicatiei iesirilor fisierelor principale (MASTER FILES)

2. UTILIZATORII APLI CATIEI - proprietarul - administratorul - utilizatori curenti

PROPRIETARUL

utilizator principal are responsabilitatea aplicatiei nu este implicat in executarea aplicatiei deleaga sarcini

ADMINISTRATORUL

SARCINI: - sa sigure functionarea controlului logic asa cum s-a prevazut - sa asigure actualizarea controlului logic - sa verifice existenta backup-ului aplicatiei - sa rezolve cerintele utilizatorilor - sa asigure identificarea, monitorizarea si raportarea problemelor - pastrarea si distributia documentatiei - asigura legatura intre departementul IT, utilizatorii sistemului si firma software furnizoare.

 UTILIZATORII CURENTI

- Aplicatia reprezinta un instrument de lucru pentru realizarea sarcinilor lor - Sunt instruiti cum sa foloseasca aplicatia pentru a-si realiza sarcinile de serviciu. 3. CLASIFICAREA APLI CATIILOR - Sisteme cu intrari de tip batch (loturi) - Sisteme cu intrari de tip batch si consultare online - Sisteme cu procesare pe loturi si consultare online 4. AUDITOR CONTROLUL APLICATIEI - Auditorul trebuie sa dopte o abordare eficienta si eficace a auditului - Auditorul trebuie sa cunoasca si sa inteleaga sistemul si controalele interne - Daca controalele acopera obiectivele auditului si par a fi robuste auditorul poate selecta testele considerate ca necesare. 5. PLANUL DE AUDIT Contine : - obiectivele fixate - probele pe care auditorul se asteapta sa le obtina in urma auditului - amploarea (intinderea) testelor programate - ce se va considera ca esec al controlului - cate astfel de esecuri pot fi tolerate 6. PROBELE - Probele pot fi sub forma : Listelor de control al accesului Limitelor autorizarilor automate ale utilizatorilor Jurnalelor de securitate Cererile de modificari si modul de solutionare a acestora etc. - Se obtin prin combinarea : Observarii Chestionarii Examinarii Esantionare (folosind tehnici asistate de calculator) 7. CAT DE DEPARTE SA SE MEARGA CU TESTELE? - Rationamentul auditorului - Rationamentul ia in considerare: Frecventa controlului Gradul de incredere prezentat de controalele aplicatiei Natura probelor pe care auditorul urmareste sa le obtina Continuitatea controlului Importanta controlului si a tranzactiilor.

CONTROLUL I NTRARI LOR, PRELUCRARI LOR SI I ESI RI LOR LA CE FOLOSESC CONTROALELE APLICATIEI? - Asigura completitudinea, acuratetea si validitatea inregistrarilor - Controalele vizeaza : intrarile, prelucrarile, iesirile. RESPONSABILITATI - Cine are responsabilitatea acestor controale? - Sunt cele mai adecvate controale ? - Ce rol are auditorul I T? INTELEGEREA SI DOCUMENTAREA PRIVIND APLICATIILE FINANCIARE - Auditorul trebuie sa produca dovezi ca a inteles modul de functionare a SI si controalele acestuia - Aceasta a obtinut cunoasterea si prin documentare asupra : Fluxului tranzactiilor prin sistem Controalele aplicate intrarilor, prelucrarilor, iesirilor. - Auditorul trebuie sa identifice si sa cunoasca orice documentatie a aplicatiei existenta la client.

CONTROLUL I NTRARI LOR

Este folosit pentru a asigura ca toate tranzactiile sunt : - introduse corect - complete - valide - autorizate - aferente perioadei de gestiune curente - inregistrate corect in conturi (in cazul aplicatiilor contabile).

AUTORIZAREA - Autorizarea controalelor reduce riscul erorilor, fraudei si tranzactiilor ilegale - Autorizarea poate fi controlata prin identificarea utilizatorului, care a introdus datele in sistem, pe baza privilegiilor asociate ID-urilor utilizatorilor - Se introduc doar date autorizate? Cine si cum autorireaza datele de intrare?

