Organizaii specializate

STANDARDELE DE AUDIT AL SISTEMELOR

INFORMATIONALE

AICPA (American Institute of Certified Public

Accountants) a dezvoltat conceptul de Audit al
sistemelor de procesare automata a datelor (EDP
audit): o analiz a calculatoarelor i sistemelor
informatice organizaiei cu scopul de a evalua
integritatea sistemelor ei de producie i a
potenialelor bree de securitate.
S-a creat o asociaie : Asociatia Auditorilor EDP,
care a elaborat primele ghiduri, proceduri si
standarde in domeniu (EDPAA).
 Organizaii specializate
n 1968 AICPA i Big Eight (acum Big Four)
au participat la dezvoltatea EDP auditing.
Rezultatul acestui proiect a fost Auditing
& EDP. Cartea prezint cum trebuie
documentat un audit EDP i exemple
privind modul de revizuire al controalelor
interne.
 Organizaii specializate
In 1994 EDPAA devine Asociatia pentru
Auditul i Controlul Sistemelor
Informationale (ISACA Information System
Audit and Control Association).
n 1977 se public prima ediie a Control
Objectives cunoscut astzi sub numele de
Control Objectives for Information and related
Technology (CobiT). CobiT este un standard
oferind un set general acceptat de obiective
de control pentru auditorii IT.
 Organizaii specializate
ISACA a devenit o organizaie global pentru
guvernana, controlul, securitatea i auditul
profesional al informaiei.
ISACA are membri n 160 de ri i acoper o
varietate de specializri: auditor SI, consultant,
educator, profesionist in securitatea SI, CIO-
chief information officer, auditor intern.
 Definiii ale auditului SI
O examinare a controalelor n cadrul unei
infrastructuri IT. Reprezint un proces de
colectare i evaluare a probelor privind
sistemele informaionale ale organizaiei,
practici i operaii.
 Definiii ale auditului SI
Auditul sistemelor informationale presupune
evaluarea tuturor aspectelor legate de sistemele de
prelucrare automata a datelor , incluzand si
prelucrarile manuale ce au legatura cu acesta.
Procesul prin care se colecteaza si evalueaza probe
cu scopul de a determina daca sistemul informational
si resursele implicate sunt protejate corespunzator,
mentine integritatea datelor, ofera informatii
relevante si contribuie la atingerea obiectivelor
organizaiei. (WEBER RON)
 Definiii ale auditului SI
Aceste revizuiri pot fi efectuate n conjuncie
cu auditul situaiior financiare, auditul intern,
sau orice alt form de angajament.
 Standarde pentru auditul IT
Vizeaz subiecte privind politici i bun
practic:
1. Stabilirea politicii de securitate
2. Infrastructura de securitate
3. Clasificarea activelor i control
4. Securitatea personalului
5. Securitatea fizic i a mediului
 Standarde pentru auditul IT
6. Managementul comunicaiilor i al
operaiilor
7. Controlul accesului
8. Dezvoltarea i mentemena sistemelor
9. Managementul continuitii afacerii
(Business continuity management)
10.Conformitate
 STANDARDE DE AUDIT IT

STANDARDE ISACA
Codul de etica profesionala
Standardele internationale de audit al sistemelor informationale
Ghiduri metodologice si seturi de proceduri

STANDARDE ADOPTATE IN ROMANIA

ISO/IEC 27001 Information technology - Security techniques -
Information security management systems - Requirements
ISO/IEC 27001:2005 specific cerinele pentru stabilirea, implementarea,
operarea, monitorizarea, revizuirea, ntreinerea i mbuntirea unui
Sistem de Management al Securitii Informaiei documentat n contexul
riscurilor organizaiei.
ISO/IEC 27001:2005 este realizat s asigure selecia unor controale de
securitate adevate care s protejeze activele informionale i s dea
ncredere prilor interesate.
 ISO/IEC 27001 Information technology -
Security techniques - Information security
management systems - cerine
Abordarea proceselor de management al
informaiilor n acest standard ncurajeaz utilizatorii
s evidenieze importana:
a) nelegerii cerinelor de securitate ale organizaiei i
nevoia de a stabili politica i obiectivele securitii
informaiei;
b) Implementarea i operarea controalelor pentru
managementul riscurilor privind securitatea
informaiilor organizaiei n contexul riscurilor
globale ale afacerii;
 ISO/IEC 27001 Information technology - Security techniques -
Information security management systems - cerine

