BDSA Auditul Sistemelor InformaticeASE Traian Surcel

III AUDITUL SISTEMELOR IT

III.1 DefiniţieAuditul sistemelor informatice, denumit pe scurt auditul IT, este considerat de standardul

metodologic CoBIT ca fiind o examinare a controalelor în cadrul unei entităţi IT. Pornind, mai mult sau mai puţin, de la aceeaşi sursă autorizată , ISACA – Information

Systems Audit and Control Association, , unii autori apreciază că auditul se efectuează asupra controalelor specifice referitoare la managementul sistemului informatic, securitatea fizică şi controalele de mediu, securitatea informaţiei şi a sistemului, continuitatea sistemului, managementul schimbării şi dezvoltării sistemului.1

Alţii, preluând şi unele aspecte operaţionale, consideră că auditul sistemelor informatice este activitatea prin care auditorul, în urma colectării şi evaluării unor probe specifice de audit îşi exprimă opinia asupra modului în care sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale entităţii în condiţiile utilizării eficiente a tuturor resurselor informatice.2

Mai cuprinzător, analizând şi definiţia formulată de Năstase P. şi colectivul3 , apreciem că: auditul IT este o activitate planificată, de evaluare a sistemului informatic, pe baza probelor de audit, în scopul emiterii unei opinii calificate şi obiective, privind conformitatea sistemului cu legislaţia, cu standardele în domeniu şi, totodată, asupra capacităţii sistemului informatic de a susţine efortul de realizare eficientă a obiectivelor strategice ale organizaţiei.

III.2. Tipuri de audit IT şi obiective

Vom analiza această problemă plecând de la două întrebări majore ale realizării sistemului. Ce trebuie făcut şi cum se lucrează corect ? Răspunsurile la aceste întrebări le găsim dacă ne însuşim şi respectăm următoarele trei clase de cerinţe practice:

a) stabilirea obiectivelor sistemului IT şi a ariei sale de cuprindere;b) definirea, proiectarea şi realizarea componentelor ce se regăsesc în structura sistemului informatic:

■ infrastructura hardware şi de comunicaţie, infrastructura software cu software de bază şi software aplicativ,

■ infrastructura informaţională – bazele de date, fluxurile informaţionale şi sistemele de codificare,

■ componenta ştiinţifico-metodologică, reprezentată de modele, algoritmi, norme, standarde, prevederi legale;

1 Ştefan Popa, Claudia Ionescu, “Auditul în medii informatizate“, Editura Expert, Bucureşti 2005 2 Ivan I., Noşca Gh, Capizisu S., “Auditul sistemelor informatice“, Editura ASE, Bucureşti, 20053 Năstase P., Ali E., Stanciu V., şa. „Auditul şi controlul sistemelor informaţionale”, Ed Economică, Bucureşti 2008

1

BDSA Auditul Sistemelor InformaticeASE Traian Surcel

c) respectarea metodologiei de realizare a sistemelor informatice;În primul rând, proiectul unui sistem IT începe ce stabilirea obiectivelor, care se clasifică

după mai multe criterii astfel4: - după sfera de cuprindere deosebim: obiective generale şi obiective specifice;- după domeniul de activitate asupra căreia se răsfrâng stabilim: obiective ce vizează

îmbunătăţirea activităţilor de bază şi obiective care vizează îmbunătăţea sistemului informaţional;

- după posibilitatea de cuantificare avem: obiective cuantificabile, cantitativ-valorice şi obiective necuantificabile, calitative;

Auditul sistemului informatic trebuie să revadă documentaţia şi să examineze dacă obiectivele şi în viitor, sistemul, răspund cerinţelor şi restricţiilor formulate prin studiul de fezabilitate pe baza căruia s-a făcut investiţia în IT.

Managementul IT se concentrează pe arii de probleme distincte, diferenţiate datorită particularităţilor etapelor ciclului de viaţă a sistemului informatic – SDLC, System Development Life Cycle.5

Etapelor SLDC – planificarea sistemului, analiza sistemului, proiectarea conceptuală, evaluarea şi selecţia soluţiilor tehnice hardware şi software, proiectarea de detaliu, implementarea şi întreţinerea sistemului, le vor corespunde următoarele categorii de activităţi de management:

- managementul proiectului sistemului informatic;- managementul funcţionării sistemului informatic;- managementul schimbării în cadrul sistemului informatic.

Acestor tipuri specifice de management le vor corespunde tipuri specifice de audit auditul care evaluează gradul de respectare a metodologiei de realizare a sistemului IT.

