Syll_AuditulSistemelorInformatice

download Syll_AuditulSistemelorInformatice

of 76

Transcript of Syll_AuditulSistemelorInformatice

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    1/76

    CUPRINS

    I. INFORMAII GENERALE.......................................................................................1Date de identificare a cursului .................................................................................................. 1

    Descrierea cursului ....................................................................................................................1Materiale bibliografice obligatorii..............................................................................................2Materiale i instrumente necesare pentru curs............................................................................3Calendar al cursului ...................................................................................................................3Politica de evaluare i notare...................................................................................................... 4Strategii de studiu recomandate ................................................................................................. 5

    II. SUPORTUL DE CURS..............................................................................................7

    MODULUL I: Aspecte generale privind informaia i noiunea de sistem

    informaional ...................................................................................................................9Unitatea de curs 1: Aspecte generale privind noiunea de informaie.......................................9Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor.......................11Unitatea de curs 3: Entitatea economic abordare sistemic ...............................................13 Rezumatul modulului...............................................................................................................18Bibliografie modul...................................................................................................................19

    MODULUL II: Aspecte generale privind auditul sistemelor informaionale .........21Unitatea de curs 1: Necesitatea auditului sistemelor informaionale ......................................21Unitatea de curs 2: Auditul sistemelor informaionale............................................................22Unitatea de curs 3: Auditul aplicaiilor informatice................................................................26Unitatea de curs 4: Valorificarea rezultatelor auditului ..........................................................28Rezumatul modului..................................................................................................................30Bibliografie modul...................................................................................................................30

    MODULUL III: Auditul sistemelor informaionale i auditului intern...................31Unitatea de curs 1: O abordare bazat pe riscuri.....................................................................31Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit intern .................. 32Unitatea de curs 3: Gestiunea riscurilor ................................................................................... 34Rezumatul modulului...............................................................................................................42Bibliografie modul:.................................................................................................................. 43

    MODULUL IV: Auditul sistemelor informaionale i auditul financiar.................45Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiar.............45Unitatea de curs 2: Evaluarea riscurilor..................................................................................48Unitatea de curs 3: Riscurile de audit ..................................................................................... 51Rezumatul modulului...............................................................................................................55Bibliografie modul...................................................................................................................56

    MODULUL V: Auditul sistemelor informaionale n Romnia ...............................57Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionale...............57Unitatea de curs 2: Implicarea Camerei Auditori Financiari din Romnia.............................61 Unitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din Romnia ...........................63Unitatea de curs 4: Implicarea ISACA Romnia ....................................................................66Rezumatul modulului...............................................................................................................68Bibliografie modul...................................................................................................................68

    III ANEXE ....................................................................................................................69Bibliografie obligatorie............................................................................................................69Glosar de termeni.....................................................................................................................71

    Curriculum vitae al titularului de curs......................................................................................75

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    2/76

    1

    I. INFORMAII GENERALE

    Date de identificare a cursului

    Date de contact ale titularului de curs:

    Nume: Popa Irimie Emil

    Birou: str. T. Mihali, nr 58-60, cam. 226

    Telefon: 40 + 0264-41.86.52 int. 5806

    Fax: 40 + 0264-41.25.70

    E-mail: [email protected]

    Consultaii: se vor afia la cam.2 26 la

    nceputul semerstrului

    Date de identificare curs i contact tutori:

    Numele cursului:

    Auditul sistemelor informatice

    Codul cursului: EMI024

    Anul, Semestrul: anul II, sem 2

    Tipul cursului: obligatoriu

    Pagina web a cursului:

    Tutori: Popa Irimie EmilAdresa e-mail tutori:

    [email protected]

    Condiionri i cunotine dobandite anterior

    Cursul Auditul sistemelor informatice i propune s dezvolte abiliti i

    cunotine necesare persoanelor care doresc sa se specializeze in domeniul acest

    domeniu, precum i celor care doresc s acumuleze cunotine privind implicaiile iimportana auditrii sistemelor informaionale n cadrul unor misiuni de audit financiar

    sau intern. Titularul de curs ncurajeaz participarea oricror studeni n cadrul cursului,

    indiferent de pregtirea educaional a acestora. Pentru studenii care provin din afara

    nvtmntului economic se recomand parcurgerea unei bibliografii minimale n

    domeniile contabilitii, auditului intern, auditului financiar i al informaticii.

    Descrierea cursului

    Cursul de fa reprezint esena unor conotine dobndite deja dar i a unor

    tehnici care vor fi nsuite de ctre participani la finalul sau n domeniul vast al

    profesiei contabile din care o derivat este auditul sistemelor informaionale.

    Persoanele care sunt beneficiarii de baz ai acestuia sunt studenii nscrii la

    masterat, absolveni ai specializrilor de profil din cadrul facultii, nefiind ns exclui

    nici cei care sunt absolveni ai altor specializri, sub rezerva deja artat anterior.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    3/76

    2

    Patriciparea la acest curs ofer posibilitatea cursanilor de a deprinde aspectele

    eseniale ale auditului sistemelor informaionale precum i a implicaiilor pe care

    sistemul informaional al unei entiti l are asupra auditului intern i cel financiar..

    Aspectele teoretice vor fi mbinate cu aplicaii practice care contribuie la fixarea

    cunotinelor i dobndirea instrumentarului necesar pentru a se putea accede la profesia

    liberal de auditor financiar.

    Complexitatea noiunilor este una progresiv, fcndu-se numeroase referine la

    celelalte discipline din care auditul sistemului informaional i are mprumutate unele

    procedee de lucru, evideniind i instrumentele specifice.

    Materiale bibliografice obligatorii

    1. Arens A. & Loebbecke J., 2003, Audit o abordare integrat, ediia a 8-a, Ed.ARC (Mod de accesare: Biblioteca Catedrei de Contabilitate i Audit)

    2. Boulescu M. et al. (2005), Auditul sistemelor informatice financiar-contabile, Ed.Tribuna economic, Bucureti (Mod de accesare: Biblioteca CentralUniversitar)

    3. Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea deVest, Timioara (Mod de accesare: FSEGA)

    4. Cascarino R., 2007, Auditors Guide to Information Systems Auditing, JohnWiley&Sons, (Mod de accesare: Biblioteca Central Universitar)5. Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech,

    Bucureti, (Mod de accesare: Biblioteca FSEGA)6. Information Systems Audit and Control Association ISACA, 2008, IT Assurance

    Framework, disponibil on-line la adresa: www.isaca.org7. Laudon K.C. & Laudon L.P. (2006) Management Information systems managing

    the digital firm, 9th edition, Ed. Prentice Hall, (Mod de accesare: BibliotecaCentral Universitar)

    8. Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom,Iai (Mod de accesare: FSEGA)

    9. Nstase P. et al., 2007, Auditul i controlul sistemelor informaionale, EdituraEconomic, Bucureti. (Mod de accesare: Biblioteca Catedrei deContabilitate i Audit)