c) Monitorizarea i revizuirea performanei i

eficacitii ISMS;
d) mbuntirea continu bazat pe msurarea
obiectivelor.
ISO/IEC 27001 Information technology - Security techniques -
Information security management systems - cerine
 STANDARDE DE AUDIT IT
ISO/IEC 177799 - Tehnologia informatiei Cod
de buna practica pentru managementul
securitatii informatiei
Ofer o descriere general a ariilor
considerate importante pentru iniierea,
implementarea sau mentenana securitii
informaiilor n cadrul organizaiei.
 STANDARDE DE AUDIT IT

- COBIT (CONTROL OBJECTIVES for INFORMATION and related TECHNOLOGY)

Emitent ISACA (Information Systems Audit and Control Association)

- SAC (System Auditability and Control)

Emitent IIARF (Institute of Internal Auditors Research Fondation)

- Internal Control Integrated Framework

Emitent COSO (Committee of Sponsoring Organizations of the Treadway Commission)

- SIAS (Statements of Internal Audit Standards)

Emitent IIA (The Institute of Internal Auditors)

Adrese: www.aicopa.org
www.theiia.org
www.isaca.org
www.ifac.org
www.aitp.org
 COBIT
Control Objectives for Information and
related Technology (COBIT) este un set de
bune practici pentru managementul
tehnologiei informaiilor creat de Information
Systems Audit and Control Association
(ISACA), i IT Governance Institute (ITGI) n
1996.
 COBIT
Ofer managerilor, auditorilor i utilizatorilor
IT un set general acceptat de indicatori,
procese i bune practici pentru a-i asista n
maximizarea beneficiilor oferite de utilizarea
IT i realizarea adecvat a guvernanei IT i
controlului n cadrul organizaiei.
 COBIT

STRUCTURA:

PREZENTARE GENERALA
CADRUL DE LUCRU
OBIECTIVELE CONTROLULUI
GHIDUL PENTRU MANAGEMENT
GHIDUL PENTRU AUDIT
INSTRUMENTE DE IMPLEMENTARE

DOMENII ALE CONTROLULUI OBIECTIVELOR:

PLANIFICARE SI ORGANIZARE
ACHIZITIE SI IMPLEMENTARE
LIVRARE SI INTRETINERE
MONITORIZARE
 COBIT

RESURSE IT:

DATE intern si extern

APLICATII proceduri manuale si automate
TEHNOLOGIA hard, soft de baza
FACILITATI resurse de sustinere a S.I.
PERSONAL SPECIALIZAT

CRITERII DE EVALUARE A INFORMATIILOR:

EFICACITATE relevanta fata de afacere

EFICIENTA utilizare optima a resurselor
CONFIDENTIALITATEA politici de protectie
INTEGRITATEA acuratete si completitudine
DISPONIBILITATEA oferita la cerere
CONFORMITATEA procesare conform normelor
REALITATEA (INCREDEREA)
 COBIT
Directionare Planifica Planif.si organiz.
Executa Achiz.si implement.
Verifica Livrare si intretinere
Corecteaza Monitorizare

Obiective

Control
- IT este aliniat la cerintele afacerii si maximizeaza beneficiile
- Resursele IT sunt utilizate responsabil
- Riscurile IT sunt gestionate corespunzator

Managementul Realizarea beneficiilor

Control ricurilor

- securitate cresterea scaderea

- incredere automatizarii costurilor
- conformitate - fii eficace - fii eficient
 AUDITUL SISTEMELOR INFORMATICE
DOMENII DE AUDIT

