Sunteți pe pagina 1din 6

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

III AUDITUL SISTEMELOR IT


III.1 Definiie
Auditul sistemelor informatice, denumit pe scurt auditul IT, este considerat de standardul metodologic CoBIT ca fiind o examinare a controalelor n cadrul unei entiti IT. Pornind, mai mult sau mai puin, de la aceeai surs autorizat , ISACA Information Systems Audit and Control Association, , unii autori apreciaz c auditul se efectueaz asupra controalelor specifice referitoare la managementul sistemului informatic, securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului, continuitatea sistemului, managementul schimbrii i dezvoltrii sistemului.1 Alii, prelund i unele aspecte operaionale, consider c auditul sistemelor informatice este activitatea prin care auditorul, n urma colectrii i evalurii unor probe specifice de audit i exprim opinia asupra modului n care sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale entitii n condiiile utilizrii eficiente a tuturor resurselor informatice.2 Mai cuprinztor, analiznd i definiia formulat de Nstase P. i colectivul 3 , apreciem c: auditul IT este o activitate planificat, de evaluare a sistemului informatic, pe baza probelor de audit, n scopul emiterii unei opinii calificate i obiective, privind conformitatea sistemului cu legislaia, cu standardele n domeniu i, totodat, asupra capacitii sistemului informatic de a susine efortul de realizare eficient a obiectivelor strategice ale organizaiei.

III.2. Tipuri de audit IT i obiective


Vom analiza aceast problem plecnd de la dou ntrebri majore ale realizrii sistemului. Ce trebuie fcut i cum se lucreaz corect ? Rspunsurile la aceste ntrebri le gsim dac ne nsuim i respectm urmtoarele trei clase de cerine practice: a) stabilirea obiectivelor sistemului IT i a ariei sale de cuprindere; b) definirea, proiectarea i realizarea componentelor ce se regsesc n structura sistemului informatic: infrastructura hardware i de comunicaie, infrastructura software cu software de baz i software aplicativ, infrastructura informaional bazele de date, fluxurile informaionale i sistemele de codificare, componenta tiinifico-metodologic, reprezentat de modele, algoritmi, norme, standarde, prevederi legale;
1 2
3

tefan Popa, Claudia Ionescu, Auditul n medii informatizate, Editura Expert, Bucureti 2005 Ivan I., Noca Gh, Capizisu S., Auditul sistemelor informatice, Editura ASE, Bucureti, 2005 Nstase P., Ali E., Stanciu V., a. Auditul i controlul sistemelor informaionale, Ed Economic, Bucureti 2008