    10.Oprea D. (2005), Analiza sistemelor informaionale, Edidura UniversitiiAlexandru Ioan Cuza, Iai, (Mod de accesare: Biblioteca FSEGA)

    11.The Institute of Internal Auditors, IIA, 2008, Global Technology Audit Guides,disponibil on-line la adresa: http://www.theiia.org/guidance/technology/

    12.ugui Al., (2003), Produse informatice generalizate pentru contabilitate, EdituraCECCAR, Bucureti (Mod de accesare: Biblioteca Central Universitar)

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    4/76

    3

    Materiale i instrumente necesare pentru curs

    Susinerea prelegerilor i discutarea aplicaiilor practice se va realiza prin

    utilizarea urmtoarelor echipamente:

    - videoproiector (asigurat de facultate),- laptop sau calculator (asigurat de facultate),- acces la internet (asigurat de facultate).- suport de curs (format electronic i tiprit asigurat de catedr)- alte materiale (format electronic i tiprit asigurat de catedr)

    Se vor putea face simulri privind utilizarea tehnicilor de audit asistate de calculator

    Calendar al cursului

    Activiti Tematica abordat Responsabilitile

    masteranzilor

    Locul de

    desfurare

    ntlnire I:Activitididactice

    Informaia economic;Sistemul informaional;Necesitatea audituluisistemelor informaionale;Auditul sistemelorinformaionaleAuditul aplicaiilor informatice

    ParcurgereabibliografieiRezolvarea studiilor decaz sau a activitiloralocate

    Campusconformorarului postatpe site-ulfacultii

    ntlnire II:Activitididactice

    Rolul auditului sistemuluiinformaional din perspectivaauditului intern i financiar

    ParcurgereabibliografieiRezolvarea studiilor decaz sau a activitiloralocate

    Campus

    Examenfinal

    Parcurgereabibliografiei precizate

    n vederea susineriiexamenului

    Campus

    Calendarul ntlnirilor cu studenii poate suporta modificri care ns vor fi aduse la

    cunotina studenilor n timp util, n funcie de programul general al cadrului didactic.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    5/76

    4

    Politica de evaluare i notare

    Modalitatea de notare a masteranzilor pentru disciplina Auditul sistemelor

    informatice are n vederea urmtoarele aspecte:

    - participarea activ la activitile tutoriale: 20%.- ndeplinirea sarcinilor i activitilor alocate 50%- examenul final 40%

    Studenii trebuie s tie c syllabusul de fa reprezint un suport minimal, a crui

    simpl parcurgere nu este suficient pentru promovarea examenului. n vederea

    promovrii examenului cu o not satisfctoare, studenii vor trebui s parcurg

    bibliografie indicat n cadrul acestui syllabus.

    Elemente de deontologie academic

    Plagiatul este o problem serioas i este pedepsit cu asprime. Orice student

    care este prins c plagiaz se poate atepta s i fie anulat munca i s se ntreprind

    msuri disciplinare din partea conducerii facultii.

    Exemple de plagiat:

    - realizarea proiectului de cercetare de ctre o alt persoan.- copierea parial sau total a unui proiect de cercetare.- copierea unui proiect de cercetare de pe internet i rspndirea acestuia i n

    rndul altor masteranzi.

    - conspectarea unor surse bibliografice fr citirea prealabil a acestora(copierea unor conspecte fcute de alii).

    Masteranzii pot s citeze surse bibliografice alctuite din reviste sau cri cu

    condiia ca respectivele surse s fie identificate i prezentate n cadrul proiectului de

    cercetare. Un proiect care se constituie n mare parte din compilarea unor idei ale unor

    autori, neavnd o contribuie proprie din partea masterandului va fi notat cu un

    calificativ inferior.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    6/76

    5

    Studeni cu dizabiliti

    n vederea oferirii de anse egale studenilor afectai de dizabiliti motorii sau

    intelectuale, titularul de curs i manifest disponibilitatea de a comunica cu studenii

    prin intermediul potei electronice. Astfel, studenii cu dizabiliti vor putea adresa

    ntrebrile lor legate de tematica cursului Auditul sistemelor informatice pe adresa de

    email a titularului de curs, menionat la nceputul acestui silabus, putnd primi

    lmuririle necesare n maxim 48 de ore de la primirea mesajului.

    Strategii de studiu recomandate

    Pentru a obine performana maxim, studenii trebuie sin cont de urmtoarele

    recomandri n ceea ce privete studiul individual, precum i activitile colective realizate

    n cadrul cursului:

    1. Este recomandat remprosptatrea cunotinelor de contabilitate, audit intern ifinanciar, respectiv informatic;

    2. Se recomand parcurgerea suportului minimal n ordinea capitolelor, aa cum suntdescrise n prezentul syllabus;

    3. Este recomandat ca studiul s se bazeze pe o bibliografie minimal, indicat nsyillabus i pe alte surse bibliografice indicate de tutori.

    4. Se recomand participarea la discuii i analize mpreun cu tutorii, pe margineatemelor indicate spre studiu.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    7/76

    6

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    8/76

    7

    II. SUPORTUL DE CURS

    MODULUL I: Aspecte generale privind informaia i noiunea de sistem

    Unitatea de curs 1: Aspecte generale privind noiunea de informaieUnitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entit ilorUnitatea de curs 3: Entitatea economic abordare sistemic

    MODULUL II: Aspecte generale privind auditul sistemelor informaionale

    Unitatea de curs 1: Necesitatea auditului sistemelor informaionaleUnitatea de curs 2: Auditul sistemelor informaionaleUnitatea de curs 3: Auditul aplicaiilor informaticeUnitatea de curs 4: Valorificarea rezultatelor auditului

    MODULUL III: Auditul sistemelor informaionale i auditului intern

    Unitatea de curs 1: O abordare bazat pe riscuri

    Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit internUnitatea de curs 3: Gestiunea riscurilor

    MODULUL IV: Auditul sistemelor informaionale i auditul financiar

    Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiarUnitatea de curs 2: Evaluarea riscurilorUnitatea de curs 3: Riscurile de audit

    MODULUL V: Auditul sistemelor informaionale n Romnia

    Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionaleUnitatea de curs 2: Implicarea Camerei Auditori Financiari din RomniaUnitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din RomniaUnitatea de curs 4: Implicarea ISACA Romnia

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    9/76

    8

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    10/76

    9

    MODULUL I: Aspecte generale privind informaia i noiunea de sistem

    informaional

    Scopul i obiectivele modulului

    Scopul acestui modul este familiarizarea cursanilor cu noiunile de informaie i sistem

    informaional n vederea nelegerii acestora din perspectiva unei entiti economice.

    Totodat se urmrete nelegerea importanei sistemului informaional din perspectiva

    auditului acestuia.

    Obiectivele prezentului modul sunt:

    1. Familiarizarea studenilor cu principalele aspecte privind informaia i sistem;2. Cunoaterea caracteristicilor informaiilor economice i contabile;3. Cunoaterea caracteristicilor sistemelor informaionale;4. nelegerea importanei sistemului informaional n cadrul unei entiti

    economice.

