EVALUAREA DE CĂTRE AUDITOR AUDITOR A SISTEMULUI INFORMATIC AL CLIENTULUI
Cuprins
1. Auditul sistemelor informatice, componentă a sistemului de audit
...................3
1.1 Fundamente teoretice ale auditului sistemelor informatice................................. 3 1.2 Metodologia de audit a sistemelor informatice ................................................... 4 1.3 Perspective privind auditul sistemelor informatice .............................................6 2. Riscuri asociate sistemelor informatice ................................................................. 7
2.1 Definirea și clasificarea riscului din cadrul sistemelor informatice ....................7 2.2 Evaluarea riscurilor din sistemele informatice .................................................... 8 3. Evaluarea de către auditor a sistemului informatic ............................................. 8
3.1 Evaluarea aplicațiilor informatice .....................................................................10 3.2 Evaluarea infrastructurii tehnice a sistemului informatic ................................. 11 3.3 Evaluarea securității sistemului informatic ....................................................... 13 Bibliografie................................................................................................................. 15
2
1. Auditul sistemului informatic, componentă a sistemului de audit
Societatea informaţională determină o creştere dramatică a dependenţei tuturor domeniilor vieţii economico-sociale de tehnnologiile informaţionale. Sistemele informatice sunt construcţii complexe care vizează mai multe probleme diferite ale unei companii. Având în vedere consumul de resurse umane şi financiare la dezvoltarea unui sistem informatic, este necesar să se desfăşoare anumite activităţi care să conducă la atingerea obiectivului propus, la timp, cu nivelul de calitate stabilit şi în limita bugetului alocat. Una dintre aceste activităţi, deosebit de importantă, atât pentru realizatori, cât, mai ales, pentru utilizatori, este auditul sistemelor informatice (SI).
1.1 Fundamente teoretice ale auditului sistemelor informatice
În literatură şi practică se întâlnesc termenii de auditul sistemelor informaţionale, auditul sistemelor informatice sau auditul informatic (auditul IT), Diferenţa conceptuală dintre aceşti termeni este dată pe de o parte de conţinutul şi nivelul la care se desfăşoară activitatea de audit şi pe de altă parte de diferenţa conceptuală dintre noţiunile de sistem informaţional şi sistem informatic. Astfel, auditul sistemului informaţional este, conceptual, cel mai cuprinzător, acoperind prin ob iectivele sale toate nivelurile sistemului informaţional, de la evaluarea proiectării şi utilizării sistemului informatic, până la evaluarea politicilor şi procedurilor de securitate de la nivelul operaţional şi strategi c. Auditul sistemului informatic, respectiv auditul informatic acoperă prin obiectivele sale doar sistemul informatic. Pe scurt, conceptual, auditul sistemului informaţional conţine auditul sistemului informatic, întrucât în majoritatea întreprinderilor sistemul informatic acoperă aproape tot sistemul informaţional .Cel mai utilizat termen va fi de auditul sistemelor informatice sau auditul IT , iar pentru auditor se va utiliza termenii de auditor de sisteme informatice sau auditor IT. Auditul SI este o ramură a auditului general care se ocupă cu controlul tehnologiilor informaţiilor şi comunicaţiilor. Auditul SI studiază, în primul rând, sistemele şi reţelele de calcul din punct de vedere al examinării eficienţei controlului tehnic şi procedural pentru a minimiza riscurile. Auditarea SI presupune discuţii cu personalul care stabileşte specificaţiile, dezvoltă, testează, conduce, administrează şi utilizează sistemele de calcul. Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele informaţionale. 3
De regulă, această activitate trebuie să fie executată de persoane pregătite şi calificate în domeniul controlului, securităţii şi managementului sistemelor informaţionale. O atestare profesională în acest domeniul îl oferă certificatul CISA (Certified Information Systems Auditor) eliberat de către ISACA (Information Systems Audit and Control Association).
