Cmpeanu Elena

BDSA an II, grupa 1100

2.7.2. Segregarea sarcinilor n cadrul IS

Titlurile reale ale locurilor de munc i structurile organizaionale pot varia foarte mult de la
o organizaie la alta, n funcie de mrimea i natura afacerii. n orice caz, este important
pentru un auditor IS s obin informaii pentru a evalua relaiile dintre diferite funcii ale
locului de munc, responsabiliti i autoriti, pentru evaluarea adecvat a

separrii

atribuiilor. Separarea atribuiilor evit posibilitatea ca o singur persoan s poat fi

responsabil pentru funcii diverse i critice, n aa fel nct erorile i deturnrile s poat
aprea i s nu fie detectate n timp util i n cursul normal al proceselor de afaceri.
Segregarea

sarcinilor este un mijloc important prin care acte frauduloase i / sau ru

intenionate pot fi descurajate i prevenite.

ndatoririle care ar trebui s fie segregate includ:
- custodia activelor
- autorizarea
- nregistrarea tranzaciilor
n cazul n care segregarea adecvat a sarcinilor nu exist, pot s apar urmtoarele:
- deturnarea activelor
- situaiile financiare s fie denaturate
- documentaiile financiare inexacte (adic erori sau nereguli)
- utilizarea necorespunztoare a fondurilor sau modificarea datelor ar putea trece
nedetectate
Atunci cnd sarcinile sunt segregate, accesul fi limitat la calculator, la biblioteca de produc ie
de date, la programele de producie, la documentaia de programare, precum i la sistemul de
operare i la utilittile asociate, iar deteriorarea potential din aciunile unei singure persoane
este, prin urmare, redus.
Atenie: Matricea de control a separrii sarcinilor (figura 2.7) nu este un standard industrial,
ci un ghid care s indice ce poziii trebuie s fie segregate i care impun compensarea de
control atunci cnd sunt combinate. Matricea este ilustrativ pentru poteniala separare a
sarcinilor emise i nu trebuie privita sau folosita ca un absolut, ci mai degrab ar trebui s fie
utilizata pentru a ajuta la identificarea potenialelor conflicte astfel nct intrebrile
corespunztoare s poat fi puse astfel nct s identifice controalele compensatorii.
n practica actual, funciile i denumirile pot varia n diferite ntreprinderi. Mai mult, n
funcie de natura proceselor de afaceri i tehnologia utilizat, riscul poate varia. Cu toate
acestea, este important ca un auditor IS s inteleag riscul combinrii funciilor aa cum este
indicat n matricea de control a segregarii sarcinilor.

Controalele compensatorii sunt controale interne care au rolul s reduc riscul unei slbiciuni
de control existente sau poteniale, atunci cnd atribuiile nu pot fi separate n mod
corespunztor. Structura i rolul organizaiei ar trebui s fie luate n considerare la
determinarea controalelelor adecvate pentru mediul relevant. De exemplu, o organizaie nu
poate avea toate poziiile descrise n matrice sau o singur persoan nu poate fi responsabil
pentru multe dintre rolurile descrise. Dimensiunea departamentului IS/IT poate fi, de
asemenea, un factor important care trebuie luat n considerare, de exemplu, anumite
combinaii ale rolurilor ntr-un departament IS/IT de o anumit dimensiune nu ar trebui
utilizate niciodat. Cu toate acestea, n cazul n care, din anumite motive sunt necesare roluri
combinate, atunci ar trebui s fie descrise controale de atenuare.
Scopul separrii sarcinilor este de a reduce sau elimina riscurile de afaceri prin identificarea
comenzilor compensatorii. Amploarea i probabilitatea riscului poate fi evaluat de la mic la
mare, n funcie de organizaie.
2.7.3 Separarea controalelor sarcinilor
Cteva mecanisme de controale pot fi folosite pentru a impune separarea sarcinilor.
Controalele sunt descrise n urmtoarea seciune.