    Unitatea de curs 1: Aspecte generale privind noiunea de informaie

    Generic, informaia se definete ca un mesaj rezultat din reprezentarea realitii prin

    cunoaterea creia att emitentul ct i destinatarul i asociaz aceeai semnificaie. ntr-

    o alt accepie informaia este o reprezentare simbolic asupra unor entiti din

    realitate, avnd caracter de noutate pentru subiecii receptori" ea fiind generat prin

    procese de cunoatere de natura observrii directe sau a interpretrii semantice demesaje".(Dicionar de Economie, 2001: 233).

    Informaie este unul din cuvintele cel mai des folosite, de foarte multe ori abuziv.

    Diferite discipline tiinifice acord diferite nelesuri acestui termen, sau i asociaz

    omonime incoerente. Cu toate c de cteva decenii omenirea a pit n era

    informaional, iar societatea a trecut de la societatea informaional la societatea

    cunoaterii, cuvntul informaie este folosit adesea fr a se da atenia cuvenit

    diferitelor sensuri pe care le poate avea.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    11/76

    10

    Creterea gradului de informatizare a proceselor entitii precum i a creterii gradului

    de folosire a informaiilor n rezolvarea problemelor umane a fcut ca informaia s fie

    considerat ca o resurs economic, n mare msur egal cu alte resurse cum ar fi

    munca, materia (prim) i capitalul. n calitatea ei de resurs neofactorial, obinerea

    informaiei i utilizarea ei n orice demers al activitii umane, presupune un efort uman

    i material financiar.

    Aceast perspectiv scoate n eviden faptul c posesia, manipularea i folosirea

    informaiei poate mbunti raportul cost-eficien n multe procese fizice sau cognitive.

    Ca resurs individual i social, informaia are cteva caracteristici ce o deosebesc de

    noiunea tradiional de resurs economic. Spre deosebire de alte resurse economice,informaia este teoretic nelimitat, avnd totui unele limite aparente impuse de timp, de

    capabilitatea cognitiv uman sau care in de posibilitile de accesare a diverselor canale

    de comunicare a informaiilor ceea ce n fapt ridic costul informaiilor.

    Dezvoltarea tehnologiilor informaionale, proliferarea internetului, ceea ce a dus la

    reducerea timpului necesar cutrii i accesrii informaiilor, a ridicat problema cantitii

    de informaii pe care o entitate economic este dispus s o comunice pe o pia

    informaional deschis. Zu K. (2005) ntr-un studiu privind aspectele sociale i

    economice ale transparenei informaiilor ntr-o pia electronic deschis, arat c ntr-un

    mediu transparent entitile economice au acces mai uor la informaii ceea ce le permite:

    reducerea costurilor sub nivelul concurenilor, alegerea strategiilor de viitor innd cont de

    situaia pieei i implicit creterea profiturilor. Se creeaz fenomenul de corelare a

    strategiilor tuturor entitilor care activeaz pe o pia informaional deschis i astfel

    accesul la informaie tinde s reduc avantajele competiionale ducnd la o reorientare

    spre o mai bun alocare a resurselor tradiionale.

    Informaia, ca resurs economic utilizat la nivelul unei entiti genereaz un avantaj

    competiional numai n msura n care costurile obinerii i transmiterii ei sunt mai mici

    dect beneficiile pe care le genereaz. Totui costurile obinerii informaiilor nu pot fi

    abordate numai dintr-o perspectiv financiar ci i dintr-o perspectiv abstract, a

    impactului pe care comunicarea informaiilor o are asupra pieei. De asemenea beneficiile

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    12/76

    11

    nu pot fi comensurate numai n termeni de eficien a proceselor interne ci i din

    perspectiva parametrilor externi influenai de informaiile deinute i comunicate.

    A doua percepie a informaiei (ce dateaz din aceeai perioad), de serviciu de primnecesitate, a determinat dezvoltarea n ntreaga lume a unui nou segment a economiilor

    naionale: sectorul de servicii informatice. Beneficiind de avantajele proprietilor

    informaiei i construind o percepie a utilitii i valorii sale individuale i sociale, acest

    sector furnizeaz o larg gam de produse i servicii informatice.

    Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor

    ntr-un mediu supra-abundent n informaii, o entitate performant trebuie s-i dezvolte

    capacitatea de a identifica sursele importante, de a selecta, stoca, gestiona, prelucra i

    folosi inteligent informaia, de a-i dezvolta fluxurile de informaii (interne i externe)

    n calitate de generator de informaie i de a-i alege cele mai favorabile strategii i

    suporturi de comunicare.

    Entitatea nu poate exista fr informaie i comunicarea ei, informaia devenind un bun

    al acesteia. Informaia prezint ntr-o entitate patru roluri principale (Nica & Panaite,

    1994: 378, dup Simon, 1977):

    Msur a succesului: de exemplu, informaia cu privire la profitabilitatea entitiipoate fi folosit pentru evaluarea succesului acesteia pe o anumit perioad de timp;

    Semnal de alarm: Unele informaii reflect schimbri nsemnate n volumulvnzrilor, nivelul costurilor, nivelul profitului, constituind astfel semnale de alarm

    pentru manageri, determinndu-i s ia decizii i s declaneze aciuni pentruremedierea neajunsurilor. Sistemul informaional al ntreprinderii are rolul de a

    dirija informaiile spre locul unde acestea sunt necesare, evitndu-se aglomerarea

    managerilor cu informaii inutile;

    Baz pentru aprofundarea analizei activitii: Investigarea i analiza operaiunilorcurente ale unei entiti, n urma crora sunt evideniate punctele ei forte i aspectele

    vulnerabile ale activitii, au la baz informaii pertinente, att din mediul intern ct

    i din cel extern;

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    13/76

    12

    Baz pentru planificare: Pentru a fi realiste i eficace, obiectivele i aciunileviitoare ale entitii trebuie proiectate pe baza unor informaii adecvate.

    Informaia este indispensabil funcionrii entitii. Utilizarea informaiilor are n vedereurmtoarele trei tipuri de obiective:

    Suport pentru luarea deciziilor. Informaia este baza lurii deciziilor. Elaborareadeciziilor necesit informaii de complexiti diferite, n cadrul firmei pe diferite

    nivele iar pentru utilizatorii externi, n funcie de natura acestora;

    Satisfacerea unor obligaii legale. Fiecare entitate trebuie s transmit mediului ncare activeaz categorii diferite de informaii privind starea acesteia, diveri

    parametri, etc. n conformitate cu reglementrile legale; Asigurarea comunicrii. Este vorba att de o comunicare intern realizat prin

    schimburi orizontale i verticale de informaii, ct i de o comunicare extern,

    materializat n schimbul de informaii cu exteriorul (primirea i difuzarea de

    informaii din/ctre exterior, schimburi regulate de informaii cu partenerii,

    furnizorii, clienii, creditorii etc.).

