AUDITUL SISTEMELOR INFORMATICE

Sistemul informaional poate fi definit ca un ansamblu tehnico-organizatoric de proceduri de constatare, consemnare, culegere, verificare, transmitere, stocare si prelucrare a datelor in scopul satisfacerii cerintelor informationale necesare conducerii in procesul de elaborare a deciziilor. Sistemul informaticreprezinta un ansamblu de elemente intercorelate functional in scopul automatizarii obtinerii informatiilor necesare conducerii in procesul de elaborare a deciziilor.

SOFTWARE

UTILIZATORII

COMUNICATII

SISTEMUL INFORMATIC
BAZA INFORMATIONALA CADRU ORGANIZATORIC

BAZA METODOLOGICA SI STIINTIFICA

HARDWARE

Structura generala a sistemului informatic cuprinde:

iesiri

intrari

prelucrari

Intrarile sunt reprezentate de totatlitatea datelor suspuse prelucrarilor. Prelucrarile sunt reprezentate de totalitatea operatiilor efectuate asupra datelor pentru obtinerea informatiilor care stau la baza deciziilor. Iesirile sunt rezultatele prelucrarilor efectuate asupra datelor.

Auditul sistemelor informatice reprezinta o activitate complexa de evaluare a unui sistem informatic in scopul formularii unei opinii calificate asupra gradului de conformitate a sistemului cu standardele in domeniu si totodata asupra capacitatii sistemului informatic de a atinge obiectivele strategice ale unei organizatii utilizand eficientresursele informationale si asigurand integritatea datelor prelucrate si stocate. Auditul reprezinta o activitate de concepere a unui sistem care previne, detecteaza si corecteaza evenimente ilicite in cadrul unei organizatii. In functie de modul de organizare a activitatii de audit se deosebesc 2 forme:

Intern-reprezinta o evaluare, o monitorizare organizata a unui departament propriu.

Extern-este efectuat de un auditor independent si raspunde nevoilor tertilor si entitatii audiate in ceea ce priveste gradul de incredere care poate fi acordat tranzactiilor si situatiilor financiare, respectarea reglemantarilor legale si a principiilor economicitatii, eficientei si eficacitatii in activitatea desfasurata.

Pe baza momentului in care se efectueaza auditul se face distinctie intre preventiv si colectiv.

Auditul preventiv defineste o examinare a operatiunilor anterior desfasurarii lor efective avand avantajul de a putea preveni prejudiciul inainte ca acesta sa apara.

Auditul colectiv se defineste ca o examinare a operatiilor in desfasurarea lor.El poate conduce la recuperarea pagubelor si poate preveni repetarea erorilor.

Din punct de vedere al scopului exista 3 categorii de audit:

auditul conformitatii (legalitaii)

auditul de atestare

auditul performantei

Dupa aria de cuprindere cel mai important tip de audit este auditul de securitate al sistemelor informatice care are in vedere urmatoarele segmente: 1.Sisteme si aplicatii unde procesul de audit verifica daca sistemele si aplicatiile sunt corespunzatoare, eficiente si controlate adecvat, asigura validitate, incredere, actualitate pentru intrari si iesiri la toate nivelele organizatiei. 3.Dezvoltare de sisteme proces de audit care verifica de daca sistemele sunt Etapele activitatii audit dezvoltate in concordanta cu standardele generale acceptate de dezvoltare de sistemele informatice. 2.Medii de procesare a informatiilor unde procesul de audit verifica daca mediile de procesare sunt controlate pentru a asigura o prelucrare in timp util corecta si completa a aplicatiilor informatice in conditii normale,dar si in conditii de 4.Comunicatii pe retea de intranet si dificultate. extranet procesul de audit care verifica daca exista controale definite si aplicate pentru a a controla mediile fizice si comunicatiile in retea.

