Sunteți pe pagina 1din 27

Standarde i ghiduri pentru auditul sistemelor

informaionale

Cele mai importante instituii internaionale, care au rol determinant n


reglementarea domeniului auditului n general i al auditului IT n particular,
sunt: INTOSAI (International Organization of Supreme Audit Institutions),
Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB
(International Audit and Assurance Standard Board)1 din cadrul Federaiei
Internaionale a Contabililor IFAC (International Federation of Accountants)2,
Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO
(Committee of Sponsoring Organizations of the Treadway Commission , ISACA
(Information Systems Audit and Control).

1) ISACA
Pe plan internaional, n domeniul auditului sistemelor informaionale (SI), cea mai cunoscut
autoritate este ISACA, asociaie care a elaborat: Codul de etic profesional pentru auditori,
Standarde internaionale de audit a sistemelor informaionale, Ghiduri metodologice i un set
de Proceduri.
Principalele standarde internaionale de audit pentru sistemele informaionale sunt:
S1. Contractul de audit (Audit Charter). n viziunea acestui standard, scopul,
responsabilitatea i autoritatea funciei de audit a sistemelor informaionale trebuie s fie n
mod clar stipulate printr-un contract de audit sau o scrisoare de angajament.
S2. Independena (Independence). Independena, n general, este piatra de ncercare a
profesiei de auditor. Standardul vizeaz dou aspecte de baz: independena profesional i
independena organizaional;
S3. Etica i standardele profesionale (Professional Ethics and Standards) care vizeaz
dou aspecte:
- auditorul SI trebuie s respecte Codul etic profesional emis de ISACA;
- auditorul SI trebuie s-i exercite profesia respectnd standardele profesionale de audit
aflate n vigoare, la momentul desfurrii misiunii.
S4. Competena profesional (Professional Competence). Auditorul SI trebuie s fie
competent din punct de vedere profesional i s-i menin competena profesional.
S5. Planificarea (Planning):
1

IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul,
asigurarea i serviciile conexe n numele Consiliului IFAC
2
IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod
formal n cadrul Congresului internaional al contabililor, de la Munchen din 1977

- auditorul SI trebuie s planifice activitatea de audit n funcie de obiectivele misiunii sale i


n concordan cu legile i standardele de audit aflate n vigoare;
- auditorul trebuie s dezvolte i s elaboreze o strategie de audit bazat pe riscuri;
- auditorul trebuie s elaboreze i s documenteze un plan de audit care s stabileasc
natura i obiectivele, durata i ntinderea misiunii de audit, ct i resursele necesare.
S6. Performana activitii de audit (Performance of Audit Work): supervizarea, probele de
audit i documentarea.
S7. Raportarea (Reporting):
- la sfritul misiunii de audit, auditorul va furniza un raport care trebuie s identifice
organizaia auditat, destinatarii raportului i eventualele restricii de circulaie a cestuia;
- raportul de audit reprezint instrumentul prin care se comunic scopul auditrii, obiectivele
urmrite, perioada acoperit, natura i ntinderea procedurilor de audit. n cuprinsul su se
regsesc, de asemenea, constatrile i concluziile misiunii, precum i orice rezerv pe care
auditorul o are asupra sistemului auditat;
- raportul de audit trebuie s fie semnat i realizat n termenul stabilit prin contractul de audit.
S8. Urmrirea recomandrilor raportului de audit (Follow-up Activities):
Dup raportarea concluziilor i a recomandrilor fcute, auditorul trebuie s revin i s
evalueze msurile luate de managementul organizaiei pentru realizarea recomandrilor
sale.
S9. Frauda i eroarea (Irregularities and Illegal Acts):
- n planificarea i desfurarea activitii de audit, pentru a reduce riscul de audit la un nivel
acceptabil, auditorul trebuie s evalueze riscul apariiei unor fraude i/sau erori;
- auditorul trebuie s-i menin o atitudine profesional de scepticism pe durata misiunii
sale.
S10. Guvernana IT (IT Governance): Auditorul trebuie:
- s analizeze i evalueze dac SI al organizaiei susine obiectivele i strategiile acesteia;
- s evalueze eficiena utilizrii resurselor SI i performana proceselor manageriale IT;
- s analizeze managementul riscurilor asociate tehnologiilor informatice.
S11. Utilizarea evalurii riscului n planificarea auditului (Use of Risk Assesment in Audit
Planning). n planificarea misiunii de audit i stabilirea prioritilor pentru o alocare efectiv a
resurselor de audit, auditorul trebuie s utilizeze o evaluare bazat pe riscuri. Aceast
abordare l va determina pe auditor s-i concentreze atenia asupra punctelor sensibile ale
sistemului auditat, fr a se pierde n detalii inutile.
S12. Pragul de semnificaie n audit (Audit materiality):
- auditorul trebuie s ia n considerare pragul de semnificaie i relaia acestuia cu riscul de
audit pentru a determina, natura, durata i ntinderea procedurilor de audit;

- exist o relaie invers ntre pragul de semnificaie i nivelul riscului de audit i anume, cu
ct este mai nalt pragul de semnificaie cu att este mai sczut riscul de audit i invers.
S13. Utilizarea informaiilor obinute de la ali experi (Using the Work of Other Experts):
- auditorul SI trebuie, acolo unde este cazul, s foloseasc experiena i expertiza unor
experi;
- auditorul trebuie s evalueze competena profesional i independena expertului i dac
serviciile i aria de cuprindere a expertului corespund scopului auditului.
S14. Probele de audit (Audit Evidence):
- auditorul trebuie s obin probe de audit suficiente i relevante pentru a fi capabil s emit
concluzii rezonabile pe care s se bazeze opinia de audit;
- auditorul trebuie s evalueze suficiena probelor obinute pe parcursul misiunii.

2). Standardul ISO/CEI 27001 - Sisteme de management al


securitii informaiei3
Standardul internaional ISO/CEI 27001 constituie un referenial pentru evaluarea
tehnicilor de securitate implementate n sistemele de management al securitii
informaiei.
Acest standard a fost elaborat pentru a furniza un model pentru stabilirea,
implementarea, funcionarea, monitorizarea, revizuirea, ntreinerea i mbuntirea
unui Sistem de Management pentru Securitatea Informaiei (SMSI) i se aplic n toate
tipurile de organizaii (de exemplu: societi comerciale, agenii guvernamentale,
organizaii non-profit).
Standardul specific cerinele pentru implementarea msurilor de securitate adaptate la
nevoile individuale ale organizaiei sau ale unor pri din aceasta, astfel nct sistemul
de management al securitii informaiei s asigure selectarea adecvat a msurilor de
securitate care protejeaz resursele informatice i s asigure ncrederea prilor
implicate.
ISO (Organizaia Internaional de Standardizare) i CEI (Comisia Electrotehnic
Internaional) reprezint sistemul internaional specializat pentru standardizare.
Comitetele tehnice ISO i CEI colaboreaz n domenii de interes reciproc.
Standardele internaionale ISO/IEC din seria 27000 au fost elaborate de Comitetul
tehnic comun ISO/CEI JTC 1, Information technology, Subcomitetul SC 27, IT Security
techniques. Acestea includ:
ISO/IEC 27000:2009 Information Technology Security Techniques Information
Security Management Systems Overview and Vocabulary
ISO/IEC 27001:2005 Information Technology Security Techniques Information
Security Management Systems Requirements
ISO/IEC 27002:2008 Information Technology Security Techniques Information
Security Management Systems Code of Practice for Information Security
ISO/IEC 27003:2010 Information Technology Security Techniques Information
Security Management Systems Information Security Management System
Implementation Guidance

AUDITUL SISTEMELOR INFORMATICE Manual Curtea de Conturi a Romniei 2012

ISO/IEC 27004:2009 Information Technology Security Techniques Information


Security Management Systems Measurement
ISO/IEC 27005:2008 Information Technology Security Techniques Information
Security Management Systems Information Security Risk Management

ISO/IEC 27006:2007 Information Technology Security Techniques Information


Security Management Systems Requirements for Bodies providing Audit and
Certification of Information Security Management Systems
Adoptarea SMSI trebuie s fie o decizie strategica pentru o organizaie. Proiectarea i
implementarea unui SMSI ntr-o organizaie este influenat de nevoile i obiectivele
acesteia, de cerinele de securitate, de procesele existente i de mrimea i structura
organizaiei.
Standardul internaional ISO/IEC 27001:2005 poate fi folosit pentru evaluarea
conformitii de ctre prile interesate: management, auditori interni, auditori externi i
ali factori externi.
ISACA ITGI a asigurat convergena cu standardul ISO/IEC 27001:2005 prin maparea
acestui standard peste procesele COBIT. Prin trecerea la noua arhitectur COBIT 5,
propus de ITWG, noul cadru de lucru va asigura i conformitatea cu aceste standarde
de securitate.