Auditul managementului proiectelor sistemelor IT ia în considerare: obiectivele sistemului, activităţile proiectului şi sarcinile ce revin echipei de realizatori şi cele ce revin beneficiarului, fondurile disponibile, documentaţia tehnică, specificaţiile sistemului informatic, setul de date de test şi setul de înregistrări privind comportamentul sistemului pe parcursul efectuării testelor, bibliotecile de sistem cu modulele şi modelele utilizate şi desigur documentaţia de realizare, de prezentare şi instalare a software-ului sistemului.

Auditul managementul funcţionării sistemului trebuie să asigure în primul rând utilizatorilor încrederea în calitatea serviciilor informatice oferite, şi aceasta se realizează prin managementul corespunzător al riscurilor şi respectarea consecventă a politicii de securitate.

Sistemul informatic trebuie să răspundă cerinţelor izvorâte din aşteptările diferenţiate ale părţilor interesate de funcţionarea sistemului. Părţile interesate sunt pe de-o parte personalul IT ce lucrează în sistem, apoi utilizatorii individuali, managerii de nivel mediu, manageri de top, şi grupurile informale în care se regăsesc clienţi, furnizori, bănci, organizaţii de reglementare, organe fiscale şi de administraţie publică, organe de control şi instituţii de sinteză.

4 Lungu I., Sabău I., Velicanu M., ş.a. „Sisteme informatice, analiză, proiectare, implementare”, Ed. Economică, Bucureşti 20035 Cangemi P.M., Sigleton T., „Managing the Audit Functions”, Ed John Wily&Sons, N.J 2003

2

BDSA Auditul Sistemelor InformaticeASE Traian Surcel

Citând cadrul de lucru CoBIT, Popa Şt şi Ionescu C1, sintetizează o serie de astfel de cerinţe generice pe care trebuie să le satisfacă informaţia prelucrată, furnizată de sistemul informatic. Este vorba despre următoarele cerinţe: operativitate, eficienţă, confidenţialitate, integritate, disponibilitate, conformitate., încredere şi siguranţă.

În completarea acestor cerinţe calitative, managementul funcţionării sistemului informatic trebuie să asigure şi respectarea unor indicatori cantitativi care cuantifică impactul sistemelor asupra grupurilor de interese menţionate anterior.

În segmentul principal de indicatori se regăsesc următorii: coeficientul de satisfacere a cerinţelor informaţionale, coeficientul timpului de răspuns, coeficientul eficienţei economice, coeficientul duratei de recuperare, coeficientul economiei de personal, etc

Auditul managementului funcţionării sistemului, prin neconformităţile semnalate oferă elemente ce stau la baza măsurilor cu caracter corectiv. Lor li se adaugă şi măsuri cu caracter proactiv ce decurg din natura evolutivă a proceselor de afaceri şi din evoluţia tehnologiei informaţiei şi comunicaţilor şi declanşează schimbări necesare perfecţionării şi dezvoltării sistemului.

Auditul managementul schimbării şi al dezvoltării trebuie să verifice şi să certifice că implementarea procedurilor de schimbare este conformă cu cerinţele controalelor generale şi controalele de aplicaţie, asigură disponibilitatea sistemului, funcţionarea sa conform cerinţelor, fiabilitatea sistemului şi încadrarea în bugetele aprobate .

Aspectele avute în vedere la implementarea schimbărilor derivă din schimbări survenite în procesele de afacerii, schimbări de natură tehnologică, procedurală, apoi uzura morală a componentelor informatice şi cerinţele de trainig şi implementare.

Auditul managementului schimbării trebuie să fie în măsură să verifice dacă schimbările s-au finalizat fără incidente, fără costuri suplimentare, în concordanţă cu aşteptările estimate ale utilizatorilor.

În cadrul tipologiei generale analizate mai sus, se poate aplica un anumit tip particular de audit, în funcţie de criteriile luate în considerare la momentul stabilirii misiunii de audit.. Iată patru dintre aceste criterii şi tipurile de audit specifice aplicabile:

modul de organizare; momentul; scopul; aria de cuprindere.

În funcţie de modul de organizare a activităţii de audit, se deosebesc auditul intern şi auditul extern. Auditul intern reprezintă o evaluare sau monitorizare organizată de către uni departament propriu în vreme ce auditul extern este efectuat de un auditor independent şi răspunde nevoilor terţilor şi entităţii auditate în ceea ce priveşte: gradul de încredere care poate fi acordat tranzacţiilor şi situaţiilor financiare, respectarea reglementărilor legale, şi a principiilor economicităţii, eficienţei şi eficacităţii în activitatea desfăşurată .

