Documente Academic
Documente Profesional
Documente Cultură
INFORMATIONALE
Informatica Economica
Anul III
Capitole
1. Conceptul de audit. Organizarea auditului
2. Riscuri asociate sistemelor informatice
3. Controlul sistemelor informatice
- Controlul ciclului de via al sistemelor informatice.
- Controlul securitii sistemelor informatice
- Controlul operaional
4. Controlul aplicaiilor
- Controlul datelor de intrare
- Controlul prelucrarilor de date
- Controlul fiierelor i bazelor de date
- Controlul datelor de ieire
- Controlul comunicaiilor
5. Colectarea i evaluarea probelor
- Documentarea sistemului informaional
- Proiectarea i realizarea testelor
- Evaluarea veridicitii controalelor
- Traseul auditarii
6. Standarde generale pentru auditarea sistemelor informaionale
CAPITOLUL I
CONCEPTUL DE AUDIT. ORGANIZAREA AUDITULUI
Observarea
activitatilor
-observarea activitatilor
si a imprejurimilor
mediului de lucru si a
conditiilor de lucru
Analiza documentelor
- analiza documentelor,
adica a planurilor,
procedurilor,
instructiunilor,
licentelor si
autorizatiilor,
specificatiilor,
desenelor, contractelor,
comenzilor.
- intocmirea proceselor
verbale ale sedintelor;
-intocmirea rapoartelor
de audit;
- analiza rezultatelor
masurarilor;
- sinteza datelor, ai
indicatorilor de analiza
si de performanta;
- intocmire de rapoarte
din alte surse, alte
informatii relevante de
la surse externe si
evaluari ale
furnizorilor;
- baze de date si
website-uri.
trebui sa li se multumeasca
pentru participare si cooperare.
Auditul este finalizat atunci cand activitatile descrise au fost indeplinite si
raportul de audit aprobat a fost difuzat.
Obiectul auditului sistemelor informatice
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a
unor probe pentru a determina dac sistemul informatic este securizat, menine
integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale
ntreprinderii i utilizeaz eficient resursele informaionale.
Apariia sistemelor informatice i utilizarea acestora de ctre organismele
economice au schimbat modul n care i desfoar activitatea economitii, inclusiv
auditorii, i au impus acestora nsuirea unor cunotine minime despre:
structura i arhitectura calculatoarelor;
sistemele de calcul utilizate n sistemele informatice;
programele i aplicaiile (software) utilizate de sistemele informatice;
posibilitile de calcul, eviden i control oferite de sistemele informatice
utilizatorilor lor;
utilizarea sistemelor de calcul n activitile economice i de audit;
proiectarea, realizarea i utilizarea sistemelor informatice;
tehnicile de audit asistate de calculator;
tehnicile de integrare a procedurilor de audit n sistemele informatice etc..
Auditul informatic reprezint o form esenial prin care se verific dac un SI
i atinge obiectivul pentru care a fost elaborat. Standardele definesc clar domeniul,
activitile, etapele, coninutul auditrii i formele de finalizare. Respectnd cerinele
standardelor, rezultatul procesului de auditare informatic este eliberat de riscurile
contestrii.
Domeniul de aplicare
n domeniul informatic exist mai multe direcii de dezvoltare a auditului
sistemului informatic.
Auditarea software const n activiti prin care se evideniaz gradul de
concordan dintre specificaii i programul elaborat. Auditul software d msura
siguranei pe care trebuie s o aib utilizatorul de programe atunci cnd obine
rezultate. Sigurana se refer la corectitudinea i completitudinea rezultatelor finale
atunci cnd datele de intrare sunt, de asemenea, corecte i complete.
Auditul bazelor de date, este un domeniu de maxim complexitate avnd n
vedere c, de regul, lucrul cu bazele de date presupune att datele ca atare nsoite de
relaiile create ntre ele, ct i programele cu care datele se gestioneaz. De aceea se
impune efectuarea unei reparri.
Auditul datelor vizeaz definirea acelor elemente prin care se stabilete msura n
care datele stocate ndeplinesc cerinele de calitate: corectitudine, completitudine,
omogenitate, temporalitate, reproductibilitate. Pentru fiecare caracteristic exist o metric
elaborat, iar auditorul de date trebuie s evalueze nivelul atins de caracteristic, pentru
setul de date supus auditrii. n final, auditorul de date certific faptul c datele stocate n
baze de date constituie intrri valabile pentru a obine rezultate corecte.
n cazul auditrii riscului de gestiune a datelor stocate n baze de date se
verific dac:
programele refer corect cmpurile cu date stocate;
operaiile de prelucrare sunt cele din specificaii;
agregrile, sortrile, evalurile de expresii de extragere a subseturilor de date
sunt n concordan cu specificaiile de obinere a rezultatelor ca structur,
dimensiunei coninut.
se conecteaz este auditat, iar rezultatul auditrii permite conectarea. n caz contrar,
efectele de antrenare multipl la nivelul riscurilor devin de necontrolat.
