CUPRINS:

UNIVERSITATEA TIBISCUS

FACULTATEA DE TIINE ECONOMICE

AUDITUL, EVALUARE I REORGANIZAREA NTREPRINDERII

AUDITUL SISTEMELOR INFORMATICE

Prof. Dr. Adrian Cojocariu

Pantazi Manuela

Anul II

AUDITUL SISTEMELOR INFORMATICEAuditul este descris ca examinarea independent a nregistrrilor i a altor informaii n scopul formrii unei opinii referitoare la integritatea sistemului controalelor i mbuntirea controalelor recomandate pentru limitarea riscurilor.Auditul sistemelor informatice este una dintre activitile importante n atingerea obiectivelor propuse, la timp, cu nivelul de calitate stabilit i n limita bugetului alocat. Auditul informatic reprezint o ramur distinct a auditului general. Aici se include tehnici i metode de auditare a software, a aplicaiilor informatice, a sistemelor informatice tradiionale, a sistemelor informatice moderne, a aplicaiilor mobile i a tuturor aplicaiilor informatice care utilizeaz resurse Internet.

Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale. Auditul sistemelor informatice studiaz sistemele i reelele de calcul i presupune discuii cu personalul care stabilete specificaiile, dezvolt, testeaz, conduce, administreaz i utilizeaz sistemele de calcul.Principalele tipuri de audit informatic sunt:

- auditul sistemului operaional de calcul- auditul instalaiilor IT- auditul sistemelor aflate n dezvoltare- auditul managementului IT- auditul procesului IT- auditul managementului schimbrilor- auditul controlului i securitii informaiilor- auditul conformitii cu legalitatea- auditul accidentelor dezastruoase/planificrii continuitii afacerii/refacerii dup dezastre- auditul strategiei ITAuditarea sistemelor informatice aflate n dezvoltare este considerat cel mai dificil tip de audit informatic. n majoritatea cazurilor, proiectele auditate implic sume mari de bani.

n domeniul informatic exist mai multe direcii de dezvoltare a auditului.

Auditarea software const n activiti prin care se evideniaz gradul de concordan dintre specificaii i programul elaborat. Auditul software d msura siguranei pe care trebuie s o aib utilizatorul de programe atunci cnd obine rezultate. Sigurana se refer la corectitudinea i completitudinea rezultatelor finale atunci cnd datele de intrare sunt, de asemenea, corecte i complete.

Auditul bazelor de date, este un domeniu de maxim complexitate avnd n vedere c, de regul, lucrul cu bazele de date presupune att datele ca atare nsoite de relaiile create ntre ele, ct i programele cu care datele se gestioneaz. De aceea se impune efectuarea unei reparri.

Auditorul informatic este reprezentat de un informatician specializat n domeniul financiar-contabil ce este certificat ca auditor informatic (Certified Information Systems Auditor, CISA) de ISACA. Jacques Renard spune c auditorul informatician nu este un auditor care a nvat informatic, ci reprezint neaprat un informatician format dup metodologia i instrumentele Auditului Intern. Acest auditor informatician i folosete talentul i competenele n cinci direcii fundamentale: auditul centrelor informatice, auditul biroticii, auditul reelelor informatice, auditul sistemelor n exploatare i al programelor informatice de aplicaie i auditul sistemelor n curs de dezvoltare. Realizarea auditului sistemului informatic contribuie la:

- mbuntirea sistemului i controalelor procesului;

- prevenirea i detectarea erorilor i a fraudelor;

- reducerea riscurilor i mbuntirea securitii sistemului;

- planificarea pentru refacere n caz de accidente i dezastre;

- managementul informaiilor i dezvoltrii sistemului;

- evaluarea utilizrii eficiente a resurselor.

Auditorul sistemelor informatice trebuie s aib capacitatea de a asista echipa managerial n stabilirea mrimii sistemului informatic i a numrului de personal necesar, domeniile de afaceri n care se utilizeaz eficient sistemele de calcul, natura afacerilor, pierderi poteniale n cazul cderii sistemului informatic, extinderea controalelor manuale i gradul de complexitate tehnic.