    Necesitatea informatizrii s-a manifestat pe fondul creterii continue a volumului de

    informaii vehiculate. Excesul de informaii a determinat nevoia de informaii

    sintetizate, mai uor de urmrit i analizat. Aceast sintetizare o realizeaz, de exemplu,

    contabilitatea, dar volumul imens de informaii pe care trebuie s le gestioneze a impus

    cutarea de noi posibiliti de eficientizare a respectivelor activiti.

    Delimitri privind informaia economic

    Informaia economic reprezint o comunicare, o tire sau un mesaj ce conine

    elemente noi de cunoatere a unor stri, a unor situaii sau a condiiilor de manifestare a

    anumitor fenomene sau procese economice din trecut, prezent sau viitor. Informaiile

    reprezint elemente noi n raport cu alte cunotine prealabile. (Mati, 2003: 8)

    Analiza definiiei informaiei, redat mai sus, conduce la urmtoarele concluzii principale:

    - din punct de vedere economic, are relevan numai informaia care prezint interespentru altcineva dect subiectul care a elaborat-o; numai n acest caz se poate vorbi

    despre nevoi i resurse de informaie i despre motivaii care determin furnizarea,

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    14/76

    13

    respectiv procurarea de informaii;

    - faptul c informaia este o reprezentare de natur simbolic face ca utilitatea ei, n senseconomic, s fie determinat de modul de aranjare a simbolurilor care i dau expresie;

    - caracterul de noutate este indispensabil pentru a putea vorbi despre informaie;noutatea trebuie perceput ca atare de fiecare primitor de informaie.

    n cadrul sistemului informaional, informaia economic deine un loc de prim rang.

    Prin esena ei, informaia economic are un rol deosebit de important n funcionarea

    sistemului economic, intervenind n procesele de producie i de comercializare, n

    gestionarea resurselor, n cunoaterea tiinific a realitii economice.

    Funcionarea unei entiti a crei obiectiv este obinerea unui bun economic destinat

    satisfacerii unei nevoi, n condiii de eficien economic, exprimat prin mrimea

    profitului, are loc pe baza unor perturbri ce se manifest att la nivelul fluxurilor materiale,

    tehnologice i informaionale, ct i la nivelul sistemului de management al organizaiei

    economice. n astfel de condiii, alturi de resursele economice clasice, rolul resursei

    informaionale n atingerea obiectivelor strategice, precum i n asigurarea competitivitii

    firmei devine esenial, iar organizarea i utilizarea informaiei pe toate palierele decizionale

    devine mai important dect utilizarea n sine a calculatorului electronic.

    Unitatea de curs 3: Entitatea economic abordare sistemic

    Un sistem reprezint orice instan din viaa real pentru care se identific un ansamblu

    de componente (fenomene, obiecte, procese, noiuni, concepte, entiti sau colectiviti)

    aflate att n relaii reciproce, ct i cu mediul nconjurtor i care acioneaz n comun

    pentru atingerea unor obiective bine stabilite (Oprea, 2005).

    O alt abordare consider sistemul ca fiind ... un set de elemente difereniate conectate

    sau interrelaionate nct s ndeplineasc o funcie unic care nu poate fi realizat de

    elementele privite n mod individual (Rechtin, 1991: 7)

    Sistemele sunt universal prezente n cosmos, n realitatea fizico-biologic i n viaa

    social. Oprea (2005: 34) consider organizaiile ca fiind formaii sociale constituite din

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    15/76

    14

    oameni implicai n vederea ndeplinirii anumitor funcii predeterminate. Orice

    organizaie este un sistem, fr ca orice sistem social s fie propriu-zis o organizaie.

    n pofida numeroaselor caracteristici generale, sistemele nu sunt identice ntre ele. Deisunt formate dintr-o mulime de elemente aflate n interaciune i se comport unitar i

    integral n relaiile lor cu mediul, sistemele se deosebesc foarte mult ntre ele.

    Entitatea economic - abordare sistemic

    Pornind de la definiiile anterioare ale conceptului de informaie putem preciza c

    sistemul informaional economic poate fi definit ca un ansamblu de oameni, de mijloace

    i procedee folosit pentru culegerea, pstrarea, prelucrarea, transmiterea, analiza ivalorificarea informaiilor economice.

    Avnd n vedere particularitile constructive ale unei entiti economice putem afirma

    ca aceasta se circumscrie caracteristicilor unui sistem, deoarece:

    1 prezint o structur proprie constnd dintr-o mulime de elemente (departamente,secii, servicii, activiti etc);

    2 ntre elementele constitutive exist o serie de fluxuri (materiale, financiare,informaionale, umane etc.) care implic resursele entitii;

    3 elementele disponibile i fluxurile existente urmresc realizarea unui anumitobiectiv. (Mati & Cardo, 2007: 33)

    Pornind de la abordarea sistemic a unei entiti economice putem particulariza

    tipologia acestuia n funcie de criteriile menionate n subcapitolul anterior. Astfel:

    entitatea economic este un sistem deschis, adaptativ, innd seama de faptul c este o

    component a unor sisteme mai mari, cu care are legturi armonizate prin procesul de

    conducere. n acelai timp, entitatea economic are i un grad propriu de autonomie, o

    funcionare de sine stttoare. Entitatea economic poate fi neleas numai privind-o ca

    sistem deschis, ale crui procese interne se afl n interrelaie cu mediul. Entitatea

    economic ca un sistem complet nchis probabil nu va exista niciodat, deoarece

    componentele sale sunt totdeauna influenate de fore din afara sistemului. Aceasta

    nseamn c entitatea economic trebuie analizat contextual i, n acest sens, putem

    vorbi de grade de permeabilitate" la influenele din mediu, dar nu de un sistem nchis.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    16/76

    15

    Importana sistemelor informaionale economice a crescut pe msur ce datele au

    devenit resurs cheie pentru orice organizaie, alturi de resursele umane i materiale.

    Decidenii au neles c informaia nu mai este un rezultat n sine, ci mai degrab,materia prim a unei afaceri i poate fi considerat factor hotrtor n determinarea

    succesului sau eecului acesteia (Oprea, 2005: 24)

    Exist o strns legtur ntre sistemele fizice, existente la nivelul unei firme, i

    sistemul informaional, considerat sistem logic, din urmtoarele considerente:

    - sistemul fizic (real) este alctuit din bunurile corporale prin intermediul crora sedesfoar activitile oricrei organizaii (firm, instituie guvernamental, banc,instituie de nvmnt etc.). Componentele sistemului fizic sunt cldirile,

    angajaii, echipamentele, resursele materiale, banii, toate folosite pentru atingerea

    unor obiective, cum ar fi: obinerea profitului, recuperarea investiiilor, ctigarea

    unui segment de pia, creterea cotaiei aciunilor pe piaa bursier etc.;

    - sistemul logic (reglat) informaional (n.a.) reprezint mijloacele prin care sepot reda, din punct de vedere logic componentele sistemului fizic. (McLeod &