Initierea auditului Efectuarea analizei documentelor Pregatirea activitatilor si a planului de audit Efectuarea auditului propriu-zis Pregatirea, aprobarea si distribuirea raportului de audit

Vulnerabiliti, ameninri, riscuri i managementul riscurilor IT

Ameninrile reprezint pericolele poteniale din exterior ce exploateaz vulnerabilitile sistemului informatic.

Vulnerabilitile sunt verigile slabe, punctele slabe ale sistemului informatic care-l expun din interior evenimentelor ce pot afecta negativ funcionarea sistemului

Riscul este asociat cu probabilitatea ca o ameninare potenial s devin una real i s produc un impact a crui consecin va reprezenta o pierdere, o daun pentru ntreprindere i pentru acionarii si.

INTEGRITATEA

DISPONIBILITATEA

INCREDEREA

Cele 5 atribute ale sistemului informatic pe care le poate afecta producerea unor astfel de riscuri:

CONFORMITATEA

CONFIDENTIALITATEA

TIPURI DE VULNERABILITATI:

Vulnerabiliti naturale au n vedere incendiile, inundaiile i cutremurele, evenimente nedorite, cu o probabilitate greu de estimat, de fapt evenimente incerte dar posibile i care trebuie neaprat luate n calcul.

Vulnerabiliti ale bazelor de date i arhivelor de date istorice se refer la pierderile de date datorit unor proceduri de prelucrare neconsistente, neprotejarea structurilor de date, accesul neautorizat al unor programe la fiiere, alterri sau pierderi de copii de siguran, chiar i a unor biblioteci de programe.

Vulnerabiliti umane, provin din nenumrate direcii dar persoanele care administreaz sistemul prezint cea mai mare vulnerabilitate, lor li se adaug operatorii i utilizatorii care voluntar sau involuntar pot afecta sistemul informatic; statisticile arat c 80 % din atacuri provin din interior, 42 % din companii nu au un specialist n securitatea sistemelor iar 17% au un singur specialist n domeniu.

Vulnerabilitile software sunt o clas complex de vulnerabiliti care ncep cu utilizarea de software neliceniat, sau lipsa de corelare n utilizarea acelorai versiuni de programe de ctre toi userii, apoi lipsa unei protecii consistente mpotriva abuzurilor software la care se mai adaug posibilitatea apariiei unor erori n nsi programele surs nedepistate n faza de testare

Ameninrile cu caracter general vizeaz n primul rnd ameninrile cele mai frecvent posibile, erorile umane care duc la accidente neintenionate cu impact asupra datelor, pierderi, distrugeri sau modificri incorecte. Aceste ameninri sunt cauzate de superficialitate, de ignorarea sau necunoaterea documentaiei i slaba pregtire profesional a administratorilor sistemului, a administratorilor bazelor de date.

Riscuri i managementul riscurilor

Riscuri
Nu ne putem mulumi numai cu inventarierea vulnerabilitilor i a ameninrilor. Este important s se estimeze impactul acestor ameninri ca s avem dimensiunea clar a pierderilor, s putem face o prioritizare, aa cum o s vedem, a msurilor pentru prevenirea, diminuarea daca nu chiar eliminarea acestor pierderi.

Clasificarea riscurilor
Dupa tipul activitatii vizate Dupa probabilitatea de aparitie Dupa natura lor

Dupa specificul exercitarii activitatii de audit

riscuri de functionare a sisemului informatic riscuri financiare

riscuri potentiale

riscuri fizice

riscuri sociale riscuri de imagine riscuri de mediu riscuri de securitate

riscuri posibile

riscuri logice
riscuri de organizare riscuri operationale

Managementul riscurilor Considerm c este mai corect s definim managementul riscurilor ca un proces de identificare a vulnerabilitilor, ameninrilor i evaluare a riscurilor IT i implementarea unor aciuni de control i msuri de prevenire, de eliminare sau diminuare a pierderilor, a impactului acestora asupra sistemului informatic i respectiv asupra ntregii ntreprinderi