DOMENII
A. PLANIFICARE SI ORGANIZARE
B. ACHIZITIE SI IMPLEMENTARE
C. LIVRARE SI INTRETINERE
D. MONITORIZARE
 AUDITUL SISTEMELOR INFROMATICE
DOMENII DE AUDIT

A.PLANIFICARE SI ORGANIZARE
1. Definirea planului strategic
2. Determinarea nevoilor tehnologice
3. Definirea organizarii IT si a relatiilor
4. Managementul investitiilor in IT
5. Comunicarea scopurilor si directivelor manageriale
 AUDITUL SISTEMELOR INFROMATICE
DOMENII DE AUDIT

A. PLANIFICARE SI ORGANIZARE
6. Administrarea resurselor umane
7. Asigurarea conformitii cu cerintele externe
8. Riscurile bunurilor
9. Administrarea proiectelor
10. Administrarea calitatii
 AUDITUL SISTEMELOR INFROMATICE
DOMENII DE AUDIT

B. ACHIZITIE SI IMPLEMENTARE
1. Identificarea solutiilor (automate)
2. Achizitia si intretinerea software-ului de aplicatie
3. Achizitia si intretinerea infrastructurii tehnice
4. Dezvoltarea si intretinerea procedurilor
5. Instalarea sistemelor
6. Managementul schimbarii
 AUDITUL SISTEMELOR INFORMATICE
DOMENII DE AUDIT

C.LIVRARE SI INTRETINERE
1. Definirea si administrarea nivelelor de servicii
2. Administrarea serviciilor externe
3. Administrarea performantei si capacitatii
4. Asigurarea securitatii serviciilor
5. Asigurarea securitii sistemelor
6. Identificarea si alocarea costurilor
 AUDITUL SISTEMELOR INFORMATICE
DOMENII DE AUDIT

C. LIVRARE SI INTRETINERE
7. Educarea si formarea utilizatorilor
8. Asistarea clientilor si consultanta
9. Administrarea configuraiei
10. Administrarea problemelor si incidentelor
11. Administrarea datelor
12. Administrarea facilitatilor
13. Administrarea operatiilor
 AUDITUL SISTEMELOR INFROMATICE
DOMENII DE AUDIT

D. MONITORIZARE

1. Monitorizarea proceselor
2. Aprecierea adecvarii controlului intern
3. Obtinerea unei asigurari independente
4. Sustinerea auditului independent
 AUDITUL IT
ETAPELE DESFASURARII AUDITULUI

EXAMINARE PRELIMINARA

ANALIZA APROFUNDATA

SINTEZA ACTIVITATII DE AUDIT SI

RAPORTARE
 ETAPELE DESFASURARII AUDITULUI
EXAMINARE PRELIMINARA

1. Informare preliminara
Obiective :
- Determinarea modului de organizare a activitatii
clientului
- Intelegerea sistemului informational al clientului
- Pozitionarea informaticii in cadrul organizaiei

Surse de informare:
- Acte constitutive ale societatii, raportarile financiare
- Discutii preliminare cu personalul de conducere
- Vizitarea compartimentului IT (imagine globala)
 ETAPELE DESFASURARII AUDITULUI
EXAMINARE PRELIMINARA

2. . Preluarea documentatiei
Obiective:
- Identificarea si evaluarea documentatiei IT

Surse de informare:
- Documente de raportare a activitatii IT
- Organigrame, caiete de sarcini, documentatii
- Rapoarte de audit precedente
 ETAPELE DESFASURARII AUDITULUI
EXAMINARE PRELIMINARA

3. Analiza preliminara a sistemului

Obiective:
- Realizarea unei prime analize pe baze documentare
- Determinarea modulelor sensibile (cu risc ridicat)
- Evaluarea generala a riscurilor