Validarea intrarilor - se poate realiza manual sau automat - controalele de validare trebuie sa asigure indeplinirea criteriilor de validare a datelor stabilite - reduce riscul introducerii de date incorecte

Maxima garbage in garbage out atentioneaza asupra importantei acuratetei datelor de intrare. Este mai eficient sa aloci resurse pentru

asigurarea acuratetei si completitudinii datelor de intrare decat sa fii nevoit sa le corectezi in timpul sau, mai grav, dupa incheierea procesului de prelucrare si chair a depunerii situatiilor financiare.

Controlul datelor de intrare trebuie adaptat la modalitatile diferite de introducere a datelor in sistem : - de la tastatura (unde riscul erorilor este mai mare) - scanarea documentelor - utilizarea perifericelor senzoriale - citirea barelor de cod - ATM-uri si terminale POS - EDI (ELECTRONIC DATA INTERCHANGE) - generarea automata a tranzactiilor (ex. : plati planificate, calcularea lunara a dobanzilor)

Nu toate intrarile prezinta un suport material (documente pe suport hartie), multe fiind in format electronic. In cazul preluarii automate sau generarii automate exista riscuri mai mici de eroare fata de preluarea datelor prin tastare. Tipuri de controale aplicate asupra datelor de intrare CONTROLUL FORMATULUI - Se verifica : Natura datelor Lungimea datelor trunchieri Numarul de zecimale admis Acceptarea valorilor negative sau doar a celor pozitive Formatul datei calendaristice Aplicarea semnului monetar

CONTROLUL DOMENIULUI DE DEFINITIE A ATRIBUTELOR a) incadrarea intr-o multime de valori prestabilita (ex.: abrevierile judetelor, tipuri de unitati de masura, tipuri de documente) b) incadrarea intr-un interval de valori prestabilit (ex.: salariul angajatilor ia valori in intervalul [ 2.500.000, 30.000.000]) c) validari ale realizarilor unor atribute diferite numit si testul dependentei logice dintre campuri. Ex.: validarile privind corespondenta conturilor contul X se poate debita doar prin creditarea conturilor A,B,C. d) testul rezonabilitatii datelor : - aceste teste verifica daca datele sunt rezonabile in raport cu un standard sau date introduse anterior. Datele standard pot fi stocate intr-un fisier sau pot reprezenta constante definite la nivelul aplicatiei (ex.: un standard poate fi reprezentat de numarul de ore lucratoare intr-o luna, stabilit in functie de zilele lucratoare si sarbatorile legale, nivelurile de dobanda practicate de banca etc.)

CONTROLUL ACURATETEI ARITMETICE Pe baza unor date de intrare introduse de operator pot fi verificate elementele calculate din documentul primar Ex. : pe baza cantitatii si pretului unitar al unui articol inscris intr-o factura sistemul genereaza automat pe ecran valoarea produsului, TVA-ului, valoarea cu TVA si apoi totalul facturii operatorul putand confrunta aceste sume calculate cu cele inscrise in factura.

CONTROLUL EXISTENTEI DATELOR - Testul se refera in principal la validarea datelor de intrare reprezentand coduri. Este suficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia sau un mesaj de eroare atentionand asupra introducerii unui cod incorect. TESTUL CIFREI DE CONTROL - se aplica asupra datelor de intrare reprezentand elemente codificate - urmareste rejectarea codurilor eronate introduse - cauza erorii la nivelul elementelor codificate poate fi : Trunchierea Adaugarea unui caracter suplimentar Transcrierea incorecta a codului in documentul primar Transpozitia caracterelor la introducerea codului. - presupune determinarea cifrei de control aferente codului introdus prin aplicarea algoritmului prestabilit. I n masura in care cifra de control determinata automat nu corespunde celei incluse in codul introdus sistemul va trebui sa atentioneze printr-un mesaj corespunzator asupra erorii aparute. TESTUL TRANZACTIILOR DUPLICATE - sistemul admite introducerea repetata a acelorasi date? Ex. : introducerea repetata a unui aceluiasi document (factura, bon de consum etc.). SOLUTIONAREA TRANZACTIILOR REJECTATE - cum se solutioneaza tranzactiile neacceptate de sistem (care nu au trecut testul de validare)? - cine raspunde de verificarea acestor date de intrare si de reintroducere lor? - sunt generate liste continand intrarile rejectate? - daca aceste tranzactii sunt consemnate in documentele primare depistarea erorii este mai usoara si corectarea se poate face fara probleme deosebite. Probleme particulare apar in cazul tranzactiilor online.

