Auditul sistemelor informatice.pdf

7/27/2019 Auditul sistemelor informatice.pdf

1/149

INTRODUCERE

Societatea informaional determin o cretere dramatic a

dependenei tuturor domeniilor vieii economico-sociale de tehnnologiile

informaionale. Sistemele informatice sunt construcii complexe care

vizeaz mai multe probleme diferite ale unei companii. Avnd n vedere

consumul de resurse umane i financiare la dezvoltarea unui sistem

informatic, este necesar s se desfoare anumite activiti care s conduc

la atingerea obiectivului propus, la timp, cu nivelul de calitate stabilit i nlimita bugetului alocat. Una dintre aceste activiti, deosebit de important,

att pentru realizatori, ct, mai ales, pentru utilizatori, este auditul sistemelor

informatice (SI). Auditul SI este o ramur a auditului general care se ocup

cu controlul tehnologiilor informaiilor i comunicaiilor. Auditul SI

studiaz, n primul rnd, sistemele i reelele de calcul din punct de vedere

al examinrii eficienei controlului tehnic i procedural pentru a minimiza

riscurile. Auditarea SI presupune discuii cu personalul care stabiletespecificaiile, dezvolt, testeaz, conduce, administreaz i utilizeaz

sistemele de calcul [HINS05]

Obiectivul lucrrii l constituie stabilirea unor modaliti de realizare

a auditului sistemelor informatice.

Pentru atingerea acestui deziderat, lucrarea este structurat pe

dousprezece capitole.

n capitolul Sisteme informatice. Complexitate i costuri, sunt

prezentate condiiile n care se dezvolt un sistem informatic i influena

acestora att asupra procesului de dezvoltare, ct i asupra produsului final.

Se analizeaz, sumar, structura unui sistem informatic i relaiile dintre

subsistemele acestuia i se face referire la necesitatea auditului informatic.

Construirea de modele i stabilirea de limite se trateaz n cel

de-al doilea capitol. Construirea de modele i stabilirea de limite sunt

activiti importante care sunt avute n vedere att de ctre realizatorii

sistemului informatic, ct i de ctre auditori. Stabilirea limitelor ntre care


2/149

trebuie s se ncadreze rezultatele unui sistem informatic conduce la

eliminarea unor situaii nedorite, care, n anumite domenii, au urmri

imprevizibile.

n capitolul al treilea, Realizarea i msurarea concordanei, suntprezentate, succint, sistemele care compun o companie, indiferent de

mrimea acesteia, sunt relevate interaciunile dintre sisteme i sunt scoase n

eviden caracteristicile sistemului informatic comparativ cu celelalte

sisteme. ntre toate sistemele care compun o companie este necesar s existe

concordan deplin pentru ndeplinirea obiectivelor asumate.

Obiectul auditului pentru sistemele informatice este tratat n

capitolul al patrulea. Auditul informatic este o activitate complex diferit

de alte activiti. Se prezint, comparativ, auditul informatic i alte activiti

precum controlul i expertiza. Se descrie rolul auditului informatic i efectul

acestuia asupra utilizatorului sistemului informatic auditat.

Capitolul al cincilea Construirea de liste descrie necesitatea

construirii listelor pentru desfurarea procesului de auditare. Sunt analizate

tipurile de liste i rolul acestora n desfurarea procesului de auditare. Se

prezint cerinele impuse unei liste pentru a obine rezultatele scontate.

Construirea listelor reprezint latura esenial a procesului de auditare planificare. Fr un plan bine elaborat, articulat i fr o viziune unitar,

rezultatul final este afectat de factori perturbatori.

Auditul specificaiilor este analizat n capitolul al aselea.

Realizarea unui sistem informatic care s rspund cerinelor utilizatorilor

depinde , n mod esenial, de stabilirea specificaiilor. Specificaiile

constituie baza proiectrii i dezvoltrii oricrui sistem. Din acest

considerent, se impune ca procesul de auditare a unui sistem informatic snceap cu auditul specificaiilor. n acest capitol sunt analizate modalitile

de realizare a auditului specificaiilor.

Auditul proiectului este analizat n capitolul al aptelea, avnd n

vedere c un sistem informatic, cu un nivel de calitate cerut, se realizeaz

avnd la baz un proiect cu un grad corespunztor al calitii. Se urmrete

cuprinderea specificaiilor, regsirea acestora n rezultatele finale. Se propun

modaliti de auditare a cheilor de acces i a parolelor. Sunt descrise criterii

de apreciere i indicatori de evaluare a calitii proiectului. Auditul


3/149

proiectului sistemului informatic trece, prin utilizarea unor indicatori, din

zona aprecierilor strict calitative, n zona analizei, avnd o fundamentare

riguroas. Elementele incluse n liste i diferenele devin vizibile i sunt

cuantificate, asigurnd un grad ridicat de rigurozitate procesului de realizarea sistemului informatic.

Auditul textelor sursestedescris n capitolul al optulea. Se face o

descriere succint a necesitii auditului textelor surs. Se prezint

modaliti de evaluare a diferenelor dintre ce s-a proiectat i rezultatele

practice obinute. Se propun msuri de remediere a deficienelor n cazul n

care se constat. Se subliniaz importana, din punctul de vedere al

auditorului, a rezultatelori a fluxurilor pe care le genereaz.

Capitolul al noulea, Auditul datelor, se refer la un proces

complex ntruct vizeaz acele componente ale sistemului informatic care

au ca obiectiv crearea i actualizarea fiierelor sau bazelor de date. Sunt

prezentate criterii de validare a datelor. Se analizeaz modaliti de

iniializare a variabilelori se propun msuri de prevenire a erorilor.

n cel de-al zecelea capitol este descris modul de redactare al unui

Raport de audit.

Lucrarea se ncheie cu concluzii n care sunt date i o serie dedirecii de urmat.

Bibliografia conine:

tratate fundamentale de audit;

cri privind metrici software i tehnici i metode de programare;

lucrri elaborate de autori sub form de cri, articole i comunicri

la manifestri tiinifice din ari din strintate;

articole din reviste de specialitate; site-uri care trateaz problemele de maxim actualitate, forumuri de

discuii pe probleme de managementul calitii software i

calitatea datelor.

Autorii lucrrii au procupri n domeniul dezvoltrii aplicaiilor

informatice, analizei metricilor utilizate n dezvoltarea software, calitii i

costurilor calitii datelor i produselor program. Aceste preocupri s-au

materializat prin participarea la manifestri tiinifice cu caracter


4/149

internaional, prin articole publicate att n ar, ct i n strintate, precum

i prin cri aprute n diferite edituri.

Referirea bibliografiei se efectueaz folosind mnemonici construite

din primele patru litere ale numelui primului autor urmate de ultimele doucifre ale anului apariiei, incluse n paranteze drepte. Diferenierile n cadrul

lucrrilor aceluiai autor, aprute n acelai an, se fac prin adugarea, la

cifrele anului, a uneia din primele litere mici ale alfabetului.

n anexe se afl:

- lista variabilelor folosite n definirea de indicatori;- lista figurilor;- lista tabelelor;- lista de verificare un exemplu;- program de audit - model;- nota de neconformitate - model;- raport de audit model;- raport de audit intern exemplu;- organizaii, reglementri i standarde referitoare la auditul SI.

Datorit faptului c o serie de concepte i termeni nu au o traducere

unanim acceptat n comunitatea specialitilor din ara noastr, pentru a nuintroduce confuzii prin folosirea corespondenilor locali ai acestor concepte

i termene, s-a preferat utilizarea denumirilor originale n limba englez.

Lucrarea se adreseaz att specialitilor care dezvolt i

implementeaz sisteme informatice, ct i utilizatorilor acestor sisteme.

n lucrare sunt mbinate concepte, definiii, modele, tehnici i

metode care se regsesc n literatura de specialitate, cu unele rezultate

originale obinute de autori de-a lungul mai multor ani de cercetare.Autorii sunt recunosctori tuturor celor care, prin observaii i

sugestii, contribuie la mbuntirea unei viitoare ediii a acestei lucrri.


5/149

1. SISTEME INFORMATICE

COMPLEXITATE I COSTURI

Sistemul informatic are menirea de a acoperi toate problemeleagentului economic, de a crea interdependene ntre componente, astfel nctstructurii fizice din sistemul ataat agentului economic i se suprapune ostructur n plan informaional. Fluxurilor de producie le corespund fluxuriinformatice. Actorilor implicai n procese li se asociaz emitori ireceptori de informaii cu niveluri diferite de prelucrare. Dezvoltarea directde sisteme informatice se dovedete o ntreprindere riscant dac nu este

precedat de activiti care au menirea de a impune o echip, o tehnologieunitar de analiz, design, dezvoltare, implementare, exploatare imentenan, aspecte care trebuie luate n considerare la efectuarea unui auditde sistem informatic.

Sistemele informatice sunt construcii complexe, realizate pe

parcursul mai multor ani, necesitnd: fonduri foarte mari, uriae n anumite cazuri; echipe complexe i stabile de analiti, designeri, programatori i

personal care se ocup de testare, implementare i mentenan; stabilirea obiectivelor; definirea unei strategii de dezvoltare, exploatare i mentenan; achiziionarea de echipamente, instrumente necesare realizrii de

prelucrri, de conexiuni i dezvoltrii fluxurilor cu exteriorul;

-calificarea personalului pentru utilizarea corect i eficient asistemului.

Complexitatea sistemelor informatice i durata, relativ mare, derealizare a acestora genereaz o serie de probleme care trebuie luate nconsiderare i soluionate astfel nct, n final, s se obin rezultatelescontate.

n primul rnd, pe durata ciclului de dezvoltare a unui sisteminformatic au loc schimbri n echipa managerial a beneficiarului. n cazul

n care o nou echip managerial are o alt viziune asupra indicatorilor


6/149

agregai pe care i fundamenteaz deciziile, se produc modificri nspecificaii, care atrag modificri ale structurii sistemului informatic.

n al doilea rnd, noile tehnologii informatice care apar impunadaptarea din mers a echipei de dezvoltare a sistemului informatic. Se

produc schimbri n abordarea instrumentelor de asistare, n utilizarea deopiuni. n final, o serie de componente se construiesc utiliznd noileresurse. Sistemul informatic devine neomogen din punctul de vedere altehnologiilor de dezvoltare.

n al treilea rnd, dezvoltarea companiei prin achiziionarea de noiechipamente, reorganizarea fluxului de producie, trecerea la realizarea denoi produse, introducerea elementelor de management total al calitii vin sinflueneze calitativ i cantitativ structura i funciunile sistemuluiinformatic. Problema achiziiilor de date capt o alt dimensiune n cazulutilajelor cu comand program sau n cazul liniilor de producie robotizate.

n al patrulea rnd, pe durata mai multor ani, nsi echipa deprogramatori, webdesigneri, testeri i implementatori sufer modificri.Diferii specialiti rentregesc echipa. Toate aceste fluctuaii se reflect nsistemul de lucru, n calitatea componentelor sau stadiilor sistemuluiinformatic.

n al cincilea rnd, mediul economic, legislaia i dinamicaproceselor din societatea informaional conduc la evoluii care trebuiereflectate n sistemul informatic.