    Jordan, 2002: 29-30)

    ntre sistemul fizic, real, al unei entiti, fie i economice i sistemul informaional care

    exist o legtur inseparabil, cel puin din urmtoarele motive:

    - pentru ca efectul legturilor dintre sistemul informaional i sistemul su de bazs fie pozitiv i ct mai nalt este necesar s se asigure o deplin concordan ntre

    acestea;

    - activitile sistemului informaional sunt importante att pentru ansamblulsistemului ct i pentru elementele sale de structur;

    - necesitile de perfecionare i dezvoltare sunt valabile att pentru sistemul debaz ct i pentru sistemul informaional aferent. Nu se poate concepe o etap de

    dezvoltare sau de perfecionare a activitii economice dintr-o firm fr o

    dezvoltare i perfecionare a sistemului informaional decizional din cadrul

    acesteia.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    17/76

    16

    Entitatea economic sistem cibernetic

    Lucrrile n domeniul sistemicii au condus la definirea unui model care

    promoveaz viziunea sistemic asupra entitii pe care o consider format din

    urmtoarele trei subsisteme:

    - Subsistemul managerial sau decizional este sediul activitii decizionale a entitii.Activitatea decizional este, de fapt, asigurat de ctre toi actorii, la diferite

    nivele, de la cei ce-i desfoar activitatea n sistemul operaional, pn la

    conducerea de vrf. Acest sistem primete informaii despre sistemul operaional

    i acioneaz prin decizii asupra acestuia.

    -

    Subsistemul informaional joac un dublu rol: pe de o parte asigur toateinformaiile necesare lurii deciziilor pe toate nivelurile de responsabilitate,

    conducere i control iar pe de alt parte asigur cile de comunicare ntre celelalte

    subsisteme, deoarece deciziile formulate de subsistemul de conducere sunt

    transmise factorilor de execuie prin subsistemul informaional (flux descendent).

    - Subsistemul condus sau operaional (n cadrul cruia se desf oar proceseleeconomice specifice domeniului de activitate a agentului economic) are loc

    culegerea datelor care apoi sunt transmise subsistemului informaional (flux

    ascendent) n vederea stocrii i prelucrrii datelor necesare obinerii

    informaiilor utilizate n fundamentarea deciziilor la nivelul subsistemului

    decizional (de conducere).

    Figura 1. Abordarea sistemic a entit ii

    (Sursa: Oprea, 2005: 32)

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    18/76

    17

    Avnd n vedere definirea unui sistem cibernetic caracterizat prin existena a cel puin

    dou subsisteme ntre care exist autoreglarea prin conexiune inversi analiznd acest

    lucru pentru sistem un economic putem constata c acesta are caracter cibernetic.

    Figura 2. Viziunea cibernetic a entitii

    (Sursa: Laudon & Laudon, 2006: 90)

    Caracterul de sistem cibernetic este ntrit de faptul c sistemul are propriile obiective,

    metode, tehnici i resurse specifice. La nivelul sistemului economic putem identifica cel

    puin dou subsisteme interdependente, care asigur stabilitatea ntregului sistem:

    subsistemul managerial (de conducere) i subsistemul operaional (condus). Legtura

    dintre aceste dou subsisteme este realizat prin intermediul (sub)sistemului

    informaional care are menirea de a asigura procesul informaional al sistemului

    economic. n cadrul (sub)sistemului informaional se deruleaz fazele formrii

    informaiei economice: culegerea datelor rezultate din procesul direct productiv al

    sistemului economic, transmiterea datelor pentru prelucrarea propriu-zis (indiferent de

    mijloacele tehnice), formarea informaiei economice i arhivarea acesteia.

    (Sub)sistemului informaional este influenat i condus prin decizii proprii transmise pe

    canalul conexiunii inverse. Aceste decizii au rolul de a asigura funcionarea

    (sub)sistemului informaional la parametrii prestabilii. Totodat, aceste decizii au i

    rolul de a adapta i de a perfeciona continuu procesul informaional astfel nct acesta s

    corespund ntru-totul modificrilor sistemului economic pe care l deservete.

    Mediul economic

    Sistem informaional

    Feedback (conexiune invers)

    Legiuitor Acionari Competitori

    Furnizori Clien i

    Entitatea economic

    Intrri Prelucrri Ieiri

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    19/76

    18

    O parte din fazele procesului informaional (de exemplu culegerea datelor din evidena

    primar) se realizeaz n nsi subsistemul operaional (condus) al sistemului economic.

    Putem aprecia c subsistemul n care are loc procesul informaional mpreun cu o parte

    din subsistemul operaional formeaz subsistemul condus al sistemului cibernetic

    informaional. Rolul principal al subsistemului condus const n asigurarea cu

    informaii pentru conducerea ntregului sistem economic precum i pentru funcionarea

    sistemului informaional i meninerea acestuia n cadrul unor limite prestabilite.

    Rezumatul modulului

    Informaia este o reprezentare simbolic asupra unor entiti din realitate, avndcaracter de noutate pentru subiecii receptori" ea fiind generat prin procese decunoatere de natura observrii directe sau a interpretrii semantice de mesaje".(Dicionar de Economie, 2001: 233).

    Informaia prezint ntr-o entitate patru roluri principale: (1) msur a succesului; (2)semnal de alarm; (3) baz pentru fundamentarea deciziilor; (4) baz pentru planificare.Utilizarea informaiilor are n vedere urmtoarele trei tipuri de obiective: (1) suport pentruluarea deciziilor; (2) ndeplinirea unor obligaii legale; (3) asigurarea comunicrii.

    Sistemul informaional economic poate fi definit ca un ansamblu de oameni, de

    mijloace i procedee folosit pentru culegerea, pstrarea, prelucrarea, transmiterea,analiza i valorificarea informaiilor economice.

    Avnd n vedere definirea unui sistem cibernetic caracterizat prin existena a cel puindou subsisteme ntre care exist autoreglarea prin conexiune inversi analiznd acestlucru pentru sistem un economic putem constata c acesta are caracter cibernetic.

    Viziunea sistemic asupra entitii este format din urmtoarele trei subsisteme:

    - Subsistemul managerial sau decizional este sediul activitii decizionale a entitii.- Subsistemul informaional joac un dublu rol: pe de o parte asigur toate

    informaiile necesare lurii deciziilor iar pe de alt parte asigur cile decomunicare ntre celelalte subsisteme

    - Subsistemul condus sau operaional (n cadrul cruia se desf oar proceseleeconomice specifice domeniului de activitate a agentului economic).

