Documente Academic
Documente Profesional
Documente Cultură
TEMA 2
III.1 Definiie
BDSA ASE
tefan Popa, Claudia Ionescu, Auditul n medii informatizate, Editura Expert, Bucureti 2005 Ivan I., Noca Gh, Capizisu S., Auditul sistemelor informatice, Editura ASE, Bucureti, 2005 Nstase P., Ali E., Stanciu V., a. Auditul i controlul sistemelor informaionale, Ed Economic, Bucureti 2008
BDSA ASE
componenta tiinifico-metodologic, reprezentat de modele, algoritmi, norme, standarde, prevederi legale; c) respectarea metodologiei de realizare a sistemelor informatice; n primul rnd, proiectul unui sistem IT ncepe ce stabilirea obiectivelor, care se clasific dup mai multe criterii astfel4: - dup sfera de cuprindere deosebim: obiective generale i obiective specifice; - dup domeniul de activitate asupra creia se rsfrng stabilim: obiective ce vizeaz mbuntirea activitilor de baz i obiective care vizeaz mbuntea sistemului informaional; - dup posibilitatea de cuantificare avem: obiective cuantificabile, cantitativ-valorice i obiective necuantificabile, calitative; Numai n acest fel respectm cerina de abordare a Guvernaei IT pe obiective i implicit cerina de realizarea unei legturi intre IT si cerinele afacerii. Auditul sistemului informatic trebuie s revad documentaia i s examineze dac obiectivele i n viitor, sistemul, rspund cerinelor i restriciilor formulate prin studiul de fezabilitate pe baza cruia s-a fcut investiia n IT. n al doilea rnd managementul IT se concentreaz pe arii de probleme distincte, difereniate datorit particularitilor etapelor ciclului de via a sistemului informatic SDLC, System Development Life Cycle.5 Etapelor SLDC planificarea sistemului, analiza sistemului, proiectarea conceptual, evaluarea i selecia soluiilor tehnice hardware i software, proiectarea de detaliu, implementarea i ntreinerea sistemului, le vor corespunde urmtoarele categorii de activiti de management: - managementul proiectului sistemului informatic; - managementul funcionrii sistemului informatic; - managementul schimbrii n cadrul sistemului informatic. Acestor tipuri specifice de management le vor corespunde tipuri specifice de audit auditul care evalueaz gradul de respectare a metodologiei de realizare a sistemului IT.
III.2.1 Procese IT
Pentru a avea un cadru coerent, relativ unitary de abordare a auditului IT COBIT - Control Objectives for Information and related Technology, propune gruparea activitilor legate de IT pe procese separate n patru domenii: 1. Planificare si Organizare, 2. Achiziie si Implementare,
4
Lungu I., Sabu I., Velicanu M., .a. Sisteme informatice, analiz, proiectare, implementare, Ed. Economic, Cangemi P.M., Sigleton T., Managing the Audit Functions, Ed John Wily&Sons, N.J 2003
Bucureti 2003
5
BDSA ASE
3. Furnizare si Suport 4. Monitorizare si Evaluare, Aceste domenii corespund pe cele patru arii tradiionale de responsabilitate: planificare, concepere si construire, rulare si monitorizare dezvoltare, ale ciclului de via a unui sistem IT prescurtat SLDC. Acest cadru permite msurarea si monitorizarea performanei IT, comunicarea cu furnizorii de servicii si adoptarea celor mai bune practici de management. Aceste domenii sunt6: Planificare si Organizare (PO) direcioneaz furnizarea soluiilor (AI) si a serviciilor (FS). Achiziie si Implementare (AI) ofer soluiile si le transmite mai departe spre a fi transformate in servicii. Furnizare si Suport (FS) primeste soluiile si le face utilizabile pentru utilizatorii finali. Monitorizare si Evaluare (ME) supervizeaz toate procesele pentru a fi asigurat faptul c direciile, msurile decise, sunt intocmai urmate spre indeplinire. 1. PLANIFICARE SI ORGANIZARE (PO) Acest domeniul acoper strategia si tacticile si vizeaz identificarea celor mai potrivite ci prin care IT-ul poate contribui la indeplinirea obiectivelor afacerii. Implementarea viziunii strategice este necesar a fi planificat, comunicat si abordat din diverse perspective. Astfel, contribuia vine atat dintr-un sistem de organizare corespunztoare, cat si din asigurarea unei infrastructuri tehnologice aferente. Cand este vorba de acest domeniu, urmtoarele intrebri legate de management isi asteapt rspunsul: Strategia IT si strategia afacerii sunt aliniate?
2. ACHIZIIE SI IMPLEMENTARE (AI) In vederea realizrii strategiei IT, soluiile IT trebuie identificate, dezvoltate sau achiziionate, dar si implementate si integrate proceselor afacerii. In plus, schimbrile si mentenana sistemelor deja existente sunt acoperite prin acest domeniu pentru a asigura continuitatea in atingerea obiectivelor economice prin aceste soluii IT. Cand este vorba de acest domeniu, urmtoarele intrebri legate de management isi asteapt rspunsul: Ce perspective exist ca noile proiecte s ofere soluiile care s rspund nevoilor afacerii?