CONTROLUL PRELUCRARI LOR

Auditorul tine seama de: Tipologia sistemului informatic:

- Sisteme de procesare a tranzactiilor (TPS Transaction Processing Systems) - Sisteme destinate conducerii curente (MI S Management I nformation Systems) - Sisteme suport de decizie (DSS Decision Support Systems) - Sisteme destinate conducerii strategice (EI S Executive Support Systems) - Sisteme pentru automatizarea lucrarilor de birou (OAS Office Automation Systems) Modalitatilor de introducere a datelor in sistem si procesarea acestora: - I ntroducere pe loturi procesare pe loturi - I ntroducere on line procesare pe loturi Natura prelucrarilor: In cadrul TPS-urilor, de exemplu, pot fi identificate proceduri de: - Actualizare a bazei de date - Sortare - Calcul - Consultare - Salvare si restaurare a bazei de date etc. Nivelul de descentralizare a prelucrarilor.

Controlul fisierelor si al bazei de date Se verifica: - Continuitatea acestora - Versiunea Este ultima versiune? Cuprinde ea toate corectiile? - Transferul fisierelor in momentul trecerii la exploatarea unui nou sistem informatic. Se verifica masura in care au fost autorizate procedurile de transfer al fisierelor din vechiul in noul sistem. Au fost aceste proceduri realizate de persoanele imputernicite? Se verifica completitudinea si corectitudinea transferului. - Solutia aleasa pentru arhitectura bazei de date este cea mai buna (varianta baza de date centralizata sau baza de date distribuita)? - In cazul bazelor de date distribuite s-a realizat o corecta si eficienta distribuire a datelor in nodurile retelei? I n ce masura s-a tinut seama de respectarea urmatoarelor cerinte: Nevoile de informare a utilizatorilor locali Asigurarea unui transfer minim al datelor prin retea Necesitatea protectiei datelor transferate prin retea. - Care au fost criteriile pentru alegerea SGBD-ului? Ofera SGBD-ul toate facilitatile privind implementarea controalelor automate, al controlului accesului la baza de date, tabelele bazei de date etc. Disponibilitatea datelor Datele, in procesul prelucrarii, datorita reprezentarii binare sunt inaccesibile auditorului in aceasta forma. Mai mult, unele date sunt temporar stocate in memoria calculatorului (datele intermediare de lucru). Controlul prelucrarilor declansate automat - Auditorul trebuie sa verifice care sunt evenimentele care declanseaza aceste prelucrari; - Controlul tranzactiilor generate automat. Functionalitatea aplicatiei - Exista anumite prelucrari pe care aplicatia trebuie sa le execute, dar nu le realizeaza sau le realizeaza greoi?

- Sunt functionalitati care lipsesc? - I n ce masura aplicatia raspunde stilului si metodei de lucru specifice utilizatorului? - Determina aplicatia un mod de lucru ineficient, o gandire rigida, nenaturala? Controlul fluxului prelucrarilor - Presupune sa verificam ce prelucrari urmeaza sa se declanseze in anumite circumstante. - Testul load conditions : un program poate functiona nesatisfacator cand este suprasolicitat (volum mare de date de prelucrat intr-un interval scurt de timp sau incarcare maxima intr-un anumit moment). Comunicarea sistemului cu utilizatorul - Este usor sa te pierzi in program? - Exista optiuni de lucru care pot fi confundate cu altele? - Care sunt mesajele de eroare? Sunt utile, explicite? - Ce informatie este disponibila pe ecran? Este suficienta, clara? - Calitatea asistentei oferite utilizatorului (informatia returnata de tasta HELP de exemplu). Performante In cazul sistemelor in timp real este foarte important timpul de raspuns. Integrarea prelucrarilor

CONTROLUL DATELOR DE I ESI RE

Urmareste : Completitudinea si acuratetea iesirilor Respectarea termenelor prevazute pentru obtinerea iesirilor Masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta, monitor sau un fisier. Distribuirea iesirilor catre persoanele autorizate : - Cine primeste situatiile? Exista persoane imputernicite in acest sens? - Situatiile continand date sensibile sunt preluate pe baza de semnatura? - Cum este asigurata protectia informatiilor confidentiale? Iesirile catre alte aplicatii se realizeaza in formatul pe care acestea il necesita? Masura in care se realizeaza inregistrarea, raportarea si corectarea erorilor identificate. In ce masura exista din partea managementului un control asupra acuratetei iesirilor si modului de distribuire a lor.

