EVALUAREA DE CTRE AUDITOR A SISTEMULUI INFORMATIC AL CLIENTULUI

Cuprins

1. Auditul sistemelor informatice, component a sistemului de audit ................... 3 1.1 Fundamente teoretice ale auditului sistemelor informatice................................. 3 1.2 Metodologia de audit a sistemelor informatice ................................................... 4 1.3 Perspective privind auditul sistemelor informatice ............................................. 6 2. Riscuri asociate sistemelor informatice ................................................................. 7 2.1 Definirea i clasificarea riscului din cadrul sistemelor informatice .................... 7 2.2 Evaluarea riscurilor din sistemele informatice .................................................... 8 3. Evaluarea de ctre auditor a sistemului informatic ............................................. 8 3.1 Evaluarea aplicaiilor informatice ..................................................................... 10 3.2 Evaluarea infrastructurii tehnice a sistemului informatic ................................. 11 3.3 Evaluarea securitii sistemului informatic ....................................................... 13 Bibliografie................................................................................................................. 15

1. Auditul sistemului informatic, component a sistemului de audit

Societatea informaional determin o cretere dramatic a dependenei tuturor domeniilor vieii economico-sociale de tehnnologiile informaionale. Sistemele informatice sunt construcii complexe care vizeaz mai multe probleme diferite ale unei companii. Avnd n vedere consumul de resurse umane i financiare la dezvoltarea unui sistem informatic, este necesar s se desfoare anumite activiti care s conduc la atingerea obiectivului propus, la timp, cu nivelul de calitate stabilit i n limita bugetului alocat. Una dintre aceste activiti, deosebit de important, att pentru realizatori, ct, mai ales, pentru utilizatori, este auditul sistemelor informatice (SI).

1.1 Fundamente teoretice ale auditului sistemelor informatice

n literatur i practic se ntlnesc termenii de auditul sistemelor informaionale, auditul sistemelor informatice sau auditul informatic (auditul IT), Diferena conceptual dintre aceti termeni este dat pe de o parte de coninutul i nivelul la care se desfoar activitatea de audit i pe de alt parte de diferena conceptual dintre noiunile de sistem informaional i sistem informatic. Astfel, auditul sistemului informaional este, conceptual, cel mai cuprinztor, acoperind prin obiectivele sale toate nivelurile sistemului informaional, de la evaluarea proiectrii i utilizrii sistemului informatic, pn la evaluarea politicilor i procedurilor de securitate de la nivelul operaional i strategic. Auditul sistemului informatic, respectiv auditul informatic acoper prin obiectivele sale doar sistemul informatic. Pe scurt, conceptual, auditul sistemului informaional conine auditul sistemului informatic, ntruct n majoritatea ntreprinderilor sistemul informatic acoper aproape tot sistemul informaional .Cel mai utilizat termen va fi de auditul sistemelor informatice sau auditul IT, iar pentru auditor se va utiliza termenii de auditor de sisteme informatice sau auditor IT. Auditul SI este o ramur a auditului general care se ocup cu controlul tehnologiilor informaiilor i comunicaiilor. Auditul SI studiaz, n primul rnd, sistemele i reelele de calcul din punct de vedere al examinrii eficienei controlului tehnic i procedural pentru a minimiza riscurile. Auditarea SI presupune discuii cu personalul care stabilete specificaiile, dezvolt, testeaz, conduce, administreaz i utilizeaz sistemele de calcul. Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale.

De regul, aceast activitate trebuie s fie executat de persoane pregtite i calificate n domeniul controlului, securitii i managementului sistemelor informaionale. O atestare profesional n acest domeniul l ofer certificatul CISA (Certified Information Systems Auditor) eliberat de ctre ISACA (Information Systems Audit and Control Association). n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile i testrile mijloacelor informaionale, astfel: -identificarea i evaluarea riscurilor din sistem; -verificarea separrii funciilor incompatibile n cadrul sistemului informatic; -verificarea secuitii fizice i logice a sistemului informaional; -verificarea i evaluarea administrrii infrastructurii reelelor de calculatoare; -controlul aplicaiilor informatice existente n sistem; -testarea integritii datelor; -verificarea existenei i securitii copiilor de siguran a datelor, informaiilor, aplicaiilor informatice; -verificarea i evaluarea planurilor de recuperare n caz de dezastre.