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

c) respectarea metodologiei de realizare a sistemelor informatice; n primul rnd, proiectul unui sistem IT ncepe ce stabilirea obiectivelor, care se clasific dup mai multe criterii astfel4: - dup sfera de cuprindere deosebim: obiective generale i obiective specifice; - dup domeniul de activitate asupra creia se rsfrng stabilim: obiective ce vizeaz mbuntirea activitilor de baz i obiective care vizeaz mbuntea sistemului informaional; - dup posibilitatea de cuantificare avem: obiective cuantificabile, cantitativ-valorice i obiective necuantificabile, calitative; Auditul sistemului informatic trebuie s revad documentaia i s examineze dac obiectivele i n viitor, sistemul, rspund cerinelor i restriciilor formulate prin studiul de fezabilitate pe baza cruia s-a fcut investiia n IT. Managementul IT se concentreaz pe arii de probleme distincte, difereniate datorit particularitilor etapelor ciclului de via a sistemului informatic SDLC, System Development Life Cycle.5 Etapelor SLDC planificarea sistemului, analiza sistemului, proiectarea conceptual, evaluarea i selecia soluiilor tehnice hardware i software, proiectarea de detaliu, implementarea i ntreinerea sistemului, le vor corespunde urmtoarele categorii de activiti de management: - managementul proiectului sistemului informatic; - managementul funcionrii sistemului informatic; - managementul schimbrii n cadrul sistemului informatic. Acestor tipuri specifice de management le vor corespunde tipuri specifice de audit auditul care evalueaz gradul de respectare a metodologiei de realizare a sistemului IT. Auditul managementului proiectelor sistemelor IT ia n considerare: obiectivele sistemului, activitile proiectului i sarcinile ce revin echipei de realizatori i cele ce revin beneficiarului, fondurile disponibile, documentaia tehnic, specificaiile sistemului informatic, setul de date de test i setul de nregistrri privind comportamentul sistemului pe parcursul efecturii testelor, bibliotecile de sistem cu modulele i modelele utilizate i desigur documentaia de realizare, de prezentare i instalare a software-ului sistemului. Auditul managementul funcionrii sistemului trebuie s asigure n primul rnd utilizatorilor ncrederea n calitatea serviciilor informatice oferite, i aceasta se realizeaz prin managementul corespunztor al riscurilor i respectarea consecvent a politicii de securitate. Sistemul informatic trebuie s rspund cerinelor izvorte din ateptrile difereniate ale prilor interesate de funcionarea sistemului. Prile interesate sunt pe de-o parte personalul IT ce lucreaz n sistem, apoi utilizatorii individuali, managerii de nivel mediu, manageri de top, i grupurile informale n care se regsesc clieni, furnizori, bnci, organizaii de reglementare, organe fiscale i de administraie public, organe de control i instituii de sintez.
Lungu I., Sabu I., Velicanu M., .a. Sisteme informatice, analiz, proiectare, implementare, Ed. Economic, Bucureti 2003 5 Cangemi P.M., Sigleton T., Managing the Audit Functions, Ed John Wily&Sons, N.J 2003
4

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

Citnd cadrul de lucru CoBIT, Popa t i Ionescu C1, sintetizeaz o serie de astfel de cerine generice pe care trebuie s le satisfac informaia prelucrat, furnizat de sistemul informatic. Este vorba despre urmtoarele cerine: operativitate, eficien, confidenialitate, integritate, disponibilitate, conformitate., ncredere i siguran. n completarea acestor cerine calitative, managementul funcionrii sistemului informatic trebuie s asigure i respectarea unor indicatori cantitativi care cuantific impactul sistemelor asupra grupurilor de interese menionate anterior. n segmentul principal de indicatori se regsesc urmtorii: coeficientul de satisfacere a cerinelor informaionale, coeficientul timpului de rspuns, coeficientul eficienei economice, coeficientul duratei de recuperare, coeficientul economiei de personal, etc Auditul managementului funcionrii sistemului, prin neconformitile semnalate ofer elemente ce stau la baza msurilor cu caracter corectiv. Lor li se adaug i msuri cu caracter proactiv ce decurg din natura evolutiv a proceselor de afaceri i din evoluia tehnologiei informaiei i comunicailor i declaneaz schimbri necesare perfecionrii i dezvoltrii sistemului. Auditul managementul schimbrii i al dezvoltrii trebuie s verifice i s certifice c implementarea procedurilor de schimbare este conform cu cerinele controalelor generale i controalele de aplicaie, asigur disponibilitatea sistemului, funcionarea sa conform cerinelor, fiabilitatea sistemului i ncadrarea n bugetele aprobate . Aspectele avute n vedere la implementarea schimbrilor deriv din schimbri survenite n procesele de afacerii, schimbri de natur tehnologic, procedural, apoi uzura moral a componentelor informatice i cerinele de trainig i implementare. Auditul managementului schimbrii trebuie s fie n msur s verifice dac schimbrile s-au finalizat fr incidente, fr costuri suplimentare, n concordan cu ateptrile estimate ale utilizatorilor. n cadrul tipologiei generale analizate mai sus, se poate aplica un anumit tip particular de audit, n funcie de criteriile luate n considerare la momentul stabilirii misiunii de audit.. Iat patru dintre aceste criterii i tipurile de audit specifice aplicabile: modul de organizare; momentul; scopul; aria de cuprindere. n funcie de modul de organizare a activitii de audit, se deosebesc auditul intern i auditul extern. Auditul intern reprezint o evaluare sau monitorizare organizat de ctre uni departament propriu n vreme ce auditul extern este efectuat de un auditor independent i rspunde nevoilor terilor i entitii auditate n ceea ce privete: gradul de ncredere care poate fi acordat tranzaciilor i situaiilor financiare, respectarea reglementrilor legale, i a principiilor economicitii, eficienei i eficacitii n activitatea desfurat . Pe baza momentului n care se efectueaz auditul se face distincie ntre auditul preventiv i auditul corectiv. Auditul preventiv se definete ca o examinare a operaiunilor anterior desfurrii lor efective, avnd avantajul de a putea preveni prejudiciul nainte ca acesta s apar. Auditul 3

