Auditarea sistemelor informatice

Auditul IT reprezintă o analiză aprofundată a sistemului informatic dintr-o instituţie,

fiind un instrument foarte important pentru conducere, care evaluează eficienţa şi
eficacitatea utilizării resurselor IT (hardware şi software).

Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a unor

probe pentru a determina dacă sistemul informatic este securizat, menţine integritatea
datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale întreprinderii
şi utilizeazăeficient resursele informaţionale. În cadrul unei misiuni de audit a
sistemului informatic celemai frecvente operaţii sunt verificările, evaluările şi testările
mijloacelor informaţionale, astfel:
- identificarea şi evaluarea riscurilor din sistem;

- evaluarea şi testarea controlului din sistem;

- verificarea şi evaluarea fizică a mediului informaţional;
- verificarea şi evaluarea administrării sistemului informatic;
- verificarea şi evaluarea aplicaţilor informatice;
- verificarea şi evaluarea securităţii reţelelor de calculatoare;
- verificarea şi evaluarea planurilor şi procedurilor de recuperare în caz de dezastre
şicontinuare a activităţii;
- testarea integrităţii datelor.

Auditul informatic reprezintă o formă esenţială prin care se verifică dacă un SI îşi
atinge obiectivul pentru care a fost elaborată. Standardele europene definesc clar
domeniul, activităţile, etapele, conţinutul auditării şi formele de finalizare. Respectând
cerinţele standardelor, rezultatul procesului de auditare informatică este eliberat de
riscurile contestării. Auditul informatic reprezintă un domeniu cuprinzător în care sunt
incluse toate activităţile de auditare pentru : specificaţii, proiecte, software, baze de
date, procesele specifice ciclului de viaţă ale unui program, ale unei aplicaţii
informatice, ale unui sistem informatic pentru management şi ale unui portal de
maximă complexitate, asociat unei organizaţii virtuale. În domeniulinformatic există
mai multe direcţii de dezvoltare a auditului.

Auditul informatic poate, de asemenea, să evalueze aspecte strategice sau referitoare la

calitatea sistemelor informatice. De exemplu, să verifice dacă sistemul informatic al
întreprinderii răspunde în mod eficient la nevoile funcţiilor serviciului. Auditul
mediului informatic se execută pentru a evalua riscurile sistemelor informatice
necesare funcţionării aplicaţiilor. De exemplu: securitatea fizică, securitatea logică,
securitatea reţelelor, plan de salvare. În urma auditării, se întocmeşte un raport în care
sunt prezentate punctele slabe, nivelul de risc al acestora şi măsurile corective propuse.
Analistul informatic are la dispoziţie
numeroase tehnici şi metode pe care le adaptează contextului. Într-un fel este auditat
un program de calcul statistic sau de optimizare şi altfel este auditată o aplicaţie care
utilizează o bază de date. Pentru un sistem informatic complex există metode adecvate
de auditare, iar pentru aplicaţiile web accentul auditării este pus pe gradul de
satisfacţie a grupului ţintă.

In cadrul procesului de audit informatic, planificarea şi definirea metodei de audit este

esenţială. Alegerea unei metode neadecvate conduce la utilizarea de instrumente
neadecvate, iar rezultatele auditului au caracter speculativ.

Alegerea metodei presupune obţinerea unor informaţii privind contextul în care se

derulează procesele legate de produsul software, de aplicaţia informatică sau de
sistemul informatic, obiecte ale auditării.

Raporturile trebuie privite din punct de vedere tehnic, financiar şi juridic. Aspectul
tehnic priveşte date de interior, algoritmi, rezultate, resurse folosite. Aspectul financiar
vizează costul estimat al produsului software, aplicaţie, sistem informatic şi costul
efectiv, modul în care s-au efectuat plăţile. Caracterul juridic al abordării vizează
obligaţiile contractuale şi legislaţia din domeniul informatic. Toate aceste elemente
conduc la stabilirea unor proceduri preliminare prin
care sunt definite direcţiile de analiză, gradul de semnificaţie pe care procesul de audit
informatic îl oferă şi riscurile ca unele concluzii să fie infirmate de practica derulării
proceselor de utilizare curentă a produsului software, a aplicaţiei informatice sau a
sistemului informatic în integralitatea lui. Pentru a realiza auditul informatic se
defineşte planul de audit general şi programul de audit.

Înainte de a se trece la auditul informatic propriu-zis, datorită eforturilor ridicate de

derulare şi, mai ales, datorită riscurilor ca reproductibilitatea procesului de audit să fie
afectată chiar de schimbările care au loc în produsele informatice auditate, trebuie
efectuate teste asupra mecanismelor de control şi a mecanismelor de testare pe teste
sursă, pe specificaţii, pe diagrame, pe documentaţii, pe structuri de rezultate.