Societatea informaional dezvolt o nou atitudine fa de audit. l consider
un element esenial pentru construirea de arhitecturi software complexe de utilitate
public n regim continuu i fr asisten. Crearea civilizaiei bazat pe informaie
obinut interactiv pleac de la idea completitudinii i corectitudinii obinerii
informaiei. Pentru a avea costuri bune, sistemele informatice trebuie s utilizeze
resursele la niveluri minime. Numai n procesul de auditare rezult c a fost urmat
calea spre minimizarea costurilor. Sunt argumente, sunt msurtori i ntregul demers
trebuie susinut cu calcule de eficien.
Auditul trebuie privit ca o investiie suplimentar. Compania de software care
dezvolt un sistem informatic i deruleaz procedee de audit creeaz premisele
autoproteciei fa de riscurile generatoare de cheltuieli ce depesc potenialul
companiei.
Se creeaz o nou atitudine fa de auditul sistemelor informatice, fiind
considerat altceva dect o activitate impus sau un ru necesar, transformndu-se n
singura modalitate prin care se obin garanii reale asupra calitii sistemului
informatic, pe care utilizatorii le percep n timp.
Odat implementat, un sistem informatic este obligatoriu s fie auditat periodic
pentru a se asigura c ndeplinete toate sarcinile cerute la cel mai ridicat grad posibil
de eficien i eficacitate. Creterea organizaiei, creterea volumului afacerilor,
schimbrile n mediul afacerilor, schimbrile tehnologice i noile cerine de informaii
toate plaseaz o cerere crescnd asupra sistemului informatic existent i adeseori
impun modificarea sau extinderea acestuia pe baze ad-hoc.
Exemple ale unui audit de SI aflat n funciune:
reevaluarea cerinelor de informaii;
verificarea modificrilor propuse la proiectrile de baz existente;
investigarea oportunitii noilor tehnologii;
mbuntirea procedurilor de operare.
Din practic s-a constatat necesitatea auditarii unui sistem informatic odat
la trei ani sau ori de cte ori schimbrile aprute o impun.
10
CAPITOLUL II
RISCURI ASOCIATE SISTEMULUI INFORMATIONAL
a) Riscurile de mediu
hardware si retele de comunicatii;
sistem de operare;
softuri de aplicatie;
informatiile procesate de sistem.
b) Riscuri asociate mediului :
pericole naturale si dezastre;
alterarea sau furtul aplicatiilor, datelor;
erori umane sau tehnice;
incompetenta manageriala;
pierderi financiare previzibile.
Riscurile trebuie :
evaluate din punct de vedere al gravitatii efectelor lor;
evaluate din punct de vedere al probabilitatii procedurilor;
estimate financiar pentru fiecare aparitie a fenomenului si pe total.
Metode aplicate
1. Dezvoltarea si modificarea sistemului de control
orice modificare de soft trebuie verificata;
asigurarea documentatiei la zi;
asigurarea cu softuri specializate antivirus la zi.
2. Pregatirea personalului pentru reducerea riscului
periodicitate;
selectie.
3. Mentinerea securitatii fizice
acces fizic restrans.
4. Controlul accesului la date, hardware si retele
controlul operatiunilor vamale;
definirea exacta a accesului privilegiat;
eliminarea intruziunilor;
parole;
carduri ID;
chei hardware;
control retinei, amprentei digitale palmare etc.
13
CAPITOLUL III
CONTROLUL SISTEMELOR INFORMATICE
14
15
16
17
18
19
20
sistemului
informatic
in
conditiile
producerii
unor
evenimente neprevazute.
21
22
23
Actualizarile folosind backup-urile datelor (fisierelor), aplicatiilor si softwareul de sistem trebuie sa fie posibile in caz de urgenta sis a prevada:
daca procedurile de backup (pentru date si soft) sunt cele potrivite;
daca backup-urile sunt corect jurnalizate si stocate in locatii sigure;
daca exista siguranta ca backup-urile si procedurile RECOVERY vor lucra la
nevoie;
daca datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor
operationale. Frecventa realizarii copiilor este direct proportionala cu volumul
tranzactiilor si importanta datelor pentru organizatie.
Conform procedurilor backup copiile pot fi :
partiale;
totale.
Controlul nivelului operational
Distribuirea prelucrarii impune controlul la nivel operational si presupune
urmatoarele activitati auditate:
1. Operarea efectiva la postul de lucru prin:
restrictionarea accesului;
utilizarea eficienta a timpului de lucru;
intretinerea si repararea echipamentului;
cunoasterea si respectarea procedurilor de catre utilizatori.
2. Reteaua de calculatoare care va presupune:
modul de monitorizare a traficului pe retea;
politica antivirus server sau post de lucru;
controlul politicilor de acces si restrictionare;
protectia conexiunii la retele publice.
Auditorul urmareste :
cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei;
daca reteaua este mare, in ce masura este organizata pe domenii separate;
24
daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) ce
controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar
portiunile de retea pentru care sunt autorizati;
cum sunt protejate transmisiile in retea;
conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si
controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea
sistemului;
in ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei;
cat de sigura este posta electronica a organizatiei;
ce controale exista pentru a preveni accesarea unor site-uri inadecvate;
ce controale exista pentru a preveni navigarea neproductiva pe Internet a
personalului si in afara sarcinilor de serviciu.
