Sunteți pe pagina 1din 41

Organizaţii specializate

STANDARDELE DE AUDIT AL SISTEMELOR


INFORMATIONALE

AICPA (American Institute of Certified Public


Accountants) a dezvoltat conceptul de “Audit al
sistemelor de procesare automata a datelor” (EDP
audit): o analiză a calculatoarelor şi sistemelor
informatice organizaţiei cu scopul de a evalua
integritatea sistemelor ei de producţie şi a
potenţialelor breşe de securitate.
S-a creat o asociaţie : Asociatia Auditorilor EDP,
care a elaborat primele ghiduri, proceduri si
standarde in domeniu (EDPAA).
Organizaţii specializate
• În 1968 AICPA şi Big Eight (acum Big Four)
au participat la dezvoltatea EDP auditing.
Rezultatul acestui proiect a fost Auditing
& EDP. Cartea prezintă cum trebuie
documentat un audit EDP şi exemple
privind modul de revizuire al controalelor
interne.
Organizaţii specializate
• In 1994 EDPAA devine Asociatia pentru
Auditul şi Controlul Sistemelor
Informationale (ISACA – Information System
Audit and Control Association).
• În 1977 se publică prima ediţie a Control
Objectives cunoscută astăzi sub numele de
Control Objectives for Information and related
Technology (CobiT). CobiT este un standard
oferind un set general acceptat de obiective
de control pentru auditorii IT.
Organizaţii specializate
• ISACA a devenit o organizaţie globală pentru
guvernanţa, controlul, securitatea şi auditul
profesional al informaţiei.
• ISACA are membri în 160 de ţări şi acoperă o
varietate de specializări: auditor SI, consultant,
educator, profesionist in securitatea SI, CIO-
chief information officer, auditor intern.
Definiţii ale auditului SI
• O examinare a controalelor în cadrul unei
infrastructuri IT. Reprezintă un proces de
colectare şi evaluare a probelor privind
sistemele informaţionale ale organizaţiei,
practici şi operaţii.
Definiţii ale auditului SI
• “Auditul sistemelor informationale presupune
evaluarea tuturor aspectelor legate de sistemele de
prelucrare automata a datelor , incluzand si
prelucrarile manuale ce au legatura cu acesta.”
• “Procesul prin care se colecteaza si evalueaza probe
cu scopul de a determina daca sistemul informational
si resursele implicate sunt protejate corespunzator,
mentine integritatea datelor, ofera informatii
relevante si contribuie la atingerea obiectivelor
organizaţiei.” (WEBER RON)
Definiţii ale auditului SI
• Aceste revizuiri pot fi efectuate în conjuncţie
cu auditul situaţiior financiare, auditul intern,
sau orice altă formă de angajament.
Standarde pentru auditul IT
• Vizează subiecte privind politici şi bună
practică:
1. Stabilirea politicii de securitate
2. Infrastructura de securitate
3. Clasificarea activelor şi control
4. Securitatea personalului
5. Securitatea fizică şi a mediului
Standarde pentru auditul IT
6. Managementul comunicaţiilor şi al
operaţiilor
7. Controlul accesului
8. Dezvoltarea şi mentemenţa sistemelor
9. Managementul continuităţii afacerii
(Business continuity management)
10.Conformitate
STANDARDE DE AUDIT IT

STANDARDE ISACA
• Codul de etica profesionala
• Standardele internationale de audit al sistemelor informationale
• Ghiduri metodologice si seturi de proceduri

