Syll_AuditulSistemelorInformatice
-
Upload
corinacretu -
Category
Documents
-
view
212 -
download
0
Transcript of Syll_AuditulSistemelorInformatice
-
7/31/2019 Syll_AuditulSistemelorInformatice
1/76
CUPRINS
I. INFORMAII GENERALE.......................................................................................1Date de identificare a cursului .................................................................................................. 1
Descrierea cursului ....................................................................................................................1Materiale bibliografice obligatorii..............................................................................................2Materiale i instrumente necesare pentru curs............................................................................3Calendar al cursului ...................................................................................................................3Politica de evaluare i notare...................................................................................................... 4Strategii de studiu recomandate ................................................................................................. 5
II. SUPORTUL DE CURS..............................................................................................7
MODULUL I: Aspecte generale privind informaia i noiunea de sistem
informaional ...................................................................................................................9Unitatea de curs 1: Aspecte generale privind noiunea de informaie.......................................9Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor.......................11Unitatea de curs 3: Entitatea economic abordare sistemic ...............................................13 Rezumatul modulului...............................................................................................................18Bibliografie modul...................................................................................................................19
MODULUL II: Aspecte generale privind auditul sistemelor informaionale .........21Unitatea de curs 1: Necesitatea auditului sistemelor informaionale ......................................21Unitatea de curs 2: Auditul sistemelor informaionale............................................................22Unitatea de curs 3: Auditul aplicaiilor informatice................................................................26Unitatea de curs 4: Valorificarea rezultatelor auditului ..........................................................28Rezumatul modului..................................................................................................................30Bibliografie modul...................................................................................................................30
MODULUL III: Auditul sistemelor informaionale i auditului intern...................31Unitatea de curs 1: O abordare bazat pe riscuri.....................................................................31Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit intern .................. 32Unitatea de curs 3: Gestiunea riscurilor ................................................................................... 34Rezumatul modulului...............................................................................................................42Bibliografie modul:.................................................................................................................. 43
MODULUL IV: Auditul sistemelor informaionale i auditul financiar.................45Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiar.............45Unitatea de curs 2: Evaluarea riscurilor..................................................................................48Unitatea de curs 3: Riscurile de audit ..................................................................................... 51Rezumatul modulului...............................................................................................................55Bibliografie modul...................................................................................................................56
MODULUL V: Auditul sistemelor informaionale n Romnia ...............................57Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionale...............57Unitatea de curs 2: Implicarea Camerei Auditori Financiari din Romnia.............................61 Unitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din Romnia ...........................63Unitatea de curs 4: Implicarea ISACA Romnia ....................................................................66Rezumatul modulului...............................................................................................................68Bibliografie modul...................................................................................................................68
III ANEXE ....................................................................................................................69Bibliografie obligatorie............................................................................................................69Glosar de termeni.....................................................................................................................71
Curriculum vitae al titularului de curs......................................................................................75
-
7/31/2019 Syll_AuditulSistemelorInformatice
2/76
1
I. INFORMAII GENERALE
Date de identificare a cursului
Date de contact ale titularului de curs:
Nume: Popa Irimie Emil
Birou: str. T. Mihali, nr 58-60, cam. 226
Telefon: 40 + 0264-41.86.52 int. 5806
Fax: 40 + 0264-41.25.70
E-mail: [email protected]
Consultaii: se vor afia la cam.2 26 la
nceputul semerstrului
Date de identificare curs i contact tutori:
Numele cursului:
Auditul sistemelor informatice
Codul cursului: EMI024
Anul, Semestrul: anul II, sem 2
Tipul cursului: obligatoriu
Pagina web a cursului:
Tutori: Popa Irimie EmilAdresa e-mail tutori:
Condiionri i cunotine dobandite anterior
Cursul Auditul sistemelor informatice i propune s dezvolte abiliti i
cunotine necesare persoanelor care doresc sa se specializeze in domeniul acest
domeniu, precum i celor care doresc s acumuleze cunotine privind implicaiile iimportana auditrii sistemelor informaionale n cadrul unor misiuni de audit financiar
sau intern. Titularul de curs ncurajeaz participarea oricror studeni n cadrul cursului,
indiferent de pregtirea educaional a acestora. Pentru studenii care provin din afara
nvtmntului economic se recomand parcurgerea unei bibliografii minimale n
domeniile contabilitii, auditului intern, auditului financiar i al informaticii.
Descrierea cursului
Cursul de fa reprezint esena unor conotine dobndite deja dar i a unor
tehnici care vor fi nsuite de ctre participani la finalul sau n domeniul vast al
profesiei contabile din care o derivat este auditul sistemelor informaionale.
Persoanele care sunt beneficiarii de baz ai acestuia sunt studenii nscrii la
masterat, absolveni ai specializrilor de profil din cadrul facultii, nefiind ns exclui
nici cei care sunt absolveni ai altor specializri, sub rezerva deja artat anterior.
-
7/31/2019 Syll_AuditulSistemelorInformatice
3/76
2
Patriciparea la acest curs ofer posibilitatea cursanilor de a deprinde aspectele
eseniale ale auditului sistemelor informaionale precum i a implicaiilor pe care
sistemul informaional al unei entiti l are asupra auditului intern i cel financiar..
Aspectele teoretice vor fi mbinate cu aplicaii practice care contribuie la fixarea
cunotinelor i dobndirea instrumentarului necesar pentru a se putea accede la profesia
liberal de auditor financiar.
Complexitatea noiunilor este una progresiv, fcndu-se numeroase referine la
celelalte discipline din care auditul sistemului informaional i are mprumutate unele
procedee de lucru, evideniind i instrumentele specifice.
Materiale bibliografice obligatorii
1. Arens A. & Loebbecke J., 2003, Audit o abordare integrat, ediia a 8-a, Ed.ARC (Mod de accesare: Biblioteca Catedrei de Contabilitate i Audit)
2. Boulescu M. et al. (2005), Auditul sistemelor informatice financiar-contabile, Ed.Tribuna economic, Bucureti (Mod de accesare: Biblioteca CentralUniversitar)
3. Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea deVest, Timioara (Mod de accesare: FSEGA)
4. Cascarino R., 2007, Auditors Guide to Information Systems Auditing, JohnWiley&Sons, (Mod de accesare: Biblioteca Central Universitar)5. Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech,
Bucureti, (Mod de accesare: Biblioteca FSEGA)6. Information Systems Audit and Control Association ISACA, 2008, IT Assurance
Framework, disponibil on-line la adresa: www.isaca.org7. Laudon K.C. & Laudon L.P. (2006) Management Information systems managing
the digital firm, 9th edition, Ed. Prentice Hall, (Mod de accesare: BibliotecaCentral Universitar)
8. Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom,Iai (Mod de accesare: FSEGA)
9. Nstase P. et al., 2007, Auditul i controlul sistemelor informaionale, EdituraEconomic, Bucureti. (Mod de accesare: Biblioteca Catedrei deContabilitate i Audit)
10.Oprea D. (2005), Analiza sistemelor informaionale, Edidura UniversitiiAlexandru Ioan Cuza, Iai, (Mod de accesare: Biblioteca FSEGA)
11.The Institute of Internal Auditors, IIA, 2008, Global Technology Audit Guides,disponibil on-line la adresa: http://www.theiia.org/guidance/technology/
12.ugui Al., (2003), Produse informatice generalizate pentru contabilitate, EdituraCECCAR, Bucureti (Mod de accesare: Biblioteca Central Universitar)
-
7/31/2019 Syll_AuditulSistemelorInformatice
4/76
3
Materiale i instrumente necesare pentru curs
Susinerea prelegerilor i discutarea aplicaiilor practice se va realiza prin
utilizarea urmtoarelor echipamente:
- videoproiector (asigurat de facultate),- laptop sau calculator (asigurat de facultate),- acces la internet (asigurat de facultate).- suport de curs (format electronic i tiprit asigurat de catedr)- alte materiale (format electronic i tiprit asigurat de catedr)
Se vor putea face simulri privind utilizarea tehnicilor de audit asistate de calculator
Calendar al cursului
Activiti Tematica abordat Responsabilitile
masteranzilor
Locul de
desfurare
ntlnire I:Activitididactice
Informaia economic;Sistemul informaional;Necesitatea audituluisistemelor informaionale;Auditul sistemelorinformaionaleAuditul aplicaiilor informatice
ParcurgereabibliografieiRezolvarea studiilor decaz sau a activitiloralocate
Campusconformorarului postatpe site-ulfacultii
ntlnire II:Activitididactice
Rolul auditului sistemuluiinformaional din perspectivaauditului intern i financiar
ParcurgereabibliografieiRezolvarea studiilor decaz sau a activitiloralocate
Campus
Examenfinal
Parcurgereabibliografiei precizate
n vederea susineriiexamenului
Campus
Calendarul ntlnirilor cu studenii poate suporta modificri care ns vor fi aduse la
cunotina studenilor n timp util, n funcie de programul general al cadrului didactic.
-
7/31/2019 Syll_AuditulSistemelorInformatice
5/76
4
Politica de evaluare i notare
Modalitatea de notare a masteranzilor pentru disciplina Auditul sistemelor
informatice are n vederea urmtoarele aspecte:
- participarea activ la activitile tutoriale: 20%.- ndeplinirea sarcinilor i activitilor alocate 50%- examenul final 40%
Studenii trebuie s tie c syllabusul de fa reprezint un suport minimal, a crui
simpl parcurgere nu este suficient pentru promovarea examenului. n vederea
promovrii examenului cu o not satisfctoare, studenii vor trebui s parcurg
bibliografie indicat n cadrul acestui syllabus.
Elemente de deontologie academic
Plagiatul este o problem serioas i este pedepsit cu asprime. Orice student
care este prins c plagiaz se poate atepta s i fie anulat munca i s se ntreprind
msuri disciplinare din partea conducerii facultii.
Exemple de plagiat:
- realizarea proiectului de cercetare de ctre o alt persoan.- copierea parial sau total a unui proiect de cercetare.- copierea unui proiect de cercetare de pe internet i rspndirea acestuia i n
rndul altor masteranzi.
- conspectarea unor surse bibliografice fr citirea prealabil a acestora(copierea unor conspecte fcute de alii).
Masteranzii pot s citeze surse bibliografice alctuite din reviste sau cri cu
condiia ca respectivele surse s fie identificate i prezentate n cadrul proiectului de
cercetare. Un proiect care se constituie n mare parte din compilarea unor idei ale unor
autori, neavnd o contribuie proprie din partea masterandului va fi notat cu un
calificativ inferior.
