Documente Academic
Documente Profesional
Documente Cultură
Sistemul informaional poate fi definit ca un ansamblu tehnico-organizatoric de proceduri de constatare, consemnare, culegere, verificare, transmitere, stocare si prelucrare a datelor in scopul satisfacerii cerintelor informationale necesare conducerii in procesul de elaborare a deciziilor. Sistemul informaticreprezinta un ansamblu de elemente intercorelate functional in scopul automatizarii obtinerii informatiilor necesare conducerii in procesul de elaborare a deciziilor.
SOFTWARE
UTILIZATORII
COMUNICATII
SISTEMUL INFORMATIC
BAZA INFORMATIONALA CADRU ORGANIZATORIC
HARDWARE
iesiri
intrari
prelucrari
Intrarile sunt reprezentate de totatlitatea datelor suspuse prelucrarilor. Prelucrarile sunt reprezentate de totalitatea operatiilor efectuate asupra datelor pentru obtinerea informatiilor care stau la baza deciziilor. Iesirile sunt rezultatele prelucrarilor efectuate asupra datelor.
Auditul sistemelor informatice reprezinta o activitate complexa de evaluare a unui sistem informatic in scopul formularii unei opinii calificate asupra gradului de conformitate a sistemului cu standardele in domeniu si totodata asupra capacitatii sistemului informatic de a atinge obiectivele strategice ale unei organizatii utilizand eficientresursele informationale si asigurand integritatea datelor prelucrate si stocate. Auditul reprezinta o activitate de concepere a unui sistem care previne, detecteaza si corecteaza evenimente ilicite in cadrul unei organizatii. In functie de modul de organizare a activitatii de audit se deosebesc 2 forme:
Extern-este efectuat de un auditor independent si raspunde nevoilor tertilor si entitatii audiate in ceea ce priveste gradul de incredere care poate fi acordat tranzactiilor si situatiilor financiare, respectarea reglemantarilor legale si a principiilor economicitatii, eficientei si eficacitatii in activitatea desfasurata.
Pe baza momentului in care se efectueaza auditul se face distinctie intre preventiv si colectiv.
Auditul preventiv defineste o examinare a operatiunilor anterior desfasurarii lor efective avand avantajul de a putea preveni prejudiciul inainte ca acesta sa apara.
Auditul colectiv se defineste ca o examinare a operatiilor in desfasurarea lor.El poate conduce la recuperarea pagubelor si poate preveni repetarea erorilor.
auditul de atestare
auditul performantei
Dupa aria de cuprindere cel mai important tip de audit este auditul de securitate al sistemelor informatice care are in vedere urmatoarele segmente: 1.Sisteme si aplicatii unde procesul de audit verifica daca sistemele si aplicatiile sunt corespunzatoare, eficiente si controlate adecvat, asigura validitate, incredere, actualitate pentru intrari si iesiri la toate nivelele organizatiei. 3.Dezvoltare de sisteme proces de audit care verifica de daca sistemele sunt Etapele activitatii audit dezvoltate in concordanta cu standardele generale acceptate de dezvoltare de sistemele informatice. 2.Medii de procesare a informatiilor unde procesul de audit verifica daca mediile de procesare sunt controlate pentru a asigura o prelucrare in timp util corecta si completa a aplicatiilor informatice in conditii normale,dar si in conditii de 4.Comunicatii pe retea de intranet si dificultate. extranet procesul de audit care verifica daca exista controale definite si aplicate pentru a a controla mediile fizice si comunicatiile in retea.
Initierea auditului Efectuarea analizei documentelor Pregatirea activitatilor si a planului de audit Efectuarea auditului propriu-zis Pregatirea, aprobarea si distribuirea raportului de audit
Ameninrile reprezint pericolele poteniale din exterior ce exploateaz vulnerabilitile sistemului informatic.