CONTROLUL SECURI TATI I APLI CATI EI

Controalele securitatii aplicatiei sunt folosite pentru asigurarea : - I ntegritatii tranzactiilor si fisierelor; - Acuratetei prelucrarilor; - Separarii sarcinilor incompatibile intre persoanele implicate in procesarea datelor; - Controlul utilizatorilor.

Modalitati de realizare a controlului securitatii aplicatiei: - Identificarea si autorizarea utilizatorilor - Controlul accesului - Monitorizarea activitatii utilizatorilor. 1. I dentificarea si autorizarea utilizatorilor Se realizeaza prin controlul jurnalelor aplicatiei : Jurnalul ID-urilor si parolelor utilizatorilor: auditorul trebuie sa evalueze politicile de securitate ale aplicatiei si procedurilor din cadrul acesteia. Controalele jurnalelor variaza de la o aplicatie la alta (nu sunt aceleasi in toate aplicatiile). Este necesara revederea manualelor aplicatiei pentru cunoasterea controalelor plecand de la jurnalele generate de aplicatie. 2. Controlul accesului Se verifica: Controlul accesului la aplicatie prin log-are Restrictionarea accesului la modulele aplicatiei Exemplu: gestionarul poate sa incarce notele de receptie si constatare de diferente precum si bonurile de consum in modulul de gestiune dar nu poate avea acces la modulul de contabilitate sau cel de calcul al salariilor. Restrictionarea accesului la anumite functii ale aplicatiei. Existenta listelor de control al accesului. 3. Monitorizarea activitatii utilizatorilor Utilizatorii trebuie urmariti (controlati) cu privire la actiunile pe care le desfasoara. Monitorizarea actiunilor utilizatorilor asigura: - limitarea erorilor si fraudelor - identificarea utilizatorilor si actiunilor lor - responsabilitatea utilizatorilor pentru rezultatele obtinute. Monitorizarea actiunilor utilizatorilor se realizeaza prin intermediul jurnalelor. Auditorul poate culege probe deosebit de utile prin verificarea jurnalelor realizate de aplicatie. Auditorul are obligatia sa verifice modul in care este asigurata protectia acestor jurnale pentru ca probele obtinute pe baza lor sa fie credibile.

COLECTAREA SI EVALUAREA PROBELOR

Abordari: - Orientate catre date - Orientate catre sistem

Misiunea de audit impune, chiar daca predominant sunt desfasurate proceduri orientate catre date, si studierea sistemului informatic in ansamblul sau.
Abordarea orientata catre date - Se pune accent pe testele datelor de iesire - Daca acuratetea iesirilor, dovedita in urma testelor desfasurate de auditor, este satisfacatoare atunci exista si increderea asupra inregistrarilor si procesarilor din cadrul sistemului.

- Recomandata in cazul sistemelor informatice avand o arie restransa si o complexitate redusa. Abordarea orientata catre sistem - Auditorul isi focalizeaza atentia asupra sistemului informatic in ansamblul sau: testele asupra controalelor preventive si corective precum si asupra prelucrarilor si securitatii sistemului pot constitui probe pentru auditor ca rezultatele generate de sistem sunt corecte. Raman valabile prevederile Standardului de audit 500 Probe de audit: - Necesitatea unor probe de audit adecvate si suficiente Suficienta indica masura cantitatii probelor de audit. Gradul de adecvare indica masura calitatii probelor si a relevantei lor.