STANDARDE ADOPTATE IN ROMANIA


• ISO/IEC 27001 Information technology - Security techniques -
Information security management systems - Requirements
ISO/IEC 27001:2005 specifică cerinţele pentru stabilirea, implementarea,
operarea, monitorizarea, revizuirea, întreţinerea şi îmbunătăţirea unui
Sistem de Management al Securităţii Informaţiei documentat în contexul
riscurilor organizaţiei.
ISO/IEC 27001:2005 este realizat să asigure selecţia unor controale de
securitate adevate care să protejeze activele informţionale şi să dea
încredere părţilor interesate.
ISO/IEC 27001 Information technology -
Security techniques - Information security
management systems - cerinţe
• Abordarea proceselor de management al
informaţiilor în acest standard încurajează utilizatorii
să evidenţieze importanţa:
a) Înţelegerii cerinţelor de securitate ale organizaţiei şi
nevoia de a stabili politica şi obiectivele securităţii
informaţiei;
b) Implementarea şi operarea controalelor pentru
managementul riscurilor privind securitatea
informaţiilor organizaţiei în contexul riscurilor
globale ale afacerii;
ISO/IEC 27001 Information technology - Security techniques -
Information security management systems - cerinţe

c) Monitorizarea şi revizuirea performanţei şi


eficacităţii ISMS;
d) Îmbunătăţirea continuă bazată pe măsurarea
obiectivelor.
ISO/IEC 27001 Information technology - Security techniques -
Information security management systems - cerinţe
STANDARDE DE AUDIT IT
• ISO/IEC 177799 - Tehnologia informatiei – Cod
de buna practica pentru managementul
securitatii informatiei
• Oferă o descriere generală a ariilor
considerate importante pentru iniţierea,
implementarea sau mentenanţa securităţii
informaţiilor în cadrul organizaţiei.
STANDARDE DE AUDIT IT

- COBIT (CONTROL OBJECTIVES for INFORMATION and related TECHNOLOGY)


Emitent – ISACA (Information Systems Audit and Control Association)

- SAC (System Auditability and Control)


Emitent – IIARF (Institute of Internal Auditors Research Fondation)

- Internal Control – Integrated Framework


Emitent – COSO (Committee of Sponsoring Organizations of the Treadway Commission)

- SIAS (Statements of Internal Audit Standards)


Emitent – IIA (The Institute of Internal Auditors)

Adrese: www.aicopa.org
www.theiia.org
www.isaca.org
www.ifac.org
www.aitp.org
COBIT
• Control Objectives for Information and
related Technology (COBIT) este un set de
bune practici pentru managementul
tehnologiei informaţiilor creat de Information
Systems Audit and Control Association
(ISACA), şi IT Governance Institute (ITGI) în
1996.
COBIT
• Oferă managerilor, auditorilor şi utilizatorilor
IT un set general acceptat de indicatori,
procese şi bune practici pentru a-i asista în
maximizarea beneficiilor oferite de utilizarea
IT şi realizarea adecvată a guvernanţei IT şi
controlului în cadrul organizaţiei.
COBIT

STRUCTURA:

• PREZENTARE GENERALA
• CADRUL DE LUCRU
• OBIECTIVELE CONTROLULUI
• GHIDUL PENTRU MANAGEMENT
• GHIDUL PENTRU AUDIT
• INSTRUMENTE DE IMPLEMENTARE

DOMENII ALE CONTROLULUI OBIECTIVELOR:

• PLANIFICARE SI ORGANIZARE
• ACHIZITIE SI IMPLEMENTARE
• LIVRARE SI INTRETINERE
• MONITORIZARE
COBIT

RESURSE IT:

• DATE – intern si extern


• APLICATII – proceduri manuale si automate
• TEHNOLOGIA – hard, soft de baza
• FACILITATI – resurse de sustinere a S.I.
• PERSONAL SPECIALIZAT

CRITERII DE EVALUARE A INFORMATIILOR:

• EFICACITATE – relevanta fata de afacere


• EFICIENTA – utilizare optima a resurselor
• CONFIDENTIALITATEA – politici de protectie
• INTEGRITATEA – acuratete si completitudine
• DISPONIBILITATEA – oferita la cerere
• CONFORMITATEA – procesare conform normelor
• REALITATEA (INCREDEREA)
COBIT
• Directionare Planifica Planif.si organiz.
Executa Achiz.si implement.
Verifica Livrare si intretinere
Corecteaza Monitorizare

Obiective

Control
• - IT este aliniat la cerintele afacerii si maximizeaza beneficiile
• - Resursele IT sunt utilizate responsabil
• - Riscurile IT sunt gestionate corespunzator