În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaţii sunt verificările, evaluările şi testările mijloacelor informaţionale, astfel: -identificarea şi evaluarea riscurilor din sistem; -verificarea separării funcțiilor incompatibile în cadrul sistemului informatic; -verificarea secuității fizice și logice a sistemului informațional ; -verificarea şi evaluarea administrării infrastructurii rețelelor de calculatoare; -controlul aplicaţi ilor informatice existente în sistem; -testarea integrităţii datelor ; -verificarea existenței și securității copiilor de siguranță a datelor, informațiilor, aplicațiilor informatice ; -verificarea și evaluarea planurilor de recuperare în caz de dezastre.
1.2 Metodologia de audit a sistemelor informatice
Metodologia de audit a sistemelor informatice reprezintă un set de procedee destinat atingerii obiectivelor activităţii de audit. Pentru auditul sistemului informaţional, etapele generale ale unei unei misiuni de audit IT pot fi: a. Planificarea
În cadrul acestei etape auditorul trebuie: • să se informeze cu privire la obiectul de activitate al clientului şi domeniul în care îşi desfăşoară activitatea; • să se documenteze cu privire la structura sistemului informaţional. Auditorul trebuie să analizeze structura organizatorică (organigrama), organigrama sistemului informatic şi flowchart-urile din sistem; • să determine complexitatea sistemului informatic; • să se documenteze cu privire la aplicaţiile informatice utilizate; • să se documenteze cu privire la infrastructura reţelei de calculatoare; • să se documenteze cu privire la politicile şi procedurile de securitate, respectiv procedurile de operare din sistemul informatic; • să evalueze riscurile din sistem (inerent, de detectare şi de control); • să stabilească nivelul pragului de materialitate; • să stabilească şi să documenteze foile de lucru necesare pentru misiunea de audit. b.
Evaluarea riscurilor şi controlului intern
În cadrul acestei etape auditorul trebuie: 4
• să identifice vulnerabilităţile şi ameninţările la care este expusă aria de audit; • să evalueze prin tehnici adecvate (metoda scorurilor sau judecata liberă) nivelurile de risc din cadrul ariei de audit; • să stabilească riscul inerent şi de control; • să evalueze controlul intern din aria de audit; c. Elaborarea programului de audit
Programul de audit se elaborează după planificarea şi evaluarea riscurilor şi controlului intern, atunci când auditorul are o imagine mai clară asupra sistemului ce va fi auditat. Acest program reprezintă un ghid pentru procedurile ce vor fii realizate în etapa de culegere a probelor, astfel încât să fie acop erite cât mai bine obiectivele auditului. d. Culegerea probelor.
Pentru fundamentarea unor concluzii cât mai reale şi exprimarea unei opinii pertinente, auditorul trebuie să obţină probe suficiente şi concludente. Probele pe care auditorul IT Ie culege într-o misiune sunt variate. În general acestea pot fi: • documente privind politicile şi procedurile securitate din sistemul informaţional al clientului; • documente sau observaţii privind infrastructura fizică (hardware) şi logică (software) a sistemului auditat. • interviurile şi chestionarele aplicate; • observaţii personale în cadrul foilor de lucru; • fişiere cu datele extrase din aria de auditat; • fişiere cu tranzacţiile de date necesare auditului; • fişiere jurnal pentru intrări, prelucrări, tranzacţii de date şi tratarea erorilor, • fişierele cu datele de test; • fişiere cu erori; • conţinutul şi rezultatul testelor controlului din sistem; • liste cu surse ale programelor utilizate în procesele auditate; e. Formularea concluziilo r şi elaborarea raportului
După culegerea probelor, auditorul trebuie să le analizeze şi să formuleze concluziile cu privire la obiectivele misiunii de audit. Auditorul trebuie să discute rezultatele şi concluziile în primul rând cu managementul entităţii auditate şi apoi să le comunice conducerii întreprinderii. Scopul unei astfel de proceduri este de a dezbate rezultatele obţinute şi de a elabora un plan de măsuri corective. Rezultatele obţinute şi recomandările stabilite, se vor concretiza sub forma unei opinii într-un raport de audit f.