Pentru a obţine o reducere a nivelului estimat pentru riscul erorilor de analiză/control a

produsului informatic în procesul de audit, printr-un proces iterativ se procedează la
efectuarea de corecţii asupra modalităţilor în care se includ procedee tehnice, metode,
modele de analiză/control a produselor informatice. Procesul iterativ se întrerupe
atunci când estimarea probabilităţii ca
rezultatele auditării informatice să fie afectate de erori a atins un prag acceptabil.

Auditorul tehnic trebuie să ierarhizeze informaţiile astfel încât să identifice

punctele cheie care definesc procesul de analiză, proiectare, dezvoltare, testare,
implementare a produsului informatic, fie că este vorba de un simplu program, fie că
este vorba de o aplicaţie informatică desktop sau în reţea, fie că este vorba de un
sistem informatic care vizează întreaga activitate a unei organizaţii.
Toate procedurile analitice şi textele de detaliere aplicate modulelor, programelor şi
sistemelor de programe, au menirea de a evidenţia comportamentul, pas cu pas, a
secvenţelor de program. În cazul în care auditorul informatic are la bază pregătire de
programator, ştie să aleagă din multitudinea de proceduri şi texte cu caracter analitic,
pe acelea care oferă informaţia reprezentativă privind produsul software auditat, fie că
este vorba de un modul, fie că este vorba de un sistem complex.

Auditul se încheie cu raport care are la bază o serie de verificări ale

intercondiţionărilor dintre module, dintre programe, respectiv dintre subsistemele
sistemului informatic, pentru momentul t, considerat bază. Se verifică modul de
producere a evenimentelor care sunt concretizate prin succesiuni de prelucrări,
corespunzătoare momentului t + 1. În acest fel, produsul informatic, proiectat pentru
derularea unor seturi de prelucrări, este analizat ţinând cont tocmai de succesiunea
prelucrărilor.

De cele mai multe ori, auditul informatic este cerut ca soluţie finală, imparţială, pentru
a justifica ipotezele unei părţi contractante, fie că este vorba de cumpărător de
software, fie că este vorba de beneficiar, când aceştia cred în dreptatea lor absolută. În
general, auditul este descris ca Examinarea independentă a înregistrărilor şi a altor
informaţii în scopul formării unei opinii referitoare la integritatea sistemului
controalelor şi îmbunătăţirea controalelor recomandate pentru limitarea riscurilor.

Integrarea printr-un sistem ERP

Prin integrare, aplicaţiile şi datele trebuie combinate într-o abordare care să asigure
mai mult decât accesul la informaţii şi procese economice.

ERP promite soluţii efective, eficiente şi oferă companiei oportunitatea de a

implementa o interfaţă comună, care să permită integrarea informaţională a tuturor
departamentelor şi gestiunea fluxurilor de date, stabilind un mediu în care să poată fi
adoptate viitoarele iniţiative tehnologice, în condiţiile remodelării proceselor
economice sau a definirii unora noi.

Dincolo de promisiuni presupune, în primul rând, elaborarea de planuri şi stabilirea de

metode şi instrumente adecvate pentru trecerea de la aplicaţii disparate la o platformă
unică.
Integrarea informaţională trebuie privită ca un proces continuu şi ominvestiţie
strategică pe termen lung, deoarece beneficiile sale nu se arată imediat, ci în timp.
Poate fi considerat ca o „asigurare de viaţă” pentru sistemul informaţional al
întreprinderii.
Abordarea integrării trebuie să fie realistă şi să ţină cont de două mari alternative:
•integrarea internă - vizează procesele economice intra-organizaţionale, acoperite
 prin suite ERP;
•integrarea externă - combină servicii de la mai mulţi furnizori pentru a susţine

gestiunea tranzacţiilor extinse, schimbul de informaţii, coordonarea şi colaborarea

de-a lungul lanţului valoric extins (extinderea aplicaţiilor tradiţionale ERP cu mai
„noile” aplicaţii Customer Relationship Management, Supply Chain Management).