6
COBIT 4.1 cadru referin, IT Governance Institute ITGI, traducere Adrian B. Munteanu i colectiv, UAIC, Iasi 2009
BDSA ASE
Aceste noi proiecte au sanse s fie duse la bun sfarsit, in timpul si cu bugetul prevzute? Vor funciona, cel puin decent, noile sisteme dup implementare? Este posibil ca schimbrile s aib loc fr a perturba afcerile curente? 3. FURNIZARE SI SUPORT (FS) Acest domeniu este responsabil de furnizarea efectiv a serviciilor necesare, ceea ce include furnizarea serviciilor, managementul securitii si a continuitii, servicii suport pentru utilizatori si managementul datelor si a capabilitilor operaionale. Cand este vorba de acest domeniu, urmtoarele intrebri legate de management isi asteapt rspunsul: Serviciile IT sunt furnizate in conformitate cu prioritile afacerii? Costurile IT sunt optimizate? Personalul poate folosi sistemele IT in mod productiv si in siguran? Dac, in vederea asigurrii securitii, confidenialitatea, integritatea si disponibilitatea sunt adecvate? 4. MONITORIZARE SI EVALUARE (ME) De-a lungul timpului, toate procesele IT trebuie evaluate cu regularitate din perspectiva caliti lor si a conformitii cu cerinele controlului. Acest domeniu se preocup de managementul performanei, monitorizarea controlului intern, conformarea cu legislaia (sau/si regulamentele) si are in vedere si guvernarea. Cand este vorba de acest domeniu, la urmtoarele intrebri trebuie s se caute un rspuns: Este msurat performana IT-ului pentru a detecta problemele inainte de a fi prea tarziu? Asigur managementul eficiena si eficacitatea controalelor interne? Se poate face o conexiune privind impactul performanei IT-ului asupra intelor/scopurilor afacerii? Dac, in vederea asigurrii securitii, sunt adecvate confidenialitatea, integritatea si disponibilitatea Traversand cele patru domenii, COBIT a identificat 34 de procese IT a cror utilizare este generalizat. In timp ce majoritatea Intre prinderilor atribuie responsabiliti clare privind planificarea, construirea, rularea si monitorizarea IT-ului, dar si aproximativ aceleasi procese-cheie, doar puine dintre ele au aceeasi structur a proceselor sau aplica/ adopt cele 34 de procese COBIT. Pentru a verifica completitudinea activitilor si a responsabilitilor, COBIT pune la dispoziie o list complet a proceselor necesare acestui deziderat. Totusi, nu este necesar s fie aplicabile toate, oricarei organizaii si, mai mult, ele pot fi chiar combinate dupa nevoile fiecrei intreprinderi. Pentru fiecare din aceste 34 de procese se face o trimitere ctre obiectivele afacerii si obiectivele IT pe care le susin. De asemenea, sunt oferite informaii despre modul in care o pot fi msurate, care sunt activitile cheie si principalele rezultatele si in responsabilitatea cui cade asigurarea lor. 5
BDSA ASE
BDSA ASE
Auditul managementului schimbrii trebuie s fie n msur s verifice dac schimbrile sau finalizat fr incidente, fr costuri suplimentare, n concordan cu ateptrile estimate ale utilizatorilor. n cadrul tipologiei generale analizate mai sus, se poate aplica un anumit tip particular de audit, n funcie de criteriile luate n considerare la momentul stabilirii misiunii de audit. Iat trei dintre aceste criterii i tipurile de audit specifice aplicabile: modul de organizare; momentul; scopul; d) n funcie de modul de organizare a activitii de audit, se deosebesc auditul intern i auditul extern. Auditul intern reprezint o evaluare sau monitorizare organizat de ctre uni departament propriu n vreme ce auditul extern este efectuat de un auditor independent i rspunde nevoilor terilor i entitii auditate n ceea ce privete: gradul de ncredere care poate fi acordat tranzaciilor i situaiilor financiare, respectarea reglementrilor legale, i a principiilor economicitii, eficienei i eficacitii n activitatea desfurat . e) Pe baza momentului n care se efectueaz auditul se face distincie ntre auditul preventiv i auditul corectiv. Auditul preventiv se definete ca o examinare a operaiunilor anterior desfurrii lor efective, avnd avantajul de a putea preveni prejudiciul nainte ca acesta s apar. Auditul corectiv se definete ca o examinare a operaiunilor n desfurarea lor. El poate conduce duce la recuperarea pagubelor i poate preveni repetarea erorilor. f) Din punct de vedere al scopului avem de-a face cu trei categorii de audit: auditul conformitii sau legalitii, auditul de atestare i auditul performanei. - auditul conformitii sau legalitii certific responsabilitatea privind tranzaciile i rapoartele elaborate pe baza acestora. - auditul de atestare se refer prin raportul de audit, asupra credibilitii situaiilor finale, atestnd