    Sarcini i teme

    n vederea eficientizrii activitii masteranzilor precum i pentru facilitarea nvriicursanii vor realiza o inventariere a componentelor unui sistem informaional al uneientiti dup un model care va fi pus la dispoziie electronic sau n cadrul primeiactiviti tutoriale. Aceast activitate va fi luat n considerare la stabilirea notei finale.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    20/76

    19

    Bibliografie modul

    Anghelescu C., Apostol Gh., Avram I., (2001), Dicionar de economie, EdituraEconomic, Bucureti

    Feleg N. & Ionacu I., (1998), Tratat de contabilitate financiar vol. I, EdituraEconomic, Bucureti

    Kirkegaard, H. 1997. Improving Accounting Reliability: Solvency, Insolvency andFuture Cash Flows, Quorum Books, Westport, Connecticut, USA

    Laudon K.C. & Laudon L.P. (2006)Management Information systems managing thedigital firm, 9th edition, Ed. Prentice Hall

    Mati D., 2000, Caliti i limite ale informaiilor contabile, Studia Universitatis Babe-Bolyai, Oeconomica, nr. 1, pag. 3140

    Mati D. & Cardo V., 2007, Particularitile evalurii riscurilor n activitatea de audital sistemelor informatice n scopul raportrilor financiare, Revista de Audit,

    CAFR, nr. 10:32-39McLeod Jr. & Jordan E., (2002), System Development. A project ManagementApproach, John Wiley&Sons, New York

    Oprea D. (2005), Analiza sistemelor informaionale, Edidura Universitii AlexandruIoan Cuza, Iai

    Popa I, (2005),Management general, Editura ASE, BucuretiRahman M. & Halladay M. (2007), Accounting information Systems-Principles,

    Applications, and Future Directions, disponibil online la adresa:http://www.kglobal.org/path04/ Chapter_1.pdf)

    Rechtin E., (1991), Systems Architecting: Creating and building complex systems,Englewood Cliffs, NJ: Prentice Hall

    ugui Al., (2003), Produse informatice generalizate pentru contabilitate, EdituraCECCAR, BucuretiZu K., (2005), Information Transparency hypothesis: Economic Implications of

    Information Transparency in Electronic Markets, Advances in Economics ofInformation systems, Idea Group Publishing

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    21/76

    20

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    22/76

    21

    MODULUL II: Aspecte generale privind auditul sistemelor informaionale

    Scopul i obiectivele modulului

    Scopul eacestui modul este de a sublinia importana auditulul sistemelor informaionale i

    de a oferi o imagine asupra diverselor valene ale acestei activiti. Masteranzii vor putea

    s fac distincie ntre auditul sistemelor informaionale i auditul informatic precum i s

    contientizeze modul n care rezultatele unui asemenea audit pot fi valorificate

    Obiectivele acestui modul sunt:1. nelegerea necesitii i importanei auditului sistemelor informaionale;2. Cunoterea sferei de cuprindere a auditului sistemelor informaionale;3. Cunoaterea aspectelor definitorii privind auditul aplicaiilor informatice;4. nelegerea disticiei dintre auditul sistemelor informaionale i auditul

    aplicaiilor informatice;

    5. nelegerea modalitilor de valorificare a rezultatelor unui audit al sistemelorinformaionale.

    Unitatea de curs 1: Necesitatea auditului sistemelor informaionale

    Evoluia tehnologiilor implic revoluionarea modelelor de structurare a organizaiilor

    care implic printre altele: externalizarea serviciilor sau a unor procese care necesit un

    nivel ridicat de pregtire i cunotine, descentralizarea activitilor i reducerea gradului

    de utilizare a resurselor clasice ca urmare a creterii n importan a noilor resurse cum arfi informaiile i cunotinele. Reelele informatice nchise au evoluat n reele virtuale

    care au la baz Internetul, aplicaiile singulare au fost ncorporate n soluii integrate de

    genul ERP (Enterprise Resource Planning) i operaiunile zilnice nu se mai deruleaz la

    nivel local ci includ aplicaii care au la baz tehnologii electronice i mobile. Aceste

    evoluii i tendine au ca i factor comun producerea, transmiterea i utilizarea informaiei.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    23/76

    22

    Informaia nu trebuie privit izolat, ca un factor singular, ci n cadrul unui sistem coerent i

    dinamic din care mai fac parte datele i cunoaterea. n form grafic aceste elemente pot fi

    reprezentate sub forma unei piramide care are la baz data, la mijloc informaia, iar la

    nivelul superior cunoaterea.Pornind de la aceast structur ierarhic, datele sunt definite ca

    fiind faptele, fenomenele brute, neprelucrate, informaiile reprezint date aflate ntr-o form

    organizat sau modele ce deriv din date (Munteanu, 2001).

    Pentru realizarea proceselor de cunoatere i de gestiune a poziiei financiare i

    performanelor ntreprinderii datele i informaiile sunt organizate ntr-un sistem

    informaional care are la baz tehnologia informaional. n acest scop se identific

    evenimentele i faptele ce genereaz informaii, se delimiteaz obiectivele cunoaterii iconducerii, se stabilesc purttorii materiali de informaii i modul n care se culeg, se

    nregistreaz datele, se aleg metodele de prelucrare, se definesc destinaiile

    informaiilor i se organizeaz transmiterea lor la destinatar.

    ntr-o lume n care mediul de afaceri i tehnologiile informaionale sunt ntr-o continu

    micare i dezvoltare, locul i rolul auditorului se schimb pentru a ine pasul cu aceste

    tendine. n acest context, auditul sistemelor informaionale a devenit o necesitate, o

    prioritate, pentru c trebuie s asigure: conformitatea informaiilor, prin care se

    probeaz c realitatea este conform cu legislaia i cu standardele din domeniu,

    credibilitatea situaiilor financiare prin creterea eficienei activitilor desfurate n

    cadrul organizaiei, pe baza deciziilor i msurilor care duc la atingerea obiectivelor.

    Unitatea de curs 2: Auditul sistemelor informaionale

    Sistemul informaional modern modific parcursul clasic al datelor prelucrate de la

    documentele primare la situaii i rapoarte tiprite pe hrtie, nlocuindu-l cu proceduri

    automate de introducere a datelor cu ajutorul formularelor electronice i cu afiarea

    situaiilor de sintez pe dispozitive electronice. Actualizarea bazelor de date n timp

    real, n regim de acces concurenial ne oblig la verificarea i controlul sincronizrii

    procedurilor de calcul i afiare.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    24/76

    23

    nainte de a se contura ca o disciplin de sine-stttoare auditul sistemelor

    informaionale a parcurs mai multe etape strns legate de stadiul evoluiei tehnologiilor

    informaionale folosite n entitile economice i modul n care aceste tehnologii au

    influenat formele de control. Aceste etape au fost (Piattini, 2000:11):

    - auditul n jurul calculatorului: a fost metoda folosit la nceputurile utilizriitehnologiilor informaionale pentru procesarea datelor. n aceast faz predomin

    nc controalele manuale la care fac apel auditorii care considerau calculatoarele ca

    fiind adevrate cutii negre. Auditorul nu face apel la controalele automate pentru

    reducerea riscurilor estimate ci se bazeaz pe formele de control clasice reproducnd

    practic prelucrrile fcute de calculatoare (Arens&Loebbecke, 2003);