- Rationamentul auditorului privitor la ce inseamna o proba de audit adecvata si suficienta precum si factorii de influenta asupra rationamentului.
Controalele Auditorul in urma documentarii desfasurate trebuie sa cunoasca si sa poata evalua controalele manuale si automate existente in sistem. Consistenta, acuratetea si continuitatea controalelor din sistem ofera auditorului certitudinea asupra acuratetei si completitudinii datelor, calitatii prelucrarilor ceea ce-l va ajuta la determinarea naturii, intinderii si complexitatii testelor pe care urmeaza sa le desfasoare. Complexitatea sistemelor informatice contabile impune necesitatea abordarii lor pe subsisteme. Pentru fiecare subsistem in parte, auditorul realizeaza diagrame ale fluxurilor de date pentru evidentiarea: - intrarilor - fisierelor utilizate - procesarilor - iesirilor - controalele manuale si automate implementate evaluand masura in care sunt suficiente si acoperitoare. Auditorul va trebui sa raspunda la urmatoarele intrebari: Care sunt controalele de baza? Se suprapun, in unele cazuri, controalele manuale peste cele automate? Acest lucru creste gradul de incredere asupra controalelor. Care sunt controalele interdependente din cadrul aplicatiei? Ex.: Creditul fixat pentru un credit card este controlat si in procedura de gestiune a tranzactiilor si trebuie sa fie acelasi cu cel retinut in fisierul CARDURI . - verificarea procedurilor prin care sunt corectate erorile: auditorul trebuie sa aiba certitudinea ca aceste proceduri exista si functioneaza corect. Eroare: inexactitate invonluntara aparuta in situatiile financiare. Tipuri de erori: erori de calcul erori de inregistrare erori de contare etc. Ce poate fi considerata eroare semnificativa? Determinarea gradului de incredere al controalelor automate se realizeaza in urma desfasurarii:

- unor teste independente - testarea controalelor existente in sistem.

Strategii ale auditului sistemelor informatice contabile

Testele desfasurate ajuta sa formulam o opinie privitoare la acuratetea prelucrarilor din cadrul sistemului Strategiile de auditare pot fi clasificate astfel: - Auditare cu ajutorul calculatorului - Auditare in afara calculatorului - Auditare prin calculator

Auditarea cu ajutorul calculatorului - I nclude testarea calculelor executate in timpul procesarii tranzactiilor, compararea datelor din fisiere diferite atunci cand datele respective ar trebui sa prezinte valori identice etc. - Programul auditorului selecteaza esantionul de test pe baza unor variabile precizate de auditor, datele esantionului generand un fisier de lucru asupra caruia se aplica prelucrarile continute in programul auditorului, auditorului generandu-i-se un raport. Un esantion de test reprezinta un set de tranzactii selectate aleator, conlcuziile desprinse din analiza acestora putand fi generalizate la nivelul tuturor tranzactiilor din sistem. Auditarea in afara calculatorului - Se pleaca de la tranzactiile de intrare ale perioadei auditate, prelucrarea acestora realizandu-se manual. Daca rezultatele obtinute sunt aceleasi cu cele generate de aplicatia auditata inseamna ca logica interna a aplicatiei produce rezultate corecte, acceptate de auditor. - Avantaje: - Este usor de realizat - Nu impune costuri mari - Nu necesita cunostinte privind prelucrarea automata a datelor. - Dezavantaje: - Calitatea opiniei formulate de auditor depinde de esantionul pe care s-a facut testul (rationamentul auditorului care a condus spre respectivul esantion). Esantionul poate sa nu cuprinda tranzactii capabile sa evidentieze erori de procesare si lipsa unor controale. - Priveste mai mult procesarile finalizate decat prevenirea problemelor legate de prelucrarea in viitor a datelor. Doar daca se identifica o eroare logica conduce la efecte pozitive privind procesarea datelor in viitor. - Se desfasoara manual si consuma mai mult timp. Auditarea prin calculator - Pleaca de la presupunerea ca anumite date, prelucrate printr-o anumita aplicatie, produc anumite iesiri.

- Foloseste teste care sa arate cum sunt prelucrate datele. - Auditorul stabileste datele de test (deci nu se lucreaza cu date reale), simuland tranzactii care prin cazuistica lor pot evidentia eventualele carente ale controalelor si prelucrarilor urmarind sa verifice daca datele de test declanseaza controalele corespunzatoare. Auditorul compara rezultatele prelucrarii datelor de test prin sistemul auditat cu iesirile anticipate de el. - Se pleaca de la ideea ca cea mai buna testare este cea realizata in conditii reale de exploatare. - Au operatorii la dispozitie doar versiunea executabila a aplicatiei sau si programul sursa? - Au progamatorii acces doar la modulele in lucru (activitatea de dezvoltare a aplicatiilor) si de test ale aplicatiilor sau au acces si la aplicatia curenta aflata in exploatare?