Auditul sistemelor informatice este o activitate complex. Unei activiti de echip realizarea sistemului informatic i corespunde, de asemenea, tot o activitate de echip auditarea. Pentru a realiza un process de auditare eficient este necesar s se parcurg urmtorii pai:

- definirea obiectului auditrii sistemului informatic;

- construirea planului de auditare;

- atribuirea sarcinilor fiecrui membru din echipa de auditori;

- preluarea structurilor de tabele pentru nregistrarea rezultatelor auditrii;

- derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici i metode stabilite;

- nregistrarea rezultatelor i evaluarea fiecrei etape parcurse;

- regruparea documentaiei provenite din diferite stadi ale procesului de auditare i construirea raportului final.

Sistemul informatic urmrete s acopere toate problemele agentului economic, s creezea interdependene ntre componente, astfel nct structurii fizice din sistemul ataat agentului economic s i se suprapun o structur n plan informaional. Actorilor implicai n procese li se asociaz emitori i receptori de informaii cu niveluri diferite de prelucrare. Dezvoltarea direct de sisteme informatice se dovedete o ntreprindere riscant dac nu este precedat de activiti care au menirea de a impune o echip, o tehnologie unitar de analiz, design, dezvoltare, implementare, exploatare i mentenan, aspecte care trebuie luate n considerare la efectuarea unui audit de sistem informatic.

Sistemele informatice sunt construcii complexe, realizate pe parcursul mai multor ani, necesitnd: fonduri foarte mari, echipe complexe i stabile de analiti, designeri, programatori i personal care se ocup de testare, implementare i meninere, stabilirea obiectivelor, definirea unei strategii de dezvoltare i meninere; achiziionarea de echipamente necesare realizrii de prelucrri, de conexiuni i dezvoltrii fluxurilor cu exteriorul, calificarea personalului pentru utilizarea sistemului.

Complexitatea sistemelor informatice i durata de realizare a acestora genereaz o serie de probleme care trebuie soluionate pentru a se obine rezultatele scontate.

Dac pe durata dezvoltrii unui sistem informatic o nou echip managerial are o alt viziune asupra indicatorilor agregai pe care i fundamenteaz deciziile, se produc modificri n specificaii, care atrag modificri ale structurii sistemului informatic.

Noile tehnologii informatice care apar impun adaptarea din mers a echipei de dezvoltare a sistemului informatic. Se produc schimbri n abordarea instrumentelor de asistare, n utilizarea de opiuni iar sistemul informatic devine neomogen.

Dezvoltarea companiei prin achiziionarea de noi echipamente, reorganizarea fluxului de producie, realizarea de noi produse influeneze calitativ i cantitativ structura i funciunile sistemului informatic.Echipa de programatori, webdesigneri, testeri i implementatori poate suferi modificri, noi specialiti rentregesc echipa. Toate aceste fluctuaii se reflect n sistemul de lucru i n calitatea componentelor.

De asemenea, mediul economic, legislaia i dinamica proceselor din societatea informaional conduc la evoluii care trebuie reflectate n sistemul informatic.

Dac obiectivul stabilit iniial de a realiza un sistem informatic pentru managementul companiei rmne remodifica, procesele ce se deruleaz concomitent produc efecte conjugate.

Un sistem informatic are n structura sa modulele de prelucrare MO1,

MO2, .., MOn i structurile de date Str1, Str2, ..., Strm. Forma fizic a acestora este foarte variat depinznd de tehnica de dezvoltare utilizat.

Se construiete matricea de coresponden Ann pentru module.

Elementul aij = 1 dac modulul MOi este apelat de modulul MOj, iar n caz contrar aij = 0.

Se construiete matricea Bmn pentru a stabili relaia modul date.

Elementul bij = 1 dac modulul MOj folosete structura de date Stri, iar n caz contrar bij = 0. Matricea Ann evideniaz referirile ntre module.

Matricea Bmn evideniaz referirile de date de ctre module.

Se evideniaz indicatorul Nrm numrul total al referirilor de module, prin relaia:

Nrm =

Se calculeaz indicatorul Nrd numrul total al referirilor de date de ctre module prin relaia:

Nrd =

Complexitatea sistemului informatic CSI, n sens Halstead, este dat de relaia:

CSI = Nrm log2 Nrm + Nrd log2 Nrd

n cazul n care sunt luate n considerare modificrile ce apar pe durata ciclului de dezvoltare, procesul de realizare a sistemului capt un caracter iterativ convergent. O iteraie k include toate procesele care se produc ntre dou modificri.

Caracterul convergent vizeaz atingerea scopului iniial, simultan cureducerea efortului de includere a modificrilor, pe msur ce procesul de realizare a sistemului informatic se apropie de final.