-
7/31/2019 Syll_AuditulSistemelorInformatice
6/76
5
Studeni cu dizabiliti
n vederea oferirii de anse egale studenilor afectai de dizabiliti motorii sau
intelectuale, titularul de curs i manifest disponibilitatea de a comunica cu studenii
prin intermediul potei electronice. Astfel, studenii cu dizabiliti vor putea adresa
ntrebrile lor legate de tematica cursului Auditul sistemelor informatice pe adresa de
email a titularului de curs, menionat la nceputul acestui silabus, putnd primi
lmuririle necesare n maxim 48 de ore de la primirea mesajului.
Strategii de studiu recomandate
Pentru a obine performana maxim, studenii trebuie sin cont de urmtoarele
recomandri n ceea ce privete studiul individual, precum i activitile colective realizate
n cadrul cursului:
1. Este recomandat remprosptatrea cunotinelor de contabilitate, audit intern ifinanciar, respectiv informatic;
2. Se recomand parcurgerea suportului minimal n ordinea capitolelor, aa cum suntdescrise n prezentul syllabus;
3. Este recomandat ca studiul s se bazeze pe o bibliografie minimal, indicat nsyillabus i pe alte surse bibliografice indicate de tutori.
4. Se recomand participarea la discuii i analize mpreun cu tutorii, pe margineatemelor indicate spre studiu.
-
7/31/2019 Syll_AuditulSistemelorInformatice
7/76
6
-
7/31/2019 Syll_AuditulSistemelorInformatice
8/76
7
II. SUPORTUL DE CURS
MODULUL I: Aspecte generale privind informaia i noiunea de sistem
Unitatea de curs 1: Aspecte generale privind noiunea de informaieUnitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entit ilorUnitatea de curs 3: Entitatea economic abordare sistemic
MODULUL II: Aspecte generale privind auditul sistemelor informaionale
Unitatea de curs 1: Necesitatea auditului sistemelor informaionaleUnitatea de curs 2: Auditul sistemelor informaionaleUnitatea de curs 3: Auditul aplicaiilor informaticeUnitatea de curs 4: Valorificarea rezultatelor auditului
MODULUL III: Auditul sistemelor informaionale i auditului intern
Unitatea de curs 1: O abordare bazat pe riscuri
Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit internUnitatea de curs 3: Gestiunea riscurilor
MODULUL IV: Auditul sistemelor informaionale i auditul financiar
Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiarUnitatea de curs 2: Evaluarea riscurilorUnitatea de curs 3: Riscurile de audit
MODULUL V: Auditul sistemelor informaionale n Romnia
Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionaleUnitatea de curs 2: Implicarea Camerei Auditori Financiari din RomniaUnitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din RomniaUnitatea de curs 4: Implicarea ISACA Romnia
-
7/31/2019 Syll_AuditulSistemelorInformatice
9/76
8
-
7/31/2019 Syll_AuditulSistemelorInformatice
10/76
9
MODULUL I: Aspecte generale privind informaia i noiunea de sistem
informaional
Scopul i obiectivele modulului
Scopul acestui modul este familiarizarea cursanilor cu noiunile de informaie i sistem
informaional n vederea nelegerii acestora din perspectiva unei entiti economice.
Totodat se urmrete nelegerea importanei sistemului informaional din perspectiva
auditului acestuia.
Obiectivele prezentului modul sunt:
1. Familiarizarea studenilor cu principalele aspecte privind informaia i sistem;2. Cunoaterea caracteristicilor informaiilor economice i contabile;3. Cunoaterea caracteristicilor sistemelor informaionale;4. nelegerea importanei sistemului informaional n cadrul unei entiti
economice.
Unitatea de curs 1: Aspecte generale privind noiunea de informaie
Generic, informaia se definete ca un mesaj rezultat din reprezentarea realitii prin
cunoaterea creia att emitentul ct i destinatarul i asociaz aceeai semnificaie. ntr-
o alt accepie informaia este o reprezentare simbolic asupra unor entiti din
realitate, avnd caracter de noutate pentru subiecii receptori" ea fiind generat prin
procese de cunoatere de natura observrii directe sau a interpretrii semantice demesaje".(Dicionar de Economie, 2001: 233).
Informaie este unul din cuvintele cel mai des folosite, de foarte multe ori abuziv.
Diferite discipline tiinifice acord diferite nelesuri acestui termen, sau i asociaz
omonime incoerente. Cu toate c de cteva decenii omenirea a pit n era
informaional, iar societatea a trecut de la societatea informaional la societatea
cunoaterii, cuvntul informaie este folosit adesea fr a se da atenia cuvenit
diferitelor sensuri pe care le poate avea.
-
7/31/2019 Syll_AuditulSistemelorInformatice
11/76
10
Creterea gradului de informatizare a proceselor entitii precum i a creterii gradului
de folosire a informaiilor n rezolvarea problemelor umane a fcut ca informaia s fie
considerat ca o resurs economic, n mare msur egal cu alte resurse cum ar fi
munca, materia (prim) i capitalul. n calitatea ei de resurs neofactorial, obinerea
informaiei i utilizarea ei n orice demers al activitii umane, presupune un efort uman
i material financiar.
Aceast perspectiv scoate n eviden faptul c posesia, manipularea i folosirea
informaiei poate mbunti raportul cost-eficien n multe procese fizice sau cognitive.
Ca resurs individual i social, informaia are cteva caracteristici ce o deosebesc de
noiunea tradiional de resurs economic. Spre deosebire de alte resurse economice,informaia este teoretic nelimitat, avnd totui unele limite aparente impuse de timp, de
capabilitatea cognitiv uman sau care in de posibilitile de accesare a diverselor canale
de comunicare a informaiilor ceea ce n fapt ridic costul informaiilor.
Dezvoltarea tehnologiilor informaionale, proliferarea internetului, ceea ce a dus la
reducerea timpului necesar cutrii i accesrii informaiilor, a ridicat problema cantitii
de informaii pe care o entitate economic este dispus s o comunice pe o pia
informaional deschis. Zu K. (2005) ntr-un studiu privind aspectele sociale i
economice ale transparenei informaiilor ntr-o pia electronic deschis, arat c ntr-un
mediu transparent entitile economice au acces mai uor la informaii ceea ce le permite:
reducerea costurilor sub nivelul concurenilor, alegerea strategiilor de viitor innd cont de
situaia pieei i implicit creterea profiturilor. Se creeaz fenomenul de corelare a
strategiilor tuturor entitilor care activeaz pe o pia informaional deschis i astfel
accesul la informaie tinde s reduc avantajele competiionale ducnd la o reorientare
spre o mai bun alocare a resurselor tradiionale.
Informaia, ca resurs economic utilizat la nivelul unei entiti genereaz un avantaj
competiional numai n msura n care costurile obinerii i transmiterii ei sunt mai mici
dect beneficiile pe care le genereaz. Totui costurile obinerii informaiilor nu pot fi
abordate numai dintr-o perspectiv financiar ci i dintr-o perspectiv abstract, a
impactului pe care comunicarea informaiilor o are asupra pieei. De asemenea beneficiile
-
7/31/2019 Syll_AuditulSistemelorInformatice
12/76
11
nu pot fi comensurate numai n termeni de eficien a proceselor interne ci i din
perspectiva parametrilor externi influenai de informaiile deinute i comunicate.
A doua percepie a informaiei (ce dateaz din aceeai perioad), de serviciu de primnecesitate, a determinat dezvoltarea n ntreaga lume a unui nou segment a economiilor
naionale: sectorul de servicii informatice. Beneficiind de avantajele proprietilor
informaiei i construind o percepie a utilitii i valorii sale individuale i sociale, acest
sector furnizeaz o larg gam de produse i servicii informatice.
Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor
ntr-un mediu supra-abundent n informaii, o entitate performant trebuie s-i dezvolte
capacitatea de a identifica sursele importante, de a selecta, stoca, gestiona, prelucra i
folosi inteligent informaia, de a-i dezvolta fluxurile de informaii (interne i externe)
n calitate de generator de informaie i de a-i alege cele mai favorabile strategii i
suporturi de comunicare.
Entitatea nu poate exista fr informaie i comunicarea ei, informaia devenind un bun
al acesteia. Informaia prezint ntr-o entitate patru roluri principale (Nica & Panaite,
1994: 378, dup Simon, 1977):
Msur a succesului: de exemplu, informaia cu privire la profitabilitatea entitiipoate fi folosit pentru evaluarea succesului acesteia pe o anumit perioad de timp;
Semnal de alarm: Unele informaii reflect schimbri nsemnate n volumulvnzrilor, nivelul costurilor, nivelul profitului, constituind astfel semnale de alarm
pentru manageri, determinndu-i s ia decizii i s declaneze aciuni pentruremedierea neajunsurilor. Sistemul informaional al ntreprinderii are rolul de a
dirija informaiile spre locul unde acestea sunt necesare, evitndu-se aglomerarea
managerilor cu informaii inutile;
Baz pentru aprofundarea analizei activitii: Investigarea i analiza operaiunilorcurente ale unei entiti, n urma crora sunt evideniate punctele ei forte i aspectele
vulnerabile ale activitii, au la baz informaii pertinente, att din mediul intern ct
i din cel extern;
-
7/31/2019 Syll_AuditulSistemelorInformatice
13/76
12
Baz pentru planificare: Pentru a fi realiste i eficace, obiectivele i aciunileviitoare ale entitii trebuie proiectate pe baza unor informaii adecvate.
Informaia este indispensabil funcionrii entitii. Utilizarea informaiilor are n vedereurmtoarele trei tipuri de obiective:
Suport pentru luarea deciziilor. Informaia este baza lurii deciziilor. Elaborareadeciziilor necesit informaii de complexiti diferite, n cadrul firmei pe diferite
nivele iar pentru utilizatorii externi, n funcie de natura acestora;
Satisfacerea unor obligaii legale. Fiecare entitate trebuie s transmit mediului ncare activeaz categorii diferite de informaii privind starea acesteia, diveri
parametri, etc. n conformitate cu reglementrile legale; Asigurarea comunicrii. Este vorba att de o comunicare intern realizat prin
schimburi orizontale i verticale de informaii, ct i de o comunicare extern,
materializat n schimbul de informaii cu exteriorul (primirea i difuzarea de
informaii din/ctre exterior, schimburi regulate de informaii cu partenerii,
furnizorii, clienii, creditorii etc.).