2.1 Abordare bazat pe proces


Standardul internaional ISO/CEI 27001 adopt o abordare bazat pe proces pentru
stabilirea, implementarea, funcionarea, monitorizarea, evaluarea, ntreinerea i
mbuntirea SMSI n cadrul unei organizaii.
Pentru ca o organizaie s funcioneze n mod eficient ea trebuie s identifice i s
conduc numeroase activiti. Orice activitate care folosete resurse i este condus
pentru a permite transformarea intrrilor n ieiri, poate fi considerat un proces. n multe
cazuri, o ieire dintr-un process reprezint n mod direct intrarea ntr-un alt proces.
Abordarea bazat pe proces pentru managementul securitii informaiei prezentat n
acest standard internaional pune accentul pe urmtoarele aspecte:
a) nelegerea cerinelor de securitate a informaiei ale unei organizaii i nevoia de a
stabili politici i obiective pentru securitatea informaiei;
b) Implementarea i utilizarea msurilor pentru a administra riscurile securitii
informaiei n contextul riscurilor de ansamblu ale afacerii;
c) Monitorizarea i evaluarea performanei i eficienei SMSI; i
d) mbuntirea continu bazat pe msurarea obiectiv.
Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)4, care este
aplicat pentru a structura toate procesele SMSI.
Semnificaia acestor concepte, n viziunea standardului, este urmtoarea:
Plan (stabilirea SMSI) - Stabilirea politicii SMSI, a obiectivelor, proceselor i
procedurilor relevante pentru managementul riscului i mbunatirea securitii
informaiei pentru a furniza rezultate n conformitate cu politicile i obiectivele de
ansamblu ale organizaiei.
Do (implementarea i funcionarea SMSI) - Implementarea i funcionarea politicilor
SMSI, a msurilor de securitate, a proceselor i procedurilor.
Check (monitorizarea i revizuirea SMSI) - Evaluarea i, acolo unde este aplicabil,
msurarea performanei procesului n raport cu politica SMSI, obiectivele i experiena
practic, precum i raportarea rezultatelor ctre echipa de management pentru revizuire.
Act (meninerea i mbuntirea SMSI) - Deciderea aciunilor corective i preventive,
bazate pe rezul-tatele auditului SMSI i revizuirile managementului sau pe alte informaii
relevante pentru a obine o mbuntire continu a SMSI.

Planific Implementeaz Verific Acioneaz

Adoptarea modelului PDCA trebuie s reflecte, de asemenea, principiile care


guverneaz securitatea sistemelor informaionale i a reelelor aa cum sunt ele
exprimate n Liniile Generale ale OECD5
Standardul internaional ISO/CEI 27001 asigura un model pentru implementarea
principiilor care guverneaz analiza riscului, planificarea i implementarea securitii,
managementul securitii i revizuirea.
Acest standard internaional acoper toate tipurile de organizaii, specific cerinele
pentru stabilirea, implementarea, funcionarea, monitorizarea, revizuirea, meninerea i
mbuntirea unui SMSI documentat n contextul general al riscurilor de afaceri ale
organizaiei, precum i cerinele pentru implementarea msurilor de securitate adaptate
la nevoile individuale ale organizaiei sau ale unor pri din aceasta.
Standardul furnizeaz, de asemenea, ndrumri pentru implementare, care pot fi folosite
atunci cnd sunt proiectate msurile de securitate.

2.2 Obiective de control


Obiectivele de control prevzute de standardul ISO/IEC 27001 sunt prezentate sintetic
n seciunea urmtoare. Codificarea este cea prevzut de standard.
A.5 Politica de securitate a informaiei: Asigurarea orientrii generale din partea
managementului i acordarea sprijinului pentru securitatea informaiei n conformitate cu
cerinele afacerii, legislaie i reglementrile aplicabile.
A.6 Organizarea securitii informaiei
A.6.1 Organizarea interna: Administrarea securitii informaiei n cadrul organizaiei.
A.6.2 Pri externe: Meninerea securitii informaiei n cadrul organizaiei i a
sistemelor de procesare a informaiei care sunt accesate, procesate, comunicate ctre
sau administrate de pri externe.
A.7 Managementul resurselor
A.7.1 Responsabilitatea pentru resurse: Obinerea i meninerea unei protecii adecvate
a resurselor organizaionale.
A.7.2 Clasificarea informaiei: Asigurarea c informaia beneficiaz de un nivel de
protecie adecvat.
A.8 Securitatea resurselor umane
A.8.1 naintea angajrii: Asigurarea c angajaii, contractanii i utilizatorii teri neleg
responsabilitile care le revin i sunt corespunztori pentru rolurile pentru care sunt
alocai, precum i reducerea riscului de furt, fraud sau de folosire necorespunztoare a
sistemelor.
A.8.2 n timpul perioadei de angajare: Asigurarea faptului c toi angajaii, contractanii i
utilizatorii teri sunt contieni de ameninrile privind securitatea informaiei,
responsabilitile i rspunderile juridice ale acestora i sunt pregtii s susin politica
de securitate organizaional pe durata contractului de munc i s asigure reducerea
riscului erorilor umane.
A.8.3 ncetarea contractului sau schimbarea locului de munc: Asigurarea faptului c
angajaii, contractanii i utilizatorii teri prsesc organizaia sau schimb locul de
munc ntr-o manier reglementat.
A.9 Securitatea fizic i a mediului de lucru
A.9.1 Zone de securitate: Prevenirea accesului fizic neautorizat, a distrugerilor i a
ptrunderii n interiorul organizaiei precum i a accesului neautorizat la informaii.
A.9.2 Securitatea echipamentelor: Prevenirea pierderii, avarierii, furtului sau
compromiterii resurselor i a ntreruperii activitilor din cadrul organizaiei.
A.10 Managementul comunicaiilor i operaiunilor
A.10.1 Proceduri operaionale i responsabiliti: Asigurarea operrii corecte i n condiii
de securitate a sistemelor de procesare a informaiei.
5

OECD Organizaia European pentru Comer i Dezvoltare

A.10.2 Managementul serviciilor furnizate de teri: Implementarea i meninerea unui


nivel corespunztor al securitii informaiei i al livrrii serviciilor n concordan cu
acordurile de furnizare de ctre teri.
A.10.3 Planificarea i acceptana sistemelor: Reducerea riscurilor de disfuncionaliti
ale sistemelor.
A.10.4 Protecia mpotriva codurilor mobile i duntoare: Asigurarea protejrii integritii
software-ului i a informaiei.
A.10.5 Copie de siguran: Meninerea integritii i disponibilitii informaiei i a
sistemelor de procesare a informaiei.
A.10.6 Managementul securitii reelei: Asigurarea proteciei reelelor de informaii i a
proteciei infrastructurii suport.
A.10.7 Manipularea mediilor de stocare: Prevenirea divulgrii neautorizate, modificrii,
nde-prtrii sau distrugerii resurselor i ntreruperii activitilor afacerii.
A.10.8 Schimbul de informaii: Meninerea securitii schimbului de informaie i software
n interiorul unei organizaii sau cu orice entitate extern.
A.10.9 Serviciile de comer electronic: Asigurarea securitii serviciilor de comer
electronic i a utilizrii lor n condiii de siguran.
A.10.10 Monitorizarea: Identificarea activitilor neautorizate de procesare a informaiei.
A.11 Controlul accesului
A.11.1 Cerinele afacerii pentru controlul accesului: Controlul accesul la informaie.
A.11.2 Managementul accesului utilizatorului: Asigurarea accesului autorizat al
utilizatorului i prevenirea accesului neautorizat la sistemele informatice.
A.11.3 Responsabilitile utilizatorului: Prevenirea accesului neautorizat al utilizatorului,
precum i a compromiterii sau furtului de informaii i sisteme de procesare a
informaiilor.
A.11.4 Controlul de acces la reea: Prevenirea accesului neautorizat la serviciile de
reea.
A.11.5 Controlul accesului la sistemul de operare: Prevenirea accesului neautorizat la
sistemele de operare.
A.11.6 Controlul accesului la aplicaii i informaii: Prevenirea accesului neautorizat la
informaia deinut n sistemele de aplicaii.
A.11.7 Prelucrarea datelor folosind echipamente mobile i lucrul la distan: Asigurarea
securitii informaiei atunci cnd se folosesc sisteme pentru prelucrarea datelor care
utilizeaz echipa-mente mobile i de lucru la distan.
A.12 Achiziionarea, dezvoltarea i mentenana sistemelor informatice
A.12.1 Cerine de securitate pentru sistemele informaionale: Asigurarea faptului c
securitatea este parte integrant a sistemelor informatice.
A.12.2 Procesarea corect a datelor n cadrul aplicaiilor: Prevenirea erorilor, pierderilor,
modificrilor neautorizate sau a folosirii greite a informaiilor n cadrul aplicaiilor.
A.12.3 Msuri criptografice: Protejarea confidenialitii, autenticitii sau a integritii
informaiei prin metode criptografice.
A.12.4 Securitatea fiierelor de sistem: Asigurarea securitii fiierelor de sistem.