Solutia hardware si software a retelei trebuie sa asigure nevoile de
disponibilitate, performanta si flexibilitate.
ce documentatie de retea este disponibila;
cum sunt aprobate modificarile din retea, controlate si testate;
ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului de
performanta.
3. Pregatirea datelor si introducerea in sistem care presupun:
pregatirea documentelor primare;
datele sunt clasificate, grupate, verificate, sortate si transmise pentru
procesare;
controlul introducerii datelor;
acuratetea datelor care depinde de :
a. calitatea controalelor;
b. factorul uman;
c. tipul echipamentelor folosite pentru introducerea datelor in sistem.
4. Procesarea datelor realizata prin:
acces autorizat pentru declansarea procedurilor;
respectarea termenelor si timpilor de procesare;
25
protejarea fisierelor;
pastrarea rezultatelor procesarii;
asigurarea la timp a datelor necesare prelucrarilor, mai ales in cazul in care
acestea sunt asigurate de alte sisteme informatice (interne sau externe
organizatiei);
intretinerea software-ului;
Auditorul va urmari masura in care a asigurat documentatia necesara
personalului implicat in procesarea datelor.
5. Gestionarea mediilor de stocare prin:
localizarea curenta;
persoana responsabila (gestionarul);
data achizitiei;
utilizatorul;
fisierele/programele/aplicatiile continute;
persoanele autorizate sa acceseze mediul;
data ultima cand a fost folosit; de cine; data restituirii;
data la care continutul poate fi sters;
cum sunt protejate stocarile offline de date.
6. Gestionarea aplicatiilor si a documentatiei
modul de pastrare;
modul de acces;
actualizarea documentatiei;
copii de siguranta.
7. Asistenta tehnica
modul de achizitionare a hardware-ului;
instruire utilizatori;
identificarea erorilor de procesare si modul de rezolvare;
controlul soft-urilor;
raportarea incidentelor.
26
performantei
operationale
si
aprobarea
procedurilor
documentate;
monitorizarea performantei privitoare la nivelele de service si a procedurilor
de operare;
ce informatii primeste managerul pentru a-i permite sa monitorizeze starea
mediului hard si terminarea la timp a prelucrarilor;
cat de des se primesc aceste informatii;
in ce masura au existat probleme cu performanta componentelor hardware
si/sau executarea la timp a prelucrarilor;
ce monitorizare se desfasoara pentru verificarea operarii eficiente a
calculatorului;
in ce masura au existat probleme cu neaprobarea unor proceduri definite
pentru operarea calculatorului.
27
CAPITOLUL IV
CONTROLUL APLICATIILOR
29
jurnalelor de securitate;
cererilor de modificari si modul de solutionare a acestora etc. care se obtin
prin combinarea:
a) observarii;
b) chestionarii;
c) examinarii;
d) esantionare (folosind tehnici asistate de calculator).
7. CAT DE DEPARTE SA SE MEARGA CU TESTELE
Rationamentul auditorului ia in considerare:
frecventa controlului;
gradul de incredere prezentat de controalele aplicatiei;
natura probelor pe care auditorul urmareste sa le obtina;
continuitatea controlului;
importanta controlului si a tranzactiilor.
30
proceduri
realizate
de
persoanele
imputernicite;
se
verifica
Disponibilitatea datelor
31
32
Performante
In cazul sistemelor in timp real este foarte important timpul de raspuns.
Controlul datelor de iesire urmareste:
completitudinea si acuratetea iesirilor;
respectarea termenelor prevazute pentru obtinerea iesirilor;
masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta,
monitor sau un fisier;
distribuirea iesirilor catre persoanele autorizate punandu-se problema:
1) cine primeste situatiile si daca exista persoane imputernicite in acest
sens;
2) daca situatiile continand date sensibile sunt preluate pe baza de
semnatura;
3) cum este asigurata protectia informatiilor confidentiale;
4) daca iesirile catre alte aplicatii se realizeaza in formatul pe care acestea
il necesita;
5) masura in care se realizeaza inregistrarea, raportarea si corectarea
erorilor identificate;
6) in ce masura exista din partea managementului un control asupra
acuratetei iesirilor si modului de distribuire a lor.
Controlul securitatii aplicatiei
Controalele securitatii aplicatiei sunt folosite pentru asigurarea :
integritatii tranzactiilor si fisierelor;
acuratetei prelucrarilor;
separarii sarcinilor incompatibile intre persoanele implicate in procesarea
datelor;
controlul utilizatorilor.
Modalitati de realizare a controlului securitatii aplicatiei
A. Identificarea si autorizarea utilizatorilor;
B. Controlul accesului;
C. Monitorizarea activitatii utilizatorilor.
33
34
CAPITOLUL V
COLECTAREA SI EVALUAREA PROBELOR
35
37
CAPITOLUL VI
STANDARDELE GENERALE PENTRU AUDITAREA
SISTEMELOR INFORMATICE
38
39
40