Autorizaia de tranzacie
Autorizaia de tranzacie este responsabilitatea departamentului de utilizatori. Autorizare este
delegat n msura n care se refer la un anumit nivel de responsabilitate a persoanei
autorizate n cadrul departamentului. Verificrile periodice trebuie s fie efectuate de ctre
conducere i de auditor pentru a detecta intrarea neautorizat a tranzaciilor.
Custodia activelor
Custodia activelor corporative trebuie s fie determinat i atribuit n mod corespunztor.
Proprietarul de date, de obicei, este atribuit unui anumit departament de utilizatori i
ndatoririle sale ar trebui s fie specificate i n scris. Proprietarul datelor are responsabilitatea
de a determina nivelurilor de autorizare necesare pentru a asigura o securitate adecvat, n
timp ce grupul de administrare este adesea responsabil pentru implementarea i punerea n
aplicare a sistemului de securitate.
Accesul la date
Controlul asupra accesului la date este furnizat printr-o combinaie de securitate fizic, de
sistem i a aplicaiilor n zona de utilizator i facilitatea de prelucrare a informa iilor. Mediul
fizic trebuie securizat

pentru a mpiedica persoanele neautorizate s acceseze diferite

dispozitive conectate la unitatea central de prelucrare i, prin aceasta, permind accesul la

date. Securitatea sistemului i a aplicaiilor sunt straturi suplimentare de securitate, care ar
putea mpiedica persoanele neautorizate s obin acces la datele companiei. Accesul la datele
din conexiunile externe este o preocupare tot mai mare de la apariia Internetului. Prin
urmare, conducerea IS a adugat responsabiliti pentru a proteja activele informaiilor
mpotriva accesului neautorizat.
Deciziile de control al accesului se bazeaz pe politica de organizare i pe dou standarde de
practic general acceptate- separarea sarcinilor i a privilegiilor. Controalele pentru utilizarea
eficient nu trebuie s perturbe fluxul de lucru de obicei mai mult dect este necesar sau s
pun o povar prea mare pe administratori, auditori sau utilizatori autoriza i. Accesul
suplimentar trebuie s fie condiionat, iar controalele de acces trebuie s protejeze n mod
adecvat toate resursele organizaiei. Pentru a se asigura acest lucru, poate fi necesar s se
clasifice resursele mai nti.

Politicile stabilesc niveluri de sensibilitate, cum ar fi top secret, secret, confidenial i

neclasificat, pentru date i alte resurse. Aceste niveluri ar trebui s fie utilizate pentru
orientare privind procedurile adecvate de manipulare a resurselor informaionale. Ele pot fi
utilizate de asemenea ca baz pentru deciziile de control al accesului. Indivizilor li se acord
acces numai la acele resurse sub un anumit nivel de sensibilitate. Etichetele sunt folosite
pentru a indic nivelul de sensibilitate al documentelor stocate electronic. Controalele bazate
pe politici pot fi caracterizate ca fiind obligatorii fie facultative.
Pentru detalii suplimentare, a se vedea seciunea Controlul accesului obligatoriu i
discreionar, sub tema Importana activelor informaionale, n capitolul 5.
Forme de autorizare
Managerii departamentelor de utilizatori trebuie s furnizeze IS-ului formulare de autorizare
formal (fie pe hrtie, fie n format electronic) care definesc drepturile de acces ale
angajailor. Cu alte cuvinte, managerii trebuie s defineasc cine i la ce ar trebui s aib
acces. Formele de autorizare trebuie s fie evideniate n mod corespunztor i aprobate la
nivel de management. n general, toi utilizatorii ar trebui s fie autorizati cu un anumit acces
la sistem prin cererea formal de gestionare. n companiile mari sau n cele localizate la
distan, log-urile de autorizare a semnturilor trebuie s fie meninute, iar cererile formale ar
trebui s fie comparate cu jurnalul de semntur. Privilegiile de acces ar trebui s fie revizuite
periodic pentru a se asigura c acestea sunt actuale i adecvate pentru posturile de lucru ale
utilizatorului.
Tabele de autorizare ale utilizatorilor
Departamentul IS ar trebui s utilizeze datele din formularele de autorizare pentru construirea
i ntreinerea tabelelor de autorizare ale utilizatorilor. Acestea vor defini cine este autorizat s
actualizeze, s modifice, s tearg datele i / sau s le vizualizeze. Aceste privilegii sunt
furnizate la nivel de sistem, tranzacie sau la nivelul de cmp. De fapt, acestea sunt liste de
control al accesului utilizatorilor. Aceste tabele de autorizare trebuie s fie asigurate
mpotriva accesului neautorizat prin parol suplimentar de protecie sau prin criptarea
datelor. Un jurnal de control ar trebui s nregistreze toate activitile utilizatorilor, i
conducerea adecvat ar trebui s revizuiasc acest jurnal. Toate elementele excepionale ar
trebui s fie investigate.