A.12.5 Securitatea n procesele de dezvoltare i de suport: Meninerea securitii


produselor software de aplicaii de sistem i a informaiei.
A.12.6 Managementul vulnerabilitilor tehnice: Reducerea riscurilor care decurg din
exploatarea vulnerabilitilor tehnice.
A.13 Managementul incidentelor de securitate a informaiei
A.13.1 Raportarea evenimentelor produse i a slbiciunilor privind securitatea
informaiei: Asigurarea faptului c evenimentele de securitate a informaiei i slbiciunile
asociate sistemelor informaionale sunt comunicate de o manier astfel nct s permit
ntreprinderea la timp a aciunilor corective.
A.13.2 Managementul incidentelor de securitate a informaiei i mbuntiri: Asigurarea
faptului c pentru managementul incidentelor de securitate a informaiei este aplicat o
abordare con-sistent i eficient.
A.14 Managementul continuitii afacerii
A.14.1 Aspecte de securitate a informaiei privind managementul continuitii afacerii:
Contraca-rarea oricror discontinuiti n activitile afacerii i protejarea proceselor
critice ale afacerii fa de efectele cderilor majore ale sistemelor informaionale sau
mpotriva dezastrelor, precum i asigurarea relurii activitii n timp optim.
A.15 Conformitatea
A.15.1 Conformitatea cu cerinele legale: Evitarea nclcrii oricrei legi, obligaii
statutare, de reglementare sau contractuale sau a oricrei alte cerine de securitate.
A.15.2 Conformitatea cu standardele i politicile de securitate i conformitatea tehnic:
Asigurarea conformitii cu standardele i politicile de securitate organizaionale.
A.15.3 Consideraii privind auditul asupra sistemelor informaionale: Maximizarea
eficienei procesului de audit i minimizarea interferenei acestuia asupra sistemelor
informaionale.

3. Cadrul de lucru COBIT6


3.1 ISACA, ITGI i cadrul de lucru COBIT
Evoluia n domeniul auditului IT confirm cristalizarea unor arhitecturi de auditare
generale, un promotor reprezentativ n acest sens fiind ISACA (Information Systems
Audit and Control Association).
Arhitectura de auditare ISACA se constituie ca un ansamblu ierarhizat de elemente de
ghidare care include urmtoarele niveluri i componente: standarde, ghiduri de aplicare,
proceduri i resursele COBIT. Resursele COBIT sunt apreciate ca fiind "cele mai bune
practici" n materie i reprezint o structur bazat pe un model general, detaliat, de
controale i tehnici de control destinat unui mediu informatizat.
Componentele arhitecturii de auditare ISACA sunt:
Standarde - Definesc cerinele obligatorii pentru auditarea i raportarea auditrii
sistemelor informatice.
Ghiduri de aplicare - Furnizeaz ghiduri practice pentru aplicarea standardelor de
auditare a sistemelor informatice.
Proceduri - Furnizeaz exemple de proceduri pe care un auditor de sisteme informatice
ar trebui s le urmeze (le-ar putea utiliza) n cadrul unui angajament de audit.
Cel de-al patrulea element al ansamblului menionat, resursele COBIT, funcioneaz ca
o surs de ghidare pentru "cele mai bune practici" n materie.
Unul dintre obiectivele asociaiei ISACA este acela de a avansa (de a dezvolta i
disemina) standarde global aplicabile pentru atingerea viziunii proprii n materie de
auditare IT/IS.
COBIT este un cadru de lucru dezvoltat iniial de ctre Information Systems Audit and
Control Foundation (ISACF) i publicat n anul 1996. Aceast prim versiune a fost
6

AUDITUL SISTEMELOR INFORMATICE Manual Curtea de Conturi a Romniei 2012

urmat de o a doua ediie, extins la nivelul documentelor surs i al componentelor,


inclusiv prin adugarea unui set de instrumente de implementare, care a fost publicat
n anul 1998.
Obiectivele de control elaborate de ctre ISACF (ISACA) au fost proiectate ca un
instrument pentru auditori, n timp ce cadrul de lucru COBIT este un rezultat al
evoluiei ctre un instrument pentru management i guvernare IT. Din acest motiv,
COBIT a fost suplimentat cu o serie de elemente care permit decizii de implementare i
mbuntire a proceselor IT: indicatori cheie de scop, indicatori cheie de performan,
factori de succes critici, modele de maturitate.
Necesitatea de a avea asigurri cu privire la valoarea tehnologiei informaiei,
managementul riscurilor asociate acestor tehnologii, precum i cerinele sporite pentru
controlul asupra informaiilor sunt considerate ca un element-cheie al guvernrii
organizaiilor i companiilor. Managementul valorii, mana-gementul riscurilor i controlul
constituie nucleul guvernrii IT.
COBIT (acronim de la Control Objectives for Information and related Technology) ofer
un set de bune practici prin intermediul unui cadru de referin bazat pe domenii i
procese, prezentnd activitile de o manier logic, uor de gestionat. Setul de bune
practici prezente n COBIT se concentreaz n special pe controlul proceselor din cadrul
organizaiei, oferind bune practici care vor ajuta la optimizarea investiiilor IT, vor asigura
livrarea serviciilor i vor furniza un referenial pe baza cruia se va judeca atunci cnd
lucrurile nu merg bine. n acest context, COBIT constituie un instrument deosebit de util
i pentru auditori.
Misiunea COBIT const n cercetarea, dezvoltarea, publicarea i promovarea unui cadru
de referin pentru guvernarea IT, autorizat, actualizat, acceptat la nivel internaional
pentru a fi adoptat de ctre organizaii i utilizat n activitatea cotidian a managerilor,
profesionitilor IT i auditorilor, avnd n vedere impactul semnificativ pe care informaiile
il pot avea asupra succesului organizaiilor.
Orientarea spre partea economic a COBIT const n legtura dintre obiectivele afacerii
i obiectivele IT, furnizarea de metrici/indicatori i de modele de maturitate pentru a
cuantifica realizarea acestora, precum i identificarea responsabilitilor legate de
afacere i a responsabililor de procese IT.

3.2 Orientarea COBIT pe domenii i procese


Orientarea COBIT pe procese este pus n eviden de un model orientat pe patru
domenii i 34 de procese, in conformitate cu zonele de responsabiliti pentru
planificarea, dezvoltarea, utilizarea i monitorizarea IT, oferind o imagine asupra
sistemului informatic al organizaiei.
Conceptele cu privire la arhitectura ntreprinderii ajut la identificarea resurselor
eseniale pentru asigurarea succesului procesului, cum ar fi aplicaiile, informaiile,
infrastructura i resursele umane.
Pentru a oferi informaiile de care o organizaie are nevoie pentru atingerea obiectivelor
sale, resursele IT trebuie s fie gestionate de un set de procese grupate corespunztor,
mediul informatic s fie controlat, riscurile s fie gestionate i resursele IT s fie
securizate.
n primul rnd, este nevoie de obiective de control care s defineasc i s susin
obiectivul final de punere n aplicare a politicilor, planurilor i a procedurilor, precum i de
structuri organizatorice concepute pentru a oferi o asigurare rezonabil n ceea ce
privete atingerea obiectivelor economice i prevenirea sau detectarea i corectarea
evenimentelor neprevzute.
n al doilea rnd, n mediile complexe de astzi, managementul se afl ntr-o cutare
continu de informaii, condensate i obinute n timp util, pentru a lua decizii dificile, dar
cu rapiditate i succes cu privire la valoare, risc i control.
9

Organizaiile au nevoie de o unitate de msur obiectiv asupra stadiului de dezvoltare,


precum i n ceea ce privete perfecionrile de care au nevoie, fiind practic obligate s
pun n aplicare un instrument de management pentru a monitoriza aceste mbuntiri.
Un rspuns la aceste cerine de determinare i de monitorizare a adecvrii i de
evaluare a performanelor controalelor IT este dat de definiiile COBIT:
Analiza comparativ a performanei i capabilitii unui proces IT este exprimat sub
forma unui model de maturitate derivat din modelul CMM (Capability Maturity Model)7
Obiectivele i indicatorii unui proces IT definesc i cuantific rezultatele i
performana acestuia pe baza principiilor tablourilor cu indicatori agregai 8
Obiectivele activitii au ca rol inerea proceselor sub control, pe baza controalelor
COBIT.

3.3 Modele de maturitate COBIT


Evaluarea capabilitii proceselor pe baza modelelor de maturitate COBIT este un
element-cheie al punerii n aplicare a guvernrii IT. Dup identificarea proceselor i
controalelor IT considerate critice, modelele de maturitate permit identificarea lacunelor
capabilitilor i argumentarea acestora n faa managementului. Planurile de aciune pot
fi apoi dezvoltate pentru a duce aceste procese pn la nivelul de capabilitate dorit.
n concluzie, COBIT ofer un cadru de referin care asigur c:
Tehnologiile sunt aliniate cu afacerea;
Tehnologiile uureaz procesele economice i maximizeaz beneficiile;
Resursele sunt utilizate cu responsabilitate;
Riscurile IT sunt gestionate n mod corespunztor.

3.4 Msurarea performanelor


Msurarea performanelor este esenial pentru guvernarea IT. Aceasta este oferit de
cadrul de lucru COBIT i include stabilirea i monitorizarea unor obiective cuantificabile
cu privire la ceea ce procesele IT trebuie s ofere (rezultatul procesului), precum i la
modul n care se livreaz (capabilitile i performana procesului). Multe studii au
identificat c lipsa de transparen privind costurile associate serviciilor IT, valoarea
investiiilor IT, precum i riscurile generate de prezena mediului informatizat reprezint
unul dintre cei mai importani factori ce afecteaz guvernarea IT. Transparena este
obinut n primul rnd prin msurarea performanei.