Necesitatea informatizrii s-a manifestat pe fondul creterii continue a volumului de
informaii vehiculate. Excesul de informaii a determinat nevoia de informaii
sintetizate, mai uor de urmrit i analizat. Aceast sintetizare o realizeaz, de exemplu,
contabilitatea, dar volumul imens de informaii pe care trebuie s le gestioneze a impus
cutarea de noi posibiliti de eficientizare a respectivelor activiti.
Delimitri privind informaia economic
Informaia economic reprezint o comunicare, o tire sau un mesaj ce conine
elemente noi de cunoatere a unor stri, a unor situaii sau a condiiilor de manifestare a
anumitor fenomene sau procese economice din trecut, prezent sau viitor. Informaiile
reprezint elemente noi n raport cu alte cunotine prealabile. (Mati, 2003: 8)
Analiza definiiei informaiei, redat mai sus, conduce la urmtoarele concluzii principale:
- din punct de vedere economic, are relevan numai informaia care prezint interespentru altcineva dect subiectul care a elaborat-o; numai n acest caz se poate vorbi
despre nevoi i resurse de informaie i despre motivaii care determin furnizarea,
-
7/31/2019 Syll_AuditulSistemelorInformatice
14/76
13
respectiv procurarea de informaii;
- faptul c informaia este o reprezentare de natur simbolic face ca utilitatea ei, n senseconomic, s fie determinat de modul de aranjare a simbolurilor care i dau expresie;
- caracterul de noutate este indispensabil pentru a putea vorbi despre informaie;noutatea trebuie perceput ca atare de fiecare primitor de informaie.
n cadrul sistemului informaional, informaia economic deine un loc de prim rang.
Prin esena ei, informaia economic are un rol deosebit de important n funcionarea
sistemului economic, intervenind n procesele de producie i de comercializare, n
gestionarea resurselor, n cunoaterea tiinific a realitii economice.
Funcionarea unei entiti a crei obiectiv este obinerea unui bun economic destinat
satisfacerii unei nevoi, n condiii de eficien economic, exprimat prin mrimea
profitului, are loc pe baza unor perturbri ce se manifest att la nivelul fluxurilor materiale,
tehnologice i informaionale, ct i la nivelul sistemului de management al organizaiei
economice. n astfel de condiii, alturi de resursele economice clasice, rolul resursei
informaionale n atingerea obiectivelor strategice, precum i n asigurarea competitivitii
firmei devine esenial, iar organizarea i utilizarea informaiei pe toate palierele decizionale
devine mai important dect utilizarea n sine a calculatorului electronic.
Unitatea de curs 3: Entitatea economic abordare sistemic
Un sistem reprezint orice instan din viaa real pentru care se identific un ansamblu
de componente (fenomene, obiecte, procese, noiuni, concepte, entiti sau colectiviti)
aflate att n relaii reciproce, ct i cu mediul nconjurtor i care acioneaz n comun
pentru atingerea unor obiective bine stabilite (Oprea, 2005).
O alt abordare consider sistemul ca fiind ... un set de elemente difereniate conectate
sau interrelaionate nct s ndeplineasc o funcie unic care nu poate fi realizat de
elementele privite n mod individual (Rechtin, 1991: 7)
Sistemele sunt universal prezente n cosmos, n realitatea fizico-biologic i n viaa
social. Oprea (2005: 34) consider organizaiile ca fiind formaii sociale constituite din
-
7/31/2019 Syll_AuditulSistemelorInformatice
15/76
14
oameni implicai n vederea ndeplinirii anumitor funcii predeterminate. Orice
organizaie este un sistem, fr ca orice sistem social s fie propriu-zis o organizaie.
n pofida numeroaselor caracteristici generale, sistemele nu sunt identice ntre ele. Deisunt formate dintr-o mulime de elemente aflate n interaciune i se comport unitar i
integral n relaiile lor cu mediul, sistemele se deosebesc foarte mult ntre ele.
Entitatea economic - abordare sistemic
Pornind de la definiiile anterioare ale conceptului de informaie putem preciza c
sistemul informaional economic poate fi definit ca un ansamblu de oameni, de mijloace
i procedee folosit pentru culegerea, pstrarea, prelucrarea, transmiterea, analiza ivalorificarea informaiilor economice.
Avnd n vedere particularitile constructive ale unei entiti economice putem afirma
ca aceasta se circumscrie caracteristicilor unui sistem, deoarece:
1 prezint o structur proprie constnd dintr-o mulime de elemente (departamente,secii, servicii, activiti etc);
2 ntre elementele constitutive exist o serie de fluxuri (materiale, financiare,informaionale, umane etc.) care implic resursele entitii;
3 elementele disponibile i fluxurile existente urmresc realizarea unui anumitobiectiv. (Mati & Cardo, 2007: 33)
Pornind de la abordarea sistemic a unei entiti economice putem particulariza
tipologia acestuia n funcie de criteriile menionate n subcapitolul anterior. Astfel:
entitatea economic este un sistem deschis, adaptativ, innd seama de faptul c este o
component a unor sisteme mai mari, cu care are legturi armonizate prin procesul de
conducere. n acelai timp, entitatea economic are i un grad propriu de autonomie, o
funcionare de sine stttoare. Entitatea economic poate fi neleas numai privind-o ca
sistem deschis, ale crui procese interne se afl n interrelaie cu mediul. Entitatea
economic ca un sistem complet nchis probabil nu va exista niciodat, deoarece
componentele sale sunt totdeauna influenate de fore din afara sistemului. Aceasta
nseamn c entitatea economic trebuie analizat contextual i, n acest sens, putem
vorbi de grade de permeabilitate" la influenele din mediu, dar nu de un sistem nchis.
-
7/31/2019 Syll_AuditulSistemelorInformatice
16/76
15
Importana sistemelor informaionale economice a crescut pe msur ce datele au
devenit resurs cheie pentru orice organizaie, alturi de resursele umane i materiale.
Decidenii au neles c informaia nu mai este un rezultat n sine, ci mai degrab,materia prim a unei afaceri i poate fi considerat factor hotrtor n determinarea
succesului sau eecului acesteia (Oprea, 2005: 24)
Exist o strns legtur ntre sistemele fizice, existente la nivelul unei firme, i
sistemul informaional, considerat sistem logic, din urmtoarele considerente:
- sistemul fizic (real) este alctuit din bunurile corporale prin intermediul crora sedesfoar activitile oricrei organizaii (firm, instituie guvernamental, banc,instituie de nvmnt etc.). Componentele sistemului fizic sunt cldirile,
angajaii, echipamentele, resursele materiale, banii, toate folosite pentru atingerea
unor obiective, cum ar fi: obinerea profitului, recuperarea investiiilor, ctigarea
unui segment de pia, creterea cotaiei aciunilor pe piaa bursier etc.;
- sistemul logic (reglat) informaional (n.a.) reprezint mijloacele prin care sepot reda, din punct de vedere logic componentele sistemului fizic. (McLeod &
Jordan, 2002: 29-30)
ntre sistemul fizic, real, al unei entiti, fie i economice i sistemul informaional care
exist o legtur inseparabil, cel puin din urmtoarele motive:
- pentru ca efectul legturilor dintre sistemul informaional i sistemul su de bazs fie pozitiv i ct mai nalt este necesar s se asigure o deplin concordan ntre
acestea;
- activitile sistemului informaional sunt importante att pentru ansamblulsistemului ct i pentru elementele sale de structur;
- necesitile de perfecionare i dezvoltare sunt valabile att pentru sistemul debaz ct i pentru sistemul informaional aferent. Nu se poate concepe o etap de
dezvoltare sau de perfecionare a activitii economice dintr-o firm fr o
dezvoltare i perfecionare a sistemului informaional decizional din cadrul
acesteia.
-
7/31/2019 Syll_AuditulSistemelorInformatice
17/76
16
Entitatea economic sistem cibernetic
Lucrrile n domeniul sistemicii au condus la definirea unui model care
promoveaz viziunea sistemic asupra entitii pe care o consider format din
urmtoarele trei subsisteme:
- Subsistemul managerial sau decizional este sediul activitii decizionale a entitii.Activitatea decizional este, de fapt, asigurat de ctre toi actorii, la diferite
nivele, de la cei ce-i desfoar activitatea n sistemul operaional, pn la
conducerea de vrf. Acest sistem primete informaii despre sistemul operaional
i acioneaz prin decizii asupra acestuia.
-
Subsistemul informaional joac un dublu rol: pe de o parte asigur toateinformaiile necesare lurii deciziilor pe toate nivelurile de responsabilitate,
conducere i control iar pe de alt parte asigur cile de comunicare ntre celelalte
subsisteme, deoarece deciziile formulate de subsistemul de conducere sunt
transmise factorilor de execuie prin subsistemul informaional (flux descendent).
- Subsistemul condus sau operaional (n cadrul cruia se desf oar proceseleeconomice specifice domeniului de activitate a agentului economic) are loc
culegerea datelor care apoi sunt transmise subsistemului informaional (flux
ascendent) n vederea stocrii i prelucrrii datelor necesare obinerii
informaiilor utilizate n fundamentarea deciziilor la nivelul subsistemului
decizional (de conducere).
Figura 1. Abordarea sistemic a entit ii
(Sursa: Oprea, 2005: 32)
-
7/31/2019 Syll_AuditulSistemelorInformatice
18/76
17
Avnd n vedere definirea unui sistem cibernetic caracterizat prin existena a cel puin
dou subsisteme ntre care exist autoreglarea prin conexiune inversi analiznd acest
lucru pentru sistem un economic putem constata c acesta are caracter cibernetic.
Figura 2. Viziunea cibernetic a entitii
(Sursa: Laudon & Laudon, 2006: 90)
Caracterul de sistem cibernetic este ntrit de faptul c sistemul are propriile obiective,
metode, tehnici i resurse specifice. La nivelul sistemului economic putem identifica cel
puin dou subsisteme interdependente, care asigur stabilitatea ntregului sistem:
subsistemul managerial (de conducere) i subsistemul operaional (condus). Legtura
dintre aceste dou subsisteme este realizat prin intermediul (sub)sistemului
informaional care are menirea de a asigura procesul informaional al sistemului
economic. n cadrul (sub)sistemului informaional se deruleaz fazele formrii
informaiei economice: culegerea datelor rezultate din procesul direct productiv al
sistemului economic, transmiterea datelor pentru prelucrarea propriu-zis (indiferent de
mijloacele tehnice), formarea informaiei economice i arhivarea acesteia.