PApierdere anticipata

PPpierderea potentiala

Indicatori de evaluare a riscurilor

PAApierdere anuala

ARPanticiparea reducerii pierderilor

Riscul de audit RA Riscul de mediu

Riscul de inerent RI

Riscul misiunii de asigurare

Riscurile auditului
Riscul independent de esantionare Riscul de nedetectare RD

Riscul de control RC

CONTROALE INTERNE IT CONTROALE GENERALE

Controale interne IT Nucleul de probleme asupra cruia se concentreaz munca echipei de audit este reprezentat de sistemul de controale interne, aa cu a rezultat i din definirea obiectului auditului sistemelor informatice. Auditorul trebuie s tie ce controale trebuie s certifice i cum se aplic controalele pentru ca activitatea IT s se desfoare corect, fr erori i disfuncionaliti. Se practic gruparea controalelor interne IT n dou clase:

Controale interne IT

controale generale controale de aplicatie

Controale generale Controalele generale, sunt acele controale care se aplic la nivelul ntregului sistem IT al organizaiei, tuturor compartimentelor implicate n realizarea i funcionarea sistemului pentru certificarea proiectrii, realizrii, implementrii, exploatrii i dezvoltrii corecte a ntregului sistem informatic. Controalele generale se refer la : - controale privind planificarea i organizarea sistemului informatic; - controale ale ciclului de via al sistemului; - controale de securitate IT; - controale ale managementului schimbrilor n sistemul informatic.

Controalele privind planificarea i organizarea Controalele privind planificarea i organizarea sistemului informatic mai sunt numite i controale ale managementului. Cerinele guvernanei Itimpun managementului corelarea strategiei i obiectivele IT cu obiectivele strategice ale organizaiei. Auditul trebuie s controleze c ntr-adevr managementul IT duce la ndeplinire aceast cerin general, respectiv iniiaz i controleaz aciunile prin care aceste obiective sunt transpuse n practic. Aceste aciuni concrete nseamn: - planificarea sistemului informatic; - organizarea sistemului; - integrarea sistemului informatic.

Controale de securitate Controalele de securitate incluse n controalele generale au ca scop verificarea accesului utilizatorilor la sistem, identificarea, autentificarea i autorizarea utilizatorilor i a drepturilor acestora de acces i prelucrare. Numai persoanele autorizate au acces la date, procedurile automate i programele surs. Numai persoanele autorizate pot realiza operaii de actualizare sau accesare a bazelor de date. Toate acestea i nc alte controale i msuri se regsesc n politica de securitate a firmei.

Controale privind ciclul de via al sistemului, Aceste controale sunt denumite frecvent n literatura de specialitate controale SLDC system life development cycle, urmresc modul n care se respect etapele i fazele specificate de metodologia de analiz i proiectare a sistemelor informatice.Vom considera c etapele ce se regsesc n majoritatea metodologiilor, desigur puin schimbate ca terminologie, sunt urmtoarele: - studiu de fezabilitate sau preliminar; - analiz i formularea cerinelor; -proiectare; - realizare; - implementare.

Controale pentru managementul schimbrilor Obiectivul acestor controale este acela de a verifica c toate modificrilor aduse aplicailor sunt corect autorizate i aprobate naintea implementri. Aciunile tipice care apar n aceste situaii sunt: -obinerea cerinelor informaionale pe baza crora se autorizeaz implementarea unor sisteme noi sau modificarea celor existente; -clasificarea i stabilirea prioritilor; -aprobarea cerinelor informaionale noi; -managementul achiziiilor de echipamente i pachete software;

CONTROALE INTERNET IT- CONTROALE DE APLICATII Controale de aplicaii De la nivelul ntregului sistem se trece la componentele sistemului, aplicaiile informatice. Controalele interne urmrite de auditul aplicaiilor trebuie s acopere urmtoarea arie de probleme: controlul calitii aplicaiilor; controlul adecvrii funcionalitii aplicaiilor la cerinele unui control eficient; fiabilitatea aplicaiilor. a) controlul calitii aplicaiilor Calitatea aplicaiilor se asigur prin calitatea componentelor elementare ale aplicaiilor IT:

datele de intrare;

integritatea bazei de date.