3.5 Zonele de interes pentru guvernarea IT


Guvernarea IT se focalizeaz pe cinci zone principale: alinierea strategic, livrarea de
valoare, manage-mentul riscurilor, managementul resurselor, msurarea performanei.
Alinierea strategic se concentreaz pe asigurarea legturii dintre procesele
economice i planurile IT, definind, meninnd i validnd valoarea propus pentru a fi
obinut prin utilizarea IT;
Furnizarea valorii se concentreaz pe obinerea de valoare pe tot parcursul ciclului de
via al sistemului informatic, asigurndu-se c acesta ofer avantajele promise n
conformitate cu strategia adoptat;
Managementul resurselor are n vedere optimizarea investiiilor i managementul
cores-punztor al resurselor IT critice: aplicaii, informaii, infrastructur i resurse
umane. Aspectele principale vizeaz optimizarea cunoaterii i a infrastructurii;
Managementul riscurilor implic gradul de contientizare a riscurilor de ctre
management, o nelegere clar a apetenei ntreprinderii fa de risc, nelegerea
cerinelor de conformitate, de transparen cu privire la riscuri;
Msurarea performanelor urmrete i monitorizeaz implementarea strategiei,
finalizarea proiectului, utilizarea resurselor, performana procesului i livrarea de servicii,
7
8

de la Software Engineering Institute


dezvoltate de Robert Kaplan si David Norton

10

utiliznd, de exemplu, tablourile cu indicatori agregai, care traduc strategia n aciune


pentru a atinge obiective msurabile, dincolo de contabilitatea convenional.
Cadrul de lucru COBIT ofer un model al proceselor generice ce prezint toate
procesele identificate n mod normal la nivelul funciei IT, oferind n acelai timp un
model comun de referin ce poate fi neles att de ctre manageri ct i de
auditori.
Obiectivele de control IT din cadrul COBIT sunt organizate pe procese IT; prin urmare,
cadrul de referin ofer o legtur clar ntre cerinele de guvernare IT, procesele IT i
controalele IT.
Guvernarea i cadrele de referin pentru control devin parte a bunelor practici de
management IT i sunt, n acelai timp, un stimulent pentru punerea n practic a
guvernrii IT i asigurarea conformitii cu cerinele legale n continu dezvoltare.
Bunele practici n IT au devenit importante datorit unui numr de factori:
Conducerea solicit o rat de recuperare mai bun a investiiilor n IT i o asigurare c
IT corespunde nevoilor afacerii i sporete valoarea pentru prile interesate;
ngrijorarea fa de nivelul, n general, tot mai mare al cheltuielilor cu IT;
Necesitatea de a ndeplini cerinele de reglementare a controalelor IT, n domenii cum
ar fi viaa privat i raportarea financiar (de exemplu, Actul Sarbanes-Oxley din USA,
Basel II), precum i n sectoare specifice, cum ar fi finane, industria farmaceutic sau
asistena medical;
Selecia furnizorilor de servicii i gestionarea achiziiilor de servicii externalizate;
Creterea complexitii riscurilor IT, cum ar fi securitatea reelei;
Iniiativele de guvernare IT ce includ adoptarea unor cadre de control i de bune
practici cu scopul de a ajuta la monitorizarea i mbuntirea activitilor IT critice
pentru a crete valoarea afacerii i a reduce riscul economic;
Nevoia de a optimiza costurile prin respectarea, acolo unde este posibil, a unor
abordri mai degrab standardizate dect special dezvoltate;
Creterea nivelului de maturitate i acceptarea pe scar larg a cadrelor de referin,
cum ar fi COBIT, ITIL, seria ISO 27000 privind securitatea informaiilor, standardele de
calitate ISO 9001: 2000 Quality Management Systems - Requirements, model de
maturitate (CMMI), metodologie de proiectare n medii controlate (PRINCE2);
Nevoia organizaiilor de a evalua modul n care acestea funcioneaz, comparativ cu
standardele general acceptate i sau cu alte companii (benchmarking).
Cadrul de referin COBIT a fost creat avnd ca principale caracteristici:
1. Concentrarea pe componenta economic;
2. Orientarea pe procese;
3. Bazat pe controale;
4. Conducerea prin indicatori.

3.6 Liniile Directoare pentru Auditare asociate Cadrului de lucru COBIT


Liniile directoare pentru auditare furnizeaz un instrument complementar de facilitare a
aplicrii cadrului de lucru i a obiectivelor de control COBIT n activitile de auditare i
evaluare. Scopul liniilor directoare pentru auditare este acela de a pune la dispoziie o
structur simpl pentru auditarea i evaluarea con-troalelor bazat pe practici de
auditare general acceptate, care sunt compatibile cu schema COBIT global. Pentru o
just situare n ansamblu, considerm util a descrie trsturile definitorii ale liniilor
directoare pentru auditare i relaiile acestora n cadrul arhitecturii de auditare.
(1)- O prim observaie este aceea c, n mod inerent, liniile directoare pentru auditare
sunt generice i de nivel nalt n ceea ce privete structura proprie, ca o consecin
direct a diversitii obiectivelor i prac-ticilor de auditare adoptate de o organizaie sau
alta, precum i a diversitii profesionitilor implicai n auditare.
11

(2)- Caracteristica de esen rezid n aceea c, prin faptul c se bazeaz pe obiectivele


de control, liniile directoare pentru auditare asigur eliminarea opiniei auditorului din
concluziile auditului (asigur deci, o obiectivizare a concluziilor auditului), nlocuind
aceast opinie cu criterii de autoritate recunoscut derivate din fundamentele COBIT (41
de standarde i documente de bune practici, din sistemul public i privat, recunoscute pe
plan mondial).
(3)- Liniile directoare pentru auditare furnizeaz ghidare pentru elaborarea de planuri de
auditare care se integreaz cu cadrul de lucru COBIT i obiectivele de control detaliate,
i care pot fi deci utilizate n contextul obiectivelor de control COBIT. Astfel de planuri de
auditare pot fi extinse i rafinate pn la programe de auditare specifice.
(4)- Liniile directoare pentru auditare permit auditorului revizuirea proceselor IT specifice
prin prisma obiectivelor de control COBIT i sprijinirea n consecin a managementului:
indicarea locurilor unde controalele sunt suficiente sau unde procesele trebuie s fie
mbuntite.
(5)- Combinaia dintre Cadrul de lucru COBIT i Liniile Directoare pentru Auditare se
poate utiliza att n manier reactiv, ct i n manier proactiv, aceasta din urm n
fazele iniiale ale dezvoltrii proiectelor i proceselor.
Structura general a Liniilor Directoare pentru Auditare
Structura general a liniilor directoare pentru auditare este inspirat de modelele
generale de evaluare a controalelor: (a)- modelul de auditare (cel mai rspndit) sau (b)modelul de analiz a riscului.
In cele ce urmeaz, vom prezenta o descriere a liniilor directoare pentru auditare prin
prisma modelului de auditare. Un asemenea model ia n considerare o serie de obiective
specifice ale auditrii, ntre care cele mai importante sunt: (a) de a furniza
managementului o asigurare rezonabil asupra faptului c obiec-tivele de control sunt
atinse, (b) de a substanializa riscul rezultant, acolo unde sunt puse n eviden puncte
slabe ale controalelor, i (c) de a consilia managementul asupra aciunilor corective.
In aceeai linie de idei, se poate adopta ca premis i faptul c structura general
acceptat a procesului de auditare include urmtoarele componente (faze): (1)identificarea i documentarea; (2)- evaluarea; (3)- testarea conformitii; (4)- testarea
bazat pe probe.
Cadrul de auditare construit pe cerinele COBIT este prezentat ntr-o manier ierarhizat
pe nivele, cu o orientare declarat ctre obiectivele afacerii, fiind dirijat de proces. De
asemenea, cadrul de lucru are o dubl focalizare: pe resursele care trebuie gestionate i
pe criteriile de informaie care sunt necesare.

3.7 Criteriile COBIT pentru informaie


Pentru a satisface obiectivele afacerii, informaia trebuie s se conformeze anumitor
criterii de control pe care COBIT le evideniaz sub forma de cerine ale afacerii pentru
informaie. Pe baza cerinelor generale de calitate, de ncredere i de securitate, au fost
definite apte criterii distincte pentru informaii, dup cum urmeaz:
Eficacitatea: impune ca informaiile s fie relevante i pertinente pentru procesul
economic, precum i s fie livrate ntr-un timp util i de o manier corect, coerent i
uor de utilizat.
Eficiena: se refer la furnizarea de informaii prin utilizarea optima a resurselor
(raportndu-ne la productivitate i economicitate).
Confidenialitatea: se refer la protejarea informaiilor sensibile impotriva divulgrii
neautorizate.
Integritatea: se refer la acurateea i exhaustivitatea informaiilor, precum i la
valabilitatea acestora, n conformitate cu valorile i asteptrile organizaiei.
Disponibilitatea: impune ca informaiile s fie disponibile atunci cnd procesul
economic o cere, la momentul actual sau n viitor. De asemenea, se refer la protejarea
resurselor necesare i a capacitilor asociate.
12

Conformitatea: se refer la conformitatea cu cadrul legislativ i de reglementare, cu

acordurile contractuale la care este supus procesul economic.


Fiabilitatea: se refer la furnizarea de informaii adecvate managementului pentru a
opera entitatea i pentru a-i exercita responsabilitile de guvernare.