Pe baza momentului în care se efectuează auditul se face distincţie între auditul preventiv şi auditul corectiv. Auditul preventiv – se defineşte ca o examinare a operaţiunilor anterior

3

BDSA Auditul Sistemelor InformaticeASE Traian Surcel

desfăşurării lor efective, având avantajul de a putea preveni prejudiciul înainte ca acesta să apară. Auditul corectiv – se defineşte ca o examinare a operaţiunilor în desfăşurarea lor. El poate conduce duce la recuperarea pagubelor şi poate preveni repetarea erorilor.

Din punct de vedere al scopului avem de-a face cu trei categorii de audit: auditul conformităţii sau legalităţii, auditul de atestare şi auditul performanţei.

Auditul conformităţii sau legalităţii certifică responsabilitatea privind tranzacţiile şi rapoartele elaborate pe baza acestora.

Auditul de atestare se referă prin raportul de audit, asupra credibilităţii situaţiilor finale, atestând sau nu, dacă acestea prezintă corect situaţia firmei şi tranzacţiile realizate. În practică, de cele mai multe ori, auditul de conformitate se derulează concomitent cu auditul de atestare şi se numeşte audit de regularitate sau audit legislativ.

Auditul performanţei se concentrează pe eficienţă, eficaitate şi economicitate. Performanţa este examinată urmărindu-se raportul dintre inputuri şi outputuri prin analiza utilizării resurselor pe baza principiilor eficienţei economice.

Aria de cuprindere este cel mai important criteriu avut în vedere la stabilirea misiunii de audit. Aria de probleme cu cea mai mare prioritate este SECURITATEA INFORMAŢIILOR.Auditul de securitate IT are în vedere următoarele segmente:

sisteme şi aplicaţii – procesul de audit verifică dacă sistemele şi aplicaţiile sunt corespunzătoare, eficiente şi controlate adecvat, asigură validitate, încredere, actualitate, pentru intrări şi ieşiri, la toate nivelele organizaţiei;

medii de procesare a informaţiilor – proces de audit care verifică dacă mediile de procesare sunt controlate pentru a asigura o prelucrare în timp util, corectă şi completă a aplicaţilor informatice în condiţii normale dar şi în condiţii de dificultate;

dezvoltare de sisteme – proces de audit care verifică dacă sistemele sunt dezvoltate în concordanţă cu standardele general acceptate de dezvoltare de sisteme informatice

IT Management – proces de audit care verifică dacă managementul IT a dezvoltat o structură organizaţională şi proceduri care asigură un mediu de control eficient pentru procesarea informaţiilor;

comunicaţii pe reţea intranet şi extranet – proces de audit care verifică dacă există controale definite şi aplicate pentru a controla mediile fizice şi comunicaţiile în reţea.

Asupra auditului de securitate ne vom opri mai pe larg intr-unul din capitolele următoare.

III.3 Semnificaţia practică a activităţii de auditDesigur toate aceste definiţii şi clasificări ale proceselor de audit IT au valoarea lor

semantică pentru că stabilesc, la modul general şi uneori şi mai detaliat „ce este, ce urmăreşte” auditul. Problemele apar însă în momentul trecerii de la teorie la practică şi puţine lucrări sunt mai explicite, când vine vorba despre „cum” se efectuează concret auditul IT, despre obiectul concret al muncii echipei de auditori şi cum se abordează practic auditul. Am observat că totul se învârte în jurul managementului sistemului, pentru că în mod firesc, investitorii care au decis să-şi cheltuiască

4

BDSA Auditul Sistemelor InformaticeASE Traian Surcel

banii pe IT se aşteptă să-i şi recupereze într-un timp rezonabil şi să obţină, firesc, profit.. Cum management fără planificare şi control nu intră în discuţie, orice manager trebuie să dispună de un sistem de planificare şi un sistem de controale interne.

Considerăm că la nivel elementar, obiectul auditului este chiar acest sistem de controale interne ce trebuie să existe pentru fiecare din cele trei categorii de cerinţe ale abordării profesionale a implementării sistemelor IT – stabilirea obiectivelor sistemului, proiectarea şi realizarea componentele sistemului, respectarea metodologiei de realizare.