1.2 Metodologia de audit a sistemelor informatice

Metodologia de audit a sistemelor informatice reprezint un set de procedee destinat atingerii obiectivelor activitii de audit. Pentru auditul sistemului informaional, etapele generale ale unei unei misiuni de audit IT pot fi: a. Planificarea n cadrul acestei etape auditorul trebuie: s se informeze cu privire la obiectul de activitate al clientului i domeniul n care i desfoar activitatea; s se documenteze cu privire la structura sistemului informaional. Auditorul trebuie s analizeze structura organizatoric (organigrama), organigrama sistemului informatic i flowchart-urile din sistem; s determine complexitatea sistemului informatic; s se documenteze cu privire la aplicaiile informatice utilizate; s se documenteze cu privire la infrastructura reelei de calculatoare; s se documenteze cu privire la politicile i procedurile de securitate, respectiv procedurile de operare din sistemul informatic; s evalueze riscurile din sistem (inerent, de detectare i de control); s stabileasc nivelul pragului de materialitate; s stabileasc i s documenteze foile de lucru necesare pentru misiunea de audit. b. Evaluarea riscurilor i controlului intern n cadrul acestei etape auditorul trebuie:

 s identifice vulnerabilitile i ameninrile la care este expus aria de audit; s evalueze prin tehnici adecvate (metoda scorurilor sau judecata liber) nivelurile de risc din cadrul ariei de audit; s stabileasc riscul inerent i de control; s evalueze controlul intern din aria de audit; c. Elaborarea programului de audit Programul de audit se elaboreaz dup planificarea i evaluarea riscurilor i controlului intern, atunci cnd auditorul are o imagine mai clar asupra sistemului ce va fi auditat. Acest program reprezint un ghid pentru procedurile ce vor fii realizate n etapa de culegere a probelor, astfel nct s fie acoperite ct mai bine obiectivele auditului. d. Culegerea probelor. Pentru fundamentarea unor concluzii ct mai reale i exprimarea unei opinii pertinente, auditorul trebuie s obin probe suficiente i concludente. Probele pe care auditorul IT Ie culege ntr-o misiune sunt variate. n general acestea pot fi: documente privind politicile i procedurile securitate din sistemul informaional al clientului; documente sau observaii privind infrastructura fizic (hardware) i logic (software) a sistemului auditat. interviurile i chestionarele aplicate; observaii personale n cadrul foilor de lucru; fiiere cu datele extrase din aria de auditat; fiiere cu tranzaciile de date necesare auditului; fiiere jurnal pentru intrri, prelucrri, tranzacii de date i tratarea erorilor, fiierele cu datele de test; fiiere cu erori; coninutul i rezultatul testelor controlului din sistem; liste cu surse ale programelor utilizate n procesele auditate; e. Formularea concluziilor i elaborarea raportului Dup culegerea probelor, auditorul trebuie s le analizeze i s formuleze concluziile cu privire la obiectivele misiunii de audit. Auditorul trebuie s discute rezultatele i concluziile n primul rnd cu managementul entitii auditate i apoi s le comunice conducerii ntreprinderii. Scopul unei astfel de proceduri este de a dezbate rezultatele obinute i de a elabora un plan de msuri corective. Rezultatele obinute i recomandrile stabilite, se vor concretiza sub forma unei opinii ntr-un raport de audit f. Urmrirea (monitorizarea) implementrii recomandrilor din raportul de audit.

Ultima etap a procesului de audit o reprezint urmrirea implementrii recomandrilor. Aceast etap const n stabilirea de comun acord cu clientul a unor date n care auditorul s revin i s verifice dac recomandrile i msurile corective propuse de el au fost implementate.