Controale compensatorii pentru lipsa separarii funciilor

ntr-o mic afacere unde departamentul IS poate fi format doar din patru pn la cinci
persoane, msuri compensatorii de control trebuie s existe pentru a diminua riscul ce rezult
din lipsa separrii sarcinilor. Controalele compensatorii ar include:

Piste de audit- Pistele de audit reprezint o component esenial a tuturor sistemelor

bine concepute. Ele ajut IS i departamentele de utilizatori, precum i auditorul IS
prin furnizarea unei hri pentru a reface fluxul unei tranzacii. Ele permit
utilizatorului i auditorului IS s recreeze fluxul de tranzacii efective din punctul de
origine pn la existena pe un cmp actualizat. n absena separrii corespunztoare a
funciilor, pistele de audit bune pot fi un control compensator acceptabil. Auditorul IS
trebuie s fie n msur s determine cine a ini iat tranzac ia, ora i data de intrare,
tipul de intrare, ce cmpuri de informaii coninea i ce fiiere a actualizat.

Reconcilierea-Reconcilierea este n cele din urm responsabilitatea utilizatorului. n

unele organizaii, reconcilierea limitat a aplicaiilor poate fi efectuat de ctre grupul
de control a datelor cu utilizarea totalurilor de control i bilanului. Tipul de verificare
independent crete nivelul de ncredere c aplicaia a rulat cu succes, iar datele sunt
n echilibru.

Raportarea excepiilor-Raportarea excepiilor trebuie tratat la nivel de supraveghere

i ar trebui s solicite probe, cum ar fi iniialele pe un raport, i faptul c excepia a
fost manipulat n mod corespunztor. De asemenea, conducerea ar trebui s se
asigure c excepiile sunt rezolvate n timp util.

Juranale de tranzacie-Un jurnal de tranzacii poate fi manual sau automat. Un

exemplu al unui jurnal manual este o eviden a tranzaciilor (grupate sau n loturi)
nainte de a fi trimise pentru procesare. Un jurnal de tranzacii automat ofer o
nregistrare a tuturor tranzaciilor procesate, i este meninut de sistemul informatic.

Recenzii de supraveghere-Recenziile de supraveghere pot fi efectuate prin

supraveghere i anchet sau de la distan.

Evaluri independente-Evalurile independente sunt efectuate pentru a compensa

greelile sau nerespectarea intenionat a procedurilor prescrise. Acestea sunt deosebit
de importante atunci cnd sarcinile ntr-o organizaie mic, nu pot fi separate n mod
corespunztor. Astfel de comentarii vor ajuta la detectarea erorilor sau neregulilor.

2.8. Auditul i implementarea structurilor de guvernant IT

Dei multe condiii l ngrijoreaz pe auditorul IS atunci cnd auditeaza func ia IS, unii dintre
cei mai semnificativi indicatori ai problemelor poteniale includ:
atitudini nefavorabile ale utilizatorilor finali
costuri excesive
depirea bugetului
proiecte ntrziate
fluctuaia mare a personalului
personalul fr experianta
erori frecvente de hardare/software
generarea unei jurnalizari excesive a cererilor utilizatorilor
timp de rspuns lent al calculatorului
numeroase proiecte de dezvoltare euate sau suspendate
achiziii neautorizate sau neacceptate de hardware/software
actualizri frecvente de hardware/software
rapoarte de excepie extinse
rapoarte de excepie, care nu au fost urmrite indeaprope
slaba motivare
lipsa planurilor de succesiune
ncrederea n unul sau doi angajai cheie
lipsa unei pregtiri adecvate
2.8.1 Revizuirea documentaiei
Urmtoarele documente trebuie revizuite:

strategiile IT, planurile i bugetetele - Acestea furnizeaz dovezi privind controlul

planificrii i gestionrii mediului IS i alinierea cu strategia de afaceri.