(Sub)sistemului informaional este influenat i condus prin decizii proprii transmise pe
canalul conexiunii inverse. Aceste decizii au rolul de a asigura funcionarea
(sub)sistemului informaional la parametrii prestabilii. Totodat, aceste decizii au i
rolul de a adapta i de a perfeciona continuu procesul informaional astfel nct acesta s
corespund ntru-totul modificrilor sistemului economic pe care l deservete.
Mediul economic
Sistem informaional
Feedback (conexiune invers)
Legiuitor Acionari Competitori
Furnizori Clien i
Entitatea economic
Intrri Prelucrri Ieiri
-
7/31/2019 Syll_AuditulSistemelorInformatice
19/76
18
O parte din fazele procesului informaional (de exemplu culegerea datelor din evidena
primar) se realizeaz n nsi subsistemul operaional (condus) al sistemului economic.
Putem aprecia c subsistemul n care are loc procesul informaional mpreun cu o parte
din subsistemul operaional formeaz subsistemul condus al sistemului cibernetic
informaional. Rolul principal al subsistemului condus const n asigurarea cu
informaii pentru conducerea ntregului sistem economic precum i pentru funcionarea
sistemului informaional i meninerea acestuia n cadrul unor limite prestabilite.
Rezumatul modulului
Informaia este o reprezentare simbolic asupra unor entiti din realitate, avndcaracter de noutate pentru subiecii receptori" ea fiind generat prin procese decunoatere de natura observrii directe sau a interpretrii semantice de mesaje".(Dicionar de Economie, 2001: 233).
Informaia prezint ntr-o entitate patru roluri principale: (1) msur a succesului; (2)semnal de alarm; (3) baz pentru fundamentarea deciziilor; (4) baz pentru planificare.Utilizarea informaiilor are n vedere urmtoarele trei tipuri de obiective: (1) suport pentruluarea deciziilor; (2) ndeplinirea unor obligaii legale; (3) asigurarea comunicrii.
Sistemul informaional economic poate fi definit ca un ansamblu de oameni, de
mijloace i procedee folosit pentru culegerea, pstrarea, prelucrarea, transmiterea,analiza i valorificarea informaiilor economice.
Avnd n vedere definirea unui sistem cibernetic caracterizat prin existena a cel puindou subsisteme ntre care exist autoreglarea prin conexiune inversi analiznd acestlucru pentru sistem un economic putem constata c acesta are caracter cibernetic.
Viziunea sistemic asupra entitii este format din urmtoarele trei subsisteme:
- Subsistemul managerial sau decizional este sediul activitii decizionale a entitii.- Subsistemul informaional joac un dublu rol: pe de o parte asigur toate
informaiile necesare lurii deciziilor iar pe de alt parte asigur cile decomunicare ntre celelalte subsisteme
- Subsistemul condus sau operaional (n cadrul cruia se desf oar proceseleeconomice specifice domeniului de activitate a agentului economic).
Sarcini i teme
n vederea eficientizrii activitii masteranzilor precum i pentru facilitarea nvriicursanii vor realiza o inventariere a componentelor unui sistem informaional al uneientiti dup un model care va fi pus la dispoziie electronic sau n cadrul primeiactiviti tutoriale. Aceast activitate va fi luat n considerare la stabilirea notei finale.
-
7/31/2019 Syll_AuditulSistemelorInformatice
20/76
19
Bibliografie modul
Anghelescu C., Apostol Gh., Avram I., (2001), Dicionar de economie, EdituraEconomic, Bucureti
Feleg N. & Ionacu I., (1998), Tratat de contabilitate financiar vol. I, EdituraEconomic, Bucureti
Kirkegaard, H. 1997. Improving Accounting Reliability: Solvency, Insolvency andFuture Cash Flows, Quorum Books, Westport, Connecticut, USA
Laudon K.C. & Laudon L.P. (2006)Management Information systems managing thedigital firm, 9th edition, Ed. Prentice Hall
Mati D., 2000, Caliti i limite ale informaiilor contabile, Studia Universitatis Babe-Bolyai, Oeconomica, nr. 1, pag. 3140
Mati D. & Cardo V., 2007, Particularitile evalurii riscurilor n activitatea de audital sistemelor informatice n scopul raportrilor financiare, Revista de Audit,
CAFR, nr. 10:32-39McLeod Jr. & Jordan E., (2002), System Development. A project ManagementApproach, John Wiley&Sons, New York
Oprea D. (2005), Analiza sistemelor informaionale, Edidura Universitii AlexandruIoan Cuza, Iai
Popa I, (2005),Management general, Editura ASE, BucuretiRahman M. & Halladay M. (2007), Accounting information Systems-Principles,
Applications, and Future Directions, disponibil online la adresa:http://www.kglobal.org/path04/ Chapter_1.pdf)
Rechtin E., (1991), Systems Architecting: Creating and building complex systems,Englewood Cliffs, NJ: Prentice Hall
ugui Al., (2003), Produse informatice generalizate pentru contabilitate, EdituraCECCAR, BucuretiZu K., (2005), Information Transparency hypothesis: Economic Implications of
Information Transparency in Electronic Markets, Advances in Economics ofInformation systems, Idea Group Publishing
-
7/31/2019 Syll_AuditulSistemelorInformatice
21/76
20
-
7/31/2019 Syll_AuditulSistemelorInformatice
22/76
21
MODULUL II: Aspecte generale privind auditul sistemelor informaionale
Scopul i obiectivele modulului
Scopul eacestui modul este de a sublinia importana auditulul sistemelor informaionale i
de a oferi o imagine asupra diverselor valene ale acestei activiti. Masteranzii vor putea
s fac distincie ntre auditul sistemelor informaionale i auditul informatic precum i s
contientizeze modul n care rezultatele unui asemenea audit pot fi valorificate
Obiectivele acestui modul sunt:1. nelegerea necesitii i importanei auditului sistemelor informaionale;2. Cunoterea sferei de cuprindere a auditului sistemelor informaionale;3. Cunoaterea aspectelor definitorii privind auditul aplicaiilor informatice;4. nelegerea disticiei dintre auditul sistemelor informaionale i auditul
aplicaiilor informatice;
5. nelegerea modalitilor de valorificare a rezultatelor unui audit al sistemelorinformaionale.
Unitatea de curs 1: Necesitatea auditului sistemelor informaionale
Evoluia tehnologiilor implic revoluionarea modelelor de structurare a organizaiilor
care implic printre altele: externalizarea serviciilor sau a unor procese care necesit un
nivel ridicat de pregtire i cunotine, descentralizarea activitilor i reducerea gradului
de utilizare a resurselor clasice ca urmare a creterii n importan a noilor resurse cum arfi informaiile i cunotinele. Reelele informatice nchise au evoluat n reele virtuale
care au la baz Internetul, aplicaiile singulare au fost ncorporate n soluii integrate de
genul ERP (Enterprise Resource Planning) i operaiunile zilnice nu se mai deruleaz la
nivel local ci includ aplicaii care au la baz tehnologii electronice i mobile. Aceste
evoluii i tendine au ca i factor comun producerea, transmiterea i utilizarea informaiei.
-
7/31/2019 Syll_AuditulSistemelorInformatice
23/76
22
Informaia nu trebuie privit izolat, ca un factor singular, ci n cadrul unui sistem coerent i
dinamic din care mai fac parte datele i cunoaterea. n form grafic aceste elemente pot fi
reprezentate sub forma unei piramide care are la baz data, la mijloc informaia, iar la
nivelul superior cunoaterea.Pornind de la aceast structur ierarhic, datele sunt definite ca
fiind faptele, fenomenele brute, neprelucrate, informaiile reprezint date aflate ntr-o form
organizat sau modele ce deriv din date (Munteanu, 2001).
Pentru realizarea proceselor de cunoatere i de gestiune a poziiei financiare i
performanelor ntreprinderii datele i informaiile sunt organizate ntr-un sistem
informaional care are la baz tehnologia informaional. n acest scop se identific
evenimentele i faptele ce genereaz informaii, se delimiteaz obiectivele cunoaterii iconducerii, se stabilesc purttorii materiali de informaii i modul n care se culeg, se
nregistreaz datele, se aleg metodele de prelucrare, se definesc destinaiile
informaiilor i se organizeaz transmiterea lor la destinatar.
ntr-o lume n care mediul de afaceri i tehnologiile informaionale sunt ntr-o continu
micare i dezvoltare, locul i rolul auditorului se schimb pentru a ine pasul cu aceste
tendine. n acest context, auditul sistemelor informaionale a devenit o necesitate, o
prioritate, pentru c trebuie s asigure: conformitatea informaiilor, prin care se
probeaz c realitatea este conform cu legislaia i cu standardele din domeniu,
credibilitatea situaiilor financiare prin creterea eficienei activitilor desfurate n
cadrul organizaiei, pe baza deciziilor i msurilor care duc la atingerea obiectivelor.
Unitatea de curs 2: Auditul sistemelor informaionale
Sistemul informaional modern modific parcursul clasic al datelor prelucrate de la
documentele primare la situaii i rapoarte tiprite pe hrtie, nlocuindu-l cu proceduri
automate de introducere a datelor cu ajutorul formularelor electronice i cu afiarea
situaiilor de sintez pe dispozitive electronice. Actualizarea bazelor de date n timp
real, n regim de acces concurenial ne oblig la verificarea i controlul sincronizrii
procedurilor de calcul i afiare.
