BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

TEMA 2

III AUDITUL SISTEMELOR IT

III.1 Definiie

III.2. Procese IT Tipuri de audit IT

III.2.1 Procese IT III.2.2 Tipuri de audit

III.3 Semnificaia practic a activitii de audit

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

III AUDITUL SISTEMELOR IT

III.1 Definiie
Auditul sistemelor informatice, denumit pe scurt auditul IT, este considerat de standardul metodologic CoBIT ca fiind o examinare a controalelor n cadrul unei entiti IT. Pornind, mai mult sau mai puin, de la aceeai surs autorizat , ISACA Information Systems Audit and Control Association, , unii autori apreciaz c auditul se efectueaz asupra controalelor specifice referitoare la managementul sistemului informatic, securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului, continuitatea sistemului, managementul schimbrii i dezvoltrii sistemului.1 Alii, prelund i unele aspecte operaionale, consider c auditul sistemelor informatice este activitatea prin care auditorul, n urma colectrii i evalurii unor probe specifice de audit i exprim opinia asupra modului n care sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale entitii n condiiile utilizrii eficiente a tuturor resurselor informatice.2 Mai cuprinztor, analiznd i definiia formulat de Nstase P. i colectivul3 , apreciem c: auditul IT este o activitate planificat, de evaluare a sistemului informatic, pe baza probelor de audit, n scopul emiterii unei opinii calificate i obiective, privind conformitatea sistemului cu legislaia, cu standardele n domeniu i, totodat, asupra capacitii sistemului informatic de a susine efortul de realizare eficient a obiectivelor strategice ale organizaiei.

III.2. Procese IT Tipuri de audit IT

Pentru a realiza un audit corect trebuie s tim, evident: a) ce trebuie fcut; b) cum se lucreaz corect; pentru proiectarea i utilizarea unui sistem informatic. Rspunsurile la aceste ntrebri le gsim dac ne nsuim i respectm urmtoarele trei clase de cerine practice: a) stabilirea obiectivelor sistemului IT i a ariei sale de cuprindere; b) definirea, proiectarea i realizarea componentelor ce se regsesc n structura sistemului informatic: infrastructura hardware i de comunicaie, infrastructura software cu software de baz i software aplicativ, infrastructura informaional bazele de date, fluxurile informaionale i sistemele de codificare,
1
2 3

tefan Popa, Claudia Ionescu, Auditul n medii informatizate, Editura Expert, Bucureti 2005 Ivan I., Noca Gh, Capizisu S., Auditul sistemelor informatice, Editura ASE, Bucureti, 2005 Nstase P., Ali E., Stanciu V., a. Auditul i controlul sistemelor informaionale, Ed Economic, Bucureti 2008

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

componenta tiinifico-metodologic, reprezentat de modele, algoritmi, norme, standarde, prevederi legale; c) respectarea metodologiei de realizare a sistemelor informatice; n primul rnd, proiectul unui sistem IT ncepe ce stabilirea obiectivelor, care se clasific dup mai multe criterii astfel4: - dup sfera de cuprindere deosebim: obiective generale i obiective specifice; - dup domeniul de activitate asupra creia se rsfrng stabilim: obiective ce vizeaz mbuntirea activitilor de baz i obiective care vizeaz mbuntea sistemului informaional; - dup posibilitatea de cuantificare avem: obiective cuantificabile, cantitativ-valorice i obiective necuantificabile, calitative; Numai n acest fel respectm cerina de abordare a Guvernaei IT pe obiective i implicit cerina de realizarea unei legturi intre IT si cerinele afacerii. Auditul sistemului informatic trebuie s revad documentaia i s examineze dac obiectivele i n viitor, sistemul, rspund cerinelor i restriciilor formulate prin studiul de fezabilitate pe baza cruia s-a fcut investiia n IT. n al doilea rnd managementul IT se concentreaz pe arii de probleme distincte, difereniate datorit particularitilor etapelor ciclului de via a sistemului informatic SDLC, System Development Life Cycle.5 Etapelor SLDC planificarea sistemului, analiza sistemului, proiectarea conceptual, evaluarea i selecia soluiilor tehnice hardware i software, proiectarea de detaliu, implementarea i ntreinerea sistemului, le vor corespunde urmtoarele categorii de activiti de management: - managementul proiectului sistemului informatic; - managementul funcionrii sistemului informatic; - managementul schimbrii n cadrul sistemului informatic. Acestor tipuri specifice de management le vor corespunde tipuri specifice de audit auditul care evalueaz gradul de respectare a metodologiei de realizare a sistemului IT.