1.3 Perspective privind auditul sistemelor informatice

Astzi, ntr-o er informatizat, apare necesitatea exprimrii, de ctre auditor, a unei opinii fundamentate n timp real, n defavoarea abordrii clasice, cu caracter istoric. Dezvoltare i integrarea tot mai accelerat a tehnologiei informaiei la nivelul oricrei organizaii a avut implicaii majore i n domeniul auditului, prin dezvoltarea unor abordri, tehnici i metode precum: autoevaluarea controlului intern, abordarea integrat i auditul continuu. Autoevaluarea controlului intern reprezint o tehnic de management care asigur acionarii, clienii i ali parteneri c sistemul de control al unei organizaii este de ncredere. Controlul de autoevaluare este o metodologie utilizat pentru a se verifica obiectivele-cheie ale organizaiei, riscurile implicate n realizarea acestora i controalele interne proiectate s reduc aceste riscuri la un nivel acceptabil. Auditul integrat poate fi definit ca procesul n care discipline nrudite cu auditul sunt combinate pentru a evalua controale interne cheie privind operaiile i procesele desfurate la nivelul unei entiti. Abordarea auditului integrat este o abordare bazat pe risc. Un element-cheie al abordrii integrate este discutarea tuturor riscurilor aprute n sistem, fie ele financiare, operaionale au informatice, cu toi membrii echipei de audit, proces care va analiza impactul i probabilitatea de realizare a fiecrui risc semnificativ. Auditul continuu reprezint o metod modern de audit, care presupune interaciunea permanent a auditorului cu sistemul organizaiei auditate, perfecionndu-se astfel accesul la coninutul informaional i prezentarea acestuia la momentul oportun. n cadrul acestui proces, instrumentele i tehnicile de audit trebuie s opereze n paralel cu procesarea tranzaciilor, culegnd datele n timp real, i permit detectarea trendurilor i a excepiilor, eventualele erori sau fraude.

2. Riscuri asociate sistemelor informatice

2.1 Definirea i clasificarea riscului din cadrul sistemelor informatice
n cadrul sistemului informaional al ntreprinderilor, auditorii trebuie s evalueze, att riscurile, ct i controlul sistemului. Orientarea spre evaluarea riscurilor permite auditorului s observe mult mai bine eficacitatea i eficiena controlului din sistemul auditat. Riscul din cadrul sistemului informaional reprezint probabilitatea de apariie a unei pierderi care s afecteze negativ resursele informaionale i funcionalitatea sistemului. Privit n ansamblul su sistemul informaional al ntreprinderilor este expus la o serie de riscuri. Un rol deosebit n identificarea i controlul riscurilor l are procesul de management al riscului. Managementul riscului poate fi definit ca fiind procesul de identificare a vulnerabilitilor i ameninrilor din cadrul unei ntreprinderi, precum i de elaborare a unor msuri de minimizare a impactului acestora asupra resurselor informaionale din ntreprindere. Acest proces trebuie s existe la nivelul oricrei ntreprinderi pentru a asigura atingerea cu succes a obiectivelor. ntreprinderile pot, ns, transfera, ignora, accepta sau reduce riscul. Transferul riscurilor se poate realiza prin asigurarea mijloacelor expuse (asigurarea informatic sau a sistemului informatic). Ignorarea riscului poate s conduc la pierderi semnificative. Acceptarea riscului poate fi realizat n condiiile n care msurile de control sunt mai costisitoare dect pierderea n sine. Reducerea riscului se realizeaz prin adoptarea unor proceduri de control a factorilor de risc. Riscul sistemului informaional reprezint probabilitatea de apariie a unor erori sau fraude datorit utilizrii inadecvate a sistemului informaional. a) Riscurile de mediu - hardware si retele de comunicatii - sistem de operare - softuri de aplicatie - informatiile procesate de sistem b) Riscuri asociate mediului : - pericole naturale si dezastre - alterarea sau furtul aplicatiilor, datelor - erori umane sau tehnice - incompetenta manageriala - pierderi financiare previzibile

2.2 Evaluarea riscurilor din sistemele informatice

Att managerii, ct i auditorii, trebuie s evalueze ct mai corect riscurile din cadrul sistemului informaional ai ntreprinderii. Pentru identificarea i evaluarea riscurilor, n general, se parcurg urmtorii pai: identificarea factorilor de risc; ierarhizarea factorilor de risc dup importana acestora pentru sistemul auditat; determinarea frecvenei i duratei de apariie a fiecrui factor de risc; cuantificarea i evaluarea nivelului de risc; programarea auditului i alocarea resurselor de audit corespunztoare nivelului de risc stabilit. Riscurile trebuie - evaluate din punct de vedere al gravitii efectelor lor - evaluate din punct de vedere al probabilitii procedurilor - estimate financiar pentru fiecare apariie a fenomenului i pe total Particulariti ale sistemelor informatice n evaluarea riscului: A. Structura organizaional - Concentrarea funciilor i a cunotinelor - Concentrarea programelor i a datelor B. Natura procesrii Absena documentelor de intrare - Lipsa unei dovezi vizibile a tranzaciei - Lipsa unor ieiri vizibile - Uurina de a accesa datele i softurile C. Aspecte procedurale consecvena execuiei - proceduri de control programate - o tranzacie are efect n fiiere multiple - vulnerabilitatea mediilor de stocare