Testele auditorului trebuie sa se efectueze fara a fi anuntate. Se evita astfel posibilitatea ca persoanele implicate in fraudare sa stearga urmele interventiei lor refacand fisierele si aducand aplicatia la versiunea corecta.

Testul lungimii aplicatiei ( testul byte- count) - Compara lungimea in bytes a aplicatiei aflata in exploatare cu backup-ul aplicatiei. Testul este elocvent pentru ca este imposibil sa realizezi modificari intr-un program fara ca lungimea acestuia sa nu se modifice. - Eventualele diferente intre lungimile celor doua aplicatii determina identificarea cauzelor. Testul logicii programului - Se executa atunci cand auditorul are convingerea ca in program s-au facut modificari neautorizate. - Copia de siguranta a aplicatiei se considera autentica si va constitui proba martor. - Presupune executarea unui program care compara byte cu byte aplicatia aflata in exploatare cu backup-ul. Ansamblul programelor folosite de auditor in realizarea misiunii sale se cuprind in conceptul generic de tehnici de audit asistate de calculator ( CAAT) . Definirea, descrierea si prezentarea modului de utilizare a CAAT se gaseste in Standardul de audit nr. 1009 Tehnici de audit asistate de calculator. In conformitate cu acest standard: - Software-ul pentru audit consta in programe utilizate de catre auditor, ca parte a procedurilor de audit, pentru a procesa date cu semnificatie pentru audit din sistemul contabil al firmei auditate. - El poate consta din : Pachete de programe programe generalizate, proiectate sa efectueze functii de procesare a datelor ca de exmplu: citirea fisierelor, selectarea informatiilor, executarea calculelor, crearea fisierelor, tiparirea de rapoarte in structura ceruta de auditor. Programe realizate pentru un anumit scop programe realizate sa execute sarcini de audit in circumstante specifice. Pot fi elaborate de auditor, de specialistii firmei auditate sau de un informatician angajat de auditor.

Programe utilitare programe care nu sunt proiectate pentru scopuri de audit. Realizeaza sortari, creari de fisiere, listari de fisiere, copieri etc. - Pasii de parcurs in aplicarea unui CAAT: - Stabilirea obiectivului CAAT; - Determinarea continutului si accesibilitatii la fisierele sistemului auditat; - Definirea tipurilor de tranzactii ce vor fi testate; - Definirea procedurilor aplicate datelor; - Definirea cerintelor cu privire la iesiri; - Identificarea personalului de audit si operatorilor care pot participa in proiectarea si aplicarea CAAT; - Estimarea costurilor si beneficiilor; - Asigurarea ca utilizarea CAAT este controlata si documentata corespunzator; - Organizarea activitatiilor administrative, asigurarea aptitudinilor necesare personalului implicat si a facilitatilor computerizate; - Executarea aplicatiei CAAT; - Evaluarea rezultatelor.

Fisier cu date de test

Sistem informatic auditat

Programele auditorului

DA

Sunt NU diferente?

Determina cauze

Intocmeste raport

Raport

Auditarea prin calculator (cu date de test)

Verificarea autorizarii programelor Intrebari: - Se foloseste doar soft autorizat? - Se exploateaza versiunea corecta? - Exista soft freeware instalat? Este autorizat de persoanele imputernicite din firma? - Sunt stabilite persoanele care au dreptul sa faca instalari de noi programe, modificari in programele exploatate si modificari in fisiere? Se respecta aceste restrictii? Documente primare

Sistemul informatic auditat

Prelucrare manuala

DA Determina cauzele

Sunt diferente? NU

Intocmeste raportul

Raport

Auditarea in afara calcutorului

- Se introduce in cadrul aplicatiei o procedura care sa insereze in prelucrare, la intervale aleatorii, datele de test. - La sfarsitul testarii fisierele aplicatiei trebuie aduse in starea lor corecta (fara tranzactiile de test inserate de programul auditorului).

Baza de date Sistem informatic auditat

Esantionare

Fisier de lucru

Programul auditorului

DA

Sunt diferente?

NU

Determina cauzele

Intocmeste raport

Raport Auditarea cu ajutorul calculatorului