Pentru fiecare iteraie k se definesc k

rm N , k

rd N , respectiv CSIk.

Dac se calculeaz:

k = CSIk CSIk-1, caracterul iterativ convergent vizeaz ca :

- irul 1, 2 , ... L s fie un ir cu numr finit de termeni;

- 1 > 2> >L = 0.

Este stabilit o relaie ntre costul CO al sistemului informatic i complexitatea acestuia, de forma:

CO= CSI +CO e ,

unde , i sunt coeficienii estimai ai modelului.

ntre productivitatea W a celor care elaboreaz un sistem informatic

i complexitatea acestuia exist relaia:

W= f(CSI)

n [BARO88] relaia dintre complexitate i productivitate este de forma:

W = eCSI + , unde , i sunt coeficienii estimai.

Durata de realizare D a sistemului informatic n funcie de complexitate i numrul salariailor, ns, este dat de relaia: D = h(CSI, ns)

Numrul de salariai ns, funcie de complexitatea sistemului i de durata de realizare este dat de relaia: ns = g(CSI1, D)

Dac se iau n considerare iteraiile 1 i L ale procesului de elaborarea sistemului informatic, pentru a menine acelai termen de predare la cheie,sunt estimate nivelurile:

=g(CSD1,D)

iar diferena:

= -

reprezint sporul de salariai necesar asigurrii ncadrrii elaborrii sistemului informatic n termenul stabilit, chiar dac apar modificri n toate

direciile care privesc sistemul informatic respectiv.

Sistem informatic are menirea de a sprijini actul decizional la toate nivelurile. Implementarea unui sistem informatic trebuie s genereze efecte pozitive att pentru utilizatorii si ct i pentru beneficiarii direci ai informaiei prelucrate.

Pentru a se obine acest deziderat, n procesul de elaborare este necesar aplicarea tuturor cerinelor privind managementul calitii sistemului informatic. Este necesar s se realizeze auditul sistemului informatic pentru a se obine garania c acesta realizeaz corect i complet prelucrrile pentru care a fost proiectat, iar orice combinaie de date, alta dect cea corect i complet, este semnalat i nu este generatoare de efecte colaterale pe termen mediu i lung.

n realizarea proceselor de auditarea dezvoltrii sistemelot informatice este necesar s se ia n considerare caracteristicile organizaiei pentru care se proiecteaz sistemul i stabilitatea organizaiei.

Organizaiile n dezvoltare sunt organizaiile a cror constant o constituie ncercarea continu de adaptare la mediile n schimbare, dar care nu ating niciodat stabilitatea pentru care acioneaz. Aceste organizaii sunt foarte diferit de cele stabile. Dezvoltarea sistemelor informatice pentru organizaii stabile are n vedere urmtoarele obiective: vantajele economice ale unei analize amnunite; satisfacia utilizatorilor; cerine abstracte; specificaii complete i lipsite de ambiguiti.

Obiectivele propuse pentru dezvoltarea sistemelor informatice destinate organizaiilor emergente sunt urmtoarele: analiza dinamic; negocierea cerinelor dinamice; specificaii utile ambigue i incomplete; redezvoltare continu.

Printre metodele utilizate n dezvoltarea sistemelor informatice pentru organizaiile emergente se numr: modelarea conceptual i evaluarea utilitii i utilizabilitii. Modelarea conceptual la reproiectarea schimbrilor sistemului, iar evalurile utilizabilitii pot fi vzute ca o form de analiz referitor la analiza permanent care necesit a fi aplicat organizaiilor emergente.

Produsul supus auditrii poate avea un rezultat nefavorabil. Rezultatul corespunde situaiei n care procesul de auditare conduce la concluzia c exist diferene eseniale ntre sistemul informatic real i sistemul informatic ateptat de utilizator; sistemul informatic nu execut integral funciile de prelucrare stabilite; rapoartele obinute sunt numai o parte din cele stabilite; auditorii recomand completarea cu noi module care s dezvolte i prelucrrile planificate, dar nerealizate; diferenele care apar sunt cauzate de rezultatele incomplete din raport; se recomand modificri n secvenele de program.

Produsul supus auditrii poate avea un rezultat favorabil. Diferenele dintre ceea ce s-a ateptat de ctre utilizator i ceea ce s-a realizat sunt nesemnificative sau sunt favorabile creterii calitii produsului. Raportul de auditare este o construcie complex, dezvoltat de membrii echipei de auditare.