3. Evaluarea de ctre auditor a sistemului informatic

Auditul sistemului informatic const n evaluarea aplicaiilor i proceselor care susin funcionarea acestora. n vederea crerii unei opinii obiective i a unui raport de audit cuprinztor, echipa de audit va realiza urmtoarele activiti:

Inelegerea organizaiei - strngerea de informaii relevante despre client pentru utilizarea n cadrul etapelor urmtoare. Aceste informaii includ: detalii despre organizarea intern, detalii despre organizarea IT, despre tehnologii i sistemele folosite, modul de funcionare al sistemelor din cadrul domeniului de audit. n mod normal, auditorul programeaz interviuri cu persoanele responsabile desemnate de ctre client, sau, dupa caz, utilizeaz chestionare pentru fiecare seciune n parte. Tot n aceast etap se va realiza o list cu rolurile i responsabilitile personalului clientului n administrarea i operarea sistemelor int. Analiza documentaiei relevant - evaluarea conformitii documentaiei clientului cu cerinele specificate de standardele n domeniu; Analiza de risc definirea expunerii pe care o au sistemul i informaiile gestionate la riscuri privind securitatea informaiilor. n vederea realizrii acestei analize de risc, se realizeaz urmtoarele: Identificarea elementelor analizate: sisteme, aplicaii, procese, oameni; Identificarea vulnerabilitilor i a ameninrilor; Cuantificarea i msurarea scenarilor de risc; Identificarea controalelor aplicabile; Stabilirea registrului de riscuri i identificarea riscurilor reziduale sau a scenariilor necotrolate. Definire program audit - definirea de obiective de control i de verificri care se vor ntrebuina n verificrile la faa locului. Auditul sistemului - echipa de auditori ntreprinde evalurile i testele prevzute n programul de audit, cu scopul de a verifica atingerea obiectivelor de control stabilite. Acesta cuprinde 7 componente principale: Revizuirea controalelor tehnice implementate la nivelul aplicaiilor; Revizuirea controalelor tehnice implementate la nivelul serverelor ce susin sistemele int; Revizuirea controalelor tehnice implementate la nivelul infrastructurii de reea; Revizuirea controalelor de acces fizic; Revizuirea procedurilor operaionale ale sistemelor; Revizuirea procedurilor de mentenan i recuperare n caz de dezastru; Revizuirea controalelor tehnice implementate la nivelul staiilor de lucru. Raportarea pregtirea opiniei de audit i a raportului de audit, care documenteaz operaiunile i testele ntreprinse precum i rezultatele obinut

3.1 Evaluarea aplicaiilor informatice

Pentru realizarea obiectivelor misiunii sale, auditorul trebuie s cunoasc principalele componente ale sistemului informatic i fluxul tranzaciilor. Aceste informaii le dobndete prin studierea documentaiei, observarea direct a proceselor de prelucrare i prin interviurile realizate cu administratorul aplicaiei i utilizatorii. Documentarea sa trebuie s cuprind, conform cerinelor practice, urmtoarele documente: metodologia de proiectare a sistemului; specificaiile proiectrii funcionale; modificrile realizate n timp asupra programelor; manualele-utilizator; documentaii tehnice ale furnizorului de software.

nelegerea complexitii i funcionalitii aplicaiei i ofer posibilitatea de a-i realiza strategia de teste n vederea evalurii adecvrii, completitudinii i eficienei, controalelor. Sarcina auditorului este de a identifica punctele forte ale controalelor, precum i punctele slabe. O deosebit importan o are diagrama tranzaciilor, aceasta oferind auditorului informaii cu privire la principalele controale, punctele de introducere a datelor, procesrii i afirii n vederea evalurii eficienei controalelor. Verificarea respectrii principiului segregrii funciilor incompatibile presupune evaluarea urmtoarelor probleme: separarea funciilor adic, procesarea automat a datelor, prin caracteristicile sale i implicaiile aciunilor diverilor utilizatori impune reguli stricte privind separarea funciilor. n acest sens, atribuii precum: initierea, autorizarea, verificarea i distribuia, nu pot fi alocate unei singure persoane. De asemenea, persoanele implicate n proiectarea, realizarea, actualizarea i administrarea software-ului nu vor putea avea atribuii de exploatare curent a acestuia. Evaluarea separrii funciilor se va realiza prin analizarea fielor posturilor i verificarea msurii n care, n activitatea curent, persoanele respect atribuiile asignate postului. autorizarea intrrilor se aplic regula celor patru ochi, adic drepturile acordate utilizatorilor trebuie s fac demarcaia ntre persoanele autorizate s introduc date n sistem i cele cu drept de autorizare. n acest caz, auditorul va trebui s verifice drepturile oferite utilizatorilor i modul de 10