Urmărirea (monitorizarea) implementării recomandărilor din raportul de audit.
5
Ultima etapă a procesului de audit o reprezintă urmărirea implementării recomandărilor. Această etapă constă în stabilirea de comun acord cu clientul a unor date în care auditorul să revină şi să verifice dacă recomandările şi măsurile corective propuse de el au fost implementate.
1.3 Perspective privind auditul sistemelor informatice
Astăzi, într -o eră informatizată, apare necesitatea exprimării, de către auditor, a unei opinii fundamentate în timp real, în defavoarea abordării clasice, cu caracter istoric. Dezvoltare și integrarea tot mai accelerată a tehnologiei informației la nivelul oricărei organizații a avut implicații majore și în domeniul auditului, prin dezvoltarea unor abordări, tehnici și metode precum: autoevaluarea controlului intern, abordarea integrată și auditul continuu. reprezintă o tehnică de management care asigură acționarii, clienții și alți parteneri că sistemul de control al unei organizații este de încredere. Controlul de autoevaluare este o metodologie utilizată pentru a se verifica obiectivele-cheie ale organizației, riscurile implicate în realizarea acestora și controalele interne proiectate să reducă aceste riscuri la un nivel acceptabil. Autoevaluarea controlului intern
Auditul integrat poate
fi definit „ ca procesul în care discipline înrudite cu auditul sunt combinate pentru a evalua contr oale interne cheie privind operațiile și procesele desfășurate la nivelul unei entități.” Abordarea auditului integrat este o abordare bazată pe risc. Un element-cheie al abordării integrate este discutarea tuturor riscurilor apărute în sistem, fie ele financiare, operaționale au informatice, cu toți membrii echipei de audit, proces care va analiza impactul și probabilitatea de realizare a fiecărui risc semnificativ. reprezintă o metodă modernă de audit, care presupune interacțiunea permanentă a auditorului cu sistemul organizației auditate, perfecționându-se astfel accesul la conținutul informațional și prezentarea acestuia la momentul oportun. În cadrul acestui proces, instrumentele și tehnicile de audit trebuie să opereze în paralel cu procesarea tranzacțiilor, culegând datele în timp real, și permit detectarea trendurilor și a excepțiilor, eventualele erori sau fraude. Auditul continuu
6
2. Riscuri asociate sistemelor informatice 2.1 Definirea și clasificarea riscului din cadrul sistemelor informatice
În cadrul sistemului informaţional al întreprinderilor, auditorii trebuie să evalueze, atât riscurile, cât şi controlul sistemului. Orientarea spre evaluarea riscurilor permite auditorului să observe mult mai bine eficacitatea şi eficienţa controlului din sistemul auditat. Riscul din cadrul sistemului informaţional reprezintă
probabilitatea de apariţie a unei pierderi care să afecteze negativ resursele informaţionale şi funcţionalitatea sistemului. Privit în ansamblul său sistemul informaţional al întreprinderilor este expus la o serie de riscuri. Un rol deosebit în identificarea şi controlul riscurilor îl are procesul de management al riscului. poate fi definit ca fiind procesul de identificare a vulnerabilităţilor şi ameninţărilor din cadrul unei întreprinderi, precum şi de elaborare a unor măsuri de minimizare a impactului acestora asupra resurselor informaţionale din întreprindere. Managementul riscului
Acest proces trebuie să existe la nivelul oricărei întreprinderi pentru a asigura atingerea cu succes a obiectivelor. întreprinderile pot, însă, transfera, ignora, accepta sau reduce riscul. Transferul riscurilor se poate realiza prin asigurarea mijloacelor expuse (asigurarea informatică sau a sis temului informatic). Ignorarea riscului poate să conducă la pierderi semnificative. Acceptarea riscului poate fi realizată în condiţiile în care măsurile de control sunt mai costisitoare decât pierderea în sine. Reducerea riscului se realizează prin adopta rea unor proceduri de control a factorilor de risc. Riscul sistemului informaţional reprezintă probabilitatea de apariţie a unor erori sau fraude datorită utilizării inadecvate a sistemului informaţional. a) Riscurile de mediu - hardware si retele de comunicatii - sistem de operare - softuri de aplicatie - informatiile procesate de sistem b) Riscuri asociate mediului : - pericole naturale si dezastre - alterarea sau furtul aplicatiilor, datelor - erori umane sau tehnice - incompetenta manageriala - pierderi financiare previzibile