3.8 Resursele IT
Funcia IT i atinge scopurile printr-o serie bine definit de procese care implic
aptitudinile personalului i infrastructura tehnologic pentru a executa aplicaii
automatizate ce deservesc derularea afacerii, folosind prghii informaionale specifice
afacerii.
Resursele IT identificate n COBIT pot fi definite dup cum urmeaz:
Aplicaiile: sunt sistemele utilizator automatizate i procedurile manuale care
prelucreaz informaiile.
Informaiile: reprezint datele, de toate tipurile, intrate, procesate i rezultate din
sistemele informaionale, indiferent de forma sub care sunt utilizate n derularea afacerii.
Infrastructura: este format din tehnica i tehnologiile care permit procesarea i
rularea aplicaiilor (de exemplu: echipamente, hardware, sisteme de operare, sisteme de
management al bazelor de date, reele, multimedia i ntreg mediul de tip suport n care
se gsesc).
Resursele umane: reprezint ntreg personalul necesar pentru a planifica, organiza,
achiziiona, implementa, furniza, susine, monitoriza i evalua sistemele informaionale i
serviciile. Acetia pot fi angajai permaneni ai firmei, angajai temporar pe baz de
contract sau funciile lor pot fi nchiriate de pe piaa serviciilor externalizate, dup cerine.

3.9 Domeniile COBIT


Cadrul de lucru COBIT definete activitile legate de IT ntr-un model general al
proceselor cu patru domenii: Planificare i Organizare9 (direcioneaz furnizarea
soluiilor i a serviciilor), Achiziie i Imple-mentare10 (ofer soluiile i le transmite mai
departe spre a fi transformate n servicii), Furnizare i Suport11 (primete soluiile i le
face utilizabile pentru utilizatorii finali), Monitorizare i Evaluare12 (super-vizeaz toate
procesele pentru a fi asigurat faptul c direciile i msurile decise sunt urmate ntocmai
spre a fi ndeplinite).
Pentru a pstra conformitatea cu cadrul de lucru, pentru procesele COBIT n lucrare vor
fi folosite acro-nimele corespunztoare din limba englez: PO, AI, DS, ME.
Cadrul COBIT ofer un model al proceselor i un limbaj comun tuturor celor implicai n
IT dintr-o organizaie, pentru a vizualiza i conduce activitile legate de IT ctre o bun
guvernare IT. De asemenea, acest cadru permite msurarea i monitorizarea
performanei IT, comunicarea cu furnizorii de servicii i adoptarea celor mai bune practici
de management. Modelul proceselor susine gestiunea per proces, precum i ndatoririle
i responsabilitile definite.
PLANIFICARE I ORGANIZARE (Plan & Organise - PO)
Acest domeniu acoper strategia i tacticile i vizeaz identificarea celor mai potrivite ci
prin care tehnologia informaiei poate contribui la ndeplinirea obiectivelor afacerii.
Implementarea viziunii strategice este necesar a fi planificat, comunicat i abordat
din diverse perspective, avnd n vedere c se raporteaz, pe de o parte, la sistemul de
organizare, precum i, pe de alt parte, la asigurarea unei infrastructuri tehnologice.
Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:
Dac strategia IT este aliniat la strategia afacerii;
9

PO Plan and Organize


AI Acquire and Implement
11
DS Deliver and Support
12
ME Monitor and Evaluate
10

13

Dac

organizaia atinge un nivel optim de utilizare a resurselor disponibile;


Dac obiectivele IT sunt nelese de ctre toi membrii organizaiei;
Dac riscurile IT sunt cunoscute i gestionate;
Dac nivelul de calitate al sistemelor IT rspunde n mod corespunztor nevoilor
afacerii.
ACHIZIIE I IMPLEMENTARE (Acquire & Implement - AI)
n vederea realizrii strategiei IT, soluiile IT trebuie identificate, dezvoltate sau
achiziionate, dar i implementate i integrate n procesele afacerii. n plus, pentru a se
asigura continuitatea n atingerea obiectivelor economice pe baza soluiilor IT, sunt
acoperite, prin acest domeniu, schimbrile i mentenana sistemelor deja existente.
Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:
Dac exist perspective ca noile proiecte s ofere soluii care s rspund nevoilor
afacerii;
Dac noile proiecte au anse s fie duse la bun sfrit, n timpul i cu bugetul
prevzute;
Dac noile sisteme vor funciona dup implementare;
Dac este posibil ca schimbrile s aib loc fr a perturba activitile curente ale
afacerii/organizaiei.
FURNIZARE I SUPORT (Deliver & Support - DS)
Acest domeniu este responsabil de furnizarea efectiv a serviciilor necesare, ceea ce
include furnizarea serviciilor IT, managementul securitii i al continuitii, servicii suport
pentru utilizatori i managementul datelor i al capabilitilor operaionale.
Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:
Dac serviciile IT sunt furnizate n conformitate cu prioritile afacerii;
Dac sunt optimizate costurile IT;
Dac personalul poate folosi sistemele IT n mod productiv i n siguran;
Dac, n vederea asigurrii securitii, sunt adecvate confidenialitatea, disponibilitatea
i integritatea.
MONITORIZARE I EVALUARE (Monitor & Evaluate - ME)
Toate procesele IT trebuie evaluate periodic, din perspectiva calitii lor i a conformitii
cu cerinele controlului. Acest domeniu este axat pe managementul performanei,
monitorizarea controlului intern, conformarea cu legislaia (sau/i cadrul de
reglementare) i are n vedere i guvernarea IT.
Cnd este evaluat acest domeniu, se pun urmtoarele intrebri:
Dac este msurat performana sistemului IT pentru a detecta la timp problemele;
Dac managementul asigur eficiena i eficacitatea controlului intern;
Dac se poate face o evaluare privind impactul performanei sistemului IT asupra
intelor/scopurilor afacerii;
Dac, n vederea asigurrii securitii, sunt adecvate confidenialitatea, integritatea i
disponibilitatea.
n cadrul celor patru domenii, COBIT conine 34 de procese IT a cror utilizare este
general. Pentru a verifica completitudinea activitilor i a responsabilitilor, COBIT
pune la dispoziie o list complet a proceselor. n funcie de tipul organizaiei, ele pot fi
aplicate integral, partial, sau pot fi combinate dup necesiti. Pentru fiecare din aceste
34 de procese se face o trimitere ctre obiectivele afacerii si obiectivele IT pe care le
susin. De asemenea, sunt oferite informaii despre modul n care pot fi msurate,
despre activitile cheie i principalele rezultat i n responsabilitatea cui cade asigurarea
lor.
14

COBIT definete att obiectivele de control pentru toate cele 34 de procese, ct i


controale specifice aferente aplicaiilor.

3.10 Controalele asociate proceselor


Controlul este definit ca totalitatea politicilor, procedurilor, practicilor i a structurilor
organizaionale proiectate s ofere o asigurare rezonabil asupra faptului c obiectivele
afacerii vor fi atinse i evenimentele nedorite vor fi prevenite sau detectate i corectate.
Obiectivele de control IT incluse n COBIT ofer un set complet de cerine de nivel nalt
care trebuie luate n considerare de ctre management, n vederea unui control eficient
al fiecrui proces IT.
Ele pot fi materializate sub urmtoarele forme sau aciuni:
Afirmaii declarative ale managementului privind creterea valorii sau reducerea
riscului;
Politici, proceduri, practici i structuri organizaionale;
Sunt concepute spre a asigura in mod acceptabil faptul c obiectivele afacerii vor fi
atinse i evenimentele nedorite vor fi prevenite sau detectate i corectate;
Managementul organizaiei trebuie s fac unele alegeri privind obiectivele de control:
selectarea obiectivelor care sunt aplicabile, decizia privind controalele care vor fi puse n
practic.
Alegerea modului de a implementa controalele (frecven, durat, grad de
automatizare etc.).
Acceptarea riscului neimplementrii controalelor aplicabile.
ntruct obiectivele de control IT ale COBIT sunt ataate proceselor IT, cadrul de
referin COBIT ofer corespondenele ntre cerinele guvernrii IT, procesele IT i
controalele IT.
Fiecare dintre procesele IT definite in COBIT are o descriere a procesului i un numr
de obiective legate de controlul aferent. Vzute ca un ntreg, ele sunt caracteristicile
unor procese bine gestionate.
Obiectivele de control sunt identificate prin dou caractere (abrevierea domeniului din
care fac parte: PO, AI, DS i ME), un numr al procesului i un numr al obiectivului
controlului.

3.11 Cerinele obiectivelor de control


Fiecare proces COBIT are asociate, n afar de obiective de control, i cerine generale
de control care trebuie avute in vedere mpreun cu obiectivele de control ale
proceselor.
Scopurile i obiectivele proceselor: Definete i comunic scopuri i obiective ale
proceselor cu respectarea principiilor SMART (specific, msurabil, realizabil, realist,
orientat spre rezultat i posibil de realizat n timp) pentru execuia eficient a fiecrui
proces IT. Asigur corespondena cu obiectivele afacerii i c acestea sunt susinute de
indicatori relevani.
Responsabilitatea procesului: Stabilete un responsabil al procesului pentru fiecare
proces IT i definete clar rolurile i responsabilitile sale. Include, de exemplu,
responsabilitatea pentru proiectarea procesului, interaciunea cu alte procese,
rspunderea pentru rezultatele finale, msurarea performanei procesului i identificarea
oportunitilor de mbuntire.
Repetabilitatea procesului: Proiecteaz i stabilete fiecare proces cheie spre a fi
repetabil i consecvent n producerea rezultatelor ateptate. Furnizeaz o secvena
logic, dar flexibil i scalabil a activitilor care vor conduce la rezultatele dorite i
suficient de agil pentru a face fa excepiilor i urgenelor. Utilizeaz procese
compatibile, acolo unde e posibil i le modific doar acolo unde nu se poate evita acest
lucru.