executare a procedurilor de introducere i autorizare procednd la efectuarea de teste utiliznd un eantion de documente primare(autorizri n sistem), precum i verificarea existenei autorizrii pe documentul primar(autorizri manuale). balane care sunt executate pentru a verifica controalele de tip total i modul n care se realizeaz reconcilierea datelor. erori de control i corecia acestora - adic, erorile de introducere i nregistrrile respinse trebuie verificate naintea reintroducerii. Auditorul va proceda la verificarea modului n care managerul a procedat la verificarea erorilor i autorizarea erorilor plecnd de la un eantion de nregistrri eronate. distribuirea rapoartelor n acest caz, auditorul trebuie s verifice msura n care generarea i distribuirea rapoartelor ce conin informaii confideniale, se realizeaz n condiii de securitate adecvate. Astfel, va proceda la metoda observrii directe, la verificarea jurnalelor de distribuire pe baz de semntur a rapoartelor, precum i la testarea n sistem a drepturilor de acces la funciile de generare/vizualizare rapoarte.

3.2 Evaluarea infrastructurii tehnice a sistemului informatic

Evaluarea infrastructurii tehnice const n analiza hardware, analiza sistemului de operare, analiza bazei de date, , precum i analiza operrii sistemului informatic. Analiza hardware reprezint: proceduri de gestionare hardware const n asigurarea analizei continue a hardware-ului i perfomana software-ului utilizat pe aceste platforme, precum i analizarea criteriilor utilizate n planul de monitorizare a performanei hardware. n acest caz, auditorul va efectua proceduri de evaluare a performanei hardware, date i analize istorice obinute din rapoarte, log-uri, planificri ale proceselor, planificri de prevenire i ntreinere. plan de achiziii controlate de hardware const n analiza sincronizrii planului de achiziii cu planul de afaceri al societii, analiza coninerii specificaiilor tehnologice ale echipamentelor existente, analiza concordanei ntre documentaie i specificaiile hardware i software. n acest sens, auditorul va identifica lipsa unui echipament, va putea face o alegere a echipamentelor noi mai potrivite cu necesitile societii.

11

 controale pentru nlocuirea echipamentelor hardware existente auditorul va efectua teste de lucru pentru noile echipamente pentru aplicaiile si bazele de date existente. Analiza sistemului de operare const n: intervievarea personalului serviciului tehnic - n acest sens, auditorul va evalua cerinele din documentaie. proceduri de selecie a sofware-ului auditorul va evalua dac cerinele SI sunt n concordan cu afacerea studiu de fezabilitate i procese de selecie obiectivele sistemului se bazeaz pe cerere/ofert, in acest sens auditorul va verifica dac criteriile de selecie sunt aplicate la toate elementele din ofert. analiza securitii software-ului se vor efectua proceduri pentru limitarea accesului la sistem, astfel va evalua dac sunt eliminate toate configurrile sistemului stabilite de furnizorii de software. Analiza bazei de date const n urmtoarele tipuri de analize: proiectarea bazei de date auditorul va verifica entitile, cheile primare i externe, cardinalitile relaiilor. accesul la baza de date analizndu-se accesul principal la baza de date, in acest sens aditorul va evalua corectitudinea alegerii n cazul n care baza de date permite alegerea metodelor i tipurilor de indeci. administrarea bazei de date auditorul va evalua procedurile de backup i recuperare n caz de dezastre. interfaa bazei de date astfel se vor verifica procedurile de import-export, auditorul evalund asigurarea integritii i confidenialitii datelor. utilizarea cu uurin a bazei de date se vor verifica cererile SQL. Analiza operrii SI include observaii ale personalului privind ndatoririle acestuia pentru a asigura eficiena:operrii, stabilirea standardelor i politicilor, supervizarea adecvat, integritatea datelor i securitatea. acces al operrii acces la fiiere, la codul surs, librrii, utilitare pentru stabilitatea sistemului. n acest sens, auditorul va evalua limitarea la accesul operrii. planificarea operrii pe calculator operatorii trebuie s nregistreze i s planifice activiti pentru procesare, evaluarea auditorului const n planificare automat sau manual.