Modificrile unor algoritmi de calcul, necesitatea de a utiliza noicoeficieni, apariia unor schimburi de informaii ntre companie iinstituiile publice ale statului trebuie reflectate, de asemenea, din mers nsistemul informatic aflat n construcie.

Toate aceste procese se deruleaz concomitent, producnd efecteconjugate, n timp ce obiectivul stabilit iniial, acela de a realiza un sistem

informatic pentru managementul companiei, rmne nemodificat. Suntsituaii n care chiar condiiile privind termenele de predare rmnneschimbate. n cazul n care noile cerine conduc la creterea semnificativa complexitii produsului final sistemul informatic pentru management -se impune creterea volumului investiiei pentru a suplimenta resurselenecesare dezvoltrii unui volum mai mare de activiti. Creterea volumuluide activiti care se deruleaz n paralel impune noi abordri la nivelulconcepiei sistemului informatic.


7/149

Un sistem informatic are n structura sa modulele de prelucrareMO1,MO2, .., MOn i structurile de date Str1, Str2, ..., Strm. Forma fizic aacestora este foarte variat depinznd de tehnica de dezvoltare utilizat.

Se construiete matricea de coresponden Ann

pentru module.Elementul aij = 1 dac modulul MOi este apelat de modulul MOj, iar n cazcontrar aij = 0.

Se construiete matricea Bmn pentru a stabili relaia modul date.Elementul bij = 1 dac modulul MOj folosete structura de date Stri, iar ncaz contrar bij = 0. Matricea Ann evideniaz referirile ntre module.MatriceaBmn evideniaz referirile de date de ctre module.

Se evideniaz indicatorul Nrm numrul total al referirilor demodule, prin relaia:

= =

=n

i

n

jijrm aN

1 1

Se calculeaz indicatorulNrd numrul total al referirilor de date dectre module prin relaia:

= =

=m

i

n

jijrd bN

1 1

Complexitatea sistemului informatic CSI, n sens Halstead, este datde relaia:

CSI = Nrm log2 Nrm + Nrd log2 Nrd

n cazul n care sunt luate n considerare modificrile ce apar pedurata ciclului de dezvoltare, procesul de realizare a sistemului capt uncaracter iterativ convergent. O iteraie k include toate procesele care se

produc ntre dou modificri.Caracterul convergent vizeaz atingerea scopului iniial, simultan cu

reducerea efortului de includere a modificrilor, pe msur ce procesul derealizare a sistemului informatic se apropie de final.


8/149

Pentru fiecare iteraie kse definesc krmN ,krdN , respectiv CSI

k.

Dac se calculeaz:

k= CSIk

CSIk-1

,

caracterul iterativ convergent vizeaz ca :

- irul 1, 2, ...L s fie un ir cu numr finit de termeni;- 1 > 2> >L = 0.

n [BARO88] este stabilit o relaie ntre costul CO al sistemului informatic

i complexitatea acestuia, de forma:

+=

CSIO eC ,

unde , i sunt coeficienii estimai ai modelului.ntre productivitatea Wa celor care elaboreaz un sistem informatic

i complexitatea acestuia exist relaia:

W= f(CSI)

n [BARO88] relaia dintre complexitate i productivitate este de forma:

+= CSIeW ,

unde , i sunt coeficienii estimai.Durata de realizare D a sistemului informatic n funcie de

complexitate i numrul salariailor, ns, este dat de relaia:

D = h(CSI, ns)

Numrul de salariai ns, funcie de complexitatea sistemului i de durata derealizare este dat de relaia:

ns =g(CSI1, D)


9/149

Dac se iau n considerare iteraiile 1iL ale procesului de elaborarea sistemului informatic, pentru a menine acelai termen de predare la cheie,sunt estimate nivelurile:

( )DCSIgns ,11 = ( )DCSLgn LLs ,= ,

iar diferena:

11 s

LsL nn =

reprezint sporul de salariai necesar asigurrii ncadrrii elaborriisistemului informatic n termenul stabilit, chiar dac apar modificri n toatedireciile care privesc sistemul informatic respectiv.

Realizarea unui sistem informatic are menirea de a sprijini actuldecizional la toate nivelurile. Sporul de informaie, calitatea acesteia,

promptitudinea cu care se obine sunt argumente puternice pentru adetermina saltul calitativ pe care l presupune societatea bazat pecunoatere.

Din aceste considerente, implementarea unui sistem informatictrebuie s genereze efecte pozitive att pentru utilizatorii si, ct mai ales,

pentru beneficiarii direci ai informaiei prelucrate.Pentru a se obine acest deziderat, n procesul de elaborare este

necesar aplicarea tuturor cerinelor privind managementul calitiisistemului informatic. De asemenea, este necesar s se realizeze auditulsistemului informatic pentru a se obine garania c acesta realizeaz corecti complet prelucrrile pentru care a fost proiectat, iar orice combinaie dedate, alta dect cea corecti complet, este semnalati nu este generatoarede efecte colaterale pe termen mediu i lung.

n realizarea proceselor de auditarea dezvoltrii SI este necesar s seia n considerare caracteristicile organizaiei pentru care se proiecteazsistemul i, n primul rnd, stabilitatea organizaiei. Dezvoltarea SI se facen contextul evoluiei mediului economico-social. Dinamismul schimbrilorn cadrul organizaiilor, indiferent de dimensiunea acestora, impuneadaptarea metodelor de dezvoltare a SI la noile condiii sau apariia unor

concepte i metode noi de dezvoltare a SI.


10/149

Organizaiile n dezvoltare, denumite n limba englez, organizaiiemergente, sunt organizaiile a cror constant o constituie ncercareacontinu de adaptare la mediile n schimbare, dar care nu ating niciodatstabilitatea pentru care acioneaz.

Acest tip de organizaii este foarte diferit de cele stabile. Din cauzaipotezelor fundamental diferite privind realitatea i dezvoltarea SI, proceselede proiectare a SI pentru organizaii stabile, respectiv emergente, suntdiferite. De fapt obiectivele celor dou procese sunt contradictorii[ALAT03]. Dezvoltarea SI pentru organizaii stabile are n vedereurmtoarele obiective [ALAT03]:

- avantajele economice ale unei analize amnunite;- satisfacia utilizatorilor;- cerine abstracte;- specificaii complete i lipsite de ambiguiti.Obiectivele propuse pentru dezvoltarea SI destinate organizaiilor

emergente sunt urmtoarele:- analiza dinamic;- negocierea cerinelor dinamice;- specificaii utile ambigue i incomplete;- redezvoltare continu.Printre metodele utilizate n dezvoltarea SI pentru organizaiile

emergente se numr: modelarea conceptual i evaluarea utilitii iutilizabilitii. Modelarea conceptual la reproiectarea schimbrilorsistemului, iar evalurile utilizabilitii pot fi vzute ca o form de analizreferitor la analiza permanent care necesit a fi aplicat organizaiiloremergente. Analizele publicate n literatura de specialitate i unele cercetriale autorilor demonstreaz c n cadrul SI sunt ntotdeauna necesareschimbri, aspect care se ia n considerare la auditarea SI.


11/149

2.CONSTRUIREA DE MODELEI STABILIREA DE LIMITE

Sistemele informatice complexe presupun stocarea de informaiiprivind un numr r de entiti E1, E2, ..., Er. Pentru fiecare element alentitii este definit un set de cmpuri de descriere. Experiena designerilorconduce la descrieri complete care nu mai trebuie mbuntite ulterior.

Numrul de entiti depinde de profunzimea procesului de analiz n aidentifica grade de omogenitate i criterii de alctuire a colectivitilor.

Construirea modelelor reprezint o etap deosebit de important.Stabilirea variabilelor precum:

Ni numrul de componente ale entitii Ei;NCi numrul de cmpuri cu care se identific factorii care definesc

elementele entitiiEi;xijk nivelul cmpului cu poziia j pentru ablonul de descriere

aparinnd elementului kdin entitateaEi.

i identificarea condiiilor pe care trebuie s le ndeplineasc datele culesepentru a iniializa cmpul xijk reprezint o etap esenial n nelegereaparticularitilor companiei pentru care se proiecteaz sistemul informatic.

Pentru datele care sunt introduse n bazele de date se definete limitainferioar, LINF, respectiv limita superioar, LSUP. Astfel, pentru toatecmpurile se construiesc inegalitile duble.

LINFijkxijk LSUPijk

Pentru stabilirea celor dou tipuri de limite sunt definite ipoteze delucru unanim acceptate. De exemplu, pentru consumul casnic de gaze esteluat n considerare debitul De pe or, asociat conductei de intrare nlocuin. Presiunea considerat este de nivel maxim, Pmax. Pentru uninterval de timp TG exprimat n numr de ore, consumul maxim, Cmax, estedat de relaia:

Cmax = TG*De


12/149

Consumul minim este zero. Rezult c nivelul consumului de gazeCGgijkrespect inegalitatea dubl:

0 CGijkTG*Deik.

Absena indicelui j se justific prin nominalizarea cmpului cuidentificator propriu CG. Absena acestor limite de intervale genereazsituaii dintre cele mai bizare, care includ pentru efectuarea de calcule, unelevalori aberante. Este cunoscut cazul unui cetean dintr-o comun vlceancruia i s-a montat invers un contor de ap, fiind pus s plteasc pentru unconsum astronomic. De asemenea, nu trebuie uitat nici posesoarea unuiapartament de bloc care s-a trezit pltind un impozit cu mult mai mare dectal vecinilor de la celelalte etaje, ntruct apartamentul su, n mod eronat, afost nscris cu o suprafa mai mare.

Tot astfel de consideraii se fac i pentru consumatorii deelectricitate care primesc facturi cu o valoare de cel puin 100 de ori maimare. Chiar i cazul calculului eronat al unor pensii, care a generatnumeroase procese, i a fcut istorie, fiind finalizat cu o scutire a plii unordatorii, trebuie dat ca exemplu ce nu trebuie urmat, privind neglijena cucare au fost stabilite limitele.

Un sistem informatic conduce la realizarea unui salt calitativ.

Permite fundamentarea deciziilor n cunotiin de cauz. El nu nlocuieteceva cu altceva. El este cu totul altceva, att pentru executant, ct i pentrudecideni, indiferent de nivelul la care se afl acetia. Cu o condiie, s fieconstruit ca instrument orientat spre management i nu ca un auxiliar caredezvolt aparatul birocratic.