Necesitatea auditarii unui sistem integrat

Aplicaţiile ERP formează coloana vertebrală a unei organizaţii şi sunt "responsabile"

dedatele, informaţiile şi cunoştinţele interne organizaţionale, Nucleul acestui pachet de
aplicaţii are misiunea de a gestiona datele interne. Acestea sunt organizate în cadrul
depozitelor de date, de unde sunt extrase şi analizate prin intermediul sistemelor suport
pentru decizii (Decision
Support System), utilizând instrumente de tip OLAP (On-Line Analytical Processing)
sau OLTP (On-Line Transaction Processing). În ansamblu, depozitele de date
furnizează arhitecturi şi instrumente utile conducerii la vârf prin organizarea
sistematică, întelegerea şi utilizarea datelor în adoptarea deciziilor strategice; în
particular, sprijină procesarea informaţiilor
furnizând o platformă solidă de consolidare a datelor istorice pentru analiză.
Operaţional, sistemele integrate au caracteristici distincte şi partajează cinci atribute
esenţiale :
•asigură compatibilitatea tehnică şi funcţională a departamentelor;
•tehnologiile implicate în procesarea datelor sunt relativ transparente pentru
utilizatori.
Integrarea poate fi realizată la orice nivel de desfăşurare a afacerii şi cu orice tip de
tehnologie. Cheia succesului constă în alegerea celei mai bune tehnologii care
onorează cu performanţă următoarele criterii: suportul oferit utilizatorilor, longevitatea
tehnologică, adaptabilitatea, scalabilitatea şi rapiditatea în livrarea soluţiei:
•sistemele de aplicaţii, datele, căile de acces la date şi interfaţa grafică utilizator
sunt armonizate şi standardizate pentru utilizatori;
•raţionalitatea datelor întreprinderii - datele au acelaşi statut în sisteme şi module
diferite, sunt definite coerent la nivel organizaţional;
•toate aplicaţiile de gestiune şi mediile informatizate sunt scalabile, portabile şi
•acoperă multiple funcţiuni

Studiu de caz

Scopul auditului
- Auditarea aplicaţiilor de evidenţă a mijloacelor fixe
◦ Obiectivele auditului
 Asigurarea acurateţii şi integrităţii aplicaţiilor de evidenţă a mijloacelor
fixe
 Evaluarea controalelor din cadrul aplicaţiilor de evidenţă a mijloacelor fixe
◦ Planificarea
 Întâlnirea cu managementul întreprinderii pentru clarificarea întinderii
misiunii de audit.
 Revizuirea unor misiuni anterioare privind evidenţa mijloacelor fixe pentru a
determina unele probleme.
 Realizarea unei evaluări preliminare a riscurilor pentru identificarea şi
cuantificarea ameninţărilor şi vulnerabilităţilor din sistemul de evidenţă a
mijloacelor fixe.
 Scrierea detaliată a programului de audit, respectiv a foilor de lucru.
 Formareaechipeideauditînfuncţiedecomplexitateaaplicaţiilorşia sistemului.
 Stabilirea bugetului misiunii.

Desfăşurarea
◦ Revizuirea legislaţiei la zi referitor la evidenţa mijloacelor fixe.
◦ Identificarea personalului şi aplicaţiilor implicate în evidenţa mijloacelor fixe.
◦ Analiza tuturor documentelor şi rapoartelor privind evidenţa mijloacelor fixe pentru a
înţelege circuitul şi fluxul informaţional din această activitate.
◦ Intervievarea personalului implicat.
◦ Documentarea şi completarea foilor de lucru cu procedurile şi descrierea circuitelor
din cadrul aplicaţiilor pentru evidenţa mijloacelor fixe.
◦ Pregătirea datelor de test pentru testarea intrărilor şi prelucrărilor aplicaţiilor.
◦ Introducerea datelor de test şi verificarea controalelor de intrare şi prelucrare.
◦ Evaluarea modului de prelucrare şi concordanţa cu legislaţia şi regulamentele interne.
◦ Identificarea şi analiza erorilor.
◦ Evaluarea şi testarea controalelor aplicaţiilor. Controale de acces, de raportare, de
stocare şi de modificare a aplicaţiilor.
◦ Testarea integrităţii datelor din baza de date şi din cadrul listelor sau rapoartelor.
◦ Evaluarea sistemului de operare sub care lucraeză aplicaţia.
◦ Documentarea tuturor testelor şi evaluărilor în cadrul foilor de lucru.
Raportarea
◦ Formularea concluziilor privind controalele şi integritatea sistemului de evidenţă a
mijloacelor fixe.
◦ Prezentarea şi discutarea rezultatelor obţinute cu managementul clientului.
◦ Stabilirea recomandărilor.
◦ Pregătirea şi scrierea raportului de audit.
◦ Stabilirea condiţiilor şi termenilor pentru urmărirea implementării recomandărilor.

Bibliografie
https://www.ibr-rbi.ro/9523/auditarea-sistemelor-informatice/

https://ro.scribd.com/doc/91419571/auditul-sistemelor-informatice

https://pdfcoffee.com/auditul-sistemelor-informatice-pdf-free.html