7
2.2 Evaluarea riscurilor din sistemele informatice
Atât managerii, cât şi auditorii, trebuie să evalueze cât mai corect riscurile din cadrul sistemului informaţional ai întreprinderii. Pentru identificarea şi evaluarea riscurilor, în general, se parcurg următorii paşi: identificarea factorilor de risc; ierarhizarea factorilor de risc după importanţa acestora pentru sistemul auditat; determinarea frecvenţei şi duratei de apariţie a fiecărui factor de risc; cuantificarea şi evaluarea nivelului de risc; programarea auditului şi alocarea resurselor de audit corespunzătoare nivelului de risc stabilit.
Riscurile trebuie - evaluate din punct de vedere al gravității efectelor lor - evaluate din punct de vedere al probabilității procedurilor - estimate financiar pentru fiecare apariție a fenomenului și pe total Particularități ale sistemelor informatice în evaluarea riscului: A. Structura organizațională - Concentrarea funcțiilor și a cunoștințelor - Concentrarea programelor și a datelor B. Natura procesării – Absența documentelor de intrare - Lipsa unei dovezi vizibile a tranzacției - Lipsa unor ieșiri vizibile - Ușurința de a accesa datele și softurile C. Aspecte procedurale – consecvența execuției - proceduri de control programate - o tranzacție are efect în fișiere multiple - vulnerabilitatea mediilor de stocare
3. Evaluarea de către auditor a sistemului informatic
Auditul sistemului informatic constă în evaluarea aplicațiilor și proceselor car e susțin funcționarea acestora. În vederea creării unei opinii obiective şi a unui raport de audit cuprinzător, echipa de audit va realiza următoarele activităţi:
8
Inţelegerea organizaţiei - strângerea de informaţii relevante despre client pentru
utilizarea în cadrul etapelor următoare. Aceste informaţii includ: detalii despre organizarea internă, detalii despre organizarea IT, despre tehnologii şi sistemele folosite, modul de funcţionare al sistem elor din cadrul domeniului de audit. În mod normal, auditorul programează interviuri cu persoanele responsabile desemnate de către client, sau, dupa caz, utilizează chestionare pentru fiecare secţiune în parte. Tot în această etapă se va realiza o listă cu rolurile şi responsabilităţile personalului clientului în administrarea şi operarea sistemelor ţintă. evaluarea conformităţii documentaţiei clientului cu cerinţele specificate de standardele în domeniu; Analiza documentaţiei relevantă -
definirea expunerii pe care o au sistemul şi informaţiile gestionate la riscuri privind securitatea informaţiilor. Analiza de risc –
În vederea realizării acestei analize de risc, se realizează următoarele: • Identificarea elementelor analizate: sisteme, aplicaţii, procese, oameni; • Identificarea vulnerabilităţilor şi a ameninţărilor; • Cuantificarea şi măsurarea scenarilor de risc; • Identificarea controalelor aplicabile; • Stabilirea registrului de riscuri şi identificarea riscurilor reziduale sau a scenariilor necotrolate. definirea de obiective de control şi de verificări care se vor întrebuinţa în verificările la faţa locului. Definire program audit -
echipa de auditori întreprinde evaluările şi testele prevăzute în programul de audit, cu scopul de a verifica atingerea obiectivelor de control stabilite. Auditul sistemului -