Controlul calitatii aplicatiilor.Calitate a aplicatiilor se asigura prin calitatea componentelor elementare ale ale aplicatiilor IT:

proceselor de prelucrare;

datele de ieire;

b) adecvarea funcionalitii aplicaiilor la cerinele unui control intern eficient Are n vedere includerea de jaloane de control nc din etapa de proiectare pentru a fi mai uor validate de auditori. Aceast cerin nseamn c aplicaiile informatice trebuie s includ: proceduri de validare a operailor de introducere a datelor de intrare de ctre persoanele cu responsabiliti pe linia autorizrii intrrile.

proceduri de generare a unor rapoarte care s nlesneasc controlul introducerii datelor n sistem de exemplu istoricul introducerii datelor obinut prin jurnalizare; proceduri de validare a concordanei ieiri intrri relevante pentru corelaiile dintre procesele decizionale, indicatorii sintetici, situaiilor de ieire, date de intrare, corelaii concordan care asigur consistena aplicaiilor informatice

c ) fiabilitatea aplicatiilor

fiabilitatea aplicaiilor

Urmrete modul n care aplicaiile se comport n condiii extreme, la limit. Se testeaz timpul de rspuns i respectiv riscul de blocare cnd o aplicaie ruleaz cu parametrii setai la valori maxime. De exemplu baza de date este populat cu numrul maxim de nregistrri, interfa de comunicare este accesat de un numr foarte mare de utilizatori care iniiaz un numr foarte mare de tranzacii, etc.

Controalele de aplicatii sunt de mai multe categorii:

Controlul datelor de intrare

Controlul prelucrrilor

Controlul integritii bazelor de date

Controlul datelor de ieire

Controale de aplicaii

1.Controlul datelor de intrare: Controlul intrrilor la nivelul unei aplicaii urmrete s ne asigurm c datele de intrare ale tranzaciilor sunt introduse corect, sunt complete, valide i autorizate, se ncadreaz n perioada calendaristic dat i nu au mai fost introduse nc odat.

TIPURI DE CONTROALE: controlul formatului, care are n vedere natura datelor, lungimea, numrul de zecimale, formatul datelor calendaristice, etc.;

controlul domeniului de valori, care poate fi un domeniu de valori continuu sau discret, predefinit sau memorat ntr-un fiier tip nomenclator, control care verific ncadrarea n limite de verosimilitate i rezonabilitate;

controlul existenei datelor i a relaiilor de coresponden dintre date, admiterea sau neadmiterea valorii nule, verificarea restriciei de integritate a entitii i a restriciilor de integritate referenial;

controlul cifrelor de control,

controlul tranzaciilor lips sau al tranzaciilor duplicate.

2.Controlul prelucrrilor: Aceste controale urmresc ca procedurile de prelucrare s fie autorizate, complete i corecte. Verificarea autorizrii are n vedere mai multe aspecte: licenele, versiunile, persoanele care au drepturi pentru instalri, dezinstalri, devirusri, configurarea sistemului i setarea parametrilor i opiunilor implicite, backup-uri i desigur iniierea de proceduri de prelucrare curente. Completitudinea are n vedere controlul fluxului de prelucrare ncepnd cu evenimentul care declaneaz procedura de prelucrare i continu cu validarea mesajelor de control pariale respectiv a celor finale care semnific ncheierea cu succes a procedurii. O atenie suplimentar trebuie acordat aplicaiilor declanate automat. 3.Controlul integritii bazelor de date: Acest control urmrete prevenirea i eliminarea ameninrilor ca datele memorate s fie distruse sau alterate. Controlul prelucrrilor operaiilor de actualizare este foarte important pentru integritatea sistemului. De aceea se practic pstrarea, alturi de backup-urile periodice i a unor liste de control create prin jurnalizarea procedurilor de actualizare, dar i a altor proceduri critice de prelucrare, care ar putea denatura coninutul bazelor de date. Este util calcularea unor indicatori statistici care evideniaz tipul i frecvena aplicaiilor rulate, numrul de incidente dar i a unor totaluri de control pentru urmrirea actualizrii n special a fiierelor principale ale aplicaiilor. 4.Controlul datelor de ieire