15

Roluri

i responsabiliti: Definete activitile cheie i livrabilele procesului. Atribuie i


comunic rolurile definite fr ambiguitate i responsabilitile pentru o execuie eficient
i eficace a activitilor cheie i pentru documentarea lor, ca i rspunderea pentru
furnizarea rezultatelor finale ale procesului.
Politici, planuri i proceduri: Definete i comunic modul n care toate politicile,
planurile i procedurile care conduc un proces IT sunt documentate, revizuite,
meninute, aprobate, pstrate, comunicate i utilizate pentru instruire. Atribuie
responsabilitile pentru fiecare din aceste activiti i, la momentele adecvate,
revizuiete execuia lor corect. Se asigur c politicile, planurile i procedurile sunt
accesibile, corecte, nelese i nnoite.
mbuntirea performanei procesului: Identific un set de indicatori care ofer o
imagine asupra rezultatelor i a performanei procesului. Stabilete inte care se reflect
n scopurile proceselor i n indicatorii de performan ce permit atingerea scopurilor
procesului. Definete modul n care datele vor fi obinute. Compar msurtorile cu
intele stabilite i acioneaz, acolo unde este cazul, conform deviaiilor constatate.
Aliniaz indicatorii, valorile-int i metodele cu abordarea global cu privire la
monitorizarea performanei sistemului IT.
Implementarea unor controale eficace reduce riscul, crete probabilitatea obinerii de
valoare i mbuntete eficiena prin diminuarea numrului de erori i printr-o abordare
managerial consistent.

2.8.12 Controalele IT i controalele economice


Sistemul de control intern al unei ntreprinderi produce un impact asupra mediului IT, pe
trei nivele:
1. La nivelul managementului executiv, sunt stabilite obiectivele economice, politicile, iar
deciziile care se iau vizeaz modul n care trebuie dezvoltate i gestionate resursele
organizaiei pentru a executa strategia acesteia. Mediul de control IT este direcionat
prin acest set de obiective i politici de la cel mai nalt nivel.
2. La nivelul proceselor afacerii, controalele sunt aplicate anumitor activiti. Majoritatea
proceselor economice sunt automatizate i integrate cu sistemele de aplicaii IT astfel c
multe dintre controalele aferente acestui nivel sunt i ele automatizate. Ele sunt
cunoscute sub denumirea de controale de aplicaie. Totui, unele controale ale
proceselor economice rmn a fi implementate prin proceduri manuale, cum ar fi:
autorizarea tranzaciilor, segregarea sarcinilor (ndatoririlor), reconcilierile manuale.
Astfel, controalele la nivelul proceselor economice sunt o combinaie de controale
manuale operate de afacere i controale automatizate din afacere (controale de
aplicaie). Ambele cad n responsabilitatea domeniului afacerii pentru a fi definite i
gestionate, dei proiectarea i dezvoltarea controalelor aplicaiilor impune suportul i
implicarea funciei IT.
3. Pentru a oferi suport proceselor afacerii, tehnologia informaiei pune la dispoziie
serviciile IT, de obicei ca servicii partajate ntre mai multe procese ale afacerii, dup
cum, multe dintre procesele de dezvoltare i procesele operaionale ale sistemului IT
sunt dedicate ntregii organizaii, iar o mare parte din infrastructura IT este furnizat ca
serviciu comun (partajarea reelelor, a bazelor de date, a sistemelor de operare).
Controalele implementate pentru ntreg mediul IT sunt cunoscute drept controale
generale IT. Operarea eficient a acestor controale generale IT este necesar pentru ca
i controalele de la nivelul aplicaiilor s fie de ncredere.

2.8.13 Controale generale IT i controale de aplicaii


Controalele generale sunt incorporate n procesele i serviciile IT i includ: dezvoltarea
sistemelor, managementul schimbrii, securitatea, operarea sistemului.
16

Controalele incorporate n aplicaiile proceselor economice sunt cunoscute drept


controale ale aplicaiilor care includ: completitudinea, acurateea, validitatea,
autorizarea, separarea sarcinilor de serviciu.
COBIT admite c proiectarea i implementarea controalelor automatizate ale aplicaiilor
cade n ndatoririle funciei IT, n baza nevoilor/cerinelor afacerii definite folosind criteriile
COBIT pentru informaii. Managementul operaional i responsabilitatea asupra gestiunii
controalelor aplicaiei aparin respon-sabilului de proces (nu funciei IT).
Responsabilitatea pentru controalele aplicaiilor este o responsabilitate comun att
domeniului economic, ct i funciei IT, dar natura acestor responsabiliti se schimb
dup cum urmeaz:
a) domeniul economic este responsabil pentru:
- definirea corespunztoare a cerinelor funcionale i de control
- utilizarea serviciilor automatizate n mod adecvat
b) domeniul IT este responsabil pentru:
- automatizarea i implementarea cerinelor funcionale i de control
- stabilirea elementelor de gestiune pentru a menine integritatea controalelor aplicaiilor
Lista de mai jos conine o serie recomandat de obiective de control ale aplicaiilor
Pregtirea i autorizarea surselor de date: Asigur faptul c documentele surs sunt
pregtite de personal autorizat i calificat, folosind proceduri anterior stabilite,
demonstrnd o separare adec-vat a ndatoririlor cu privire la generarea i aprobarea
acestor documente. Erorile i omisiunile pot fi minimizate printr-o bun proiectare a
intrrilor. Detecteaz erorile i neregulile spre a fi raportate i corectate.
Colectarea surselor de date si introducerea n sistem: Stabilete faptul c intrrile
(datele de intrare) au loc la timp, fiind fcute de ctre personal autorizat i calificat.
Corectarea i retrimiterea datelor care au intrat n sistem n mod eronat trebuie s aib
loc fr a compromite nivelurile iniiale de autorizare privind tranzaciile (intrrile). Cnd
este nevoie s se reconstituie intrarea, trebuie reinut sursa iniial pentru o perioad
suficient de timp.
Verificri privind: acurateea, completitudinea i autenticitatea: Asigur faptul c
tranzaciile sunt precise (exacte), complete i valide. Valideaz datele introduse i le
editeaz sau le trimite napoi spre a fi corectate ct mai aproape posibil de punctul de
provenien.
Integritatea i validitatea procesului: Menine integritatea i validitatea datelor de-a
lungul ciclului de procesare. Detectarea tranzaciilor compromise din punct de vedere al
erorilor nu ntrerupe procesarea celor valide.
Revizuirea rezultatelor, reconcilierea i tratarea erorilor: Stabilete procedurile i
responsabilitile asociate pentru a asigura c rezultatul este utilizat ntr-o manier
autorizat, distribuit desti-natarului potrivit i protejat n timpul transmiterii sale, c se
efectueaz: verificarea, detectarea i corectarea exactitii rezultatului i c informaia
oferit n rezultatul procesrii este utilizat.
Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la
aplicaiile interne ctre funciile operaionale ale afacerii (sau ctre exteriorul
ntreprinderii), trebuie verificate: destinaia, autenticitatea sursei i integritatea
coninutului. Menine autenticitatea i integritatea transmiterii sau ale transportului.

2.8.14 Orientarea spre evaluare (msurtori)


Organizaiile au nevoie s evalueze starea n care se afl i unde anume se impune o
mbuntire, iar pentru aceasta, au nevoie s pun n practic un ghid de management
n vederea monitorizrii acestei evoluii de mbuntire. COBIT trateaz aceste aspecte
oferind:

17

Modele

de maturitate, care s permit stabilirea unui sistem de indicatori ai


performanei i identificarea msurilor de perfecionare a capabilitilor;
inte ale performanei (scopuri) i metrici (indicatori) pentru procesele IT, prin care se
demonstreaz modul n care procesele susin afacerea i obiectivele IT, precum i
modul n care pot fi utilizate n evaluarea performanei proceselor interne, pe baza
principiilor indicatorilor generali de performan ai activitii (balanced scorecard);
Scopuri ale activitilor (inte) prin care este facilitat, n mod eficace, performana
procesului.