III.2.1 Procese IT
Pentru a avea un cadru coerent, relativ unitary de abordare a auditului IT COBIT - Control Objectives for Information and related Technology, propune gruparea activitilor legate de IT pe procese separate n patru domenii: 1. Planificare si Organizare, 2. Achiziie si Implementare,
4

Lungu I., Sabu I., Velicanu M., .a. Sisteme informatice, analiz, proiectare, implementare, Ed. Economic, Cangemi P.M., Sigleton T., Managing the Audit Functions, Ed John Wily&Sons, N.J 2003

Bucureti 2003
5

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

3. Furnizare si Suport 4. Monitorizare si Evaluare, Aceste domenii corespund pe cele patru arii tradiionale de responsabilitate: planificare, concepere si construire, rulare si monitorizare dezvoltare, ale ciclului de via a unui sistem IT prescurtat SLDC. Acest cadru permite msurarea si monitorizarea performanei IT, comunicarea cu furnizorii de servicii si adoptarea celor mai bune practici de management. Aceste domenii sunt6: Planificare si Organizare (PO) direcioneaz furnizarea soluiilor (AI) si a serviciilor (FS). Achiziie si Implementare (AI) ofer soluiile si le transmite mai departe spre a fi transformate in servicii. Furnizare si Suport (FS) primeste soluiile si le face utilizabile pentru utilizatorii finali. Monitorizare si Evaluare (ME) supervizeaz toate procesele pentru a fi asigurat faptul c direciile, msurile decise, sunt intocmai urmate spre indeplinire. 1. PLANIFICARE SI ORGANIZARE (PO) Acest domeniul acoper strategia si tacticile si vizeaz identificarea celor mai potrivite ci prin care IT-ul poate contribui la indeplinirea obiectivelor afacerii. Implementarea viziunii strategice este necesar a fi planificat, comunicat si abordat din diverse perspective. Astfel, contribuia vine atat dintr-un sistem de organizare corespunztoare, cat si din asigurarea unei infrastructuri tehnologice aferente. Cand este vorba de acest domeniu, urmtoarele intrebri legate de management isi asteapt rspunsul: Strategia IT si strategia afacerii sunt aliniate?

Riscurile IT sunt cunoscute i gestionate? afacerii?

2. ACHIZIIE SI IMPLEMENTARE (AI) In vederea realizrii strategiei IT, soluiile IT trebuie identificate, dezvoltate sau achiziionate, dar si implementate si integrate proceselor afacerii. In plus, schimbrile si mentenana sistemelor deja existente sunt acoperite prin acest domeniu pentru a asigura continuitatea in atingerea obiectivelor economice prin aceste soluii IT. Cand este vorba de acest domeniu, urmtoarele intrebri legate de management isi asteapt rspunsul: Ce perspective exist ca noile proiecte s ofere soluiile care s rspund nevoilor afacerii?
6

COBIT 4.1 cadru referin, IT Governance Institute ITGI, traducere Adrian B. Munteanu i colectiv, UAIC, Iasi 2009