-
7/31/2019 Syll_AuditulSistemelorInformatice
24/76
23
nainte de a se contura ca o disciplin de sine-stttoare auditul sistemelor
informaionale a parcurs mai multe etape strns legate de stadiul evoluiei tehnologiilor
informaionale folosite n entitile economice i modul n care aceste tehnologii au
influenat formele de control. Aceste etape au fost (Piattini, 2000:11):
- auditul n jurul calculatorului: a fost metoda folosit la nceputurile utilizriitehnologiilor informaionale pentru procesarea datelor. n aceast faz predomin
nc controalele manuale la care fac apel auditorii care considerau calculatoarele ca
fiind adevrate cutii negre. Auditorul nu face apel la controalele automate pentru
reducerea riscurilor estimate ci se bazeaz pe formele de control clasice reproducnd
practic prelucrrile fcute de calculatoare (Arens&Loebbecke, 2003);
- auditarea calculatorului: s-a dezvoltat cnd cantitatea de date prelucrate itehnologiile folosite pentru acest lucru au crescut n complexitate. Acest lucru a
pretins din partea auditorului o serie de cunotine pe care puini le deineau. Ca
urmare acetia au apelat la specialiti pentru a se asigura c sistemul de control care
exista la nivelul sistemului informaional permitea auditorului o asigurare rezonabil
asupra modului de procesare al informaiilor;
- auditarea prin computer: este momentul n care auditul sistemelor informaionaledevine o profesie i ulterior o disciplin academic. n acest moment auditulsistemelor informaionale depete sfera auditului clasic, fie el intern sau extern, ca
urmare a dezvoltrii sistemelor informaionale iar entitile economice aveau nevoie
de servicii de consultan care s certifice eficiena acestor sisteme;
- auditarea cu ajutorul calculatorului: a fost favorizat de faptul c auditorii apelaudin ce n ce mai des la computere pentru extragerea datelor din sistemul
informaional, eantionare, realizarea testelor etc.;
-
auditarea interiorului calculatorului: s-a dezvoltat ca urmare a faptului c din ce nce mai multe echipamente i aplicaii aveau ncorporate n ele controale i proceduri
de securitate care anterior au fost realizate prin procedee manuale sau alternative.
Auditul sistemelor informaionale reprezint procesul prin care se colecteaz i
evalueaz dovezi cu scopul de a determina dac protecia fizic a activelor sistemului i
msurile prin care se asigur integritatea datelor, contribuie la utilizarea eficace a
resurselor i ajut la atingerea obiectivelor organizaiei (ISACA, 2008).
-
7/31/2019 Syll_AuditulSistemelorInformatice
25/76
24
Munteanu (2001:40) consider c activele unui sistem informaional modern includ:
hardware-ul, software-ul, personalul, fiierele cu date, documentaia sistemului i
facilitile oferite. Ca oricare alte active din cadrul entitii i acestea trebuie protejate
prin intermediul unui sistem de control.
Eden&Stanciu (2004:15) consider c auditul sistemelor informatice (informaionale
n.a.) este activitatea prin care auditorul n urma colectrii i evalurii unor probe
specifice de audit, i exprim opinia asupra modului n care sistemul informatic
(informaional n.a.) permite atingerea obiectivelor strategice ale entitii n condiiile
utilizrii eficiente a tuturor resurselor informatice (informaionale n.a.)
Auditul sistemelor informaionale a evoluat progresiv odat cu utilizarea la o scar din ce
n ce mai mare a tehnologiilor informaionale, dar mai ales odat cu utilizarea unor
tehnologii din ce n ce mai complexe. Dac la origini auditul sistemelor informaionale s-a
numit auditul procesrilor automate a datelor, etap care corespundea utilizrii n cadrul
entitilor economice a unor calculatoare izolate care realizau operaiuni de preluare a
datelor de pe suporturi tradiionale, prelucrarea acestora i furnizarea unor rapoarte,
ulterior, ca urmare a apariiei reelelor de calculatoare, care permiteau procesarea unor
date variate, a avut loc mutaia denumirii acestei activiti n forma sa actual.
Clarificarea locului i rolului auditului sistemelor informaionale n cadrul auditului
intern i al auditului extern (financiar) a depins de doi factori eseniali: n primul rnd
creterea complexitii sistemelor informaionale nu le mai permitea auditorilor
tradiionali, fie ei interni sau externi, luxul de a audita n jurul calculatorului, iar n al
doilea rnd nevoia de informaii actuale, obinute ntr-un timp ct mai scurt ale
managerilor, n special, dar i al celorlali utilizatori a dus la o focalizare a atenieiacordat riscurilor pe care acest demers le presupunea.
Aflat la grania dintre auditul sistemelor informatice i auditul tradiional, realizarea
unei misiuni de audit al sistemelor informaionale presupune cunotine din domenii
variate cum ar fi: contabilitate, audit, informatic, managementul sistemelor
informaionale etc. Auditul sistemelor informaionale acoper mai multe segmente de
activiti: verificarea managementului sistemului informatic, verificarea i controlul
-
7/31/2019 Syll_AuditulSistemelorInformatice
26/76
25
aplicaiilor, controlul securitii fizice, al accesului comunicaiilor n cadrul reelei
(Eden & Stanciu, 2004).
Desigur pentru fiecare segment de activitate supus auditrii din perspectiva sistemelorinformaionale putem vorbi de o multitudine de tipuri de audit, dintre care amintim
(Ivan et al., 2004):
a) auditul sistemului operaional de calcul, care vizeaz controlul configuraiilor decalcul, al reelelor, sistemelor de operare, software aplicativ, baze de date, controale
logice/procedurale, controale preventive i corective;
b) auditul instalaiilor IT, care vizeaz securitatea fizic, controalele mediului de lucrui echipamentele IT;
c) auditul procesului IT, care se refer la revizia proceselor legate de dezvoltare aaplicaiilor IT, testarea, implementarea, meninerea in funciune, gestionarea
incidentelor;
d) auditul controlului i securitii informaiilor, care vizeaz revizia controalelorreferitoare la confidenialitatea, integralitatea i disponibilitatea sistemelor i
datelor;
e) auditul conformitii cu legalitatea, ncepnd cu licenele software, copyright,respectarea legislaiei, protecia datelor personale;
f) auditul continuitii, care vizeaz refacerea dup dezastre, msurile de restaurare,evaluarea modului de abordare a managementului riscurilor.
Toat aceast tipologie enumerat mai sus are ca numitor comun derularea unor activiti
de colectare i evaluare a unor probe specifice care s permit formarea unei opinii asupra
modului in care sistemul informaional permite atingerea obiectivelor strategice ale
organizaiei n condiiile utilizrii eficiente a tuturor resurselor informatice. Acesteactiviti presupun parcurgerea urmtoarelor faze (Eden & Stanciu, 2004):
- stabilirea tipului de audit i obiectivul su specific;- planificarea;- culegerea probelor, verificarea lor;- evaluarea rezultatelor;-ntocmirea raportului de audit.
-
7/31/2019 Syll_AuditulSistemelorInformatice
27/76
26
n cadrul auditului sistemelor informaionale o atenie deosebit se acord auditului
aplicaiilor informatice deoarece aceste pot fi o surs major de risc ca urmare a
utilizrii defectuoase, a slabei pregtiri ale personalului sau a utilizrii acestora pe
echipamente inadecvate sau neprotejate. Ca urmare a acestor constatri n continuare
vom aduce n centrul ateniei problematica auditului aplicaiilor informatice.
Unitatea de curs 3: Auditul aplicaiilor informatice
Aplicaiile informatice sunt construcii complexe care includ aplicaii i seturi de date
organizate n fiiere, baze de date sau alte structuri a cror dinamic i coninutamelioreaz duratele tranzaciilor. Aplicaia informatic soluioneaz probleme ce
aparin unei clase riguros definit (Ivan et al., 2004).
"Auditul sistemelor informatice (informaionale n.a.) reprezint activitatea de colectare
i evaluare a unor probe pentru a determina dac sistemul informatic (informaional
n.a.) este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea
obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale."
(Brnda, 2004)
Elaborarea i implementarea de aplicaii informatice creeaz premisele reale pentru
dezvoltarea de sisteme informatice pentru management deoarece prin agregarea de
aplicaii informatice ale companiei se obin subsisteme informatice de management;
prin agregarea de subsisteme de management se obine sistemul informatic n
integralitatea sa; sistemul este integrat datorit faptului c abordeaz totalitatea
aspectelor ce se manifest la nivelul companiei;
Auditarea aplicaiei informatice se realizeaz prin efectuarea de teste, prin analiza
structurii, a modulelor, a interaciunilor dintre module i prin analiza procesului care st
la baza ciclului de dezvoltare. Se verific nivelul concordanei dintre cerinele formulate
de beneficiar i reflectarea acestora la nivelul specificaiilor. Se stabilete concordana
dintre structura proiectului i structura sistemului aa cum rezult din specificaii. Este
-
7/31/2019 Syll_AuditulSistemelorInformatice
28/76
27
important s se defineasc fluxurile care se parcurg la nivelul aplicaiei informatice
astfel nct testele s acopere totalitatea elementelor definite prin specificaii.
Testele se efectueaz pentru a marca msura n care componentele aplicaiei informatice(date de intrare, module program, date de ieire) satisfac specificaiile i de a stabili care
sunt diferenele ntre ceea ce se atepta s se obin prin utilizarea aplicaia i ceea ce s-a
obinut n mod concret.
Testele utilizeaz module program, structuri de date, exigenele de acceptare, seturi de
date de test i documentaia care alctuiete ghidul utilizatorului. Procesul de testare are
la baz un plan care include: definirea obiectivului testrii, etapele prin care se
efectueaz testarea, intrrile i ieirile testrii.
n planul de testare sunt evideniate distinct, ca teste de acceptare, procesele de la
nivelul unitilor, de la nivelul ntregii aplicaii i de la nivelul interaciunii dintre
aplicaia informatic i utilizator. Planului de testare pentru aplicaia informatic i
corespunde un program de testare n care obiectivele i etapele iau forme concrete prin
enumerarea de componente ale aplicaiei, prin persoane care deruleaz activitile de
testare, prin precizarea obiectivelor urmrite n fiecare caz n parte.
Auditul aplicaiei informatice traverseaz etapele oricrui proces de auditare. Orice
proces de audit este derulat daci numai dac este fezabil. Fiecare aplicaie informatic
este nsoit de o documentaie cadru care definete condiiile de elaborare, sarcinile
elaboratorului i cele ale beneficiarului. De asemenea echipa de audit analizeaz i
documentele relevante de ordin tehnic prin care se evideniaz modul n care au fost
parcurse etapele ciclului de dezvoltare.
Etapele de derulare a auditului privesc interaciuni ale echipei de auditori cu cei care au
dezvoltat aplicaia n aa fel nct, printr-o abordare gradat, s se obin toate datele
necesare stabilirii concordanei dintre ceea ce se solicit prin specificaii i ceea ce
exist n realitate: programe, fiiere, baze de date i structuri de rezultate finale.
Raportul de audit trebuie s consemneze toate diferenele. El nu soluioneaz
problemele, dar creeaz bazele corecte ale derulrii proceselor de eliminare a erorilor i
de cretere a nivelurilor unor caracteristici de calitate.