2.8.15 Model generic de maturitate


COBIT admite cinci grade de maturitate:
0 - Non-existent
1 - Iniial / Ad Hoc
2 - Repetabil dar intuitiv
3 - Proces definit
4 - Gestionat i msurabil
5 - Optimizat
Modelul maturitii este o modalitate de a evalua ct de bine sunt dezvoltate procesele
de management, de exemplu, care e capacitatea lor, ct de capabile sunt. Aspectul legat
de ct de bine dezvoltate sau capabile sunt, depinde n principal de obiectivele IT i de
nevoile afacerii, pe care procesele le susin. Ct de bine este desfurat capabilitatea
depinde foarte mult de ceea ce ateapt organizaia s obin de la respectiva investiie.
Modelele de maturitate sunt construite pornind de la modelul general al calitii la care
sunt adugate principii provenind din urmtoarele atribute, ntr-o manier ascendent pe
niveluri:
Contientizare i comunicare
Politici, planuri i proceduri
Instrumente i automatisme
Abiliti i expertiz
Sarcini i responsabiliti
Stabilirea obiectivelor i a indicatorilor de evaluare

2.8.16 Msurarea performanei


Obiectivele i indicatorii sunt definii n COBIT pe trei niveluri:
1. Obiectivele IT i indicatorii care descriu ceea ce ateapt afacerea de la IT i modul n
care sunt msurate aceste ateptri;
2. Obiectivele proceselor i indicatorii care descriu ceea ce procesul IT trebuie s ofere
pentru a susine obiectivele IT i modul n care sunt msurate aceste ateptri;
3. Obiectivele activitilor i indicatorii care stabilesc ceea ce trebuie s aib loc n cadrul
unui proces pentru a atinge gradul de performan cerut i modul n care sunt msurate
aceste prevederi.
Metricile utilizate pentru msurarea performanei sunt:
a) Indicatori de rezultate (pentru ieiri care relev dac obiectivele au fost atinse. Ei pot
fi determinai numai dup actul faptic i de aceea se numesc indicatori de confirmare
de feedback (lag indicators).
b) Indicatori de performan care pun n eviden faptul c obiectivele ar putea fi atinse.
Ei pot fi determinai nainte ca rezultatul s fie cert, i de aceea se numesc indicatori
int de referin (lead indicators).
Indicatorii rezultatelor definesc metrici, care informeaz managementul ulterior
producerii evenimentului dac o funcie IT, un proces sau o activitate i-a atins
18

obiectivele. Indicatorii afereni funciilor IT sunt foarte des exprimai n termeni de criterii
informaionale: disponibilitatea informaiei necesare pentru a susine nevoile afacerii,
absena riscurilor asociate integritii i confidenialitii, analiza cost-eficien pentru
procese i operaiuni, confirmarea siguranei, eficienei i conformitii.

2.8.17 Modelul cadrului de referin COBIT


Cadrul de referin oferit de COBIT leag nevoile informaionale ale afacerii i cerinele
legate de guvernare de obiectivele funcionrii serviciilor IT. Modelul proceselor din
COBIT permite activitilor IT i resurselor aferente care le susin s fie administrate i
controlate n baza obiectivelor de control definite n COBIT, pentru a se alinia i a
monitoriza procesele folosind obiectivele i indicatorii COBIT.
n rezumat, procesele IT utilizeaz i administreaz resursele IT pentru ndeplinirea
acelor obiective IT care rspund cerinelor afacerii. Acesta este principiul de baz al
cadrului de referin COBIT.
Cadrul de lucru COBIT se bazeaz pe analiza i armonizarea standardelor i bunelor
practici IT existente i este n conformitate cu principiile de guvernare general acceptate.
Este poziionat la cel mai nalt nivel, determinat de cerinele economice, acoper
ntreaga gam de activiti IT i se concentreaz pe ceea ce ar trebui s fie realizat, mai
degrab dect pe cum s se asigure o guvernare, un management i un control
eficiente. Prin urmare, acioneaz ca un integrator de practici de guvernare IT i face
apel la conducerea executiv, la conducerea operaional i la managementul IT, la
profesioniti din domeniul securitii, precum i la profesioniti din domeniul auditului i
controlului. Este proiectat pentru a fi complementar cu, i utilizat mpreun cu alte
standarde i bune practici.
COBIT are relevan pentru urmtorii utilizatori:
Managementul executiv - pentru a obine valoare din investiiile n IT, a echilibra
riscul i controlul investiiilor ntr-un mediu IT care de cele mai multe ori nu e predictibil.
Managementul afacerii - pentru a avea asigurarea asupra managementului i
controlului serviciilor IT furnizate intern sau de pri tere.
Managementul IT - pentru a oferi acele servicii IT de care afacerea are nevoie pentru
a susine strategia de afaceri de o manier controlabil i organizat.
Auditori - pentru a da substan opiniilor proprii i / sau a oferi recomandri
managementului n legtur cu controalele interne.

2.8.18 Procese i obiective de control


DOMENIUL PO (Plan & Organize)
PROCESUL PO1 - Definirea planului strategic IT
Obiective de control
PO1.1 Managementul valorii IT
PO1.2 Alinierea cerinelor economice cu tehnologia informaiei
PO1.3 Evaluarea capabilitii i performanei curente
PO1.4 Planul Strategic IT
PO1.5 Planurile tactice IT
PO1.6 Managementul portofoliului IT

PROCESUL PO2 - Definirea arhitecturii informaionale


Obiective de control
PO2.1 Modelul arhitecturii informaionale a ntreprinderii
PO2.2 Dicionarul de date al ntreprinderii i regulile de sintax a datelor
19

PO2.3 Schema de clasificare a datelor


PO2.4 Managementul integritii

PROCESUL PO3 - Determinarea direciei tehnologice


Obiective de control
PO3.1 Planificarea direciei tehnologice
PO3.2 Planul infrastructurii tehnologice
PO3.3 Monitorizarea tendinelor viitoare i a reglementrilor
PO3.4 Standardele tehnologice
PO3.5 Forumul/comitetul/consiliul arhitecturii IT

PROCESUL PO4 - Definirea proceselor IT, a funciei i a relaiilor


Obiective de control
PO4.1 Cadrul de referin al proceselor IT
PO4.2 Comitetul responsabil cu strategia IT
PO4.3 Comitetul director IT
PO4.4 Poziionarea organizaional a funciei IT
PO4.5 Structura organizatoric IT
PO4.6 Stabilirea rolurilor i responsabilitilor
PO4.7 Responsabilitatea pentru asigurarea calitii n IT
PO4.8 Responsabilitatea pentru risc, securitate i conformitate
PO4.9 Responsabilitatea cu privire la date i sistem
PO4.10 Supervizarea
PO4.11 Separarea funciilor
PO4.12 Personalul IT
PO4.13 Personalul IT critic
PO4.14 Politicile i procedurile personalului contractual
PO4.15 Relaiile Pag. 51 din 214

PROCESUL PO5 - Managementul investiiilor IT


Obiective de control
PO5.1 Cadrul de referin pentru managementul financiar
PO5.2 Stabilirea prioritilor n cadrul bugetului IT
PO5.3 Finanarea IT
PO5.4 Managementul costurilor
PO5.5 Managementul beneficiilor

PROCESUL PO6 - Comunicarea inteniilor i obiectivelor conducerii


Obiective de control
PO6.1 Politica IT i mediul de control
PO6.2 Riscul IT i cadrul de referin al controlului
PO6.3 Managementul politicilor IT
PO6.4 Iniierea politicii, standardelor i procedurilor
PO6.5 Comunicarea obiectivelor i inteniilor IT

PROCESUL PO7 - Managementul resurselor umane IT


Obiective de control
PO7.1 Recrutarea si retenia personalului
PO7.2 Competenele personalului
PO7.3 Acoperirea rolurilor din punct de vedere al personalului
PO7.4 Instruirea personalului
20

PO7.5 Dependena de individualiti


PO7.6 Proceduri pentru autorizarea personalului
PO7.7 Evaluarea performanelor angajailor
PO7.8 Schimbarea locului de munc i rezilierea contractului de munc Pag. 52 din 214

PROCESUL PO8 - Managementul calitii


Obiective de control
PO8.1 Sistemul de Management al Calitii
PO8.2 Standarde i practici de calitate IT
PO8.3 Standarde de dezvoltare i achiziie
PO8.4 Orientare spre client
PO8.5 mbuntire continu
PO8.6 Msurarea, monitorizarea i revizuirea calitii

PROCESUL PO9 - Estimarea i managementul riscurilor IT


Obiective de control
PO9.1 Cadrul de referin pentru managementul riscurilor IT
PO9.2 Stabilirea contextului riscului
PO9.3 Identificarea evenimentului
PO9.4 Estimarea riscurilor
PO9.5 Reacia fa de risc
PO9.6 ntreinerea i monitorizarea unui plan de aciune mpotriva riscului

PROCESUL PO10 - Administrarea proiectelor


Obiective de control
PO10.1 Cadrul de referin pentru managementul programelor
PO10.2 Cadrul de referin pentru managementul proiectelor
PO10.3 Abordarea managementului proiectelor
PO10.4 Implicarea beneficiarilor
PO10.5 Stabilirea scopului proiectului
PO10.6 Iniierea fazelor proiectului
PO10.7 Planul integrat al proiectului
PO10.8 Resursele proiectului
PO10.9 Managementul riscurilor proiectului
PO10.10 Planul calitii proiectului
PO10.11 Controlul schimbrilor n cadrul proiectului
PO10.12 Metode de planificare a asigurrii
PO10.13 Monitorizarea, raportarea i indicatorii de performan ai proiectului
PO10.14 Finalizarea proiectului

DOMENIUL AI (Acquire & Implement)


PROCESUL AI1 - Identificarea soluiilor automate
Obiective de control
AI1.1 Definirea i ntreinerea cerinelor funcionale economice i a cerinelor tehnice
AI1.2 Raportul analizei de risc
AI1.3 Studiul de fezabilitate i formularea de direcii alternative de aciune
AI1.4 Decizia i aprobarea cerinelor i a studiului de fezabilitate

PROCESUL AI2 - Achiziia i ntreinerea aplicaiilor software


21

Obiective de control
AI.2.1 Proiectarea de nivel nalt
AI.2.2 Proiectarea detaliat
AI.2.3 Controlul i auditabilitatea aplicaiilor
AI.2.4 Securitatea i disponibilitatea aplicaiilor
AI.2.5 Configurarea i implementarea aplicaiilor software achiziionate
AI.2.6 Actualizri majore ale sistemelor existente
AI.2.7 Dezvoltarea aplicaiilor software
AI.2.8 Asigurarea calitii software
AI.2.9 Managementul cerinelor aplicaiilor
AI.2.10 ntreinerea aplicaiilor software