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

Aceste noi proiecte au sanse s fie duse la bun sfarsit, in timpul si cu bugetul prevzute? Vor funciona, cel puin decent, noile sisteme dup implementare? Este posibil ca schimbrile s aib loc fr a perturba afcerile curente? 3. FURNIZARE SI SUPORT (FS) Acest domeniu este responsabil de furnizarea efectiv a serviciilor necesare, ceea ce include furnizarea serviciilor, managementul securitii si a continuitii, servicii suport pentru utilizatori si managementul datelor si a capabilitilor operaionale. Cand este vorba de acest domeniu, urmtoarele intrebri legate de management isi asteapt rspunsul: Serviciile IT sunt furnizate in conformitate cu prioritile afacerii? Costurile IT sunt optimizate? Personalul poate folosi sistemele IT in mod productiv si in siguran? Dac, in vederea asigurrii securitii, confidenialitatea, integritatea si disponibilitatea sunt adecvate? 4. MONITORIZARE SI EVALUARE (ME) De-a lungul timpului, toate procesele IT trebuie evaluate cu regularitate din perspectiva caliti lor si a conformitii cu cerinele controlului. Acest domeniu se preocup de managementul performanei, monitorizarea controlului intern, conformarea cu legislaia (sau/si regulamentele) si are in vedere si guvernarea. Cand este vorba de acest domeniu, la urmtoarele intrebri trebuie s se caute un rspuns: Este msurat performana IT-ului pentru a detecta problemele inainte de a fi prea tarziu? Asigur managementul eficiena si eficacitatea controalelor interne? Se poate face o conexiune privind impactul performanei IT-ului asupra intelor/scopurilor afacerii? Dac, in vederea asigurrii securitii, sunt adecvate confidenialitatea, integritatea si disponibilitatea Traversand cele patru domenii, COBIT a identificat 34 de procese IT a cror utilizare este generalizat. In timp ce majoritatea Intre prinderilor atribuie responsabiliti clare privind planificarea, construirea, rularea si monitorizarea IT-ului, dar si aproximativ aceleasi procese-cheie, doar puine dintre ele au aceeasi structur a proceselor sau aplica/ adopt cele 34 de procese COBIT. Pentru a verifica completitudinea activitilor si a responsabilitilor, COBIT pune la dispoziie o list complet a proceselor necesare acestui deziderat. Totusi, nu este necesar s fie aplicabile toate, oricarei organizaii si, mai mult, ele pot fi chiar combinate dupa nevoile fiecrei intreprinderi. Pentru fiecare din aceste 34 de procese se face o trimitere ctre obiectivele afacerii si obiectivele IT pe care le susin. De asemenea, sunt oferite informaii despre modul in care o pot fi msurate, care sunt activitile cheie si principalele rezultatele si in responsabilitatea cui cade asigurarea lor. 5

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

III.2.2 Tipuri de audit

Lund n consideraie etapele SLDC, conform ariei de aplicabilitate auditul poate s urmreasc: a) Auditul managementului proiectelor sistemelor IT ia n considerare: obiectivele sistemului, activitile proiectului i sarcinile ce revin echipei de realizatori i cele ce revin beneficiarului, fondurile disponibile, documentaia tehnic, specificaiile sistemului informatic, setul de date de test i setul de nregistrri privind comportamentul sistemului pe parcursul efecturii testelor, bibliotecile de sistem cu modulele i modelele utilizate i desigur documentaia de realizare, de prezentare i instalare a software-ului sistemului. b) Auditul managementul funcionrii sistemului trebuie s asigure n primul rnd utilizatorilor ncrederea n calitatea serviciilor informatice oferite, i aceasta se realizeaz prin managementul corespunztor al riscurilor i respectarea consecvent a politicii de securitate. Sistemul informatic trebuie s rspund cerinelor izvorte din ateptrile difereniate ale prilor interesate de funcionarea sistemului. Prile interesate sunt pe de-o parte personalul IT ce lucreaz n sistem, apoi utilizatorii individuali, managerii de nivel mediu, manageri de top, i grupurile informale n care se regsesc clieni, furnizori, bnci, organizaii de reglementare, organe fiscale i de administraie public, organe de control i instituii de sintez. Citnd cadrul de lucru CoBIT, Popa t i Ionescu C1, sintetizeaz o serie de astfel de cerine generice pe care trebuie s le satisfac informaia prelucrat, furnizat de sistemul informatic. Este vorba despre urmtoarele cerine: operativitate, eficien, confidenialitate, integritate, disponibilitate, conformitate., ncredere i siguran. n completarea acestor cerine calitative, managementul funcionrii sistemului informatic trebuie s asigure i respectarea unor indicatori cantitativi care cuantific impactul sistemelor asupra grupurilor de interese menionate anterior. n segmentul principal de indicatori se regsesc urmtorii: coeficientul de satisfacere a cerinelor informaionale, coeficientul timpului de rspuns, coeficientul eficienei economice, coeficientul duratei de recuperare, coeficientul economiei de personal, etc Auditul managementului funcionrii sistemului, prin neconformitile semnalate ofer elemente ce stau la baza msurilor cu caracter corectiv. Lor li se adaug i msuri cu caracter proactiv ce decurg din natura evolutiv a proceselor de afaceri i din evoluia tehnologiei informaiei i comunicailor i declaneaz schimbri necesare perfecionrii i dezvoltrii sistemului. c) Auditul managementul schimbrii i al dezvoltrii trebuie s verifice i s certifice c implementarea procedurilor de schimbare este conform cu cerinele controalelor generale i controalele de aplicaie, asigur disponibilitatea sistemului, funcionarea sa conform cerinelor, fiabilitatea sistemului i ncadrarea n bugetele aprobate . Aspectele avute n vedere la implementarea schimbrilor deriv din schimbri survenite n procesele de afacerii, schimbri de natur tehnologic, procedural, apoi uzura moral a componentelor informatice i cerinele de trainig i implementare. 6