-
7/31/2019 Syll_AuditulSistemelorInformatice
29/76
28
Unitatea de curs 4: Valorificarea rezultatelor auditului
Rezultatele auditului sunt transpuse la nivelul organizaiei prin implementarea msurilor
de mbuntire a securitii tehnologiei informaiei i comunicaiilor care vizeaz:modului de organizare a structurilor interne, securitatea fizic a datelor, accesul
personalului, controlul accesului i altele, conform (Ivan et al., 2004).
Organizare
Fiecare utilizator al sistemului informatic este responsabil cu asigurarea securitii
datelor pe care le manipuleaz. Existena unei structuri organizatorice unitare care s
iniieze i s controleze implementarea mecanismelor de securitate n cadrul
organizaiei, presupune un punct central de coordonare responsabilul cu securitatea.
Rolul si atribuiile sale se refer la coordonarea si urmrirea respectrii procedurilor i
politicilor de securitate. Msurile de protecie sunt proiectate n funcie de gradul de
senzitivitate si de semnificaia economic a resurselor vizate. Perimetrele n care sunt
amplasate echipamentele de procesare, vor fi protejate cu bariere de acces suplimentare.
Msuri de securitatea fizic
Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sauafectarea facilitailor oferite de sistemul informaional. Aceasta seciune vizeaz
mecanismele prin care se asigura securitatea fizica a imobilului n care organiza ia i
desfoar activitatea. Alt aspect important al securitii fizice este cel legat de
protecia echipamentelor, prin prevenirea pierderii, distrugerii sau compromiterii
funcionarii echipamentelor care pot afecta funcionarea organizaiei.
Msuri de securitatea personalului
Cele mai multe incidente de securitate sunt generate de personal din interiorul organizaiei,
prin aciuni ru intenionate sau chiar erori sau neglijena n utilizarea resurselor
informaionale. Securitatea informaiilor este un aspect ce trebuie avut n vedere nc din
etapa de selecie a angajailor. Angajaii trebuie monitorizai pe ntreaga perioada de
valabilitate a contractului de munci trebuie s aib cunotin de prevederile politicilor de
securitate. Clauzele de confidenialitate, definirea conflictelor de interese, distribuirea si
divulgarea informaiilor trebuie avute n vedere pentru fiecare post n parte.
-
7/31/2019 Syll_AuditulSistemelorInformatice
30/76
29
Utilizatorii trebuie instruii cu privire la procedurile de securitate ce trebuie urmate si
utilizarea facilitilor IT n conformitate cu politica organizaiei. Ar trebui s existe un
program coerent de instruire a angajailor pe diverse niveluri de interes, pe lng o
instruire general n gestiunea securitii fiind necesare si specializri pentru
administratorii sistemului informatic n tehnologii de securitate specifice.
Msuri pentru controlul accesului
Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces neautorizat.
Este important pentru o organizaie s-i apere proprietatea intelectual, reetele de
producie, aprovizionare, desfacere, datele despre personalul angajat etc. Pentru o
instituie public, datorit caracterului informaiei pe care o gestioneaz este importants asigure n primul rnd integritatea si disponibilitatea datelor.
Controlul accesului ncepe cu stabilirea cerinelor de acordare a drepturilor de utilizare a
informaiilor. Accesul la facilitile si serviciile oferite de sistemul informatic trebuie
controlat n funcie de specificul si cerinele mediului n care i desfoar activitatea
organizaia. Pentru a rspunde acestor cerine sunt n general definite o serie de reguli
de acces corelate cu atribuiile fiecrui utilizator al sistemului informatic. Meninerea
acestor reguli n linie cu cerinele organizaiei implic un proces de gestiune a accesului
utilizatorilor sistemului.
Msuri de control pentru fiecare nivel al sistemului informatic:
- Controlul accesului la serviciile reelei - conexiunile la serviciile reelei trebuiecontrolate iar pentru obinerea accesului la astfel de servicii este recomandat
implementarea unei proceduri formale.
-
Controlul accesului la nivelul sistemului de operare sistemul de operare trebuie saprevad msuri de restricionare a accesului la date existente pe calculatore.
- Controlul accesului la aplicaii - prevenirea accesului neautorizat la informaiilegestionate de aplicaiile software.
Orict de elaborate ar fi msurile de control al accesului exista totdeauna posibilitatea
unei intruziuni, sau utilizarea inadecvata a resurselor existente.
-
7/31/2019 Syll_AuditulSistemelorInformatice
31/76
30
Rezumatul modului
ntr-o lume n care mediul de afaceri i tehnologiile informaionale sunt ntr-o continumicare i dezvoltare, locul i rolul auditorului se schimb pentru a ine pasul cu acestetendine. n acest context, auditul sistemelor informaionale a devenit o necesitate, o
prioritate, pentru c trebuie s asigure: conformitatea informaiilor, prin care seprobeaz c realitatea este conform cu legislaia i cu standardele din domeniu,credibilitatea situaiilor financiare prin creterea eficienei activitilor desfurate ncadrul organizaiei, pe baza deciziilor i msurilor care duc la atingerea obiectivelor.
Auditul sistemelor informaionale reprezint procesul prin care se colecteaz ievalueaz dovezi cu scopul de a determina dac protecia fizic a activelor sistemului imsurile prin care se asigur integritatea datelor, contribuie la utilizarea eficace aresurselor i ajut la atingerea obiectivelor organizaiei (ISACA, 2008).
Auditarea aplicaiei informatice se realizeaz prin efectuarea de teste, prin analizastructurii, a modulelor, a interaciunilor dintre module i prin analiza procesului care stla baza ciclului de dezvoltare. Se verific nivelul concordanei dintre cerinele formulatede beneficiar i reflectarea acestora la nivelul specificaiilor. Se stabilete concordanadintre structura proiectului i structura sistemului aa cum rezult din specificaii.
Rezultatele auditului sunt transpuse la nivelul organizaiei prin implementarea msurilorde mbuntire a securitii tehnologiei informaiei i comunicaiilor care vizeaz:modului de organizare a structurilor interne, securitatea fizic a datelor, accesulpersonalului, controlul accesului etc..
Sarcini i temen vederea eficientizrii activitii masteranzilor precum i pentru facilitarea nvriicursanii vor realiza o inventariere a activelor informaionale ale unei entiti dup unmodel care va fi pus la dispoziie electronic sau n cadrul primei activiti tutoriale.Aceast activitate va fi luat n considerare la stabilirea notei finale.
Bibliografie modul
Arens A. & Loebbecke J., 2003,Audit o abordare integrat, ediia a 8-a, Ed. ARC
Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea de Vest,Timioara
Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech,Bucureti
Information Systems Audit and Control Association, 2008, Standards for IT Audit andAssurance
Ivan et al., 2005,Auditul sistemelor informatice, Ed. ASE, 2005
Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom, Iai
Peltier T., 2005, Information Security Risk Analysis Second Edition, CRC Press,Taylor & Francis Group, Boca Raton, Florida
Piattini M., 2000,Auditing Information Systems, Idea Group Publishing, Hershey SUA
-
7/31/2019 Syll_AuditulSistemelorInformatice
32/76
31
MODULUL III: Auditul sistemelor informaionale i auditului intern
Scopul i obiectivele modulului
Scopul modulului este de a famirializa masteranzii cu particularitile riscurilor
generate de sistemul informaional al entitii din perspectiva unei misiuni de audit
intern. De asemenea se urmrete nelegerea diferitelor metode sau tehnici de evaluare
a riscurilor precum i a posibilitilor de gestionare a acestora.
Obiectivele modulului sunt:
1. nelegerea conceptului de risc i a impactului pe care riscurile le au asupraactivitii unei entiti economice;
2. nelegerea locului i rolului auditului sistemelor informaionale dinperspectiva unei misiuni de audit intern;
3. Cunoaterea etapelor de lucru privind identificarea i cuantificarea riscurilor;4. nsuirea modalitilor de gestionare a riscurilor: acceptare, eliminare etc.
Unitatea de curs 1: O abordare bazat pe riscuri
ntr-un mediu al auditului intern n care tranzaciile sunt procesate prin aplicaii
informatice dispersate i eterogene identificarea i cuantificarea nregistrrilor
ocazionale eronate pe baza eantioanelor statistice se poate aplica cu dificultate ca
urmare a modului de realizare a sistemului informaional i a controalelor automate pe
care aceste le are sau ar trebui s la aib ncorporate. n schimb urmrirea erorilor
sistematice generate de aplicaiile informatice i nivelul riscului de control aferent
sistemului informaional sunt mai relevante pentru determinarea naturii, duratei icostului unei misiuni de audit. Ca urmare a acestui fapt la nivel internaional se constat
o mutaie de la aplicarea testelor de conformitate la o abordare bazat pe risc.
Obiectivul principal al implementrii unei abordri bazate pe risc este mbuntirea
activitii de audit intern i creterea profitabilitii entitii prin utilizarea eficient a
resurselor de care aceasta dispune. Auditarea orientat spre riscuri este astfel conceput
nct s utilizeze resursele disponibile n zonele de risc maxim ceea ce faciliteaz o
-
7/31/2019 Syll_AuditulSistemelorInformatice
33/76
32
evaluare eficient a riscurilor i un mediu de control mai eficient. Acest lucru necesiti
ntrete cooperarea dintre auditori i management. ntr-un audit centrat spre risc auditorii
sistemelor informaionale se bazeaz pe controalele interne i pe cunoaterea entitii.
Prin nelegerea naturii activitilor16558(i)-2entitii iauditorule 4 2 8 / R 1 0 1 2 T f 0 . 9 5 4 ( ) - 5 8 ( i ) 3 8 u
-
7/31/2019 Syll_AuditulSistemelorInformatice
34/76
33
conducerii privind funcionarea efectiv a managementul riscurilor ceea ce presupune c
riscurile sunt gestionate corespunztor, iar n al doilea rnd, prin implicarea auditului
intern n activiti consultative se ntresc procesele managementului riscurilor n entitate.
Extinderea utilizrii tehnologiilor informaionale n toate zonele i activitile unei
entiti atrage dup sine reducerea numrului i importanei controalelor tradiionale n
favoarea controalelor automate, dar n acelai timp acest lucru poate fi o surs de risc
dac sistemul informaional are implementate controale defectuoase ceea ce are un
impact major asupra activitii entitii. (IIA GTAG 4, 2006:2). La acestea mai putem
aduga tendina de ncorporare n echipamente i aplicaii informatice a unor controale
manuale sau automate (Piattini, 2000). Implementarea controalelor automate are efectesemnificative asupra scopului, duratei, costurilor, procedurilor i metodelor folosite
pentru auditarea unor astfel de sisteme.