Existena limitelor de variaie are menirea de a filtra datele, iar lasemnalizarea unor valori n afara intervalului se impune verificarea la faalocului i corectarea situaiei de fapt, fie din punct de vedere tehnic, fie din

punct de vedere scriptic sau informatic.

n dezvoltarea unui sistem informatic trebuie s se porneasc de laexperiena acumulat.n primul rnd, compania pentru care se elaboreaz sistemul este de

un profil, de o dimensiune i de o complexitate asemntoare cu altecompanii. nseamn c ea nu trebuie tratat ca un caz special, asemenea uneiopere de art unicat, pentru care totul este nou n a crea un produs original.ncadrarea companiei ntr-o anumit grup are drept consecin identificareacompaniilor asemntoare i stabilirea elementelor de comparaie pentru aobine un cost estimat, durata de realizare i, mai ales, eficiena pe care o

aduce proiectarea, realizarea i implementarea unui sistem informatic pentrumanagement.


13/149

n al doilea rnd, unei companii obinuite, aparinnd unei anumiteclase, i se va realiza un sistem informatic adecvat, n concordan cucaracteristicile clasei. Complexitatea unui astfel de sistem nu depetesemnificativ complexitatea medie a sistemelor informatice pentru

companiile din aceeai categorie.n al treilea rnd, prin utilizarea de prototipuri, impuse de

instrumentele de asistare pentru funciile de baz ale companiei, ntregulproces de analiz proiectare programare testare implementare capto tent industrial, de rutin.

n al patrulea rnd, existena procedurilor pentru derulareaactivitilor din companie definete fluxuri, stabilete condiii i orienteazdezvoltatorul de sisteme informatice spre care direcie s orienteze demersulsu pentru a obine un sistem informatic modern, operaional i eficient.

n al cincilea rnd, existena unei game largi de modele, de tehnicide construire i de metode de msurare conduc la a stabili care este modelulcel mai potrivit.

n al aselea rnd, regulile de asigurare a unui management alcalitii sistemului informatic, odat cunoscute, trebuie aplicate n acelaifel. nseamn c noul sistem este tratat din punct de vedere almanagementului calitii ca oricare alt produs din aceeai clas decomplexitate.

n alaptelea rnd, toate riscurile asociate procesului de dezvoltarea sistemului informatic au niveluri care nu difer semnificativ de nivelurileriscurilor corespunztoare sistemelor similare. Echipa care dezvolt unsistem informatic urmrete cel mult s scad nivelurile de risc, ceea ceconduce la creterea volumului de resurse, prin introducerea de noi

proceduri. Ca n orice meserie i n cazul dezvoltrii de sisteme informaticese aplic reete sigure pentru reducerea diferitelor categorii de riscuri.

n al optulea rnd, sistemul informatic, n integritatea lui, trebuie sfie un automat finit. Alfabetul de intrare, matricea de transfer i outputurile

se definesc riguros. Orice ambiguitate are menirea de a determina punerea ncoresponden a elementelor altfel dect o cer procesele care se deruleaz ncompanie. Mai ru, prin generarea de simboluri care nu aparin alfabetului,sistemul informatic devine automat stochastic, cu toate consecinelenegative care se imagineaz.

Concepia sistemului informatic are caracter unitar, urmrete unobiectiv unic i, prin modul de structurare, prin resursele alocate, seconstituie ca un demers realist i, mai ales, realizabil.


14/149

3.REALIZAREA

I M

SURAREA

CONCORDANEI

O companie, oricare ar fi ea, este o suprapunere de sisteme.Primul sistem este cel al echipamentelor dispuse ntr-o anumit

ordine pentru a dezvolta operaiile de prelucrare specifice unei tehnologii.Al doilea sistem este cel al materiilor prime care fac obiectul

prelucrrilor prin trecerea de la un echipament la altul. Asupra lor se executoperaiile de prelucrare, rezultnd transformri.

Al treilea sistem este acela de comand a execuiei, care includepersoane calificate i, ntr-o msur mai mic sau mai mare, roboi cu gradediferite de flexibilitate n aciune i decizie.

Al patrulea sistem estesistemul energetic care are menirea de a punen micare utilajele i de a crea condiii optime persoanelor pentru a executaoperaii.

Al cincilea sistem este sistemul informaional. Rolul su estedeterminant, ntruct fluxurile informaionale au menirea de a declanafuncionarea utilajelor, generarea fluxurilor materiale, creaz comunicareadintre persoane. mpreun cu sistemul energetic controleaz toate etapeleunui ciclu de producie. ntre cele cinci sisteme care alctuiesc companiatrebuie s existe oricnd o concordan perfect. Primele patru sisteme, nmod obiectiv, sunt realizate i exist avnd o concordan real ntre scop imijloacele de atingere a scopului. Orice neconcordan produce efecte

negative i, din acest considerent, din procesul de proiectare sistemele suntconcepute astfel nct s se minimizeze neconcordanele. Aa se explicdimensionarea echipamentelor pentru a efectua operaii de prelucrare ncondiii de siguran. Proiectarea unui echipament presupune dispozitiv detiere, de msurare, de dirijare, de control. Sunt create sisteme de pornire, deoprire, de protecie i de supraveghere. Toate acestea exist, au formmaterial caracterizat prin dimensiune, volum, poziionare spaial.Acionarea produce efecte vizibile direct, precum: msurare, tiere, lipire,


15/149

ajustare, asamblare, vopsire, amestecare, coacere etc. Pentru utilaj suntdefinite operaii a cror caracterizare este precis.

Sistemul materiilor prime, de asemenea, este compus din stocuri, dinfluxuri n care componentele sunt descrise prin calitate, cantitate, form,dimensiune. Interaciunea sistemului materiilor prime cu utilajele determintransformri asupra materialelor. Astfel, o bar devine uruburi, piulie sauaibe.

Sistemul energetic are menirea de a pune n micare echipamentelecare prelucreaz materiile prime. Interaciunea dintre echipamente, materii

prime i energie definete o tehnologie.Persoanele au menirea de a interaciona cu echipamentele, cu

materiile prime i realizeaz conectarea echipamentelor la energie,determinnd, astfel, derularea de procese pe baz de tehnologii.

Sistemul informaional este singurul care nu are form vizibil, carenu are fluxuri impuse, iar efectele vizibile sunt cele negative, efectele

pozitive fiind asociate n mod natural echipei care dezvolt managementulcompaniei. Dac obiectul companiei este de a realiza nclminte, toateechipamentele care alctuiesc liniile de producie efectueaz operaiispecifice tehnologiilor de realizare a nclmintei.

Sistemul materiilor prime este i el realizat n concordan cuobiectivul i cu cerinele sistemului de echipamente. Dac echipamentelesunt destinate prelucrrii pielei naturale, stocurile vor conine piele naturali niciodat nlocuitori.

Calificarea persoanelor care alctuiesc sistemul forei de munc serealizeaz pentru a mnui materiile prime i pentru a executa operaii peechipamentele din cele dou sisteme existente n companie, concordanafiind necesar pentru exploatarea corect a echipamentelor i pentru a nu

produce rebuturi.

n cazul sistemului energetic, concordana se realizeaz de laproiectare, cunoscut fiind aciunea devastatoare a existenei neconcordaneidintre caracteristicile sistemului la intrarea n echipamente i caracteristicilecu care echipamentele au fost nzestrate.

i n cazul sistemului informaional este necesar existena uneiconcordane. n mod firesc, o tehnologie se conecteaz printr-o linie deechipamente care este nsoit de software pentru sistemul informatic lacheie.


16/149

Caracterul local, particular al oricrui sistem informatic este dat de:- legislaia rii unde se implementeaz tehnologia;- structurile documentelor;- stadiul informatizrii sistemului financiar-bancar;-diferenele prin care se dezvolt comunicarea ntre agenii

economici, fiecare avnd sistemul lui informatic original;-nivelul de dezvoltare a managemetului companiei;- resursele financiare de care dispune compania pentru a investi n

informatic;- strategia companiei de a acorda informaiei rolul de motor spre

progresul ei nsi.Sistemul informaional trebuie s fie i el n concordan cu

obiectivul companiei, cu sistemul echipamentelor, cu sistemul materiilorprime, cu sistemul energetic i, mai ales, cu sistemul forei de munc.Neconcordanele dintre sistemul informaional i celelalte sisteme creazprobleme n principal prin neutilizarea resurselor la nivelurile pentru care aufost proiectate. Acest mod de a realiza concordana explic de ce aceleaiechipamente, aceleai materii prime, aceleai consumuri energetice, aceleai

persoane au performane diferite, n funcie de context. Conceptul de contextinclude nsi sistemul informaional ca expresie a cerinelor

managementului distribuit pe nivelurile de structurare a companiei.Dezvoltarea unui mod dinamic de a derula procese i de afundamenta decizii, depinde de numeroi factori, dintre care cei caredefinesc persoanele, calitile i defectele acestora, au o pondere nsemnat.

n primul rnd, concordana dintre sistemul informaional i celelaltesisteme, ntre care exist deja concordan de natur obiectiv, se realizeaz

prin definirea de fluxuri de informaie, concretizate prin mesaje comensuratedirect sau prin documente care urmresc fluxurile de producie, specificeechipamentelor i materiilor prime care prin transformri devin repere,

subansambluri i, n final, produse finite.n al doilea rnd, concordana se realizeaz prin stabilirea de puncte

de preluare a mesajelor care reflect activiti efectuate, operaii executate,stadii, stri ale echipamentelor. Trebuie realizat un echilibru ntre numrulemitorilor poteniali i capacitatea de preluare a mesajelor n vederea

prelucrrii.n al treilea rnd trebuie stabilite procedurile de prelucrare a

mesajelor. Aceste proceduri trebuie s fie complete, n sensul lurii n

considerare a tuturor tipologiilor de mesaje care se constituie ca intrripentru algoritmii de prelucrare. Procedurile de prelucrare au un nivel de


17/149

complexitate deosebit de ridicat, limitnd elementele care introduc riscuri nderularea proceselor decizionale.

n al patrulea rnd, concordana sistemului informaional esteobinut din modul n care abaterile din procesul tehnologic sunt corectate

prin decizii luate rapid. Este vorba de viteza de reacie pe care o asigurmanagementul prin canalele informaionale.