Vulnerabilitile sunt verigile slabe, punctele slabe ale sistemului informatic care-l expun din interior evenimentelor ce pot afecta negativ funcionarea sistemului
Riscul este asociat cu probabilitatea ca o ameninare potenial s devin una real i s produc un impact a crui consecin va reprezenta o pierdere, o daun pentru ntreprindere i pentru acionarii si.
INTEGRITATEA
DISPONIBILITATEA
INCREDEREA
Cele 5 atribute ale sistemului informatic pe care le poate afecta producerea unor astfel de riscuri:
CONFORMITATEA
CONFIDENTIALITATEA
TIPURI DE VULNERABILITATI:
Vulnerabiliti naturale au n vedere incendiile, inundaiile i cutremurele, evenimente nedorite, cu o probabilitate greu de estimat, de fapt evenimente incerte dar posibile i care trebuie neaprat luate n calcul.
Vulnerabiliti ale bazelor de date i arhivelor de date istorice se refer la pierderile de date datorit unor proceduri de prelucrare neconsistente, neprotejarea structurilor de date, accesul neautorizat al unor programe la fiiere, alterri sau pierderi de copii de siguran, chiar i a unor biblioteci de programe.
Vulnerabiliti umane, provin din nenumrate direcii dar persoanele care administreaz sistemul prezint cea mai mare vulnerabilitate, lor li se adaug operatorii i utilizatorii care voluntar sau involuntar pot afecta sistemul informatic; statisticile arat c 80 % din atacuri provin din interior, 42 % din companii nu au un specialist n securitatea sistemelor iar 17% au un singur specialist n domeniu.
Vulnerabilitile software sunt o clas complex de vulnerabiliti care ncep cu utilizarea de software neliceniat, sau lipsa de corelare n utilizarea acelorai versiuni de programe de ctre toi userii, apoi lipsa unei protecii consistente mpotriva abuzurilor software la care se mai adaug posibilitatea apariiei unor erori n nsi programele surs nedepistate n faza de testare
Ameninrile cu caracter general vizeaz n primul rnd ameninrile cele mai frecvent posibile, erorile umane care duc la accidente neintenionate cu impact asupra datelor, pierderi, distrugeri sau modificri incorecte. Aceste ameninri sunt cauzate de superficialitate, de ignorarea sau necunoaterea documentaiei i slaba pregtire profesional a administratorilor sistemului, a administratorilor bazelor de date.
Riscuri
Nu ne putem mulumi numai cu inventarierea vulnerabilitilor i a ameninrilor. Este important s se estimeze impactul acestor ameninri ca s avem dimensiunea clar a pierderilor, s putem face o prioritizare, aa cum o s vedem, a msurilor pentru prevenirea, diminuarea daca nu chiar eliminarea acestor pierderi.
Clasificarea riscurilor
Dupa tipul activitatii vizate Dupa probabilitatea de aparitie Dupa natura lor
riscuri potentiale
riscuri fizice
riscuri posibile
riscuri logice
riscuri de organizare riscuri operationale
Managementul riscurilor Considerm c este mai corect s definim managementul riscurilor ca un proces de identificare a vulnerabilitilor, ameninrilor i evaluare a riscurilor IT i implementarea unor aciuni de control i msuri de prevenire, de eliminare sau diminuare a pierderilor, a impactului acestora asupra sistemului informatic i respectiv asupra ntregii ntreprinderi
PApierdere anticipata
PPpierderea potentiala
PAApierdere anuala
Riscurile auditului
Riscul independent de esantionare Riscul de nedetectare RD
Riscul de control RC
Controale interne IT
Controale generale Controalele generale, sunt acele controale care se aplic la nivelul ntregului sistem IT al organizaiei, tuturor compartimentelor implicate n realizarea i funcionarea sistemului pentru certificarea proiectrii, realizrii, implementrii, exploatrii i dezvoltrii corecte a ntregului sistem informatic. Controalele generale se refer la : - controale privind planificarea i organizarea sistemului informatic; - controale ale ciclului de via al sistemului; - controale de securitate IT; - controale ale managementului schimbrilor n sistemul informatic.