Managementul Realizarea beneficiilor


Control ricurilor

- securitate cresterea scaderea


- incredere automatizarii costurilor
- conformitate - fii eficace - fii eficient
AUDITUL SISTEMELOR INFORMATICE
DOMENII DE AUDIT

DOMENII
A. PLANIFICARE SI ORGANIZARE
B. ACHIZITIE SI IMPLEMENTARE
C. LIVRARE SI INTRETINERE
D. MONITORIZARE
AUDITUL SISTEMELOR INFROMATICE
DOMENII DE AUDIT

A.PLANIFICARE SI ORGANIZARE
1. Definirea planului strategic
2. Determinarea nevoilor tehnologice
3. Definirea organizarii IT si a relatiilor
4. Managementul investitiilor in IT
5. Comunicarea scopurilor si directivelor manageriale
AUDITUL SISTEMELOR INFROMATICE
DOMENII DE AUDIT

A. PLANIFICARE SI ORGANIZARE
6. Administrarea resurselor umane
7. Asigurarea conformităţii cu cerintele externe
8. Riscurile bunurilor
9. Administrarea proiectelor
10. Administrarea calitatii
AUDITUL SISTEMELOR INFROMATICE
DOMENII DE AUDIT

B. ACHIZITIE SI IMPLEMENTARE
1. Identificarea solutiilor (automate)
2. Achizitia si intretinerea software-ului de aplicatie
3. Achizitia si intretinerea infrastructurii tehnice
4. Dezvoltarea si intretinerea procedurilor
5. Instalarea sistemelor
6. Managementul schimbarii
AUDITUL SISTEMELOR INFORMATICE
DOMENII DE AUDIT

C.LIVRARE SI INTRETINERE
1. Definirea si administrarea nivelelor de servicii
2. Administrarea serviciilor externe
3. Administrarea performantei si capacitatii
4. Asigurarea securitatii serviciilor
5. Asigurarea securităţii sistemelor
6. Identificarea si alocarea costurilor
AUDITUL SISTEMELOR INFORMATICE
DOMENII DE AUDIT

C. LIVRARE SI INTRETINERE
7. Educarea si formarea utilizatorilor
8. Asistarea clientilor si consultanta
9. Administrarea configuraţiei
10. Administrarea problemelor si incidentelor
11. Administrarea datelor
12. Administrarea facilitatilor
13. Administrarea operatiilor
AUDITUL SISTEMELOR INFROMATICE
DOMENII DE AUDIT

D. MONITORIZARE

1. Monitorizarea proceselor
2. Aprecierea adecvarii controlului intern
3. Obtinerea unei asigurari independente
4. Sustinerea auditului independent
AUDITUL IT
ETAPELE DESFASURARII AUDITULUI

EXAMINARE PRELIMINARA

ANALIZA APROFUNDATA

SINTEZA ACTIVITATII DE AUDIT SI


RAPORTARE
ETAPELE DESFASURARII AUDITULUI
EXAMINARE PRELIMINARA

1. Informare preliminara
Obiective :
- Determinarea modului de organizare a activitatii
clientului
- Intelegerea sistemului informational al clientului
- Pozitionarea informaticii in cadrul organizaţiei

Surse de informare:
- Acte constitutive ale societatii, raportarile financiare
- Discutii preliminare cu personalul de conducere
- Vizitarea compartimentului IT (imagine globala)
ETAPELE DESFASURARII AUDITULUI
EXAMINARE PRELIMINARA

2. . Preluarea documentatiei
Obiective:
- Identificarea si evaluarea documentatiei IT

Surse de informare:
- Documente de raportare a activitatii IT
- Organigrame, caiete de sarcini, documentatii
- Rapoarte de audit precedente
ETAPELE DESFASURARII AUDITULUI
EXAMINARE PRELIMINARA

3. Analiza preliminara a sistemului


Obiective:
- Realizarea unei prime analize pe baze documentare
- Determinarea modulelor sensibile (cu risc ridicat)
- Evaluarea generala a riscurilor