n al cincilea rnd, concordana dintre sistemul informaional icelelalte sisteme este dezvoltat odat cu definirea unor modaliti deculegere automat a datelor i prin utilizarea unor algoritmi bazai peeantionarea datelor din volume foarte mari de date. Trecerea de la sistemelen care sunt nregistrate cantiti, valori, durate, la sistemele care preiaumomente de start i de ncheiere a unor activiti sau de definire a strilor,asigur saltul calitativ de la tratarea calitativ a comportamentului de

producie care este compania.n al aselea rnd, concordana se asigur eliminnd elementele

subiective, dictate de tradiionalismul, de rutina specific unui mod nvechitde tratare a informaiei, nici ca materie prim, nici ca produs finit, nici ca

purttor de valoare, ci puri simplu ca mesaj auxiliar, opional n derulareaproceselor, care oricum se deruleazi fr schimb de mesaje, ci numai prinschimburi de semne sau numai prin schimburi de simboluri. Abordarea

modern impune o schimbare profund la nivelul transferului de mesaje.Mesajul ca orice fel de produs este generat ntr-un interval de timp, urmeazo traiectorie precis i genereaz, la momente de timp date, aciuni i noimesaje. Sistemul informaional devine o component de sine stttoare acompaniei care se definete prin toate dimensiunile pe care le au toatecelelalte sisteme care compun compania.

n alaptelea rnd, sistemului informaional i se asociaz costuri.Sunt costurile de definire, costurile de funcionare. La rndul su, prin

efectele pe care le genereaz mesajele definite n sistem genereaz costuri.Diferenele de costuri dau ponderea eficienei circulaiei informaiilor ncompanie. Apar situaii n care costul informaiei se stabilete direct, o datcu el se obine fie nivelul de profit, fie nivelul pierderilor. Informaia dincompanie are natur economic asemenea celorlalte sisteme care princonsumuri genereaz, pe de o parte, cheltuieli i pe de alt parte, prin modulde valorificare a produselor sau serviciilor, genereaz profit, dac piaarecunoate aceste rezultate sau pierderi. A privi sistemul informaional ntr-o


18/149

alt abordare, nseamn a crea o component la nivelul companiei carefrneaz evoluia acestuia, distrugnd-o.

n al optulea rnd, concordana sistemului informaional este oproblem de timp. Concordana se dobndete, se menine, dar se i pierdecu mare uurin atunci cnd apare un decalaj ntre dinamica proceselor de

producie i dinamica mesajelor care circul n companie. Noilor moduri deorganizare a produciei trebuie s le corespund modaliti adecvate deculegere, prelucrare i transmitere a informaiei.

Concordana are un caracter global i include n aceeai msuri cuaceeai intensitate toate cele cinci sisteme ale companiei. Ea este ocaracteristic pentru a asigura normalitatea derulrii tuturor proceselor dincompanie, ncepnd cu planificarea, continund cu aprovizionarea,

producia, desfacerea i ncheind cu reflectarea n plan financiar - contabil atuturor transformrilor i transferului, respectiv, cu toate deciziile echipeimanageriale. Absena concordanei, mai ales n plan informaional, creeazdecalaje care presupun luarea de decizii bazate pe un minus de informaie.n plus, scderea acurateei informaiei transform seturile de mesaje nmesaje incomplete, cu efecte directe asupra creterii ponderii deciziilor

bazate pe incertitudine. Devin frecvente situaiile n care decizii de rutin setransform n decizii luate la nivelurile superioare ale echipei manageriale,n concordan cu capacitatea de asumare a riscurilor generate deincompletitudinea informaiei furnizate de un sistem informaionalneconcordant.

Din aceste considerent, auditarea unui sistem informatic dezvoltatpentru o organizaie va avea n vedere existena concordanei ntresubsisteme. n final, pentru certificarea sistemului informatic, trebuie canivelurile planificate ale caracteristicilor de calitate s fie mai mari sau egaledect nivelurile reale. n activitatea de informatic aplicat trebuie parcurse

pe lng etapele ciclului de dezvoltare, o serie de activiti care au menireade a stabili c produsul program, baza de date, interfaa web sau oricare altecomponente, este exact ceea ce trebuie.

Aceste activiti au menirea de a stabili c exist concordan ntreceea ce s-a planificat i produsul finit existent.

Faptul c activitile sunt derulate de persoane aparinnd unororganisme independente, reprezint garania c rapoartele consemneazdiferenele reale dintre proiect i produs.


19/149

Auditarea reprezint o activitate deosebit de important pentrucompaniile care realizeaz sisteme informatice, ntruct rezultatele

procesului de auditare se constituie n baz pentru fundamentarea deciziilorpe termen lung privind politicile companiei.

Certificarea echipelor, companiilor, persoanelor, produselorinformatice, evideniaz capacitatea de a derula procese, tranzacii,capacitate care trebuie s se manifeste ori de cte ori se dezvolt un produs,

prin respectarea standardelor, prin utilizarea tehnicilor, modelelor iinstrumentelor adecvate.

Toate elementele converg spre obinerea de produse i servicii decalitate.

Exist o important deosebire ntre ceea ce se dorete i ceea ce seefectueaz, se obine i se utilizeaz n activitatea economic de zi cu zi.

Garantarea calitii este un concept de mare importan,complexitate i dinamic. Existena unei mrci este fundamentat peexistena unei conduite, pe definirea de proceduri restrictive, calificareacontinu a persoanelor pe existena unui management suficient al calitii i

pe formarea contiinei orientate spre calitate.Indiferent de contextul n care o companie ce dezvolt sisteme

informatice i desfoar activitatea, societatea informaional, n stadiulartat, impune ca dezvoltarea de sisteme informatice s genereze un efect deantrenare multipl, n direcia pozitiv, a evoluiei gradului de satisfacienregistrat de utilizatorul final.


20/149

4.OBIECTUL AUDITULUI PENTRUSISTEME INFORMATICE

Auditul sistemelor informatice reprezint activitatea de colectare ievaluare a unor probe pentru a determina dac sistemul informatic estesecurizat, menine integritatea datelor prelucrate i stocate, permite atingereaobiectivelor strategice ale ntreprinderii i utilizeaz eficient resurseleinformaionale.

n cadrul unei misiuni de audit a sistemului informatic cele maifrecvente operaii sunt verificrile, evalurile i testrile mijloacelorinformaionale, astfel[BRN04]:

- identificarea i evaluarea riscurilor din sistem;- evaluarea i testarea controlului din sistem;- verificarea i evaluarea fizic a mediului informaional;- verificarea i evaluarea administrrii sistemului informatic;- verificarea i evaluarea aplicailor informatice;- verificarea i evaluarea securitii reelelor de calculatoare;- verificarea i evaluarea planurilor i procedurilor de recuperare n

caz de dezastre i continuare a activitii;- testarea integritii datelor.

Auditul informatic reprezint o form esenial prin care se verificdac un SI i atinge obiectivul pentru care a fost elaborat. Standardeledefinesc clar domeniul, activitile, etapele, coninutul auditrii i formele

de finalizare. Respectnd cerinele standardelor, rezultatul procesului deauditare informatic este eliberat de riscurile contestrii. Auditul informaticreprezint un domeniu cuprinztor n care sunt incluse toate activitile deauditare pentru : specificaii, proiecte, software, baze de date, proceselespecifice ciclului de via ale unui program, ale unei aplicaii informatice,ale unui sistem informatic pentru management i ale unui portal de maximcomplexitate, asociat unei organizaii virtuale.

n domeniul informatic exist mai multe direcii de dezvoltare a

auditului.


21/149

Auditarea software const n activiti prin care se evideniaz gradulde concordan dintre specificaii i programul elaborat. Auditul software dmsura siguranei pe care trebuie s o aib utilizatorul de programe atuncicnd obine rezultate. Sigurana se refer la corectitudinea icompletitudinea rezultatelor finale atunci cnd datele de intrare sunt, deasemenea, corecte i complete.

Auditul bazelor de date, este un domeniu de maxim complexitateavnd n vedere c, de regul, lucrul cu bazele de date presupune att dateleca atare nsoite de relaiile create ntre ele, ct i programele cu care datelese gestioneaz. De aceea se impune efectuarea unei reparri.

Auditul datelor vizeaz definirea acelor elemente prin care sestabilete msura n care datele stocate ndeplinesc cerinele de calitate:corectitudine, completitudine, omogenitate, comprehensibilitate, temporalitate,reproductibilitate. Pentru fiecare caracteristic exist o metric elaborat, iarauditorul de date trebuie s evalueze nivelul atins de caracteristic, pentrusetul de date supus auditrii. n final, auditorul de date certific faptul cdatele stocate n baze de date constituie intrri valabile pentru a obinerezultate corecte.

n cazul auditrii riscului de gestiune a datelor stocate n baze dedate se verific dac:

- programele refer corect cmpurile cu date stocate;- operaiile de prelucrare sunt cele din specificaii;- agregrile, sortrile, evalurile de expresii de extragere a

subseturilor de date sunt n concordan cu specificaiile deobinere a rezultatelor ca structur, dimensiune i coninut.

Auditul sistemelor informatice evalueaz riscurile unui mediuinformatic sau ale unei aplicaii informatice, ca de exemplu calcululsalariilor sau facturarea. Aceste misiuni se realizeaz alegnd, mpreun cu

clientul, procesul de evaluare.Auditul informatic se poate referi la evaluarea riscurilor informatice

ale securitii fizice, securitatea logic, managementul schimbrilor, planulde asisten etc. n cazul general, auditul informatic se refer la un ansamblude procese informatice pentru a rspunde la o cerere precis a clientului. Deexemplu, aprecierea disponibilitii informaiilori a sistemului. n acest cazse controleaz care dintre procesele informatice rspund cel mai eficient la oasemenea cerere. n cazul disponibilitii, de exemplu, securitatea fizic i

planul de continuitate.


22/149

Auditul informatic poate, de asemenea, s evalueze aspectestrategice sau referitoare la calitatea sistemelor informatice. De exemplu, sverifice dac sistemul informatic al ntreprinderii rspunde n mod eficientla nevoile funciilor serviciului.

Auditul mediului informatic se execut pentru a evalua riscurilesistemelor informatice necesare funcionrii aplicaiilor. De exemplu:securitatea fizic, securitatea logic, securitatea reelelor, plan de salvare. nurma auditrii, se ntocmete un raport n care sunt prezentate puncteleslabe, nivelul de risc al acestora i msurile corective propuse.

Analistul informatic are la dispoziie numeroase tehnici i metode pecare le adapteaz contextului. ntr-un fel este auditat un program de calculstatistic sau de optimizare i altfel este auditat o aplicaie care utilizeaz o

baz de date. Pentru un sistem informatic complex exist metode adecvatede auditare, iar pentru aplicaiile web accentul auditrii este pus pe gradul desatisfacie a grupului int. Aplicaiile mobile au fundamente de auditare ncare accentul este pus pe asigurarea continuitii, compatibilitii,accesibilitii rapide la resurse i, mai ales, asupra nivelului atins deasigurarea securitii fluxurilor din ntregul sistem.