Controalele privind planificarea i organizarea Controalele privind planificarea i organizarea sistemului informatic mai sunt numite i controale ale managementului. Cerinele guvernanei Itimpun managementului corelarea strategiei i obiectivele IT cu obiectivele strategice ale organizaiei. Auditul trebuie s controleze c ntr-adevr managementul IT duce la ndeplinire aceast cerin general, respectiv iniiaz i controleaz aciunile prin care aceste obiective sunt transpuse n practic. Aceste aciuni concrete nseamn: - planificarea sistemului informatic; - organizarea sistemului; - integrarea sistemului informatic.
Controale de securitate Controalele de securitate incluse n controalele generale au ca scop verificarea accesului utilizatorilor la sistem, identificarea, autentificarea i autorizarea utilizatorilor i a drepturilor acestora de acces i prelucrare. Numai persoanele autorizate au acces la date, procedurile automate i programele surs. Numai persoanele autorizate pot realiza operaii de actualizare sau accesare a bazelor de date. Toate acestea i nc alte controale i msuri se regsesc n politica de securitate a firmei.
Controale privind ciclul de via al sistemului, Aceste controale sunt denumite frecvent n literatura de specialitate controale SLDC system life development cycle, urmresc modul n care se respect etapele i fazele specificate de metodologia de analiz i proiectare a sistemelor informatice.Vom considera c etapele ce se regsesc n majoritatea metodologiilor, desigur puin schimbate ca terminologie, sunt urmtoarele: - studiu de fezabilitate sau preliminar; - analiz i formularea cerinelor; -proiectare; - realizare; - implementare.
Controale pentru managementul schimbrilor Obiectivul acestor controale este acela de a verifica c toate modificrilor aduse aplicailor sunt corect autorizate i aprobate naintea implementri. Aciunile tipice care apar n aceste situaii sunt: -obinerea cerinelor informaionale pe baza crora se autorizeaz implementarea unor sisteme noi sau modificarea celor existente; -clasificarea i stabilirea prioritilor; -aprobarea cerinelor informaionale noi; -managementul achiziiilor de echipamente i pachete software;
CONTROALE INTERNET IT- CONTROALE DE APLICATII Controale de aplicaii De la nivelul ntregului sistem se trece la componentele sistemului, aplicaiile informatice. Controalele interne urmrite de auditul aplicaiilor trebuie s acopere urmtoarea arie de probleme: controlul calitii aplicaiilor; controlul adecvrii funcionalitii aplicaiilor la cerinele unui control eficient; fiabilitatea aplicaiilor. a) controlul calitii aplicaiilor Calitatea aplicaiilor se asigur prin calitatea componentelor elementare ale aplicaiilor IT:
datele de intrare;
Controlul calitatii aplicatiilor.Calitate a aplicatiilor se asigura prin calitatea componentelor elementare ale ale aplicatiilor IT:
proceselor de prelucrare;
datele de ieire;
b) adecvarea funcionalitii aplicaiilor la cerinele unui control intern eficient Are n vedere includerea de jaloane de control nc din etapa de proiectare pentru a fi mai uor validate de auditori. Aceast cerin nseamn c aplicaiile informatice trebuie s includ: proceduri de validare a operailor de introducere a datelor de intrare de ctre persoanele cu responsabiliti pe linia autorizrii intrrile.
proceduri de generare a unor rapoarte care s nlesneasc controlul introducerii datelor n sistem de exemplu istoricul introducerii datelor obinut prin jurnalizare; proceduri de validare a concordanei ieiri intrri relevante pentru corelaiile dintre procesele decizionale, indicatorii sintetici, situaiilor de ieire, date de intrare, corelaii concordan care asigur consistena aplicaiilor informatice
c ) fiabilitatea aplicatiilor
fiabilitatea aplicaiilor
Urmrete modul n care aplicaiile se comport n condiii extreme, la limit. Se testeaz timpul de rspuns i respectiv riscul de blocare cnd o aplicaie ruleaz cu parametrii setai la valori maxime. De exemplu baza de date este populat cu numrul maxim de nregistrri, interfa de comunicare este accesat de un numr foarte mare de utilizatori care iniiaz un numr foarte mare de tranzacii, etc.