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

corectiv se definete ca o examinare a operaiunilor n desfurarea lor. El poate conduce duce la recuperarea pagubelor i poate preveni repetarea erorilor. Din punct de vedere al scopului avem de-a face cu trei categorii de audit: auditul conformitii sau legalitii, auditul de atestare i auditul performanei. Auditul conformitii sau legalitii certific responsabilitatea privind tranzaciile i rapoartele elaborate pe baza acestora. Auditul de atestare se refer prin raportul de audit, asupra credibilitii situaiilor finale, atestnd sau nu, dac acestea prezint corect situaia firmei i tranzaciile realizate. n practic, de cele mai multe ori, auditul de conformitate se deruleaz concomitent cu auditul de atestare i se numete audit de regularitate sau audit legislativ. Auditul performanei se concentreaz pe eficien, eficaitate i economicitate. Performana este examinat urmrindu-se raportul dintre inputuri i outputuri prin analiza utilizrii resurselor pe baza principiilor eficienei economice. Aria de cuprindere este cel mai important criteriu avut n vedere la stabilirea misiunii de audit. Aria de probleme cu cea mai mare prioritate este SECURITATEA INFORMAIILOR. Auditul de securitate IT are n vedere urmtoarele segmente: sisteme i aplicaii procesul de audit verific dac sistemele i aplicaiile sunt corespunztoare, eficiente i controlate adecvat, asigur validitate, ncredere, actualitate, pentru intrri i ieiri, la toate nivelele organizaiei; medii de procesare a informaiilor proces de audit care verific dac mediile de procesare sunt controlate pentru a asigura o prelucrare n timp util, corect i complet a aplicailor informatice n condiii normale dar i n condiii de dificultate; dezvoltare de sisteme proces de audit care verific dac sistemele sunt dezvoltate n concordan cu standardele general acceptate de dezvoltare de sisteme informatice IT Management proces de audit care verific dac managementul IT a dezvoltat o structur organizaional i proceduri care asigur un mediu de control eficient pentru procesarea informaiilor; comunicaii pe reea intranet i extranet proces de audit care verific dac exist controale definite i aplicate pentru a controla mediile fizice i comunicaiile n reea. Asupra auditului de securitate ne vom opri mai pe larg intr-unul din capitolele urmtoare.

III.3 Semnificaia practic a activitii de audit


Desigur toate aceste definiii i clasificri ale proceselor de audit IT au valoarea lor semantic pentru c stabilesc, la modul general i uneori i mai detaliat ce este, ce urmrete auditul. Problemele apar ns n momentul trecerii de la teorie la practic i puine lucrri sunt mai explicite, cnd vine vorba despre cum se efectueaz concret auditul IT, despre obiectul concret al muncii echipei de auditori i cum se abordeaz practic auditul. Am observat c totul se nvrte n jurul managementului sistemului, pentru c n mod firesc, investitorii care au decis s-i cheltuiasc banii pe IT se atept s-i i recupereze ntr-un timp rezonabil i s obin, firesc, profit.. Cum management 4