De aceea, n cadrul procesului de audit informatic, planificarea idefinirea metodei de audit este esenial. Alegerea unei metode neadecvateconduce la utilizarea de instrumente neadecvate, iar rezultatele auditului aucaracter speculativ.

Alegerea metodei presupune obinerea unor informaii privindcontextul n care se deruleaz procesele legate de produsul software, deaplicaia informatic sau de sistemul informatic, obiecte ale auditrii.

Auditul este, prin complexitatea sa, o activitate n care sunt luate nanaliz legturile, implicaiile pe care le genereaz produsul software,aplicaia informatic sau sistemul informatic ntre dezvoltator - compania de

software i utilizator. Raporturile trebuie privite din punct de vedere tehnic,financiar i juridic. Aspectul tehnic privete date de interior, algoritmi,rezultate, resurse folosite. Aspectul financiar vizeaz costul estimat al

produsului software, aplicaie, sistem informatic i costul efectiv, modul ncare s-au efectuat plile. Caracterul juridic al abordrii vizeaz obligaiilecontractuale i legislaia din domeniul informatic.

Toate aceste elemente conduc la stabilirea unor proceduripreliminare prin care sunt definite direciile de analiz, gradul de

semnificaie pe care procesul de audit informatic l oferi riscurile ca unele


23/149

concluzii s fie infirmate de practica derulrii proceselor de utilizare curenta produsului software, a aplicaiei informatice sau a sistemului informatic nintegralitatea lui.

Pentru a realiza auditul informatic se definete planul de auditgeneral i programul de audit. Structura planului i definirea programuluisunt standard, presupunnd parcurgerea unor pai obligatorii. Specificitatea

produsului software, a aplicaiei informatice sau a sistemului informatic icomplexitatea acestora, determin efectuarea unor detalieri care difer de laun plan general la altul, respectiv de la un program de audit informatic laaltul. Sarcinile care se includ n plan, ealonarea etapelor din program auelemente de variabilitate legate strict de structura i de diversitatea

produselor informatice analizate.Standardele de auditare includ suficiente elemente astfel nct planul

general i programul de audit s fie riguroase, fr ambiguiti i, mai ales,operaionale. nainte de a se trece la auditul informatic propriu-zis, datoriteforturilor ridicate de derulare i, mai ales, datorit riscurilor careproductibilitatea procesului de audit s fie afectat chiar de schimbrilecare au loc n produsele informatice auditate, trebuie efectuate teste asupramecanismelor de control i a mecanismelor de testare pe teste surs, pespecificaii, pe diagrame, pe documentaii, pe structuri de rezultate. Pentru a

obine o reducere a nivelului estimat pentru riscul erorilor de analiz/controla produsului informatic n procesul de audit, printr-un proces iterativ se

procedeaz la efectuarea de corecii asupra modalitilor n care se includprocedee tehnice, metode, modele de analiz/control a produselorinformatice. Procesul iterativ se ntrerupe atunci cnd estimarea

probabilitii ca rezultatele auditrii informatice s fie afectate de erori aatins un prag acceptabil.

Auditul propriu-zis include proceduri analitice, teste, prin care se

evideniaz diferenele dintre ceea ce s-a planificat a se realiza i ceea ce s-arealizat.

Procedurile analitice au la baz contractele ncheiate ntre pri,minutele care detaliaz obiective, sarcinile ce revin partenerilor,specificaiile. Auditorul tehnic trebuie s ierarhizeze informaiile astfel ncts identifice punctele cheie care definesc procesul de analiz, proiectare,dezvoltare, testare, implementare a produsului informatic, fie c este vorbade un simplu program, fie c este vorba de o aplicaie informatic desktop

sau n reea, fie c este vorba de un sistem informatic care vizeaz ntreagaactivitate a unei organizaii.


24/149

Toate procedurile analitice i textele de detaliere aplicate modulelor,programelor i sistemelor de programe, au menirea de a evideniacomportamentul, pas cu pas, a secvenelor de program. n cazul n careauditorul informatic are la baz pregtire de programator, tie s aleag dinmultitudinea de proceduri i texte cu caracter analitic, pe acelea care oferinformaia reprezentativ privind produsul software auditat, fie c este vorbade un modul, fie c este vorba de un sistem complex. Efortul de auditareeste ridicat indiferent de complexitatea produsului auditat.

Auditul se ncheie cu raport care are la baz o serie de verificri aleintercondiionrilor dintre module, dintre programe, respectiv dintresubsistemele sistemului informatic, pentru momentul t, considerat baz.

Se verific modul de producere a evenimentelor care sunt

concretizate prin succesiuni de prelucrri, corespunztoare momentuluit + 1. n acest fel, produsul informatic, proiectat pentru derularea unor seturide prelucrri, este analizat innd cont tocmai de succesiunea prelucrrilor.

Auditul informatic are la baz nregistrri privind structura software,structura bazei de date, nregistrri ale lungimilor, volumului, complexitiii nregistrri complete asupra comportamentului n timpul execuiei.

n cazul n care exist seturi de date cu care au fost testate produseinformatice din aceeai clas cu produsul auditat acum, se colecteaz serii

de date privind comportamentul produsului pentru a fi comparat cuprodusele deja existente. Cnd nu exist date, sunt generate i testareaprodusului se realizeaz simultan cu produse din aceeai clas, tocmaipentru a efectua analize i pentru a compara produsele informatice. Seriilede date se constituie n baze de redactare a raportului de auditare.

De cele mai multe ori, auditul informatic este cerut ca soluie final,imparial, pentru a justifica ipotezele unei pri contractante, fie c estevorba de cumprtor de software, fie c este vorba de beneficiar, cnd

acetia cred n dreptatea lor absolut.n general, auditul este descris ca Examinarea independent a

nregistrrilori a altor informaii n scopul formrii unei opinii referitoare

la integritatea sistemului controalelor i mbuntirea controalelor

recomandate pentru limitarea riscurilor. Definiia conine termenisemnificativi ca [HINS05]:

- examinare; auditiarea implic culegerea i evaluarea informaiilorfactuale din surse variate; este important ca rezultatele procesului de

auditare (raportul primar de audit care conine recomandri pentru


25/149

mbuntirea controalelor) s fie urmrit pn la sursele de informaiivalide;

- independent; auditorii nu sunt implicai direct n operaii sau nmanagementul funciei care se auditeaz; subordonarea lor trebuie s leasigure exprimarea liber a opiniilor;

- nregistrri i alte informaii; termenii includ ceea ce adeseorisunt numite inregistrri de audit; auditorii trebuie s se refere lainformaii privind procesul afacerii i sistemele aflate n revizii aa cum suntformele complete de intrri de date, rapoarte generate de sistem i,

bineneles, personalul implicat n desfurarea sau conducerea proceselorafacerii auditate;

- opinie; auditorii furnizeaz att fapte obiective ct i opiniisubiective pe o situaie dat; dei subiective, opiniile lor sunt bazate peinterpretarea faptelor i sunt deschise discuiilor; se poate s nu se fie deaccord cu aceste opinii, dar trebuie purtat o discuie completi sincer;

- integritate; termenulintegritate include completitudine, acurateei credibilitate; un control al unui sistem care este numai parial efectiv

poate fi mai bun dect nimic, sau poate da un sens fals de securitate;auditorul va lua n considerare ambele ci;

- recomandare; auditorii genereaz recomandri, dar nu auautoritatea nici s implementeze schimbrile sugerate, nici s impunmanagementului s fac schimbri; mbuntirile se obin numai printr-un

proces de explicare, justificare i persuasiune, explicnd riscurilereprezentate de punctele slabe constatate n SI n urma auditrii, justificndnevoia de schimbare n cadrul procesului i/sau sistemului i sugerndmanagementului necesitatea alocrii unor resurse i luarea de msuri pentrugestionarea riscurilor;

- mbuntirea controalelor; mbuntirea sistemului de controlnseamn, n general, adugarea controalelor care lipsesc; sunt foarte rarecazurile n care auditorii pot recomanda eliminarea unor controale, ngeneral, din cauz c ele sunt ineficiente, distrugtoare sau costisitoare;

- limite; ricurile i erorile pot fi reduse, dar nu pot fi completeliminate; o bun activitate implic minimizarea riscurilor cu cheltuielieficiente i pregtirea pentru aciune n cel mai ru caz posibil care s-ar

putea produce (planificare pentru aciuni n caz de dezastre);- risc; posibilitatea ca ceva s se desfoare ntr-o direcie

nefavorabil; formal, riscul este posibilitatea combinrii ameninrilor


26/149

cauzate fie de cineva cu intenii rele, fie din neglijen sau incompeten,acionnd asupra vulnerabilitilor sistemului; vulnerabilitile sunt puncteleslabe ale sistemului care apar, n general, din cauza lipsei controalelor nsisteme de calcul i n proceduri de operare; manifestarea riscurilor poategenera, n anumite SI, rezultate catastrofale.

Din alt punct de vedere auditul informatic este mecanismul deexaminare a eficienei organizaiilor, sistemelor, proceselor riscurilor icontroalelor. Auditurile dau posibilitatea managementului s:

- descopere ceea ce se ntmpl n realitate la un moment dat;- depisteze problemee poteniale nainte de a fi prea trziu pentru

remediere;

- evalueze n mod obiectiv situaia afacerii;- accepte realitatea i s ia, n cunotiin de cauz, decizii chiar

dac sunt dificile;- implementeze aciuni corective, schimbri i mbuntiri acolo

unde este necesar.Auditul nu se refer numai la conformitate. Multe audituri includ un

element de control privind conformitatea cu politica/standardele/procedurileinterne ale companiei sau cu legi, reguli i termeni contractuali externi, dar

conformitatea este activitatea zilnic a managementului. Auditoriiexperimentai controleaz dac procesele de management pentru realizareai evaluarea conformitii sunt eficiente, care reguli sunt potrivite isuficiente pentru SI auditat. Auditorii sesizeaz mai mult absenaconformitii i nu att de mult cutarea simptomelor problemelor nadncime.

Organizaiile de audit n SI au ci diferite de desfurare aauditrilor, iar auditorii au metodele lor preferate de lucru.

Amploarea unui audit informatic presupune realizarea n modnormal, a unei balane ntre cantitate, referitor la numrul subsistemelor dincompunerea unui SI care se auditeaz i calitate, nsemnnd nivelul dedetaliere la care se auditeaz subsistemele selectate.

Resursele auditului SI sunt direcionate, n primul rnd, ctre zonelecu grad ridicat de risc. Aplicaiile utilizate n zonele critice ale afacerii serecomand s fie revizuite anual. Zonele cu nivel de risc mai sczut pot fiauditate la intervale mai mari, n general odat la trei ani, imediat dup un

incident sau cnd se consider necesar de ctre echipa managerial.