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

Auditul managementului schimbrii trebuie s fie n msur s verifice dac schimbrile sau finalizat fr incidente, fr costuri suplimentare, n concordan cu ateptrile estimate ale utilizatorilor. n cadrul tipologiei generale analizate mai sus, se poate aplica un anumit tip particular de audit, n funcie de criteriile luate n considerare la momentul stabilirii misiunii de audit. Iat trei dintre aceste criterii i tipurile de audit specifice aplicabile: modul de organizare; momentul; scopul; d) n funcie de modul de organizare a activitii de audit, se deosebesc auditul intern i auditul extern. Auditul intern reprezint o evaluare sau monitorizare organizat de ctre uni departament propriu n vreme ce auditul extern este efectuat de un auditor independent i rspunde nevoilor terilor i entitii auditate n ceea ce privete: gradul de ncredere care poate fi acordat tranzaciilor i situaiilor financiare, respectarea reglementrilor legale, i a principiilor economicitii, eficienei i eficacitii n activitatea desfurat . e) Pe baza momentului n care se efectueaz auditul se face distincie ntre auditul preventiv i auditul corectiv. Auditul preventiv se definete ca o examinare a operaiunilor anterior desfurrii lor efective, avnd avantajul de a putea preveni prejudiciul nainte ca acesta s apar. Auditul corectiv se definete ca o examinare a operaiunilor n desfurarea lor. El poate conduce duce la recuperarea pagubelor i poate preveni repetarea erorilor. f) Din punct de vedere al scopului avem de-a face cu trei categorii de audit: auditul conformitii sau legalitii, auditul de atestare i auditul performanei. - auditul conformitii sau legalitii certific responsabilitatea privind tranzaciile i rapoartele elaborate pe baza acestora. - auditul de atestare se refer prin raportul de audit, asupra credibilitii situaiilor finale, atestnd sau nu, dac acestea prezint corect situaia firmei i tranzaciile realizate. n practic, de cele mai multe ori, auditul de conformitate se deruleaz concomitent cu auditul de atestare i se numete audit de regularitate sau audit legislativ. - auditul performanei se concentreaz pe eficien, eficaitate i economicitate. Performana este examinat urmrindu-se raportul dintre inputuri i outputuri prin analiza utilizrii resurselor pe baza principiilor eficienei economice. Aria de cuprindere este cel mai important criteriu avut n vedere la stabilirea misiunii de audit. Aria de probleme cu cea mai mare prioritate este SECURITATEA INFORMAIILOR. g) Auditul de securitate IT are n vedere urmtoarele segmente: sisteme i aplicaii procesul de audit verific dac sistemele i aplicaiile sunt corespunztoare, eficiente i controlate adecvat, asigur validitate, ncredere, actualitate, pentru intrri i ieiri, la toate nivelele organizaiei; medii de procesare a informaiilor proces de audit care verific dac mediile de procesare sunt controlate pentru a asigura o prelucrare n timp util, corect i 7

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel complet a aplicailor informatice n condiii normale dar i n condiii de dificultate; dezvoltare de sisteme proces de audit care verific dac sistemele sunt dezvoltate n concordan cu standardele general acceptate de dezvoltare de sisteme informatice IT Management proces de audit care verific dac managementul IT a dezvoltat o structur organizaional i proceduri care asigur un mediu de control eficient pentru procesarea informaiilor; comunicaii pe reea intranet i extranet proces de audit care verific dac exist controale definite i aplicate pentru a controla mediile fizice i comunicaiile n reea. Asupra auditului de securitate ne vom opri mai pe larg intr-unul din capitolele urmtoare.