Printre mbuntirile controlului intern rezultnd din integrarea tehnologiilor
informaionale n sistemele contabile se numr:
1) Mecanismele de control informatice le nlocuiesc pe cele manuale. Beneficiileevidente ale tehnologiilor informaionale, cum ar fi posibilitatea de a gestiona
rentabil volume impresionante de operaiuni economice complexe, determin
organizaiile s fac apel la asemenea tehnologii pe tot parcursul derulrii
activitilor. Unul dintre avantajele tehnologiilor informaionale const n
posibilitatea de a mbunti controlul intern prin ncorporarea unor mecanisme de
control executate de calculatoare n activitile cotidiene de prelucrare a
operaiunilor. nlocuirea procedurilor manuale cu mecanisme de control programate,
care aplic verificri i calculeaz solduri pentru fiecare operaiune prelucrare poate
reduce erorile umane care ar putea aprea n mediile manuale tradiionale. Unsistem de TI bine controlat ofer un potenial mai mare de reducere a erorilor,
deoarece, calculatoarele prelucreaz informaiile de manier consecvent, uniform.
Printre exemplele de proceduri de control intern executate de calculatoare i care n
trecut le reveneau angajailor se numr: compararea codului clientului i al
produsului cu fiierul sistematic sau compararea sumelor operaiunilor de vnzare
cu limitele de creditare prestabilite.
-
7/31/2019 Syll_AuditulSistemelorInformatice
35/76
34
2) Sunt disponibile informaii de calitate mai nalt. Dup ce managementul se convingede fiabilitatea informaiilor produse cu ajutorul tehnologiilor informaionale, utilizarea
acestor informaii ofer un potenial adiional de mbuntire a deciziilor
manageriale. n primul rnd, mediile de TI complexe sunt, de obicei, gestionate cu
eficacitate, deoarece complexitatea impune organizare, proceduri i documentare
eficiente. n al doilea rnd, sistemele de TI ofer, de regul, managementului o
cantitate mai mare de informaii de calitate disponibile mai rapid dect n majoritatea
sistemelor manuale. (Arens&Loebbecke, 2003:380-381).
n ceea ce privete activitatea de audit al sistemelor informaionale din perspectiva
auditului intern trebuie s precizm c auditorul trebuie s adopte o abordare n realizareaplanului de audit astfel nct s se permit alocarea eficient ale resurselor auditului
sistemelor informaionale. n acest demers evaluarea riscurilor are n vedere identificarea
elementelor auditabile i alegerea zonelor sau activitilor care sunt expuse cel mai mult la
risc. Riscul asociat fiecrui element poate fi determinat prin izolarea riscurilor individuale
aferente acestora, dar de cele mai multe ori riscurile se identific pornind de la procesele
sau obiectivele entitii la atingerea crora contribuie respectivul element. Evaluarea
riscurilor legate de sistemul informaional trebuie sin cont de impactul i probabilitatea
de apariie a riscurilor. Impactul riscurilor legate de sistemul informaional este deseori
mare mai ales pentru riscurile complexe care vizeaz zonele vulnerabile ale entitii.
Unitatea de curs 3: Gestiunea riscurilor
Gestionarea riscurilor sau managementul riscurilor cuprinde toate procesele privind
identificarea, evaluarea i aprecierea riscurilor, stabilirea responsabilitilor, luarea de
msuri de atenuare sau anticipare a acestora, revizuirea periodic i monitorizarea
progresului (M.F.P., 2007:10). Implementarea unui sistem de management al riscurilor
este un imperativ al entitilor moderne care activeaz ntr-un mediu dinamic i
caracterizat de incertitudine, deoarece trebuie s fie capabil s rspunde la aceste
elemente n mod eficient.
Managementul riscurilor poate fi definit ca fiind procesul de identificare a
vulnerabilitilor i ameninrilor din cadrul unei entiti, precum i de elaborare a unor
-
7/31/2019 Syll_AuditulSistemelorInformatice
36/76
35
msuri de minimizare a impactului acestora asupra resurselor informaionale,
monitorizarea i evaluarea msurilor i urmrirea eficienei controalelor implementate
(COSO, 2004)
Managementul riscurilor impune modificarea stilului de management, deoarece managerii
nu trebuie s se limiteze la a trata consecinele generate de manifestarea riscurilor. Ei
trebuie s adopte o poziie proactiv n sensul lurii unor decizii care s prentmpine sau
s atenueze impactul riscurilor. De asemenea, managementul riscurilor faciliteaz
realizarea eficienti eficace a obiectivelor entitii prin concentrarea eforturilor pentru
gestionarea riscurilor i mai ales prin revizuirea periodic a riscurilor pentru a realiza o
realocare a resurselor. n alt ordine de idei managementul riscurilor asigur condiii debaz pentru un control intern sntos (M.F.P., 2007:6-7).
Evaluarea riscurilor este doar unul din elementele unei structuri mai ample,
managementul riscurilor. Evaluarea riscurilor reprezint baza pentru celelalte elemente
care formeaz managementul riscurilor. Mai exact, evaluarea riscurilor permite stabilirea
politicilor de control adecvate i identificarea celor mai eficiente msuri pentru
implementarea respectivelor politici. Deoarece riscurile i ameninrile se afl ntr-o
continu schimbare este important reevaluarea periodic a riscurilor i reconsiderarea
adecvrii i eficienei politicilor i controalelor implementate.(GAO, 1999:7)
Evaluarea riscurilor, fie c se refer la riscurile asociate auditului sistemelor
informaionale sau la alte tipuri de riscuri, reprezint o modalitate de asigurare a unei
baze necesare pentru: nelegerea factorilor care pot s influeneze operaiunile,
rezultatele unei entiti i susinerea deciziilor legate de modalitile de reducere a
impactului riscurilor. Utilizarea la o scar din ce n ce mai mare a sistemelorinformaionale i a datelor electronice atrage dup sine i o cretere a riscurilor la un
nivel care solicit implicarea constant a managementului i a auditorilor.
Cadrul conceptual de management al riscurilor unei entiti (Enterprise Risk
Management Framwork) publicat de COSO n 2004 identific patru categorii de
obiective care sunt luate n vedere i pot fi realizate dac entitatea are implementat un
management al riscurilor eficient (COSO, 2004:3):
- obiective strategice: care vizeaz realizarea obiectivelor fundamentale corelate cu
-
7/31/2019 Syll_AuditulSistemelorInformatice
37/76
36
misiunea entitii;
- obiective operaionale: care vizeaz utilizarea eficienti eficace a resurselor;- obiective privind raportarea: susine credibilitatea raportrilor;- obiective privind conformitatea: respectarea legilor i reglementrilor.Pornind de la ideea c sistemul informaional al entitii acoper toate domeniile,
activitile i procesele unei entiti putem afirma c acesta, sistemul informaional, este
un factor important pentru realizarea obiectivelor entitii, dar n acelai timp poate fi i
o surs de riscuri. Astfel putem considera sistemul informaional ca genernd riscuri
(Cascarino, 2007:37):
-
strategice: legate de sistemele informaionale dezvoltate n entitate sauimplementate cu ajutorul terilor dar care nu sunt corelate cu obiectivele
fundamentale ale entitii i nu susin ndeplinirea misiunii acesteia;
- operaionale: legate de utilizarea ineficient sau mult sub parametrii optimi asistemului informaional, ceea ce poate genera costuri suplimentare. n aceeai
msur, dependena sporit de sistemul informaional presupune c orice ntrerupere
sau funcionare defectuoas a acestuia este o surs de risc;
-
privind raportarea: ca urmare a nencrederii n capacitile sistemului informaionalde a genera informaii care s corespund caracteristicilor calitative ale informaiilor
contabile;
- privind conformitatea: generate de funcionarea sau utilizarea sistemuluiinformaional de o manier care contravine legilor sau altor reglementri.
Desigur aceast noiune (managementul riscurilor) se preteaz nevoilor auditului intern
deoarece permite identificarea zonelor, activitilor, activelor critice, generatoare de
riscuri pentru reducerea crora trebuie implementat un sistem de control adecvat.
Indiferent de natura riscurilor luate n considerare, evaluarea acestora presupune, de
regul, urmtoarele etape (GAO, 1999:7)
1. Identificarea ameninrilor care ar putea avea un impact negativ i astfel s afectezeoperaiunile i activele critice. Ameninrile includ elemente de natura intruilor,
angajailor neglijeni sau ru-intenionai, atacuri externe sau chiar dezastre naturale;
2.
Estimarea probabilitii de materializare a ameninrilor pornind de la informaiile
-
7/31/2019 Syll_AuditulSistemelorInformatice
38/76
37
anterioare i de la raionamentul profesional al auditorului;
3. Identificarea i ierarhizarea valorii i importanei operaiunilor i activelor(resurselor) care ar putea fi afectate de materializarea ameninrilor;
4. Estimarea pierderilor sau pagubelor poteniale pe care ameninrile le pot generaasupra celor mai importante operaiuni i active, inclusiv costul de refacere;
5. Identificarea unor msuri eficiente de reducere sau diminuare a impactuluiriscurilor. Printre aceste msuri se pot numra i propunerile legate de
implementarea de noi politici, proceduri i controale.
1. Identificarea ameninrilor presupune identificarea factorilor care prin natura lor pot
atrage poteniale evenimente nedorite prin exploatarea vulnerabilitilor sistemelorinformaionale din perspectiva unor atribute definitorii cum ar fi:
1 confidenialitatea;2 integritatea;3 disponibilitatea;4 conformitatea cu legislaia.
Conform metodei OCTAVE (2006) ameninrile se refer la situaia n care o persoan
sau un eveniment natural, obiectiv, poate provoca ceva nedorit sau poate cauza unrezultat neateptat.
Ameninrile au urmtoarele componente:
1 activul: un element de valoare pentru entitate;2 actorul: care poate fi o persoan sau un eveniment care poate determina
periclitarea confidenialitii, integritii, disponibilitii i conformitii
informaiilor;
3 motivul (opional): se determin dac inteniile actorului sau fost deliberate sauaccidentale;
4 accesul (opional): modul n care actorul poate determina pagube asupra activului;5 finalitatea: rezultatul imediat care are impact asupra activului.