27/149

Principalele tipuri de audit informatic sunt [HINS05]:- auditul sistemului operaional de calcul; revizia controalelor

sistemelor operaionale de calcul i reelelor, la diferite niveluri; deexemplu, reea, sistem de operare, software de aplicaie, baze de date,controale logice/procedurale, controale preventive/detective/corective etc;

- auditul instalaiilor IT; include aspecte cum sunt securitateafizic, controalele mediului de lucru, sistemele de management iechipamentele IT;

- auditul sistemelor aflate n dezvoltare; acoper unul sau ambeleaspecte: (1) controalele managementului proiectului i (2) specificaiile,dezvoltarea, testarea, implementarea i operarea controalelor tehnice i

procedurale, incluznd controalele securitii tehnice i controalelereferitoare la procesul afacerii;

- auditul managementului IT; include: revizia organizaiei,structurii, strategiei, planificrii muncii, planificrii resurselor, stabilirii

bugetului, controlul costurilor etc.; n unele cazuri, aceste aspecte pot fiauditate de ctre auditorii financiari i operaionali, lsnd auditorilorinformaticieni mai mult aspectele tehnologice;

- auditul procesului IT; revederea proceselor care au loc n cadrulIT cum sunt dezvoltarea aplicaiei, testarea, implementarea, operaiile,mentenana, gestionarea incidentelor;

- auditul managementului schimbrilor; revizia planificrii icontrolului schimbrilor la sisteme, reele, aplicaii, procese, facilitai etc.,incluznd managementul configuraiei, controlul codului de la dezvoltare,

prin testare, la producie i managementul schimbrilor produse norganizaie ca rezultat al ICT;

- auditul controlului i securitii informaiilor; reviziacontroalelor referitoare la confidenialitatea, integritatea i disponibilitatea

sistemelori datelor;- auditul conformitii cu legalitatea; copyright, conformitate cu

legislaia, protecia datelor personale;- auditul accidentelor dezastruoase/planificrii continuitii

afacerii/refacerii dup dezastre; reviziile msurilor propuse pentrurestaurarea dup un dezastru care afecteaz sistemul i evaluarea modului ncare organizaia abordeaz managementul riscurilor;

- auditul strategiei IT; revizia aspectelor variate ale strategiei IT,viziune i planuri, inclusiv relaiile cu alte strategii, viziuni i planuri.


28/149

Auditarea sistemelor informatice aflate n dezvoltare este consideratcel mai dificil tip de audit informatic. n majoritatea cazurilor, proiecteleauditate implic sume mari de bani, iar practica demonstreaz c ndomeniul IT, un management corespunztor al proiectelor este mai mult oexcepie dect o regul [HINS05]. Un auditor experimentat n domeniul SIdepisteaz simptomele unui dezastru iminent privind evoluia unui proiect,dar nu poate s opreasc un proiect aflat n dezvoltare.

Auditul sistemelor informatice nu este un audit financiar. Nu setesteaz date din punct de vedere al formularelor financiare pentru adetermina completitudinea, drepturi i obligaii, evaluri sau alocri,

prezentri sau divulgri.Auditul sistemelor informatice implic:

- executarea unei serii de teste pentru a se asigura c exist uncontrol adecvat asupra sistemului informatic;

- controale generale;- controalele aplicaiilor.

Controale generale presupun:- controale care afecteaz mediul de procesare al calculatoarelor

incluznd:o managementul resurselor computerelor;o copii de salvare i arhivare;o controlul schimbrilor n programul computerului;o controlul sistemului de operare.

Controale ale aplicaiilor:- specific pentru o aplicaie:

o acceptarea datelor autorizate;o procesarea este completi corect;o output-urile sunt corecte i credibile.

Controalele generale formeaz baza controalelor aplicaiilor.Auditul informatic trebuie astfel planificat nct s se obin

rezultatele pe care le urmresc att auditorul ct i organizaia auditat. nplanificarea auditului, auditorul trebuie s neleag sistemul i s planificeauditul. Auditorul trebuie s neleag complexitatea sistemului informatici, de asemenea, modul n care mediul n care evolueaz sistemul informaticinflueneaz evaluarea i controlul riscurilor.

Auditorul trebuie s nceap cu intervievarea echipei manageriale i

a personalului din sistemul informatic pentru a culege informaiile necesare


29/149

desfurrii auditului. Auditorul trebuie s examineze activitile care sedesfoar n cadrul funcional al sistemului informatic, s revaddocumentele elaborate de auditrile anterioare i s revad documentaiasistemului informatic.

Este necesar ca auditorul s revad informaiile colectate astfel ncts capete o bun nelegere a tuturor controalelor care exist n cadrulorganizaiei.

Auditul este o activitate complex, realizat de specialiti cu naltcalificare i experien n domeniu. Auditul nu este o activitate de control.Orice activitate de control presupune existena unui sistem n funciune.Controlul are menirea de a stabili dac au fost respectate sau nu procedurilede desfurare a activitilor, dac s-au nregistrat plusuri sau minusuri. Sestabilesc diferenele dintre nivelurile reale i cele scriptice i se propunmsuri de recuperare a pierderilor sau de valorificare a plusurilor.Activitatea de control are caracter repetat, se execut la anumite intervale.Se constat fie c sistemul funcioneaz corect/normal, fie c exist abaterin plus sau n minus i apar sanciuni i msuri de remediere, respectiv devalorificare.

Auditul nu este o activitate de expertizare. O expertiz presupunedou pri adverse, cel puin, i mai multe cauze care au generat uneveniment. Expertiza se execut de specialiti, numii experi, cu vastexperien n domeniul evenimentelor. Expertiza are menirea de a stabilicauze, de a demonstra legtura dintre cauze i efecte. Expertiza seconcretizeaz printr-un raport care are menirea de a clarifica, fr a mai lsaloc interpretrilor, toate aspectele definite de cei care au solicitat-o. Se facexpertize la accidente, la modul n care au fost realizate construcii. Suntexpertize judiciare, sunt expertize contabile, sunt expertize tehnice.Expertizele se repet. Exist superexpertize aa cum exist i

supracontroale.Ideea de baz este de a stabili un mod real n care s-a derulat un

eveniment, care au fost cauzele care au favorizat o anumit direcie. Sestabilesc vinovai atunci cnd controlul, respectiv expertiza, o cer.

Auditul presupune un produs nou care se lanseaz n uz curent.Specialitii care asigur auditul sunt auditori. Activitatea de auditare aremenirea de a analiza un produs nainte de a fi lansat n utilizare curent.Auditarea se efectueaz de ctre o echip independent care se bucur de

credibilitate. Credibilitatea echipei de auditori este transferat, prin


30/149

intermediul raportului, asupra produsului auditat. La livrarea unui produsauditat, prin specificarea echipei de auditare, cumprtorul/utilizatorulcapt ncrederea c produsul achiziionat are, n realitate, parametriinscrii n documentaie, la nivelurile specificate. De asemenea,cumprtorul/utilizatorul primete toate informaiile legate de avantaje,

performane, dar, n egal msur, primete i informaiile privind riscuri iefecte secundare, negative sau pozitive, rezultate din construcia produsului.

Cnd este finalizat un sistem informatic exist:- documentaia privind contractul pe baza cruia se construiete

sistemul, fondurile disponibile, duratele de timp rezervate; documentaiacuprinde obiectivul sistemului informatic, sarcinile ce revin echipei derealizatori i sarcinile care revin beneficiarilor;

- documentaia tehnic n care este definit calitatea planificat,exigenele exprimate de beneficiar i modul n care se efectueaz testareantregului sistem;

- specificaiile sistemului informatic i minutele ncheiate ntrerealizator i beneficiar care au reiterat acele aspecte necesare satisfaceriicerinelor beneficiarilor pentru a atinge obiectivul propus la ncheiereacontractului; se are n vedere rolul activ al echipei de realizatori pentru aorienta pe beneficiar spre soluii care au acoperire n plan informatic,

platforme i arhitecturi moderne;- setul de date de test discutat i avizat de beneficiarul sistemului

informatic, inclusiv indicaiile pentru generarea de extensii de date de testatt de ctre realizatorul sistemului, ct i de ctre beneficiar, fr ca acesteextensii s depeasc structurile definite n contractul pe baza cruia sedezvolt investiia;

- setul de nregistrri privind comportamentul sistemului peparcursul efecturii testelor; sunt incluse i procedurile, algoritmii i

rezultatele intermediare ale indicatorilor de calitate aa cum au rezultatpentru diferitele componente ale sistemului informatic;

- evidenele de distribuire a sarcinilor pe membrii echipei derealizatori, rezultnd cu claritate ce module a realizat un anumit

programator, ce componente a testat un specialist n evaluareasubsistemelor, ce date au fost ncrcate de fiecare operator n parte; acesteevidene conin i termenele i consumurile de resurse pentru a stabilicorelaia dintre calitate i cost, dintre consumurile de resurse i

complexitatea componentelor realizate;


31/149

- documentaia complet de realizare a produsului, scheme,diagrame, descrieri ale modulelor, ale procedurilor, ale variabilelor, alerezultatelor, ale fluxurilor, ale structurilor de date; sunt date mesajele oferiteoperatorilor i semnificaia fiecruia; sunt indicate valorile implicite icombinaiile de opiuni care pun n oper sistemul de programare; sedefinesc condiiile minimale care trebuie asigurate pentru ca sistemul s fieoperaional;

- rapoartele de predareprimire pentru asamblarea componentelor;- rapoartele de testare ale subsistemelor de programe folosind

datele de test convenite cu beneficiarul i ncrcate n bazele de date de test;rapoartele de testare ale ntregului sistem;

- rapoartele grupurilor de lucru pe parcursul derulrii procesului dedezvoltare, urmrindu-se fiecare etap a ciclului de realizare;

- fiierele cu variantele de module, de biblioteci de obiecte, nsoitede rapoartele de acceptare i de unele comentarii privind trecerea de la ovariant la alta;

- documentaia de prezentare i de instalare precum i totalitateasoftware i baze de date pe suport pentru a fi preluate ca produse portabile,la beneficiar.

Obiectivul auditului pentru un sistem informatic ia n analiztotalitatea elementelor pentru a proba dac produsul finit sistemulinformatic al companiei rspunde cerinelor formulate n contractul n

baza cruia s-a efectuat investiia.Pentru a avea un audit de calitate trebuie ndeplinite urmtoarele

condiii:- echipa de auditare trebuie s primeasc totalitatea informaiilor

care s constituie intrri ale procesului de auditare;- tehnicile i metodele de auditare trebuie s fie utilizate corect,

folosind tot ceea ce este necesar pentru a obine rezultate reale, neafectate defactorii perturbatori sau de abordri pariale;

- s existe clar delimitat ceea ce trebuie s realizeze sistemulinformatic i ceea ce realizeaz efectiv; auditarea scoate n evidendiferenele, efectund i unele cuantificri, pentru a reiei mai precis pentrufiecare cerin n parte, ponderea a ceea ce lipsete sau ponderea a ceea ceeste n plus.