Auditul are ca rezultat o analiz, o serie de evaluri i evidenierea cu maxim rigurozitate a diferenelor dintre sistemul informatic solicitat de utilizator i descris n specificaiile convenite, pe de o parte, i sistemul informatic aflat n form livrabil, pe de alt parte.

Auditarea este solicitat de elaborator sau de beneficiar pentru a obine acele informaii care dau ncredere n utilizare, certitudinea c rezultatele ateptate sunt corecte, complete, exact n structura solicitat i se obin n timp real. Auditarea are menirea de a transfera certitudine i ncredere n sistemul informatic prin rezultatul pozitiv stabilit de ctre o echip de auditori, aparinnd unei firme de consultan cu autoritatea dat de auditri anterioare.

Auditul unui sistem informatic presupune un volum important de munc ntruct se reface ntregul traseu parcurs de echipa de realizatori a sistemului i, chiar mai mult, ntruct intr n analiz nsi specificaiile cu sursele pe baza crora au fost construite.

Efectul imediat al auditului sistemului informatic este folosirea lui cu ncredere dac rezultatul auditrii ofer aceast ncredere. Pentru echipa de dezvoltare a sistemului informatic, dac a trecut de testul auditrii, se creeaz condiii favorabile dezvoltrii de noi sisteme informatice, mult mai complexe.

n cazul n care sistemul informatic nu a trecut testul auditrii, apar semne de ntrebare legate de managementul companiei de software care a dezvoltat un astfel de sistem. Trebuie s apar schimbri majore la nivelul managementului i la nivelul echipelor de dezvoltare. Trebuie adoptate tehnici de analiz, proiectare, programe testare, implementare, mentenan, eficiente care s genereze fluxuri de dezvoltare compatibile.

Auditul presupune un mod activ de corectare a produsului, variante de lansare n uz curent dac acest lucru se impune. Auditul este necesar pentru orice sistem informatic. Este normal ca un sistem informatic neauditat, cnd genereaz erori, compania care utilizeaz s plteasc toate daunele. Lipsa auditului nseamn riscuri asumate. Riscurile nseamn costuri i costurile trebuie suportate de ctre cel care i-a asumat riscurile la un nivel care depete limite raionale.

Auditul este un proces opional pn la un punct. n condiiile software public, n care ceteanul dezvolt procese de prelucrare n interes propriu, auditul devine o necesitate, devenind obligatoriu. Obligativitatea este o msur de autoconservare a companiei care utilizeaz software public pentru a derula servicii spre ceteni cu resurse proprii pentru a satisface cerine ale cetenilor. O astfel de organizaie nu trebuie s rite. Auditul nseamn transfer de ncredere i meninerea riscurilor la niveluri suportabile cu asigurarea unui nivel bun al profitabilitii.

n condiiile societii informaionale, conectarea la o arhitectur de sisteme informatice auditate a unui nou sistem este efectiv dac i numai dac sistemul care se conecteaz este auditat, iar rezultatul auditrii permite conectarea. n caz contrar, efectele de antrenare multipl la nivelul riscurilor devin de necontrolat.

Auditul trebuie privit ca o investiie suplimentar. Compania de software care dezvolt un sistem informatic i deruleaz procedee de audit creeaz premisele autoproteciei fa de riscurile generatoare de cheltuieli ce depesc potenialul companiei.

Se creeaz o nou atitudine fa de auditul sistemelor informatice, fiind considerat altceva dect o activitate impus sau un ru necesar, transformndu-se n singura modalitate prin care se obin garanii reale asupra calitii sistemului informatic, pe care utilizatorii le percep n timp.

Odat implementat, un sistem informatic este obligatoriu s fie auditat periodic pentru a se asigura c ndeplinete toate sarcinile cerute la cel mai ridicat grad posibil de eficien i eficacitate. Creterea organizaiei, creterea volumului afacerilor, schimbrile n mediul afacerilor, schimbrile tehnologice i noile cerine de informaii toate plaseaz o cerere crescnd asupra sistemului informatic existent i adeseori impun modificarea sau extinderea acestuia pe baze ad-hoc.

Din practic s-a constatat necesitatea auditrii unui sistem informatic odat la trei ani sau ori de cte ori schimbrile aprute o impun._1230490449.unknown

_1230490995.unknown

_1230491172.unknown

_1230491222.unknown

_1230491109.unknown

_1230490901.unknown

_1230490390.unknown