Surse de informare:
- Documente preluate la pct.2
- Sistemul de control intern al clientului
 ETAPELE DESFASURARII AUDITULUI
EXAMINARE PRELIMINARA

4. Raportul preliminar
Obiective:
- Generarea unui prediagnostic
- Definirea aspectelor specifice de auditat
- Definirea subsistemelor care trebuie sa fie analizate in
detaliu
- Definirea metodelor de auditare a acestor subsisteme
 ETAPELE DESFASURARII AUDITULUI
ANALIZA APROFUNDATA

1. Analiza controlului intern

Obiective:
-Analiza procedurilor de control intern
- Descrierea procedurilor de control specifice IT
- Verificarea continuitatii procedurilor si a modului de
aplicare
Surse de informare:
- Simulari ale activitatii de control
- Observarea derularii controlului
- Documentele de control intern IT
- Instrumente de control intern IT
 ETAPELE DESFASURARII AUDITULUI
ANALIZA APROFUNDATA

2. Evaluarea controlului intern

Obiective:
- Evaluarea critic a controlului intern
- Determinarea punctelor forte si punctelor slabe ale
controlului

Surse de informare:
-Documente privind sistemul de control intern
- Verificarea completitudinii testelor
- Examinarea aplicarii regulilor de control
 ETAPELE DESFASURARII AUDITULUI
ANALIZA APROFUNDATA

3. Definirea criteriilor de eficacitate

Obiective:
- Determinarea unor criterii care ar prezenta eficacitatea
sistemului IT

Surse de informare:
- Criterii existente utilizate pentru evaluarea IT
 ETAPELE DESFASURARII AUDITULUI
ANALIZA APROFUNDATA

4. . Evaluarea eficacitatii
Obiective:
- Masurarea eficacitatii sistemului

Surse de informare:
- Rationament profesional
 ETAPELE DESFASURARII AUDITULUI
SINTEZA ACTIVITATII DE AUDIT SI RAPORTAREA

1. Sintetizarea activitatii de audit si raportarea

Obiective:
- Stabilirea planului raportului de audit
- Completitudinea raportului

Surse de informare:
- Rationament profesional
 ETAPELE DESFASURARII AUDITULUI
SINTEZA ACTIVITATII DE AUDIT SI RAPORTAREA

2. . Discutii cu responsabilii in domeniu

Obiective:
- Explicarea constatarilor auditorului
- Prezentarea preliminara a solutiilor propuse

Surse de informare:
- Discutii directe
 ETAPELE DESFASURARII AUDITULUI
SINTEZA ACTIVITATII DE AUDIT SI RAPORTAREA

3. . Raportul final
Obiective:
- Sintetizarea intr-un document a activitatii de audit
- Prezentarea concluziilor
- Prezentarea propunerilor

Surse de informare:
- Sinteza documentelor analizate pe parcursul auditului
 ACTIVITATI IN AUDITUL SISTEMELOR DE SECURITATE

Verificarea politicii de securitate generala a sistemului

auditat.
Examinarea modului global in care se integreaza sistemul
auditat.
Identificarea tehnicilor de control al mediului.
Analiza secventiala a fiecarei componente a sistemului.
Verificarea respectarii obiectivelor fixate prin politica de
securitate.
Identificarea configurarilor defectuoase.
Validarea coerentei globale a sistemului.
Realizarea raportului de audit.
Elaborarea propunerilor de crestere a nivelului de securitate.
 SURSE DE INFORMATII

- CHESTIONAREA PERSONALULUI SI A UTILIZATORILOR CHEIE

- EXAMINAREA DOCUMENTATIEI DE SISTEM

scheme logice
structuri de date
instructiuni de operare

- EXAMINAREA REGISTRULUI DE CERERI DE MODIFICARE A

PROGRAMELOR

- STUDIUL MODULUI DE REALIZARE A COPIILOR DE SIGURANTA

- STUDIUL PLANULUI DE CONTINUITATE IN CAZ DE DEZASTRE