Controlul prelucrrilor
Controale de aplicaii
1.Controlul datelor de intrare: Controlul intrrilor la nivelul unei aplicaii urmrete s ne asigurm c datele de intrare ale tranzaciilor sunt introduse corect, sunt complete, valide i autorizate, se ncadreaz n perioada calendaristic dat i nu au mai fost introduse nc odat.
TIPURI DE CONTROALE: controlul formatului, care are n vedere natura datelor, lungimea, numrul de zecimale, formatul datelor calendaristice, etc.;
controlul domeniului de valori, care poate fi un domeniu de valori continuu sau discret, predefinit sau memorat ntr-un fiier tip nomenclator, control care verific ncadrarea n limite de verosimilitate i rezonabilitate;
controlul existenei datelor i a relaiilor de coresponden dintre date, admiterea sau neadmiterea valorii nule, verificarea restriciei de integritate a entitii i a restriciilor de integritate referenial;
2.Controlul prelucrrilor: Aceste controale urmresc ca procedurile de prelucrare s fie autorizate, complete i corecte. Verificarea autorizrii are n vedere mai multe aspecte: licenele, versiunile, persoanele care au drepturi pentru instalri, dezinstalri, devirusri, configurarea sistemului i setarea parametrilor i opiunilor implicite, backup-uri i desigur iniierea de proceduri de prelucrare curente. Completitudinea are n vedere controlul fluxului de prelucrare ncepnd cu evenimentul care declaneaz procedura de prelucrare i continu cu validarea mesajelor de control pariale respectiv a celor finale care semnific ncheierea cu succes a procedurii. O atenie suplimentar trebuie acordat aplicaiilor declanate automat. 3.Controlul integritii bazelor de date: Acest control urmrete prevenirea i eliminarea ameninrilor ca datele memorate s fie distruse sau alterate. Controlul prelucrrilor operaiilor de actualizare este foarte important pentru integritatea sistemului. De aceea se practic pstrarea, alturi de backup-urile periodice i a unor liste de control create prin jurnalizarea procedurilor de actualizare, dar i a altor proceduri critice de prelucrare, care ar putea denatura coninutul bazelor de date. Este util calcularea unor indicatori statistici care evideniaz tipul i frecvena aplicaiilor rulate, numrul de incidente dar i a unor totaluri de control pentru urmrirea actualizrii n special a fiierelor principale ale aplicaiilor. 4.Controlul datelor de ieire
distribuirea ieirilor
urmrete operativitatea i respectarea schemei de distribuire a rapoartelor conform procedurilor de distribuire avizate i comunicate beneficiarilor;
asigur introducerea n sistemul economic numai a rezultatelor care sunt absolut corecte.;
are n vedere respectarea procedurilor predefinite prin care se asigur confidenialitatea datelor, securitatea lor, pe durata tipririi i livrrii;
Metodologia de audit
Misiunea si etapele auditului Conform Standardului Internaional de Audit ISA 210 [FIC07], auditorul i clientul trebuie s fie de acord asupra obiectivului, ariei de aplicabilitate ale auditului i asupra obligaiilor auditorului i responsabilitilor conducerii organizaiei auditate.
responsabi litatea conducerii accesul nelimitat al auditorului la nregistrri Principalel e puncte ale scrisorii de audit obiectul auditului
Alte elemente care pot fi incluse in scrisoarea misiunii de audit preparativele pentru planificarea i desfurarea auditului implicarea altor auditori i experi auditul filialelor auditul recurent termenii de acceptare a modificrilor ulterioare a misiunii de audit.