Pornind de la obiectivul auditrii, de la importana pe care o prezint

rezultatul auditrii, echipa de specialiti dimensioneaz efortul care trebuie


32/149

depus de la ntocmirea planului de auditare, ca atare, i pn la elaborarearaportului de auditare.

La desfurarea obiectivului auditrii trebuie s fie introduse aceleelemente care subliniaz ncrederea pe care utilizatorul sistemuluiinformatic trebuie s o aib pe durata exploatrii. Raportul de auditaretrebuie s fac dovada n mod convingtor c achiziionnd un produs sauutiliznd un sistem informatic rezultat al unui proces investiional,utilizatorul va beneficia de servicii de calitatea dorit.

La fel ca n cazul unei operaii chirurgicale, n care viaa pacientuluieste mai presus de orice, n auditul sistemelor informatice nu exist odifereniere n profunzimea cu care este abordat procesul de auditare. Dacobiectivul definit este cu un enun comun precum stabilirea concordaneidintre produsul dorit i cel real n vederea consolidrii ncrederii nutilizarea produsului real, el trebuie interpretat prin prisma rigurozitii i

profesionalismului cu care sunt parcurse toate etapele. Este cunoscut faptulc auditarea unui produs, de complexitatea sistemelor informatice,reprezint o investiie moral, a crei pierdere nu se mai recupereazniciodat. Companii renumite de audit au disprut atunci cnd rezultatulauditului a fost unul, iar realitatea privind produsul auditat a fost alta.Auditul nu are menirea de a stabili ncrederea ntr-un sistem informatic. De

exemplu, un sistem este livrat, utilizatorul i exprim nemulumirea, iardup un timp dorete s recupereze pe cale judiciar daune. Atunci

productorul cere auditarea sistemului informatic pentru a restabili cprodusul e bun, altele fiind cauzele care genereaz nemulumireabeneficiarului. Aceste aspecte revin expertizelor tehnice. Auditul transfercredibilitate unui produs nou. Obiectivul clar al auditului este de a seconcentra ntreaga activitate, prin analiz, pe aspecte calitative i cantitative,din care rezult concordana dintre produsul planificat a fi realizat i

produsul pe cale de a fi livrat. Auditul sistemului informatic este un procesextrem de complex, iar echipa care realizeaz un astfel de audit trebuie saib o diversitate de specialiti, iar acetia, la rndul lor, trebuie s aib o

bogat experien profesional i vaste cunotiine teoretice. Un sisteminformatic nu se auditeaz de persoane care nu stpnesc domeniul afectatetapei din procesul de auditare. Aa cum n dezvoltarea sistemuluiinformatic exist un ciclu de dezvoltare, divizat n etape, tot aa exist etapeale ciclului de auditare. Fiecare etap reprezint un sistem de diviziune a

muncii, iar comunicarea este un factor esenial. Este vorba de comunicareantre membrii echipei de auditare, respectiv, comunicarea ntre auditori. De


33/149

asemenea, auditorii trebuie s comunice, pentru a clarifica unele aspecte, cuechipa care a realizat sistemul informatic.

n domeniul sistemelor informatice, categoria important oconstituie sistemele informatice de management, a cror auditare prezintanumite pariculariti.

Sistemele informatice pentru management sunt construcii deosebitde complexe care au ca obiectiv ridicarea la cote maxime a procesului deinformatizare la nivelul organizaiilor.

Dac o organizaie este caracterizat prin funciile F1, F2,...Fk,structura sistemului informatic pentru management include k subsisteme,SS1, SS2,...SSk,pentru fiecare funcie un subsistem. ntregul sistem informaticeste proiectat sub forma unor subsisteme cu stabilirea legturilor dintre ele.

Abordarea sistemelor pentru management presupune un fundamentteoretic i practic deosebit de solid i acceptarea unui demers de anvergur

pe o perioad de doi-cinci ani. Tehnicile i metodele de analizi proiectareau la baz o cunoatere n detaliu a stadiului actual atins de procesul deinformatizare la nivelul organizaiei.

Exist sisteme puternice de gestiune a bazelor de date, de soluionarea problemelor definite n cadrul fiecrei funcii din organizaie. Trecerea ladezvoltarea unui sistem informatic pentru management trebuie s ia n

considerare existena acestor componente. n acelai fel se pune problemai n cazul n care se dorete dezvoltarea de sisteme de gestiune adocumentelor, din moment ce exist deja astfel de sisteme livrate la cheie. Aspune acum c o organizaie are particularitile ce impun definirea uneistructuri proprii de sistem informatic nseamn a considera c echipele careau proiectat sisteme care se aplic n foarte multe ri nu sunt competente,iar organizaia este att de special nct nu se ncadreaz n nici o categorie.Abordarea este nu numai absurd prin simplismul ei, dar denot un nivel de

ignoran greu de acceptat din punctul de vedere al nivelului actual alinformaticii.Problemele de audit pentru un sistem informatic de management au

o alt anvergur fa de celelalte entiti, produsul program sau aplicaiainformatic. Literatura de specialitate include numeroase lucrri care seadreseaz celor care elaboreaz sisteme informatice orientate pe gestiunefinanciar-contabil.


34/149

Auditul acestor sisteme este o problem extrem de actual pentru c:- sistemele informatice de gestiune contabil neauditate conduc la

efectuarea de operaii neautorizate;- sunt situaii n care nu exist concordan ntre teoria contabilitii

i procedurile care se apeleaz pentru a efectua prelucrri;- n faza de analiz sunt definite incomplet cerinele care corespund

laturilor calitative i cantitative definite prin relaia ntre conturi, prinrestricii privind efectuarea de operaii i prin proporii impuse unor niveluricu care se efectueaz debitrile sau creditrile;

- prioritilor de efectuare a operaiilor existente n teoria contabiltrebuie s le corespund secvene de testare care s asigure concordanantre listele prioritilor existente n teoria contabili listele generate prin

procesele de prelucrare prin programe;- validrile datelor capt o alt semnificaie, fiind legate nu numai

de apartenena la un anumit domeniu de variaie, ci fiind dependente decontext, ntruct operaiunile contabile sunt definite n cadrul unui anumitcontext;

- interfeele acestor sisteme trebuie s fie orientate spre o abordarea proceselor n timp real, ntruct numeroase operaii se deruleaz prinsistemul e-banking, e-commerce; operatorii trebuie s lucreze n regimresponsabilizat cu nregistrarea operaiei ntr-o structur impus din care s

nu lipseasc momentul efecturii operaiei i elementele de identificare aoperatorului;- ntre sistemul de restricii de acces la efectuarea de operaii n

baza de date i cerinele teoriei i practicii contabile trebuie s existe oconcordan perfect; trebuie s existe persoane care au acces la consultareantregii baze de date; trebuie s existe alte persoane care au acces laconsultarea unor pri din baza de date, sunt alte persoane din organizaiecare au drept de a consulta numai operaiile care privesc activitatea lor; lista

persoanelor care opereaz pe baza de date se definete aa nct, pe msura

creterii importanei operaiei n baza de date, numrul i funcia norganizaie se definesc cu un nivel de exigen sporit, regulile impuse aumenirea de a ine sub control totalitatea operaiilor pe cmpurile bazei dedate;

- sistemul informatic de gestiune financiar-contabil se proiecteazincluznd numeroase chei de control care s evidenieze frecvene ale unoroperaiuni, apropierile de limitele domeniilor de variaie, astfel nct s se iarapid deciziile adecvate;

- la proiectare i la realizare se definesc situaiile de blocare pentrua semnaliza tentativele de efectuare a operaiilor interzise;


35/149

- aceste sisteme sunt organizate ca structuri ierarhice, cu interveniide asemenea, ierarhice, dac s-a produs un eveniment la nivelulK+1, numaiun administrator de la nivelul K al structurii arborescente intervine i

produce deblocarea sau efectueaz operaia care trebuie autorizat pentru areaduce sistemul la nivelul de operare normal; toate procesele de

blocare/deblocare sunt nregistrate i se trateaz distinct.Rezult c un sistem informatic pentru management n general, iar

un sistem informatic pentru managementul financiar contabil n special,trebuie nzestrat pe lng funciile clasice de prelucrare, de extragere arezultatelor i de creare-actualizare a bazei de date, cu funcii demanagement pentru calitatea i protecia sistemului informatic nsui.

Marile probleme rezultate n activitatea curent a implementrii desoftware pentru contabilitate au impus dezvoltarea auditului spre aceastcategorie de produse program.

Exist o preocupare special pentru auditul sistemelor informatice degestiune financiar-contabil. i celelalte sisteme informatice sunt auditate.Principiile auditului sistemelor informatice de gestiune sunt o particularizarea principiilor auditului pentru sistemele informatice pentru management.

Aa cum n modul clasic de operare pe documente exist riscultransferurilor de fonduri i de mijloace care genereaz fraude mpotrivacompaniei, fraude mpotriva altor companii, fraude ale managerilor, fraudeale unor membri ai companiei, n cazul implementrii unui sisteminformatic de gestiune contabil, toate aceste tipuri de fraude se reproducdac i numai dac sistemul nu conine procedurile care s semnalezeefectuarea de operaii neconsistente n raport cu criterii precis stabilite.

n primul rnd, legile definesc situaiile n care o persoan nu aredrept s ia un credit.

Sunt date reguli extrem de precise n a defini un creditor ca fiind

ru-platnic. Sistemul informatic dintr-o banc trebuie s includ proceduriprin care se verific statutul solicitantului i ncadrarea n categoria :

- ru platnicilor;- creditorilor al cror plafon de creditare a fost atins;- creditorilor care mai pot solicita un credit, nu mai mare dect o

valoare impus;- creditorilor care au dreptul s solicite credit cu valoare care se

ncadreaz ntr-un interval definit de garanii, de cifre de afacerii de istoricul lor n relaia cu banca.


36/149

Evident, rolul auditului unui astfel de sistem este de a testa dacrespectivul sistem bancar include proceduri. Datele de text sunt date reale cucare se opereaz n banca unde sistemul informatic va fi operaional.

Sistemul informatic bancar nu trebuie s valideze efectuarea unoroperaii interzise prin acte normative, dintre care operaia de efectuare de

pli ale ratelor unui credit cu banii obinui dintr-un alt credit. Auditoriisistemelor informatice bancare au deja inclus aceast operaie n listaoperaiilor interzise, list folosit cu prioritate n testarea comportamentuluiunui sistem informatic bancar.