    - auditarea calculatorului: s-a dezvoltat cnd cantitatea de date prelucrate itehnologiile folosite pentru acest lucru au crescut n complexitate. Acest lucru a

    pretins din partea auditorului o serie de cunotine pe care puini le deineau. Ca

    urmare acetia au apelat la specialiti pentru a se asigura c sistemul de control care

    exista la nivelul sistemului informaional permitea auditorului o asigurare rezonabil

    asupra modului de procesare al informaiilor;

    - auditarea prin computer: este momentul n care auditul sistemelor informaionaledevine o profesie i ulterior o disciplin academic. n acest moment auditulsistemelor informaionale depete sfera auditului clasic, fie el intern sau extern, ca

    urmare a dezvoltrii sistemelor informaionale iar entitile economice aveau nevoie

    de servicii de consultan care s certifice eficiena acestor sisteme;

    - auditarea cu ajutorul calculatorului: a fost favorizat de faptul c auditorii apelaudin ce n ce mai des la computere pentru extragerea datelor din sistemul

    informaional, eantionare, realizarea testelor etc.;

    -

    auditarea interiorului calculatorului: s-a dezvoltat ca urmare a faptului c din ce nce mai multe echipamente i aplicaii aveau ncorporate n ele controale i proceduri

    de securitate care anterior au fost realizate prin procedee manuale sau alternative.

    Auditul sistemelor informaionale reprezint procesul prin care se colecteaz i

    evalueaz dovezi cu scopul de a determina dac protecia fizic a activelor sistemului i

    msurile prin care se asigur integritatea datelor, contribuie la utilizarea eficace a

    resurselor i ajut la atingerea obiectivelor organizaiei (ISACA, 2008).

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    25/76

    24

    Munteanu (2001:40) consider c activele unui sistem informaional modern includ:

    hardware-ul, software-ul, personalul, fiierele cu date, documentaia sistemului i

    facilitile oferite. Ca oricare alte active din cadrul entitii i acestea trebuie protejate

    prin intermediul unui sistem de control.

    Eden&Stanciu (2004:15) consider c auditul sistemelor informatice (informaionale

    n.a.) este activitatea prin care auditorul n urma colectrii i evalurii unor probe

    specifice de audit, i exprim opinia asupra modului n care sistemul informatic

    (informaional n.a.) permite atingerea obiectivelor strategice ale entitii n condiiile

    utilizrii eficiente a tuturor resurselor informatice (informaionale n.a.)

    Auditul sistemelor informaionale a evoluat progresiv odat cu utilizarea la o scar din ce

    n ce mai mare a tehnologiilor informaionale, dar mai ales odat cu utilizarea unor

    tehnologii din ce n ce mai complexe. Dac la origini auditul sistemelor informaionale s-a

    numit auditul procesrilor automate a datelor, etap care corespundea utilizrii n cadrul

    entitilor economice a unor calculatoare izolate care realizau operaiuni de preluare a

    datelor de pe suporturi tradiionale, prelucrarea acestora i furnizarea unor rapoarte,

    ulterior, ca urmare a apariiei reelelor de calculatoare, care permiteau procesarea unor

    date variate, a avut loc mutaia denumirii acestei activiti n forma sa actual.

    Clarificarea locului i rolului auditului sistemelor informaionale n cadrul auditului

    intern i al auditului extern (financiar) a depins de doi factori eseniali: n primul rnd

    creterea complexitii sistemelor informaionale nu le mai permitea auditorilor

    tradiionali, fie ei interni sau externi, luxul de a audita n jurul calculatorului, iar n al

    doilea rnd nevoia de informaii actuale, obinute ntr-un timp ct mai scurt ale

    managerilor, n special, dar i al celorlali utilizatori a dus la o focalizare a atenieiacordat riscurilor pe care acest demers le presupunea.

    Aflat la grania dintre auditul sistemelor informatice i auditul tradiional, realizarea

    unei misiuni de audit al sistemelor informaionale presupune cunotine din domenii

    variate cum ar fi: contabilitate, audit, informatic, managementul sistemelor

    informaionale etc. Auditul sistemelor informaionale acoper mai multe segmente de

    activiti: verificarea managementului sistemului informatic, verificarea i controlul

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    26/76

    25

    aplicaiilor, controlul securitii fizice, al accesului comunicaiilor n cadrul reelei

    (Eden & Stanciu, 2004).

    Desigur pentru fiecare segment de activitate supus auditrii din perspectiva sistemelorinformaionale putem vorbi de o multitudine de tipuri de audit, dintre care amintim

    (Ivan et al., 2004):

    a) auditul sistemului operaional de calcul, care vizeaz controlul configuraiilor decalcul, al reelelor, sistemelor de operare, software aplicativ, baze de date, controale

    logice/procedurale, controale preventive i corective;

    b) auditul instalaiilor IT, care vizeaz securitatea fizic, controalele mediului de lucrui echipamentele IT;

    c) auditul procesului IT, care se refer la revizia proceselor legate de dezvoltare aaplicaiilor IT, testarea, implementarea, meninerea in funciune, gestionarea

    incidentelor;

    d) auditul controlului i securitii informaiilor, care vizeaz revizia controalelorreferitoare la confidenialitatea, integralitatea i disponibilitatea sistemelor i

    datelor;

    e) auditul conformitii cu legalitatea, ncepnd cu licenele software, copyright,respectarea legislaiei, protecia datelor personale;

    f) auditul continuitii, care vizeaz refacerea dup dezastre, msurile de restaurare,evaluarea modului de abordare a managementului riscurilor.

    Toat aceast tipologie enumerat mai sus are ca numitor comun derularea unor activiti

    de colectare i evaluare a unor probe specifice care s permit formarea unei opinii asupra

    modului in care sistemul informaional permite atingerea obiectivelor strategice ale

    organizaiei n condiiile utilizrii eficiente a tuturor resurselor informatice. Acesteactiviti presupun parcurgerea urmtoarelor faze (Eden & Stanciu, 2004):

    - stabilirea tipului de audit i obiectivul su specific;- planificarea;- culegerea probelor, verificarea lor;- evaluarea rezultatelor;-ntocmirea raportului de audit.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    27/76

    26

    n cadrul auditului sistemelor informaionale o atenie deosebit se acord auditului

    aplicaiilor informatice deoarece aceste pot fi o surs major de risc ca urmare a

    utilizrii defectuoase, a slabei pregtiri ale personalului sau a utilizrii acestora pe

    echipamente inadecvate sau neprotejate. Ca urmare a acestor constatri n continuare

    vom aduce n centrul ateniei problematica auditului aplicaiilor informatice.

    Unitatea de curs 3: Auditul aplicaiilor informatice

    Aplicaiile informatice sunt construcii complexe care includ aplicaii i seturi de date

    organizate n fiiere, baze de date sau alte structuri a cror dinamic i coninutamelioreaz duratele tranzaciilor. Aplicaia informatic soluioneaz probleme ce

    aparin unei clase riguros definit (Ivan et al., 2004).