III.3 Semnificaia practic a activitii de audit

Desigur toate aceste definiii i clasificri ale proceselor de audit IT au valoarea lor semantic pentru c stabilesc, la modul general i uneori i mai detaliat ce este, ce urmrete auditul. Problemele apar ns n momentul trecerii de la teorie la practic i puine lucrri sunt mai explicite, cnd vine vorba despre cum se efectueaz concret auditul IT, despre obiectul concret al muncii echipei de auditori i cum se abordeaz practic auditul. Am observat c totul se nvrte n jurul managementului sistemului, pentru c n mod firesc, investitorii care au decis s-i cheltuiasc banii pe IT se atept s-i i recupereze ntr-un timp rezonabil i s obin, firesc, profit.. Cum management fr planificare i control nu intr n discuie, orice manager trebuie s dispun de un sistem de planificare i un sistem de controale interne. Considerm c la nivel elementar, obiectul auditului este chiar acest sistem de controale interne ce trebuie s existe pentru fiecare din cele trei categorii de cerine ale abordrii profesionale a implementrii sistemelor IT stabilirea obiectivelor sistemului, proiectarea i realizarea componentele sistemului, respectarea metodologiei de realizare. Prelund o definiie a auditului IT aparinnd lui G. Hinson, menionat de Ivan I. .a,, n lucrarea deja citat, putem lrgi semnificaia activitii de audit. El va reprezenta practic: culegerea i examinarea a nregistrrilor i a altor informaii, considerate probe de audit, scrise, orale sau n format electronic, n scopul formrii unei opinii independente i obiective referitoare la controalele interne, integritatea datelor i a formulrii recomandrilor privind mbuntirea controalelo i , prevenirea i limitarea riscurilor. Este interesant analiza semnificaiei termenilor utilizai de G. Hinson, prin care autorii 2 citai , aduc lmuriri activitii de audit . Astfel se consider: - examinarea, ca o activitate de culegere i evaluare a datelor ce se vor constitui ca probe de audit, raportul de audit trebuie susinut cu probe obinute chiar de la sursele de informaii; - independena, ca fiind cerina ca auditorii s nu fie implicai direct n operaii sau managementul IT pentru a se putea exprima liber, obiectiv; - nregistrri i alte informaii, se refer la nregistrrile de audit, date obinute prin observare direct, documentare, interviuri, chestionare, teste reale, msurare, extrapolare; 8

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

- opiniile sunt modul prin care auditorii exprim faptele, constatrile privind o situaie dat, i servesc concluziilor auditului; - integritatea include completitudinea, acurateea i ncrederea n rezultatele i procedurile de prelucrare i controalele aferente; - recomandrile sunt propuneri justificate de msuri, sugestii de mbuntire a activitilor n general, dar auditorii nu au calitatea de a sanciona greelile, respectiv de a implementa msuri corective, nu au autoritatea de a impune managementului s fac schimbri. - mbuntirea controalelor are n vedere i adugarea controalelor care lipsesc, sau eliminarea controalelor redundante sau tardive; - limitarea riscurilor are n vedere faptul c riscurile, erorile pot fi reduse dar nu pot fi complet eliminat. O bun activitate nseamn minimizarea riscurilor n condiiile unor costuri acceptabile dar i pregtirea unui plan de aciune n cazul producerii unor dezastre. - riscul reprezint posibilitatea ca ceva s se desfoare ntr-o direcie nefavorabil datorit neglijenei, incompetenei sau rea intenie, permind ameninrilor s acioneze acolo unde sunt vulnerabiliti n sistem. Urmrind n practic aceste orientri, auditul IT va da posibilitatea managementului s descopere ceea ce se ntmpl n realitate la un moment dat, s descopere nainte de a fi prea trziu ce pericole poteniale majore pot apare, n sistemul IT i n organizaie, pentru a implementa aciuni corective. Toate aceste aciuni au ca scop asigurarea conformitii i concordanei funcionrii sistemului informatic cu politica, standardele i procesele de business ale firmei, cu legislaia. Trebuie s subliniem c efortul i finalitatea auditului IT urmrete creterea responsabilitilor tuturor celor implicai n realizarea, exploatarea i dezvoltarea sistemelor IT&C pentru managementul riscurilor i al resurselor materiale, financiare, informaionale i umane, corespunztor strategiei IT, vzut ca parte component a strategiei ntreprinderii, ale crei obiective trebuiesc ndeplinite i prin contribuia susinut i msurabil a guvernanei IT. Acesta este de fapt i obiectivul major al auditului sistemelor IT.

ntrebri recapitulative 1. Ce individualizai atributele ce caracterizeaz auditul IT conform definiiei propuse? 2. Auditul sistemelor IT trebuie s ia n consideraie documentaia de proiectare i realizare a sistemului informatic. De ce ? 3. Care sunt etapele principale definite de SDLC i ce tipuri de management se aplic acestor etape? 4. Ce este auditul preventiv dar auditul corectiv ?. 5. Cum nelegei independena auditorului IT ? 6. Ce reprezint opiniile de audit ? 7. Ce accepiune are conceptul de integritate a datelor pentru auditul IT ? 9

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

8. Ce recomandri poate s propun i ce nu poate s propun un auditor ? 9. Cum formulai sintetic obiectivul major al auditului sistemelor informatice ?

10