Un sistem informatic de management financiar-contabil auditatdevine credibil cnd echipa conchide n raportul de audit c sistemulrspunde tuturor cerinelor din specificaii, din legi i regulamente, iarsecuritatea operaiilor este asigurat, condiiile de risc n utilizare fiindminime.

Auditul sistemelor de gestiune financiar-contabil are menirea de aoferi ncredere utilizatorului n produsul informatic.

De aceea trebuie supuse auditrii toate componentele sistemului,intrrile i ieirile acestora. Numai prin coborrea auditului la niveluldetaliilor se vor obine informaiile necesare fundamentrii unei concluziifinalizate printr-o propoziie simpl, fr echivoc, de calificare a sistemului.

Prin specificaii este creat o imagine, un sistem informatic virtual.Dac se adaug noi cerine desprinse din legislaie, din experiena curent,dac se produce o ierarhizare a prioritilor privind operaii permise,respectiv, operaii interzise, se creeaz proiecia unui sistem informaticvirtual i ideal. Toate comparaiile sistemului real sunt efectuate strict fade coordonatele pe care le ofer ca reper sistemul virtual ideal.

Auditul unui sistem informatic de gestiune financiar-contabil nu arerolul de a controla. Esena auditului nu este controlul. Auditorii sunt

persoane cu nalt calificare care nu se substituie controlorilor de calitate,controlorilor care stabilesc existena fizic a unui produs, exprimnd-o princantitate, dup msurare.

Auditul este o activitate superioar de orientare, analizi de sintez.Este o necesitate tocmai prin extensiile pe care le determin asupra ntregiiviziuni de abordare.

Planul de audit i programul de audit presupun activiti clare, niciuna dintre acestea nefiind de control.


37/149

Specificaiile reprezint un text structurat. Sistemul informaticreprezint o structur. Auditorul are menirea de a stabili existenacorespondenei dintre componentele textului structurat i, respectivcomponentele sistemului, identificnd concordan perfect, concordan

parial, concordan redus sau absena concordanei.Componentele din structura textului care alctuiesc specificaiile

includ:- nivelul managementului;- ciclul de elaborarea a sistemului informatic de gestiune financiar-

contabil;- securitatea sistemului prin: precizarea responsabilitilor, separarea

funciilor incompatibile, ierarhizarea accesului la resursele sistemului,gestiunea copiilor;

- nivelul operaional n modul de lucru, prin procedurile pe careoperatorii le efectueaz n ceea ce privete: introducerea de date,manipularea de documente, manipularea dischetelor cu date intermediare,nregistrarea evenimentelor, asistena tehnic;

- nivelul aplicaiilor presupune parcurgerea de ctre auditor atuturor etapelor astfel nct s se dezvolte convingerea c sistemulinformatic de gestiune contabil este chiar construcia n care utilizatorultrebuie s aib mare ncredere; se reia un ciclu complet de prelucrare, de lainiierea procesului, pregtirea datelor, procesarea acestora i obinerearezultatelor: fiierele, bazele de date sufer o serie de modificri pe careanalistul trebuie s le analizeze pentru a vedea dac exist sau nu i alteefecte secundare;

- nivelul de acces presupune identificarea modului n care au fostsoluionate elementele fundamentale ale accesului la resursele sistemuluiinformatic - proceduri, baze de date, modul n care se dezvolti alte canale

de transfer a informaiilor i cum se asigur robusteea reelei decalculatoare.

Echipa de audit colecteaz date proprii, dar preia i rezultate oferitede sistemul informatic de gestiune financiar-contabil. Pe msur ce setraverseaz etapele ciclului de dezvoltare, echipa de realizare a sistemuluiinformator elaboreaz pri ale documentaiei care nsoete sistemul.

Echipa de audit analizeazi aceast documentaie pentru a urmritraseul parcurs de la specificaii, pn la obinerea produsului finit n form

livrabil ctre organizaii.


38/149

Raportul de audit este un document sintez care efectueaz analizacomparat ntre un sistem virtual-ideal i un sistem real. Toate datelenregistrate n procesul de auditare se coroboreaz cu specificaiile, cudocumentaia. Se calculeaz o serie de indicatori. n final se spune csistemul este sau nu credibil, asigur sau nu calitatea prelucrrilor, c existsau nu garania ca sistemul informatic s dea satisfacie clientului n raportcu un obiectiv stabilit.

Auditul informatic este un demers deosebit de complex, motivpentru care trebuie aezat pe un fundament solid.

Obiectivul fundamental al activitii de auditare informatic estestabilirea gradului de credibilitate a sistemului informatic de management.Fluxurile de informaii specifice oricrui sistem informatic trebuie sasigure integritatea informaiilor organizaiei, completitudinea prelucrrilor,corectitudinea rezultatelor i mai ales accesibilitatea beneficiarului lainformaia ateptat, obinnd n acest fel un nivel maxim al satisfaceriicerinelor proprii.

Din punct de vedere al echipelor de auditare auditul sistemelorinformatice se clasific astfel:

- audit intern, prin care se confirm respectarea procedurilor detransformare a datelor de intrare n rezultate urmrindu-se modul n carenoul sistem n care se implementeaz este mai eficient, este nsoit deeconomisire de resurse;

- audit extern care include proceduri prin care se evideniazcomportamentul sistemului informatic, prin testri cu ajutorul crora seevideniaz ct de stabile, ct de fiabile, mentenabile sunt procedurile decontrol care intr n componena sistemului i care implementez toatecerinele exprese incluse n specificaii, n legi, n regulamnete i carerestricioneaz prin blocare orice tentativ de execuie a operaiilor interzise.

Pentru a dezvolta un proces de auditare a sistemului informatic demanagement sunt parcuri urmtorii pai:

- planificarea proceselor de auditare avnd la baz o serie deelemente prin care se stabilete anvergura prin cunoaterea unor elementelegate de complexitatea sistemului informatic i mai ales prin stabilireanivelului de credibilitate pe care trebuie s-l stabileasc auditorii sistemului;

- evaluarea riscurilor legate de influenele negative care semanifest asupra componentelor sistemului informatic ce vor fi auditate, pe

msur ce se activeaz procedurile de control;


39/149

- elaborarea programului de audit ce include: definirea scopului,stabilirea obiectivelor, efectuarea planificrii, derularea propriu-zis,ntocmirea de rapoarte;

- culegerea de date ce evideniaz modul cum se executprelucrrile, care sunt neconcordanele ntre specificaii i produsul real;datele apar sub forme extrem de variate, de la liste, fiiere de tranzacii, listede erori, chestionare care vizeaz obinerea unor rspunsuri cu cheie,diagrame, texte surs, seturi de date de text, documentaia care se livreaz odat cu implementarea sistemului informatic, ghidurile de utilizare i deadministrare;

- elaborarea raportului de auditare care preia elemente definite nplanul de audit a sistemului informatic la care sunt adugate detalii asupramodului cum s-a derulat procesul de auditare, gradul de transparenasigurat.

ntruct auditorii de sisteme informatice pentru management suntspecialiti de nalt calificare n domeniu, enumer n raport totalitateadiferenelor care au fost ntlnite, ntre sistemul real i sistemul virtual-ideal;nu sunt incluse soluii, dei auditorii prin competena lor deosebit aucapacitatea de a le oferi; auditul sistemelor informatice pentru manangementconsemneaz numai diferenele; caracterul sistematic al procesului deauditare ofer o grupare ascendent n raport cu profunzimea efectelor deantrenare, a diferenelor; n cazul n care sunt identificate erori, toate erorilesunt tratate distinct i contribuia lor n diminuarea nivelului de credibilitatea sistemului informatic pentru management este amplificat prin utilizareade coeficieni de importan cunoscui att de auditori, ct mai ales de ceicare au dezvoltat sistemul informatic.

Activitatea de audit pentru sisteme informatice se bazeaz peagregarea unor indicatori i pe obinerea de valori care s fundamenteze

apartenena sistemului informatic la clasa de sisteme credibile n care segaranteaz calitatea soluiilor ateptate de beneficiar sau, din contr,sistemul nu e credibil i trebuie s fie supus unor corecii i din nou unui

proces de auditare.Dac tehnica de auditare i procedurile de msurare a diferenelor

sunt clar definite, procesul de audit pentru sisteme informatice estereproductibil n proporie de 100%.

Asociaiile care au preocupri n a elabora tehnici i metode de

auditare sau de a certifica speculaii n auditul sistemelor informatice pentru


40/149

management i-au concentrat atenia asupra algoritmizrii proceselor deauditare, n viitor trebuind s defineasc metrici pentru a asigura caracterobiectiv auditului, prin transferul din zona interpretrilor, n zonacertitudinilor.

Particularitile auditrii sistemelor informatice, comparative cu alteproduse, i necesitatea unei pregtiri corespunztoare a auditorilor, necesitexistena unor standarde corespunztoare acestui. n anexa 9 sunt prezentateoganizaii specializate care elaboreaz standarde destinate auditriisistemelor informatice, recomandri i ghiduri necesare activittii de audit

pentru sistemele informatice. Obiectivele acestor standarde sunt de ainforma:

- auditorii de sisteme informatice privind nivelul minim de pregtire;- managerii i alte personae interesate privind ateptrile unei activiti

de auditare.Standardele definesc cerinele obligatorii pentru desfurarea

auditului i pentru modul de ntocmire a rapoartelor de audit.


41/149

5.CONSTRUIREA DE LISTE

O list este o construcie liniar, format din elemente dispuse unuldup altul. O list presupune parcurgerea secvenial, de la primul element,elementul din capul listei, pn la ultimul element. Construirea unei liste serealizeaz pentru a obine:

- enumerarea elementelor unei colectiviti ntr-o ordine stabilit, cade exemplu, n ordinea sosirii ntr-un fir de ateptare, n ordinea servirii, nordinea importanei sau ntr-o ordine a preferinelor;

- stabilirea etapelor unui proces, n ordinea derulrii lor;- setul de documente necesar pentru a obine calitatea de

eligibilitate n vederea acordrii unor fonduri pe baz de proiect;- o ierarhizare a elementelor unei colectiviti n funcie de un

criteriu de performan stabilit i acceptat de participani;- un inventar al componentelor care alctuiesc un subansamblu sau

un produs finit; se specific denumirea reperelor i numrul de repere deacelai fel care intr n alctuirea subansamblului;- un ir de valori care corespund unor momente de timp; irul

include elemente omogene, care se supun acelorai prelucrri.n procesul de auditare, rigurozitatea i profesionalismul impun

elaborarea de liste complete, structurate strict pe importan sau pe ordineade execuie.

Planul de auditare se constituie ca list de activiti care trebuie

executate. Derularea activitii n sine este descris ca o list

Auditul sistemelor informatice.pdf

Documents

Transcript of Auditul sistemelor informatice.pdf