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

fr planificare i control nu intr n discuie, orice manager trebuie s dispun de un sistem de planificare i un sistem de controale interne. Considerm c la nivel elementar, obiectul auditului este chiar acest sistem de controale interne ce trebuie s existe pentru fiecare din cele trei categorii de cerine ale abordrii profesionale a implementrii sistemelor IT stabilirea obiectivelor sistemului, proiectarea i realizarea componentele sistemului, respectarea metodologiei de realizare. Prelund o definiie a auditului IT aparinnd lui G. Hinson, menionat de Ivan I. .a,, n lucrarea deja citat, putem lrgi semnificaia activitii de audit. El va reprezenta practic: culegerea i examinarea a nregistrrilor i a altor informaii, considerate probe de audit, scrise, orale sau n format electronic, n scopul formrii unei opinii independente i obiective referitoare la controalele interne, integritatea datelor i a formulrii recomandrilor privind mbuntirea controalelo i , prevenirea i limitarea riscurilor. Este interesant analiza semnificaiei termenilor utilizai de G. Hinson, prin care autorii 2 citai , aduc lmuriri activitii de audit . Astfel se consider: - examinarea, ca o activitate de culegere i evaluare a datelor ce se vor constitui ca probe de audit, raportul de audit trebuie susinut cu probe obinute chiar de la sursele de informaii; - independena, ca fiind cerina ca auditorii s nu fie implicai direct n operaii sau managementul IT pentru a se putea exprima liber, obiectiv; - nregistrri i alte informaii, se refer la nregistrrile de audit, date obinute prin observare direct, documentare, interviuri, chestionare, teste reale, msurare, extrapolare; - opiniile sunt modul prin care auditorii exprim faptele, constatrile privind o situaie dat, i servesc concluziilor auditului; - integritatea include completitudinea, acurateea i ncrederea n rezultatele i procedurile de prelucrare i controalele aferente; - recomandrile sunt propuneri justificate de msuri, sugestii de mbuntire a activitilor n general, dar auditorii nu au calitatea de a sanciona greelile, respectiv de a implementa msuri corective, nu au autoritatea de a impune managementului s fac schimbri. - mbuntirea controalelor are n vedere i adugarea controalelor care lipsesc, sau eliminarea controalelor redundante sau tardive; - limitarea riscurilor are n vedere faptul c riscurile, erorile pot fi reduse dar nu pot fi complet eliminat. O bun activitate nseamn minimizarea riscurilor n condiiile unor costuri acceptabile dar i pregtirea unui plan de aciune n cazul producerii unor dezastre. - riscul reprezint posibilitatea ca ceva s se desfoare ntr-o direcie nefavorabil datorit neglijenei, incompetenei sau rea intenie, permind ameninrilor s acioneze acolo unde sunt vulnerabiliti n sistem. Urmrind n practic aceste orientri, auditul IT va da posibilitatea managementului s descopere ceea ce se ntmpl n realitate la un moment dat, s descopere nainte de a fi prea trziu ce pericole poteniale majore pot apare, n sistemul IT i n organizaie, pentru a implementa aciuni corective. Toate aceste aciuni au ca scop asigurarea conformitii i concordanei funcionrii sistemului informatic cu politica, standardele i procesele de business ale firmei, cu legislaia. 5

BDSA ASE

Auditul Sistemelor Informatice Traian Surcel

Trebuie s subliniem c efortul i finalitatea auditului IT urmrete creterea responsabilitilor tuturor celor implicai n realizarea, exploatarea i dezvoltarea sistemelor IT&C pentru managementul riscurilor i al resurselor materiale, financiare, informaionale i umane, corespunztor strategiei IT, vzut ca parte component a strategiei ntreprinderii, ale crei obiective trebuiesc ndeplinite i prin contribuia susinut i msurabil a guvernanei IT. Acesta este de fapt i obiectivul major al auditului sistemelor IT.

ntrebri recapitulative 1. Ce individualizai atributele ce caracterizeaz auditul IT conform definiiei propuse? 2. Auditul sistemelor IT trebuie s ia n consideraie documentaia de proiectare i realizare a sistemului informatic. De ce ? 3. Care sunt etapele principale definite de SDLC i ce tipuri de management se aplic acestor etape? 4. Ce este auditul preventiv dar auditul corectiv ?. 5. Cum nelegei independena auditorului IT ? 6. Ce reprezint opiniile de audit ? 7. Ce accepiune are conceptul de integritate a datelor pentru auditul IT ? 8. Ce recomandri poate s propun i ce nu poate s propun un auditor ? 9. Cum formulai sintetic obiectivul major al auditului sistemelor informatice ?