Acesta cuprinde 7 componente principale: • Revizuirea controalelor tehnice implementate la nivelul aplicaţiilor; • Revizuirea controalelor tehnice implementate la nivelul serverelor ce susţin sistemele ţintă; • Revizuirea controalelor tehnice implementate la nivelul infrastructurii de reţea; • Revizuirea controalelor de acces fizic; • Revizuirea procedurilor operaţionale ale sistemelor; • Revizuirea procedurilor de mentenanţă şi recuperare în caz de dezastru; • Revizuirea controalelor tehnice implementate la nivelul staţiilor de lucru. Raportarea – pregătirea
opiniei de audit şi a raportului de audit, care documentează operaţiunile şi testele întreprinse precum şi rezultatele obţinut
9
3.1 Evaluarea aplicațiilor informatice
Pentru realizarea obiectivelor misiunii sale, auditorul trebuie să cunoască principalele componente ale sistemului informatic și fluxul tranzacțiilor. Aceste informații le dobândește prin studierea documentației, observarea directă a procesel or de prelucrare și prin interviurile realizate cu administratorul aplicației și utilizatorii. Documentarea sa trebuie să cuprindă, conform cerințelor practice, următoarele documente: -
metodologia de proiectare a sistemului; specificațiile proiectării funcționale; modificările realizate în timp asupra programelor; manualele-utilizator; documentații tehnice ale furnizorului de software.
Înțelegerea complexității și funcționalității aplicației îi oferă posibilitatea de a -și realiza strategia de teste în vede rea evaluării adecvării, completitudinii și eficienței, controalelor. Sarcina auditorului este de a identifica punctele forte ale controalelor, precum și punctele slabe. O deosebită importanță o are diagrama tranzacțiilor, aceasta oferind auditorului informații cu privire la principalele controale, punctele de introducere a datelor, procesării și afișării în vederea evaluării eficienței controalelor. Verificarea respectării principiului segregării funcțiilor incompatibile presupune evaluarea următoarelor pr obleme:
– adică, procesarea automată a datelor, prin caracteristicile sale și implicațiile acțiunilor diverșilor utilizatori impune reguli stricte privind separarea funcțiilor. În acest sens, atribuții precum: initierea, autorizarea, verificarea și distribuția, nu pot fi alocate unei singure persoane. De asemenea, persoanele implicate în proiectarea, realizarea, actualizarea și administrarea software-ului nu vor putea avea atribuții de exploatare curentă a acestuia.
separarea funcțiilor
Evaluarea separării funcțiilor se va realiza prin analizarea fișelor posturilor și verificarea măsurii în care, în activitatea curentă, persoanele respectă atribuțiile asignate postului.
autorizarea intrărilor – se
aplică regula celor ”patru ochi”, adică drepturile acordate utilizatorilor trebuie să facă demarcația între persoanele autorizate să introducă date în sistem și cele cu drept de autorizare. În acest caz, auditorul va trebui să verifice drepturile oferite utilizatorilor și modul de 10
executare a procedurilor de introducere și autorizare procedând la efectuarea de teste utilizând un eșantion de documente primare(autorizări în sistem), precum și verificarea existenței autorizării pe documentul primar(autorizări manuale).
balanțe – care
sunt executate pentru a verifica controalele de tip total și modul în care se realizează reconcilierea datelor.
erori de control și corecția acestora
distribuirea rapoartelor – în acest
- adică, erorile de introducere și înregistrările respinse trebuie verificate înaintea reintroducerii. Auditorul va proceda la verificarea modului în care managerul a procedat la verificarea erorilor și autorizarea erorilor plecând de la un eșantion de înregistrări eronate. caz, auditorul trebuie să verifice măsura în care generarea și distribuirea rapoartelor ce conțin informații confidențiale, se realizează în condiții de securitate adecvate. Astfel, va proceda la metoda observării directe, la verificarea jurnalelor de distribuire pe bază de semnătură a rapoartelor, precum și la testarea în sistem a drepturilor de acces la funcțiile de generare/vizualizare rapoarte.