Controlul datelor de ieire urmrete mai multe direcii:

distribuirea ieirilor

confruntarea outputurilor, reconcilierea i corectarea erorilor

manipularea i pstrarea ieirilor

urmrete operativitatea i respectarea schemei de distribuire a rapoartelor conform procedurilor de distribuire avizate i comunicate beneficiarilor;

asigur introducerea n sistemul economic numai a rezultatelor care sunt absolut corecte.;

are n vedere respectarea procedurilor predefinite prin care se asigur confidenialitatea datelor, securitatea lor, pe durata tipririi i livrrii;

Metodologia de audit
Misiunea si etapele auditului Conform Standardului Internaional de Audit ISA 210 [FIC07], auditorul i clientul trebuie s fie de acord asupra obiectivului, ariei de aplicabilitate ale auditului i asupra obligaiilor auditorului i responsabilitilor conducerii organizaiei auditate.

responsabi litatea conducerii accesul nelimitat al auditorului la nregistrri Principalel e puncte ale scrisorii de audit obiectul auditului

aria de aplicabilita te a auditului

structura rapoartelor

precizarea c exist un risc inevitabil ca unele denaturri s rmn nedescoperite;

Alte elemente care pot fi incluse in scrisoarea misiunii de audit preparativele pentru planificarea i desfurarea auditului implicarea altor auditori i experi auditul filialelor auditul recurent termenii de acceptare a modificrilor ulterioare a misiunii de audit.
Dat fiind gradul de implicare foarte mare al auditorului n cunoaterea n detaliu a punctelor slabe i punctelor forte ale ntreprinderi, ale intimitii proceselor de management i control, a vulnerabilitilor firmei, se impune i se respect cu strictee un cod de etic foarte precis, riguros, reglementat prin standarde internaional i legislaia rii.

Codul de etica impune pentru auditor :

confidenialitate obiectivitate integritate independenta absenta conflictelor de interese

planificarea auditului

formularea concluziilor i elaborarea raportului de audit

etapele generale ale metodologiei de audit

evaluarea controlului intern i a riscurilor

culegerea probelor de audit

Planificarea i planul de audit Auditorul trebuie s-i planifice auditul pentru ca misiunea de audit s se desfoare n mod eficient. Planificarea unui audit implic stabilirea strategiei generale de audit i elaborarea unui plan pentru a diminua riscul de audit la un nivel acceptabil de sczut.

intervalul calendaristic

strategia de audit stabileste:

resursele i managementul auditului aria de aplicabilitate a auditului

Planul de audit trebuie sa contina informatii cu privire la:

prezentarea ntreprinderii, obiect de activitate, principalii indicatori, piaa, i concurena; termene intermediare i data limit pentru depunerea raportului de audit aspecte organizatorice privind repartizarea sarcinilor, programarea activitii n timp i spaiu, implicarea factorilor responsabili din ntreprindere i a colaboratorilor externi; conducerea, supravegherea i revizuirea auditului, ceea ce include i bugetul, costurile i echipa de audit domeniile de probleme, ariile de risc i procedurile e audit pentru evaluarea i testarea controalelor semnificative; prezentarea mediului IT al ntreprinderii, structura sistemului informatic i funcionare;

Controalele pentru managementul schimbrilor sunt evaluate urmtoarele aciuni care certific dac:

controalele sunt consemnate n scris sub forma unor proceduri conform metodologiei alese

se respect principiul separrii sarcinile/responsabilitilor segregation of duties

schimbrile se discut n cadrul unor ntlniri ale managerilor

exist un plan al implementrii modificrilor i o eviden clar a tuturor modificrilor

Evaluarea riscurilor produse de aplicarea greit a unor controale, sau produse chiar de lipsa controalelor se poate face prin exprimarea opiniei cu calificativele:

satisfctor fr rezerve

satisfctor fr rezerve

Evaluarea riscurilor produse de aplicarea greit a unor controale se poate face prin exprimarea opiniei cu calificativele

nesatisfctor

Proceduri de audit, probe de audit i testarea controalelor

Procedurile de audit reprezint modalitatea operativ prin care auditorul i deruleaz activitatea.