Surse de informare:
- Documente preluate la pct.2
- Sistemul de control intern al clientului
ETAPELE DESFASURARII AUDITULUI
EXAMINARE PRELIMINARA

4. Raportul preliminar
Obiective:
- Generarea unui prediagnostic
- Definirea aspectelor specifice de auditat
- Definirea subsistemelor care trebuie sa fie analizate in
detaliu
- Definirea metodelor de auditare a acestor subsisteme
ETAPELE DESFASURARII AUDITULUI
ANALIZA APROFUNDATA

1. Analiza controlului intern


Obiective:
-Analiza procedurilor de control intern
- Descrierea procedurilor de control specifice IT
- Verificarea continuitatii procedurilor si a modului de
aplicare
Surse de informare:
- Simulari ale activitatii de control
- Observarea derularii controlului
- Documentele de control intern IT
- Instrumente de control intern IT
ETAPELE DESFASURARII AUDITULUI
ANALIZA APROFUNDATA

2. Evaluarea controlului intern


Obiective:
- Evaluarea critică a controlului intern
- Determinarea punctelor forte si punctelor slabe ale
controlului

Surse de informare:
-Documente privind sistemul de control intern
- Verificarea completitudinii testelor
- Examinarea aplicarii regulilor de control
ETAPELE DESFASURARII AUDITULUI
ANALIZA APROFUNDATA

3. Definirea criteriilor de eficacitate


Obiective:
- Determinarea unor criterii care ar prezenta eficacitatea
sistemului IT

Surse de informare:
- Criterii existente utilizate pentru evaluarea IT
ETAPELE DESFASURARII AUDITULUI
ANALIZA APROFUNDATA

4. . Evaluarea eficacitatii
Obiective:
- Masurarea eficacitatii sistemului

Surse de informare:
- Rationament profesional
ETAPELE DESFASURARII AUDITULUI
SINTEZA ACTIVITATII DE AUDIT SI RAPORTAREA

1. Sintetizarea activitatii de audit si raportarea


Obiective:
- Stabilirea planului raportului de audit
- Completitudinea raportului

Surse de informare:
- Rationament profesional
ETAPELE DESFASURARII AUDITULUI
SINTEZA ACTIVITATII DE AUDIT SI RAPORTAREA

2. . Discutii cu responsabilii in domeniu


Obiective:
- Explicarea constatarilor auditorului
- Prezentarea preliminara a solutiilor propuse

Surse de informare:
- Discutii directe
ETAPELE DESFASURARII AUDITULUI
SINTEZA ACTIVITATII DE AUDIT SI RAPORTAREA

3. . Raportul final
Obiective:
- Sintetizarea intr-un document a activitatii de audit
- Prezentarea concluziilor
- Prezentarea propunerilor

Surse de informare:
- Sinteza documentelor analizate pe parcursul auditului
ACTIVITATI IN AUDITUL SISTEMELOR DE SECURITATE

• Verificarea politicii de securitate generala a sistemului


auditat.
• Examinarea modului global in care se integreaza sistemul
auditat.
• Identificarea tehnicilor de control al mediului.
• Analiza secventiala a fiecarei componente a sistemului.
Verificarea respectarii obiectivelor fixate prin politica de
securitate.
• Identificarea configurarilor defectuoase.
• Validarea coerentei globale a sistemului.
• Realizarea raportului de audit.
• Elaborarea propunerilor de crestere a nivelului de securitate.
SURSE DE INFORMATII

- CHESTIONAREA PERSONALULUI SI A UTILIZATORILOR CHEIE

- EXAMINAREA DOCUMENTATIEI DE SISTEM


scheme logice
structuri de date
instructiuni de operare

- EXAMINAREA REGISTRULUI DE CERERI DE MODIFICARE A


PROGRAMELOR

- STUDIUL MODULUI DE REALIZARE A COPIILOR DE SIGURANTA

- STUDIUL PLANULUI DE CONTINUITATE IN CAZ DE DEZASTRE