Ameninrile au o tipologie divers ncepnd cu erori sau sincope de funcionare a
echipamentelor sau ale programelor, acte neintenionate, superficialitate profesional n
pregtirea i respectarea procedurilor documentate, pierderi de date, fraude, sabotaje i
nu n ultimul rnd dezastrele naturale sau politice.
-
7/31/2019 Syll_AuditulSistemelorInformatice
39/76
38
Vulnerabilitile sunt i ele la fel de diverse incluzndu-se n categoria punctelor slabe:
echipamentele hardware, pachetele software, mediile de stocare, mediile de comunicaie,
deficienele de administrare, vulnerabiliti fizice i vulnerabiliti naturale.
2. Estimarea probabilitii de materializare a ameninrilor presupuneutilizarea mai
multor tehnici dintre care amintim (Boulescu et al., 2005, pag. 318):
a) judecata liber sau intuiia. Prin aceast tehnic auditorul i folosete propriilecunotine i experiena pentru a cuantifica probabilitatea de materializare a riscurilor.
Aceast tehnic mai este cunoscut sub denumirea de abordare intuitiv.
b) tehnica scorurilor. Conform acestei tehnici se acord fiecrui factor de risc(ameninri sau vulnerabiliti) o pondere (un coeficient de importan pentru
diferitele funciuni sau operaii ale ntreprinderii) i un nivel de risc. Prin produsul
ponderii cu nivelul de risc se determin riscul funciunii, iar prin adunarea riscurilor
ponderate se determin riscul sistemului informatic din care fac parte funciunile;
c) metoda cantitativ. Aceast metod presupune calculul valorii pierderii datoratexpunerii la factorii de risc. Pierderea anual datorat expunerii se calculeaz dup
formula:
PAE = Impactul x Frecvena
PAE pierderea anual datorat expunerii;
Impactul impactul estimat n lei sau valut;
Frecvena frecvena de apariie i manifestare a factorilor de risc.
Auditorul financiar sau expertul desemnat poate s utilizeze variante combinate ale
acestor tehnici pentru a identifica i evalua ct mai corect riscurile din sistem, n
vederea unei testri corespunztoare a controlului informatic intern. Ulterior se poate
trece la o grupare a riscurilor dup urmtoarea structur (Brnda, 2004):
1. riscul de afacere, care reprezint probabilitatea ca entitatea s nu-i atingobiectivele sale de afaceri. Pentru a evalua acest risc auditorul trebuie s
investigheze planul strategic al ntreprinderii i s observe nivelul de implicare a
resurselor informaionale pentru atingerea obiectivelor. Factorii care determin acest
risc pot fi, att de natur intern, ct i extern. De exemplu un factor intern de risc
poate fi gradul ridicat de uzur i defeciunile repetate ale echipamentelor de
prelucrare a datelor, iar un factor extern poate fi apariia pe pia a unor concureni.
-
7/31/2019 Syll_AuditulSistemelorInformatice
40/76
39
2. riscul sistemului informaional, reprezint probabilitatea de apariie a unor erorisau fraude datorit utilizrii inadecvate a sistemului informaional. Riscul sistemului
informaional cuprinde:
riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic, care pot fi:
securitatea sczut a aplicaiilor; accesul neautorizat la datele sistemului;
introducerea unor date inadecvate sau false; procesarea incomplet a datelor;
dublarea datelor tranzacionate; procesarea cu ntrziere a datelor; nefuncionarea
corect a transmisiei datelor; separarea inadecvat sau inexistent a funciilor i
responsabilitilor; analiza i proiectarea defectuoas a aplicaiilor;
incompatibilitatea dintre aplicaiile informatice; infectarea aplicaiilor cu virui
electronici; instruirea inadecvat a utilizatorilor; suportul i mentenana inadecvat
a aplicaiilor.
riscul de continuare a activitii sistemului informatic. Reprezint riscul asociat
disponibilitii i recuperrii sistemului. Riscul disponibilitii sistemului
reprezint probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit
securitii sale. Riscul recuperrii sistemului reprezint probabilitatea ca datele i
operaiile sistemului s nu mai poat fi recuperate n vederea continurii activitii
ntreprinderii.
3. Identificarea i ierarhizarea valorii i importanei operaiunilor i activelor
presupune realizarea unui tablou de ansamblu al infrastructurii informaionale a entitii.
Resursele informaionale, luate n considerare de o mare parte a standardelor din
domeniu sau a metodelor de evaluare a riscurilor, sunt: informaiile, aplicaiile,
infrastructura i personalul (ISACA, 2006). Ca o modalitate de grupare resursele pot fi:
1 critice; entitatea sau o structur care utilizeaz resursa nu poate s-i continueactivitate n lipsa resursei respective;
2 eseniale; entitatea sau o structur care utilizeaz resursa poate s-i continueactivitatea, ns pentru o perioad determinat de timp (cteva ore sau zile), ns
resursa trebuie restabilit;
3 normale; entitatea sau o structur care utilizeaz resursa poate s-i continueactivitatea pentru o perioad ndelungat de timp, totui anumite persoane vor fi
parial afectate, fiind obligate s gseasc alternative.
-
7/31/2019 Syll_AuditulSistemelorInformatice
41/76
40
Aceste resurse trebuie identificate cu un anumit grad de detaliere astfel nct s se evite
suprapunerea resurselor informaionale. O alt component indispensabil analizei este
interdependena resurselor. Rezultatul acestei etape poate fi o list sau mai multe liste cu
toate resursele informaionale identificate n cadrul entitii. Gruparea i ierarhizarea
resurselor informaionaleeste necesar pentru determinarea prioritilor de protejare a
lor. Repartizarea resurselor n fiecare categorie trebuie s fie foarte precis pentru a
evita confuzia. Criteriile posibile de repartizare sunt: importana, impactul produs de
indisponibilitatea resursei, costul neutilizrii resursei, compromiterea confidenialitii,
integritii etc.
4. Estimarea pierderilor sau pagubelor poteniale presupune aproximarea valorii datelori aplicaiilor din prisma raportului impact/cost ca urmare a pierderii de confidenialitate,
integritate, disponibilitate i/sau conformitate cu legislaia n vigoare, respectiv a activelor
fizice din prisma costurilor de remediere sau de nlocuire. Pentru realizarea unei estim ri
ct mai concludente auditorul va apela la persoanele din cadrul entitii care au avut acces
sau au utilizat datele, aplicaiile sau activele informaionale supuse evalurii.
5. Identificare unor msuri eficiente de reducere sau diminuare a impactului riscurilor
presupune completarea listei rezultate la etapa anterioar cu descrierea mijloacelor de
protecie utilizabile pentru nlturarea sau atenuarea riscului abordat. n urma acestei etape
se obine pentru fiecare resurs critic sau esenial identificat o list cu riscurile
aferente. Dac auditorul consider c exist soluii acceptabile, el va proceda la:
a. identificarea i documentarea fiecrei soluii ce poate fi implementat. Soluiile
identificate pot fi de ordin tehnic sau procedurale. O problem aparte o reprezint
numrul i calitatea soluiilor care permit eliminarea riscurilor. Pot exista situaii n
care se identific o singur msur eficient. n acest caz, este necesar argumentareaacestui fapt precum i a eventualei imposibilitii privind acceptarea altor soluii;
b. justificarea fiecrei soluii propuse. Argumentul evident e soluionarea problemei,
ns s-ar putea ca o anumit soluie s rezolve mai multe probleme simultan;
c. efectuarea unei analize tip costuri/beneficii pentru fiecare soluie propus,
incluznd costurile directe, costurile de instruire a personalului i costurile
operaionale ulterioare;
-
7/31/2019 Syll_AuditulSistemelorInformatice
42/76
41
d. formularea concluziilor privind controalele existente, integritatea i
funcionalitatea sistemului;
e. propunerea unui plan de implementare a soluiei identificate. Planul trebuie sin
cont de prioritatea resursei i impactul pe care l poate avea realizarea riscului
analizat;
f. stabilirea condiiilor pentru urmrirea implementrilor recomandrilor.
Msurile de reducere a efectelor negative pe care le au riscurile asupra sistemului
informaional sunt variate i depind de o serie de factori care in gradul de risc pe care
entitatea este dispus s l accepte, receptivitatea managementului la soluiile propuse i
nu n ultimul rnd posibilitile de implementare a controalelor sau soluiilor propuse.Orice metod trebuie s ofere beneficii maxime cu costuri minime. Printre msurile cele
mai eficiente care pot fi luate de management la propunerea auditorului intern se
numr (Munteanu, 2001:53) (M.F.P., 2007:61):
- Acceptarea (tolerarea) riscurilor. Acest tip de rspuns la risc const n neluareaunor msuri de control al riscurilor i este adecvat pentru riscurile inerente a cror
expunere este mai mic dect tolerana la risc. Acceptarea (tolerarea) riscurilor este
o strategie de rspuns la risc recomandat pentru riscurile cu expunere sczut. ncazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvati,
de aceea, n astfel de situaii, opiunea trebuie temeinic justificat.
- Eliminarea sau evitarea. Este o msur care poate fi aplicat pentru majoritateariscurilor cu excepia riscurilor de dezastre naturale. Aceast strategie de rspuns la
risc const n eliminarea activitilor (circumstanelor) care genereaz riscurile.
- Transferul ctre alt organizaie. Aceast strategie de rspuns la risc const nncredinarea gestionrii riscului unui ter care are expertiza necesar gestionriiacelui risc, ncheindu-se n acest scop un contract. Prin aceasta se urmrete, pe de o
parte, micorarea expunerii organizaiei, iar pe de alt parte, gestionarea eficace a
riscului de ctre un ter specializat. Aceast opiune este benefic mai ales n cazul
riscurilor financiare i patrimoniale.
- Reconfigurarea controalelor. Implementarea unor noi forme de control care sduc la diminuarea frecvenei de apariie sau a impactului unui risc (desigur, aceast
msur nu este aplicabil pentru riscurile de dezastre naturale).
-
7/31/2019 Syll_AuditulSistemelorInformatice
43/76
42
Rezumatul modulului
Auditarea orientat spre riscuri este astfel conceput nct s utilizeze resurseledisponibile n zonele de risc maxim ceea ce faciliteaz o evaluare eficient a riscurilor iun mediu de control mai eficient. Acest lucru necesit i ntrete cooperarea dintreauditori i management. ntr-un audit centrat spre risc auditorii sistemelor informaionalese bazeaz pe controalele interne i pe cunoaterea entitii.
n activitatea de audit