3.2 Evaluarea infrastructurii tehnice a sistemului informatic
Evaluarea infrastructurii tehnice constă în analiza hardware, analiza sistemului de operare, analiza bazei de da te, , precum și analiza operării sistemului informatic. Analiza hardware
reprezintă:
proceduri de gestionare hardware – constă în asigurarea analizei continue a
hardware-ului și perfomanța software-ului utilizat pe aceste platforme, precum și analizarea criteriilor utilizate în planul de monitorizare a performanței hardware. În acest caz, auditorul va efectua proceduri d e evaluare a performanței hardware, date și analize istorice obținute din rapoarte, log-uri, planificări ale proceselor, planificări de prevenire și întreținere.
plan de achiziții controlate de hardware – constă
în analiza sincronizării planului de achiziții cu planul de afaceri al societății, analiza conținerii specificațiilor tehnologice ale echipamentelor existente, analiza concordanței între documentație și specificațiile hardware și software. În acest sens, auditorul va identifica lipsa unui echipament, va putea face o alegere a echipamentelor noi mai potrivite cu necesitățile societății.
11
controale pentru înlocuirea echipamentelor hardware existente – auditorul
va efectua teste de lucru pentru noile echipamente pentru aplicațiile si bazele de date existente. Analiza sistemului de operare
constă în:
intervievarea personalului serviciului tehnic -
în acest sens, auditorul va
evalua cerințele din documentație.
proceduri de selecție a sofware-ului – auditorul
va evalua dacă cerințele SI
sunt în concordanță cu afacerea
– obiectivele sistemului se bazează pe cerere/ofertă, in acest sens auditorul va verifica dacă criteriile de selecție sunt aplicate la toate elementele din ofertă. studiu de fezabilitate și procese de selecție
vor efectua proceduri pentru limitarea accesului la sistem, astfel va evalua dacă sunt eliminate toate configurările sistemului stabilite de furnizorii de software. analiza securității software -ului – se
Analiza bazei de date
constă în următoarele tipuri de analize:
proiectarea bazei de date – auditorul
va verifica entitățile, cheile primare și
externe, cardinalitățile relațiilor.
accesul la baza de date – analizându-se accesul principal la baza de date, in
acest sens aditorul va evalua corectitudinea alegerii în cazul în care baza de date permite alegerea metodelor și tipurilor de indecși.
administrarea bazei de date – auditorul
va evalua procedurile de backup și
recuperare în caz de dezastre. se vor verifica procedurile de import-export, auditorul evaluând asigurarea integrității și confidențialității datelor.
interfața bazei de date – astfel
utilizarea cu ușurință a bazei de date – se vor verifica cererile SQL.
include observații ale personalului privind îndatoririle acestuia pentru a asigura eficiența:operării, stabilirea standardelor și politicilor, supervizarea adecvată, integritatea datelor și securitatea. Analiza operării SI
acces al operării – acces
la fișiere, la codul sursă, librării, utilitare pentru stabilitatea sistemului. În acest sens, auditorul va evalua limitarea la accesul operării. planificarea operării pe calculator – operatorii trebuie să înregistreze și să planifice activități pentru procesare, evaluarea auditorului constă în planificare automată sau manuală.
12
– operatorii trebuie să obțină aprobări scrise sau electronice să înregistreze cererile și să le analizeze. Auditorul va evalua cererile pentru a determina procedurile cele mai potrivite. accesul la biblioteci – acest acces ar trebui restricționat pentru personalul autorizat, astfel auditorul va evalua evidența accesării bibliotecii. conținutul și locația stocărilor – se va verifica dacă stocarea este făcută așa cum ar trebui, și anume în altă locație decât unde se gasește sistemul operațional.