documentaia politicii de securitate - Aceasta furnizeaz standardul pentru
conformitate. Ar trebui s indice poziia organizaiei n ceea ce privete oricare risc
sau toate riscurile de securitate. Aceasta ar trebui s identifice cine este responsabil
pentru protejarea bunurilor companiei, inclusiv a programelor i a datelor. Ar trebui s
precizeze msurile preventive care trebuie luate pentru a asigura o protec ie i
aciunile care trebuie luate mpotriva contravenienilor adecvate. Din acest motiv,
aceast parte a documentului de politic ar trebui s fie tratat ca fiind confidenial.

diagrame organizatorice/funcionale-Acestea furnizeaz auditorului IS o mai bun

nelegere a liniei de raportare n cadrul unui anumit departament sau organizaie.
Acestea ilustreaz o diviziune de responsabilitate i dau o indica ie asupra gradului de
segregare a sarcinilor in cadrul organizatiei.

descrierea postului - Definesc funciile i responsabilitile posturilor prin intermediul

organizaiei. Ele ofer o organizaie cu abilitatea de a grupa locuri de munc similare,
n diferite niveluri de grad pentru a asigura o compensaie echitabil pentru fora de
munc. Mai mult dect att, fiele de post ofer o indicaie a gradului de segregare a
sarcinilor n cadrul organizaiei i poate ajuta la identificarea posibilelor sarcini
contradictorii. Descrierea locurilor de munc ar trebui s identifice poziia la care
personalul raporteaz. Auditorul IS trebuie apoi s verifice dac nivelurile relatiilor de
raportare sunt bazate pe concepte de afaceri solide i acestea s nu compromit

drepturile de segregare.
rapoartele comitetului de direcie-Acestea furnizeaz informaii documentate cu
privire la noile proiecte de sistem. Aceste rapoarte sunt analizate de ctre conducerea

superioar i diseminate ntre diverse uniti de afaceri.

dezvoltarea unor sisteme i proceduri de schimbare de program- Ofer un cadru n

care s se efectueze dezvoltarea sistemului sau schimbarea programului.

proceduri de operare- Descriu responsabilitile personalului de operare.
manualul de resurse umane-Acesta furnizeaz regulile i regulamentele stabilite de o

organizaie pentru modul n care se ateapt c angajatul su s se comporte.

proceduri de asigurare a calitii-Acestea ofer cadru i standarde care pot fi urmate
de departamentul de IS.

Diferitele documente analizate ar trebui evaluate n continuare pentru a stabili dac:

Au fost create conform autorizatiei si planificarii managementului

Ele sunt valabile si actualizate

2.8.2 Revizuirea angajamentelor contractuale

Exist diverse faze ale contractelor de hardware, software i servicii IS, inclusiv:

Dezvoltarea cerinelor contractuale i a nivelurlor de servicii

Procesul de licitare a contractului

Procesul de selecie a contractului

Acceptarea contractului
Contract de ntreinere
Respectarea contractului

Fiecare dintre aceste faze ar trebui s fie susinute de documente juridice, sub rezerva
autorizrii de gestionare. Auditorul IS trebuie s verifice participarea managementului n
procesul de contractare i s asigure un nivel adecvat al evalurii conformitii contractului n
timp util. Auditorul IS poate dori s efectueze o analiz separat de conformitate pe un
eantion de astfel de contracte.
n analizarea unui eantion de contracte, auditorul IS ar trebui s evalueze caracterul adecvat
al urmtorilor termeni i condiii:

Nivelurile de servicii
Dreptul la audit
Software de mputernicire legal
Sanciuni pentru nesupunere
Aderene la politici i proceduri de securitate
Protecia informaiilor despre clieni