Procedurile de audit se efectueaz pentru

documentarea privind nelegerea entitii i a mediului economic documentarea pentru nelegerea mediului IT evaluarea riscurilor i stabilirea msurilor de mbuntire a aciunilor de control

Procedurile de audit asigur culegerea probelor de audit pentru documentarea auditorilor, testarea controalelor interne i evaluarea riscurilor. Probele de audit reprezint totalitatea informaiilor obinute de auditor pentru a ajunge la concluziile pe care se bazeaz opinia de audit.

Probele de audit pot fi reprezentate de

documente din sistemul informaional documente ale sistemului de management proceduri scrise documente ale procedurilor de utilizare i operare ale aplicaiilor informatice;flowchart-uri informaii nestandard obinute prin documentare asupra sistemului informatic liste de aciuni, operaii, obiecte auditabile liste de evenimente, incidente i erori liste / fiiere cu date de test i rezultate ale testelor de control.

observare direct jurnalizari esantionari

examinari

tehnicile de obtinere a probelor de audit

testarea controalelor

interviu

inspectii

chestionare

Testarea controalelor realizat n cadrul procedurilor de audit urmrete s determine dac

controalele se aplic conform se bazeaz pe programrii i informaii pe toat credibile durata luat n considerare se opereaz corect i n timp util erorile identificate de controalele testate

controalele opereaz aa cum au fost proiectate

n funcie de nivelul riscurilor i vulnerabilitilor sistemului, auditorul poate s aplice, n general, dou categorii de teste, astfel:

teste de concordan. Aceste teste sunt cele care determin dac controalele din sistem se desfoar n concordan cu politicile i procedurile stabilite, n prealabil, de ctre managementul ntreprinderii. De asemenea aceste teste pot fi aplicate pentru a testa existena i eficacitatea unui anumit proces de control. Cele mai utilizate tehnici pentru aceste teste sunt interviul i chestionarele.

teste de integritate. Prin aceste teste se determin validitatea i integritatea unui anumit control, proces de prelucrare (tranzacie) sau raport din sistemul auditat. Cele mai utilizate tehnici pentru testele de integritate sunt tehnicile de audit asistate de calculator

n ceea ce privete testarea controalelor din aplicaiile sistemului informatic auditorul poate s aplice urmtoarele tehnici

tehnica datelor de test

tehnica testului integrat

simularea paralel.

Raportul de audit

Raportul de audit ncheie procesul de auditare a unui sistem informatic. Potrivit standardului de audit, raportul de audit trebuie s conin n scris o exprimare clar a opiniei asupra entitii auditate. Obiectivele raportului de audit sunt :

s ofere o certificare i recomandri referitoare la procedurile de control i eficiena activitii operative

s asigure o nregistrare oficiale a activitii de audit i a rspunsurilor managerilor

s ofere ncredere n sistemul informatic, dup auditare i implementarea msurilor de mbuntirea a procedurilor de control.

Raportul de audit poate fi structurat pe patru seciuni, cu urmtorul coninut:

sectiunea I sectiunea II sectiunea III sectiunea IV

beneficiarul auditului sistemul economic i sistemul informatic scrisoarea de misiune de audit echipa de auditori obiectivele detaliate ale misiunii de audit tehnicile de audit stabilite i acceptate structurarea procesului de auditare rezultatele testrii efectuate documentaia de proces etapele ce trebuie parcurse resursele alocate fiecrei etape fluxurile care se genereaz pe clase de tranzacii categorii de controale i testele pentru controale proiectul sistemului informatic textele surs bazele de date