proceduri pentru obținerea aprobării scrise sau electronice
3.3 Evaluarea securității sistemului informatic
Auditul securității SI implică auditul accesului fizic și logic, utilizarea unor tehnici pentru testarea securității, precum și utilizarea tehnicilor de investigare. În acest sens, se vor parcurge următorii pași: - reanalizarea politicilor, procedurilor și standardelor; - politici de securitate pentru accesul fizic; - politici de securitate pentru accesul logic; - conștientizarea și formarea permanentă a utilizatorilor privind politicile de securitate; - stabilirea proprietarilor și utilizatorilor de date; - date aflate în custodie; - administrator de securiatet; - utlizatori noi și accesul fosților anagajați; - proceduri de autorizare a accesului documentate; - securitatea de bază, ce urmărește inventariarea mediului, antivirusul, parole de acces, copii de siguranță, adresarea vulnerabilității, minimizarea serviciilor oferite de sistem, actualizarea sistemului, personalul IT; - accesul standard. Auditul accesului logic presupune - determinarea riscurilor de securitatea privind procesarea tranzacțiilor; evaluarea controalelor privind căile de acces în sistem; evaluarea mediului de control pentru a determina dacă obiectivele controlului sunt atinse de rezultatele testării; evaluarea mediului de securitate prin revizuirea politicilor, practicilor și procedurilor. Auditul accesului logic constă în primul rând în familiarizarea cu mediul IT pentru a obține o situație clară a securității mediului și evaluarea riscurilor. Un element important îl reprezintă documentarea privind căile de acces, ceea ce se concretizează într -un drum logic al unui utilizator la informații. Pentru a controla accesul la componente ale sistemului, sunt ceruți, adesea specialiști în domeniu.
13
Aceștia sunt o sursă valoroasă pentru un auditor în sensul că pot furniza date privind securitatea sistemului. În acest sens, auditorul va cere un inter viu cu acești și va stabili vulnerabilitatea politicilor manageriale, securitatea logică și confidențialitatea. Se vor avea în vedere și rapoartele de analiză ale controlului accesului software și aplicațiile de analiză ale operațiilor manuale de sistem. Auditorul poate utiliza tehnici diferite de testare a securității, precum: - chei și carduri; - identificarea terminalului; - identificarea și autentificarea utilizatorilor; - controlul asupra resurselor; - intrarea în sesiunea de lucru și raportarea accesului neautorizat; - urmărirea accesării neautorizate; - securitatea necontrolată și controalele de compensare; - analiza controalelor de acces și administrarea parolelor. Odată implementat, un sistem informatic este obligatoriu să fie auditat periodic pentru a se asigura că îndeplineşte toate sarcinile cerute la cel mai ridicat grad posibil de eficienţă şi eficacitate. Creşterea organizaţiei, creşterea volumului afacerilor, schimbările în mediul afacerilor, schimbările tehnologice şi noile cerinţe de informaţii toate plasează o cerere crescândă asupra sistemului informatic existent şi adeseori impun modificarea sau extinderea acestuia pe baze ad-hoc. Exemple ale unui audit de SI aflat în funcţiune: - reevaluarea cerinţelor de informaţii; - verificarea modificărilor propuse la proiectările de bază existente; - investigarea oportunităţii noilor tehnologii; - îmbunătăţirea procedurilor de operare. Din practică s-a constatat necesitatea auditarii unui sistem informatic odată la trei ani sau ori de câte ori schimbările apărute o impun.
14
BIBLIOGRAFIE
1. A. Eden, Victoria Stanciu, „Auditul sistemelor informatice”, Editura Economică, 2003. 2. A. Rusovici, F. Cojoc, Gh. Rusu, „Auditul financiar al societăților comerciale”, Editura Regia Autonomă Monitorul Oficial, 2003. 3. Munteanu A., „Auditul sistemelor informaţionale contabile - cadru general” , Editura Polirom, 2001. 4. P. Năstase, Victoria Stanciu, A. Eden, Floarea Năstase, Gh. Popescu , „Auditul și controlul sistemelor informaționale”, Editura Economică, 2007. 5. www.ase.ro
15