sau nu, dac acestea prezint corect situaia firmei i tranzaciile realizate. n practic, de cele mai multe ori, auditul de conformitate se deruleaz concomitent cu auditul de atestare i se numete audit de regularitate sau audit legislativ. - auditul performanei se concentreaz pe eficien, eficaitate i economicitate. Performana este examinat urmrindu-se raportul dintre inputuri i outputuri prin analiza utilizrii resurselor pe baza principiilor eficienei economice. Aria de cuprindere este cel mai important criteriu avut n vedere la stabilirea misiunii de audit. Aria de probleme cu cea mai mare prioritate este SECURITATEA INFORMAIILOR. g) Auditul de securitate IT are n vedere urmtoarele segmente: sisteme i aplicaii procesul de audit verific dac sistemele i aplicaiile sunt corespunztoare, eficiente i controlate adecvat, asigur validitate, ncredere, actualitate, pentru intrri i ieiri, la toate nivelele organizaiei; medii de procesare a informaiilor proces de audit care verific dac mediile de procesare sunt controlate pentru a asigura o prelucrare n timp util, corect i 7
BDSA ASE
Auditul Sistemelor Informatice Traian Surcel complet a aplicailor informatice n condiii normale dar i n condiii de dificultate; dezvoltare de sisteme proces de audit care verific dac sistemele sunt dezvoltate n concordan cu standardele general acceptate de dezvoltare de sisteme informatice IT Management proces de audit care verific dac managementul IT a dezvoltat o structur organizaional i proceduri care asigur un mediu de control eficient pentru procesarea informaiilor; comunicaii pe reea intranet i extranet proces de audit care verific dac exist controale definite i aplicate pentru a controla mediile fizice i comunicaiile n reea. Asupra auditului de securitate ne vom opri mai pe larg intr-unul din capitolele urmtoare.
BDSA ASE
- opiniile sunt modul prin care auditorii exprim faptele, constatrile privind o situaie dat, i servesc concluziilor auditului; - integritatea include completitudinea, acurateea i ncrederea n rezultatele i procedurile de prelucrare i controalele aferente; - recomandrile sunt propuneri justificate de msuri, sugestii de mbuntire a activitilor n general, dar auditorii nu au calitatea de a sanciona greelile, respectiv de a implementa msuri corective, nu au autoritatea de a impune managementului s fac schimbri. - mbuntirea controalelor are n vedere i adugarea controalelor care lipsesc, sau eliminarea controalelor redundante sau tardive; - limitarea riscurilor are n vedere faptul c riscurile, erorile pot fi reduse dar nu pot fi complet eliminat. O bun activitate nseamn minimizarea riscurilor n condiiile unor costuri acceptabile dar i pregtirea unui plan de aciune n cazul producerii unor dezastre. - riscul reprezint posibilitatea ca ceva s se desfoare ntr-o direcie nefavorabil datorit neglijenei, incompetenei sau rea intenie, permind ameninrilor s acioneze acolo unde sunt vulnerabiliti n sistem. Urmrind n practic aceste orientri, auditul IT va da posibilitatea managementului s descopere ceea ce se ntmpl n realitate la un moment dat, s descopere nainte de a fi prea trziu ce pericole poteniale majore pot apare, n sistemul IT i n organizaie, pentru a implementa aciuni corective. Toate aceste aciuni au ca scop asigurarea conformitii i concordanei funcionrii sistemului informatic cu politica, standardele i procesele de business ale firmei, cu legislaia. Trebuie s subliniem c efortul i finalitatea auditului IT urmrete creterea responsabilitilor tuturor celor implicai n realizarea, exploatarea i dezvoltarea sistemelor IT&C pentru managementul riscurilor i al resurselor materiale, financiare, informaionale i umane, corespunztor strategiei IT, vzut ca parte component a strategiei ntreprinderii, ale crei obiective trebuiesc ndeplinite i prin contribuia susinut i msurabil a guvernanei IT. Acesta este de fapt i obiectivul major al auditului sistemelor IT.
ntrebri recapitulative 1. Ce individualizai atributele ce caracterizeaz auditul IT conform definiiei propuse? 2. Auditul sistemelor IT trebuie s ia n consideraie documentaia de proiectare i realizare a sistemului informatic. De ce ? 3. Care sunt etapele principale definite de SDLC i ce tipuri de management se aplic acestor etape? 4. Ce este auditul preventiv dar auditul corectiv ?. 5. Cum nelegei independena auditorului IT ? 6. Ce reprezint opiniile de audit ? 7. Ce accepiune are conceptul de integritate a datelor pentru auditul IT ? 9
BDSA ASE
8. Ce recomandri poate s propun i ce nu poate s propun un auditor ? 9. Cum formulai sintetic obiectivul major al auditului sistemelor informatice ?
10