PROCESUL AI3 - Achiziia i ntreinerea infrastructurii tehnologice


Obiective de control
AI3.1 Planul de achiziie a infrastructurii tehnologice
AI3.2 Protecia i disponibilitatea resurselor infrastructurii
AI3.3 ntreinerea infrastructurii
AI3.4 Mediul de testare a fezabilitii

PROCESUL AI4 - Autorizarea operrii i utilizrii


Obiective de control
AI4.1 Planificarea soluiilor operaionale
AI4.2 Transferul cunotinelor ctre managementul afacerii
AI4.3 Transferul cunotinelor ctre utilizatorii finali
AI4.4 Transferul cunotinelor ctre personalul care opereaz i cel care ofer suport

PROCESUL AI5 - Procurarea resurselor


Obiective de control
AI5.1 Controlul achiziiilor
AI5.2 Managementul contractelor cu furnizorii
AI5.3 Selectarea furnizorilor
AI5.4 Achiziionarea resurselor

PROCESUL AI6 - Managementul schimbrilor


Obiective de control
AI6.1 Standardele i procedurile pentru schimbare
AI6.2 Evaluarea impactului, stabilirea prioritilor i autorizarea
AI6.3 Schimbrile urgente
AI6.4 Urmrirea i raportarea strii schimbrii
AI6.5 Finalizarea schimbrii i documentarea Pag. 55 din 214

PROCESUL AI7 - Instalarea i acreditarea soluiilor i schimbrilor


Obiective de control
AI7.1 Instruire
AI7.2 Planul de testare
AI7.3 Planul de implementare
AI7.4 Mediul de test
AI7.5 Conversia sistemului i a datelor
AI7.6 Testarea schimbrilor
AI7.7 Testul final de acceptare
22

AI7.8 Promovarea n producie


AI7.9 Revizia post-implementare

DOMENIUL DS (Deliver & Support)


PROCESUL DS1 - Definirea i administrarea nivelurilor serviciilor
Obiective de control
DS1.1 Cadrul de referin pentru Managementul Nivelului Serviciilor
DS1.2 Definirea serviciilor
DS1.3 Acorduri privind nivelurile serviciilor
DS1.4 Acordurile Operaionale pentru nivelul serviciilor
DS1.5 Monitorizarea i raportarea privind realizarea nivelului serviciului
DS1.6 Revizia contractelor i a acordurilor privind nivelul serviciilor

PROCESUL DS2 - Managementul serviciilor de la teri


Obiective de control
DS2.1 Identificarea relaiilor cu toi furnizorii
DS2.2 Managementul relaiilor cu furnizorii
DS2.3 Managementul riscului asociat furnizorilor
DS2.4 Monitorizarea performanei furnizorului Pag. 56 din 214

PROCESUL DS3 - Managementul performanei i capacitii


Obiective de control
DS3.1 Planificarea performanei i capacitii
DS3.2 Performana i capacitatea actual
DS3.3 Performana i capacitatea viitoare
DS3.4 Disponibilitatea resurselor IT
DS3.5 Monitorizare i raportare

PROCESUL DS4 - Asigurarea continuitii serviciilor


Obiective de control
DS4.1 Cadrul de referin pentru continuitatea IT
DS4.2 Planurile de continuitate IT
DS4.3 Resursele IT critice
DS4.4 ntreinerea planului de continuitate IT
DS4.5 Testarea Planului de continuitate IT
DS4.6 Instruirea privind planul de continuitate IT
DS4.7 Distribuirea planului de continuitate IT
DS4.8 Recuperarea i reluarea serviciilor IT
DS4.9 Stocarea extern a copiilor de siguran
DS4.10 Revizia post-reluare

PROCESUL DS5 - Asigurarea securitii sistemului


Obiective de control
DS5.1 Managementul securitii IT
DS5.2 Planul de securitate IT
DS5.3 Managementul identitii
DS5.4 Managementul conturilor utilizatorilor
DS5.5 Testarea securitii, inspecia i monitorizarea
DS5.6 Definirea incidentelor de securitate
DS5.7 Protecia tehnologiei de securitate
23

DS5.8 Managementul cheilor criptografice


DS5.9 Prevenirea, detectarea i neutralizarea software-ului ru-intenionat
DS5.10 Securitatea reelei
DS5.11 Schimbul datelor sensibile

PROCESUL DS6 - Identificarea i alocarea costurilor


Obiective de control
DS6.1 Definirea serviciilor
DS6.2 Contabilitatea IT
DS6.3 Modelul costurilor i taxarea
DS6.4 Mentenana modelului costurilor

PROCESUL DS7 - Educarea i instruirea utilizatorilor


Obiective de control
DS7.1 Identificarea nevoilor de educare i instruire
DS7.2 Realizarea sesiunilor de instruire i educare
DS7.3 Evaluarea instruirii

PROCESUL DS8 - Coordonarea Help Desk i a incidentelor


Obiective de control
DS8.1 Service Desk
DS8.2 nregistrarea cerinelor clienilor
DS8.3 nregistrarea incidentelor
DS8.4 nchiderea unui incident
DS8.5 Raportarea i analiza tendinelor

PROCESUL DS9 - Managementul configuraiei


Obiective de control
DS9.1 Baza de date a configuraiei i liniile de baz
DS9.2 Identificarea i ntreinerea articolelor de configurat
DS9.3 Revizia integritii configuraiei

PROCESUL DS10 - Managementul problemelor


Obiective de control
DS10.1 Identificarea i clasificarea problemelor
DS10.2 Urmrirea i rezolvarea problemelor
DS10.3 nchiderea problemei
DS10.4 Integrarea managementului configuraiei, incidentelor i al problemelor

PROCESUL DS11 - Managementul datelor


Obiective de control
DS11.1 Cerinele afacerii pentru managementul datelor
DS11.2 Aranjamente privind depozitarea i pstrarea
DS11.3 Sistemul de management al bibliotecii media
DS11.4 Eliminarea
DS11.5 Copie de siguran i restaurare
DS11.6 Cerine de securitate pentru managementul datelor

PROCESUL DS12 - Managementul mediului fizic


Obiective de control
DS12.1 Selectarea i proiectarea amplasamentului
24

DS12.2 Msuri de securitate fizic


DS12.3 Accesul fizic
DS12.4 Protecia mpotriva factorilor de mediu
DS12.5 Managementul facilitilor fizice

PROCESUL DS13 - Managementul operaiunilor


Obiective de control
DS13.1 Proceduri i instruciuni operaionale
DS13.2 Planificarea muncii
DS13.3 Monitorizarea infrastructurii IT
DS13.4 Documente sensibile i dispozitive de ieire
DS13.5 ntreinere preventiv pentru componentele hardware

DOMENIUL ME (Monitor & Evaluate)


PROCESUL ME1 - Monitorizarea i evaluarea performanei IT
Obiective de control
ME1.1 Abordarea monitorizrii
ME1.2 Definirea i colectarea datelor monitorizate
ME1.3 Metoda de monitorizare
ME1.4 Evaluarea performanei
ME1.5 Raportarea la nivelul Comitetelor i la nivel executiv
ME1.6 Aciuni de remediere
PROCESUL ME2 - Monitorizarea i evaluarea controlului intern
Obiective de control
ME2.1 Monitorizarea cadrului general al controlului intern
ME2.2 Revizia de supraveghere
ME2.3 Excepii de la control
ME2.4 Auto-evaluarea controlului
ME2.5 Asigurarea controlului intern
ME2.6 Controlul intern la tere pri
ME2.7 Aciuni de remediere
PROCESUL ME3 - Asigurarea conformitii cu cerinele externe
Obiective de control
ME3.1 Identificarea cerinelor de conformitate extern, legal, contractual sau de
reglementare
ME3.2 Optimizarea rspunsului la cerinele externe
ME3.3 Evaluarea conformitii cu cerinele externe
ME3.4 Asigurarea conformitii
ME3.5 Raportare integrat

PROCESUL ME4 - Furnizarea guvernrii IT


Obiective de control
ME4.1 Stabilirea cadrului de guvernare IT
ME4.2 Alinierea strategic
ME4.3 Furnizarea valorii
ME4.4 Managementul resurselor
ME4.5 Managementul riscurilor
ME4.6 Msurarea performanei
25

ME4.7 Asigurarea independent

Bibliografie
1) http://www.curteadeconturi.ro/sites/ccr/RO/Control%20si
%20Audit/Documente/MANUAL_AUDIT_IT.pdf
2) Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu,
Mirela Gheorghe, Delia Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i
controlul sistemelor informaionale, editura Economic 2007;
3) Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura
ASE 2005;
4) CURTEA DE CONTURI A ROMNIE R A P O R T D E A U D I T Auditul sistemului
informatic al instanelor de judecat
(www.curteadeconturi.ro/.../Rapoarte...audit/Informatica/informatica5.pdf)
5) www.isaca.org

26

Contents
1. Etapele procesului de audit informatic..............................................................1
1.1. Planificarea auditului................................................................................... 3
1.2. Evaluarea controlului intern.........................................................................4
1.3. Proceduri de audit i consideraii privind standardul de audit ISAE 3000....6
1.4. Cadrul pentru controlul intern...................................................................12
1.5. Abordri asupra riscurilor n afaceri...........................................................16

27