Dat fiind gradul de implicare foarte mare al auditorului n cunoaterea n detaliu a punctelor slabe i punctelor forte ale ntreprinderi, ale intimitii proceselor de management i control, a vulnerabilitilor firmei, se impune i se respect cu strictee un cod de etic foarte precis, riguros, reglementat prin standarde internaional i legislaia rii.
planificarea auditului
Planificarea i planul de audit Auditorul trebuie s-i planifice auditul pentru ca misiunea de audit s se desfoare n mod eficient. Planificarea unui audit implic stabilirea strategiei generale de audit i elaborarea unui plan pentru a diminua riscul de audit la un nivel acceptabil de sczut.
intervalul calendaristic
Controalele pentru managementul schimbrilor sunt evaluate urmtoarele aciuni care certific dac:
controalele sunt consemnate n scris sub forma unor proceduri conform metodologiei alese
Evaluarea riscurilor produse de aplicarea greit a unor controale, sau produse chiar de lipsa controalelor se poate face prin exprimarea opiniei cu calificativele:
satisfctor fr rezerve
satisfctor fr rezerve
Evaluarea riscurilor produse de aplicarea greit a unor controale se poate face prin exprimarea opiniei cu calificativele
nesatisfctor
documentarea privind nelegerea entitii i a mediului economic documentarea pentru nelegerea mediului IT evaluarea riscurilor i stabilirea msurilor de mbuntire a aciunilor de control
Procedurile de audit asigur culegerea probelor de audit pentru documentarea auditorilor, testarea controalelor interne i evaluarea riscurilor. Probele de audit reprezint totalitatea informaiilor obinute de auditor pentru a ajunge la concluziile pe care se bazeaz opinia de audit.
documente din sistemul informaional documente ale sistemului de management proceduri scrise documente ale procedurilor de utilizare i operare ale aplicaiilor informatice;flowchart-uri informaii nestandard obinute prin documentare asupra sistemului informatic liste de aciuni, operaii, obiecte auditabile liste de evenimente, incidente i erori liste / fiiere cu date de test i rezultate ale testelor de control.
examinari
interviu
inspectii
chestionare
n funcie de nivelul riscurilor i vulnerabilitilor sistemului, auditorul poate s aplice, n general, dou categorii de teste, astfel:
teste de concordan. Aceste teste sunt cele care determin dac controalele din sistem se desfoar n concordan cu politicile i procedurile stabilite, n prealabil, de ctre managementul ntreprinderii. De asemenea aceste teste pot fi aplicate pentru a testa existena i eficacitatea unui anumit proces de control. Cele mai utilizate tehnici pentru aceste teste sunt interviul i chestionarele.
teste de integritate. Prin aceste teste se determin validitatea i integritatea unui anumit control, proces de prelucrare (tranzacie) sau raport din sistemul auditat. Cele mai utilizate tehnici pentru testele de integritate sunt tehnicile de audit asistate de calculator
n ceea ce privete testarea controalelor din aplicaiile sistemului informatic auditorul poate s aplice urmtoarele tehnici
simularea paralel.
Raportul de audit
Raportul de audit ncheie procesul de auditare a unui sistem informatic. Potrivit standardului de audit, raportul de audit trebuie s conin n scris o exprimare clar a opiniei asupra entitii auditate. Obiectivele raportului de audit sunt :
s ofere ncredere n sistemul informatic, dup auditare i implementarea msurilor de mbuntirea a procedurilor de control.
beneficiarul auditului sistemul economic i sistemul informatic scrisoarea de misiune de audit echipa de auditori obiectivele detaliate ale misiunii de audit tehnicile de audit stabilite i acceptate structurarea procesului de auditare rezultatele testrii efectuate documentaia de proces etapele ce trebuie parcurse resursele alocate fiecrei etape fluxurile care se genereaz pe clase de tranzacii categorii de controale i testele pentru controale proiectul sistemului informatic textele surs bazele de date