12

 proceduri pentru obinerea aprobrii scrise sau electronice operatorii trebuie s obin aprobri scrise sau electronice s nregistreze cererile i s le analizeze. Auditorul va evalua cererile pentru a determina procedurile cele mai potrivite. accesul la biblioteci acest acces ar trebui restricionat pentru personalul autorizat, astfel auditorul va evalua evidena accesrii bibliotecii. coninutul i locaia stocrilor se va verifica dac stocarea este fcut aa cum ar trebui, i anume n alt locaie dect unde se gasete sistemul operaional.

3.3 Evaluarea securitii sistemului informatic

Auditul securitii SI implic auditul accesului fizic i logic, utilizarea unor tehnici pentru testarea securitii, precum i utilizarea tehnicilor de investigare. n acest sens, se vor parcurge urmtorii pai: - reanalizarea politicilor, procedurilor i standardelor; - politici de securitate pentru accesul fizic; - politici de securitate pentru accesul logic; - contientizarea i formarea permanent a utilizatorilor privind politicile de securitate; - stabilirea proprietarilor i utilizatorilor de date; - date aflate n custodie; - administrator de securiatet; - utlizatori noi i accesul fosilor anagajai; - proceduri de autorizare a accesului documentate; - securitatea de baz, ce urmrete inventariarea mediului, antivirusul, parole de acces, copii de siguran, adresarea vulnerabilitii, minimizarea serviciilor oferite de sistem, actualizarea sistemului, personalul IT; - accesul standard. Auditul accesului logic presupune - determinarea riscurilor de securitatea privind procesarea tranzaciilor; evaluarea controalelor privind cile de acces n sistem; evaluarea mediului de control pentru a determina dac obiectivele controlului sunt atinse de rezultatele testrii; evaluarea mediului de securitate prin revizuirea politicilor, practicilor i procedurilor. Auditul accesului logic const n primul rnd n familiarizarea cu mediul IT pentru a obine o situaie clar a securitii mediului i evaluarea riscurilor. Un element important l reprezint documentarea privind cile de acces, ceea ce se concretizeaz ntr-un drum logic al unui utilizator la informaii. Pentru a controla accesul la componente ale sistemului, sunt cerui, adesea specialiti n domeniu.

13

Acetia sunt o surs valoroas pentru un auditor n sensul c pot furniza date privind securitatea sistemului. n acest sens, auditorul va cere un interviu cu aceti i va stabili vulnerabilitatea politicilor manageriale, securitatea logic i confidenialitatea. Se vor avea n vedere i rapoartele de analiz ale controlului accesului software i aplicaiile de analiz ale operaiilor manuale de sistem. Auditorul poate utiliza tehnici diferite de testare a securitii, precum: - chei i carduri; - identificarea terminalului; - identificarea i autentificarea utilizatorilor; - controlul asupra resurselor; - intrarea n sesiunea de lucru i raportarea accesului neautorizat; - urmrirea accesrii neautorizate; - securitatea necontrolat i controalele de compensare; - analiza controalelor de acces i administrarea parolelor. Odat implementat, un sistem informatic este obligatoriu s fie auditat periodic pentru a se asigura c ndeplinete toate sarcinile cerute la cel mai ridicat grad posibil de eficien i eficacitate. Creterea organizaiei, creterea volumului afacerilor, schimbrile n mediul afacerilor, schimbrile tehnologice i noile cerine de informaii toate plaseaz o cerere crescnd asupra sistemului informatic existent i adeseori impun modificarea sau extinderea acestuia pe baze ad-hoc. Exemple ale unui audit de SI aflat n funciune: - reevaluarea cerinelor de informaii; - verificarea modificrilor propuse la proiectrile de baz existente; - investigarea oportunitii noilor tehnologii; - mbuntirea procedurilor de operare. Din practic s-a constatat necesitatea auditarii unui sistem informatic odat la trei ani sau ori de cte ori schimbrile aprute o impun.

14

BIBLIOGRAFIE

1. A. Eden, Victoria Stanciu, Auditul sistemelor informatice, Editura Economic, 2003. 2. A. Rusovici, F. Cojoc, Gh. Rusu, Auditul financiar al societilor comerciale, Editura Regia Autonom Monitorul Oficial, 2003. 3. Munteanu A., Auditul sistemelor informaionale contabile - cadru general, Editura Polirom, 2001. 4. P. Nstase, Victoria Stanciu, A. Eden, Floarea Nstase, Gh. Popescu, Auditul i controlul sistemelor informaionale, Editura Economic, 2007. 5. www.ase.ro

15