Preluând o definiţie a auditului IT aparţinând lui G. Hinson, menţionată de Ivan I. ş.a,, în lucrarea deja citată, putem lărgi semnificaţia activităţii de audit. El va reprezenta practic: culegerea şi examinarea a înregistrărilor şi a altor informaţii, considerate probe de audit, scrise, orale sau în format electronic, în scopul formării unei opinii independente şi obiective referitoare la controalele interne, integritatea datelor şi a formulării recomandărilor privind îmbunătăţirea controalelo şi , prevenirea şi limitarea riscurilor.

Este interesantă analiza semnificaţiei termenilor utilizaţi de G. Hinson, prin care autorii citaţi2, aduc lămuriri activităţii de audit . Astfel se consideră:

- examinarea, ca o activitate de culegere şi evaluare a datelor ce se vor constitui ca probe de audit, raportul de audit trebuie susţinut cu probe obţinute chiar de la sursele de informaţii;

- independenţa, ca fiind cerinţa ca auditorii să nu fie implicaţi direct în operaţii sau managementul IT pentru a se putea exprima liber, obiectiv;

- înregistrări şi alte informaţii, se referă la înregistrările de audit, date obţinute prin observare directă, documentare, interviuri, chestionare, teste reale, măsurare, extrapolare;

- opiniile sunt modul prin care auditorii exprimă faptele, constatările privind o situaţie dată, şi servesc concluziilor auditului;

- integritatea include completitudinea, acurateţea şi încrederea în rezultatele şi procedurile de prelucrare şi controalele aferente;

- recomandările sunt propuneri justificate de măsuri, sugestii de îmbunătăţire a activităţilor în general, dar auditorii nu au calitatea de a sancţiona greşelile, respectiv de a implementa măsuri corective, nu au autoritatea de a impune managementului să facă schimbări.

- îmbunătăţirea controalelor are în vedere şi adăugarea controalelor care lipsesc, sau eliminarea controalelor redundante sau tardive;

- limitarea riscurilor are în vedere faptul că riscurile, erorile pot fi reduse dar nu pot fi complet eliminat. O bună activitate înseamnă minimizarea riscurilor în condiţiile unor costuri acceptabile dar şi pregătirea unui plan de acţiune în cazul producerii unor dezastre.

- riscul reprezintă posibilitatea ca ceva să se desfăşoare într-o direcţie nefavorabilă datorită neglijenţei, incompetenţei sau rea intenţie, permiţând ameninţărilor să acţioneze acolo unde sunt vulnerabilităţi în sistem.

Urmărind în practică aceste orientări, auditul IT va da posibilitatea managementului să descopere ceea ce se întâmplă în realitate la un moment dat, să descopere înainte de a fi prea târziu ce pericole potenţiale majore pot apare, în sistemul IT şi în organizaţie, pentru a implementa acţiuni corective. Toate aceste acţiuni au ca scop asigurarea conformităţii şi concordanţei

5

BDSA Auditul Sistemelor InformaticeASE Traian Surcel

funcţionării sistemului informatic cu politica, standardele şi procesele de business ale firmei, cu legislaţia.

Trebuie să subliniem că efortul şi finalitatea auditului IT urmăreşte creşterea responsabilităţilor tuturor celor implicaţi în realizarea, exploatarea şi dezvoltarea sistemelor IT&C pentru managementul riscurilor şi al resurselor materiale, financiare, informaţionale şi umane, corespunzător strategiei IT, văzută ca parte componentă a strategiei întreprinderii, ale cărei obiective trebuiesc îndeplinite şi prin contribuţia susţinută şi măsurabilă a guvernanţei IT. Acesta este de fapt şi obiectivul major al auditului sistemelor IT.

Întrebări recapitulative

1. Ce individualizaţi atributele ce caracterizează auditul IT conform definiţiei propuse?2. Auditul sistemelor IT trebuie să ia în consideraţie documentaţia de proiectare şi realizare a

sistemului informatic. De ce ?3. Care sunt etapele principale definite de SDLC şi ce tipuri de management se aplică acestor

etape?4. Ce este auditul preventiv dar auditul corectiv ?.5. Cum înţelegeţi independenţa auditorului IT ?6. Ce reprezintă opiniile de audit ?7. Ce accepţiune are conceptul de integritate a datelor pentru auditul IT ?8. Ce recomandări poate să propună şi ce nu poate să propună un auditor ?9. Cum formulaţi sintetic obiectivul major al auditului sistemelor informatice ?

6