    "Auditul sistemelor informatice (informaionale n.a.) reprezint activitatea de colectare

    i evaluare a unor probe pentru a determina dac sistemul informatic (informaional

    n.a.) este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea

    obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale."

    (Brnda, 2004)

    Elaborarea i implementarea de aplicaii informatice creeaz premisele reale pentru

    dezvoltarea de sisteme informatice pentru management deoarece prin agregarea de

    aplicaii informatice ale companiei se obin subsisteme informatice de management;

    prin agregarea de subsisteme de management se obine sistemul informatic n

    integralitatea sa; sistemul este integrat datorit faptului c abordeaz totalitatea

    aspectelor ce se manifest la nivelul companiei;

    Auditarea aplicaiei informatice se realizeaz prin efectuarea de teste, prin analiza

    structurii, a modulelor, a interaciunilor dintre module i prin analiza procesului care st

    la baza ciclului de dezvoltare. Se verific nivelul concordanei dintre cerinele formulate

    de beneficiar i reflectarea acestora la nivelul specificaiilor. Se stabilete concordana

    dintre structura proiectului i structura sistemului aa cum rezult din specificaii. Este

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    28/76

    27

    important s se defineasc fluxurile care se parcurg la nivelul aplicaiei informatice

    astfel nct testele s acopere totalitatea elementelor definite prin specificaii.

    Testele se efectueaz pentru a marca msura n care componentele aplicaiei informatice(date de intrare, module program, date de ieire) satisfac specificaiile i de a stabili care

    sunt diferenele ntre ceea ce se atepta s se obin prin utilizarea aplicaia i ceea ce s-a

    obinut n mod concret.

    Testele utilizeaz module program, structuri de date, exigenele de acceptare, seturi de

    date de test i documentaia care alctuiete ghidul utilizatorului. Procesul de testare are

    la baz un plan care include: definirea obiectivului testrii, etapele prin care se

    efectueaz testarea, intrrile i ieirile testrii.

    n planul de testare sunt evideniate distinct, ca teste de acceptare, procesele de la

    nivelul unitilor, de la nivelul ntregii aplicaii i de la nivelul interaciunii dintre

    aplicaia informatic i utilizator. Planului de testare pentru aplicaia informatic i

    corespunde un program de testare n care obiectivele i etapele iau forme concrete prin

    enumerarea de componente ale aplicaiei, prin persoane care deruleaz activitile de

    testare, prin precizarea obiectivelor urmrite n fiecare caz n parte.

    Auditul aplicaiei informatice traverseaz etapele oricrui proces de auditare. Orice

    proces de audit este derulat daci numai dac este fezabil. Fiecare aplicaie informatic

    este nsoit de o documentaie cadru care definete condiiile de elaborare, sarcinile

    elaboratorului i cele ale beneficiarului. De asemenea echipa de audit analizeaz i

    documentele relevante de ordin tehnic prin care se evideniaz modul n care au fost

    parcurse etapele ciclului de dezvoltare.

    Etapele de derulare a auditului privesc interaciuni ale echipei de auditori cu cei care au

    dezvoltat aplicaia n aa fel nct, printr-o abordare gradat, s se obin toate datele

    necesare stabilirii concordanei dintre ceea ce se solicit prin specificaii i ceea ce

    exist n realitate: programe, fiiere, baze de date i structuri de rezultate finale.

    Raportul de audit trebuie s consemneze toate diferenele. El nu soluioneaz

    problemele, dar creeaz bazele corecte ale derulrii proceselor de eliminare a erorilor i

    de cretere a nivelurilor unor caracteristici de calitate.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    29/76

    28

    Unitatea de curs 4: Valorificarea rezultatelor auditului

    Rezultatele auditului sunt transpuse la nivelul organizaiei prin implementarea msurilor

    de mbuntire a securitii tehnologiei informaiei i comunicaiilor care vizeaz:modului de organizare a structurilor interne, securitatea fizic a datelor, accesul

    personalului, controlul accesului i altele, conform (Ivan et al., 2004).

    Organizare

    Fiecare utilizator al sistemului informatic este responsabil cu asigurarea securitii

    datelor pe care le manipuleaz. Existena unei structuri organizatorice unitare care s

    iniieze i s controleze implementarea mecanismelor de securitate n cadrul

    organizaiei, presupune un punct central de coordonare responsabilul cu securitatea.

    Rolul si atribuiile sale se refer la coordonarea si urmrirea respectrii procedurilor i

    politicilor de securitate. Msurile de protecie sunt proiectate n funcie de gradul de

    senzitivitate si de semnificaia economic a resurselor vizate. Perimetrele n care sunt

    amplasate echipamentele de procesare, vor fi protejate cu bariere de acces suplimentare.

    Msuri de securitatea fizic

    Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sauafectarea facilitailor oferite de sistemul informaional. Aceasta seciune vizeaz

    mecanismele prin care se asigura securitatea fizica a imobilului n care organiza ia i

    desfoar activitatea. Alt aspect important al securitii fizice este cel legat de

    protecia echipamentelor, prin prevenirea pierderii, distrugerii sau compromiterii

    funcionarii echipamentelor care pot afecta funcionarea organizaiei.

    Msuri de securitatea personalului

    Cele mai multe incidente de securitate sunt generate de personal din interiorul organizaiei,

    prin aciuni ru intenionate sau chiar erori sau neglijena n utilizarea resurselor

    informaionale. Securitatea informaiilor este un aspect ce trebuie avut n vedere nc din

    etapa de selecie a angajailor. Angajaii trebuie monitorizai pe ntreaga perioada de

    valabilitate a contractului de munci trebuie s aib cunotin de prevederile politicilor de

    securitate. Clauzele de confidenialitate, definirea conflictelor de interese, distribuirea si

    divulgarea informaiilor trebuie avute n vedere pentru fiecare post n parte.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    30/76

    29

    Utilizatorii trebuie instruii cu privire la procedurile de securitate ce trebuie urmate si

    utilizarea facilitilor IT n conformitate cu politica organizaiei. Ar trebui s existe un

    program coerent de instruire a angajailor pe diverse niveluri de interes, pe lng o

    instruire general n gestiunea securitii fiind necesare si specializri pentru

    administratorii sistemului informatic n tehnologii de securitate specifice.

    Msuri pentru controlul accesului

    Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces neautorizat.

    Este important pentru o organizaie s-i apere proprietatea intelectual, reetele de

    producie, aprovizionare, desfacere, datele despre personalul angajat etc. Pentru o

    instituie public, datorit caracterului informaiei pe care o gestioneaz este importants asigure n primul rnd integritatea si disponibilitatea datelor.

    Controlul accesului ncepe cu stabilirea cerinelor de acordare a drepturilor de utilizare a

    informaiilor. Accesul la facilitile si serviciile oferite de sistemul informatic trebuie

    controlat n funcie de specificul si cerinele mediului n care i desfoar activitatea

    organizaia. Pentru a rspunde acestor cerine sunt n general definite o serie de reguli

    de acces corelate cu atribuiile fiecrui utilizator al sistemului informatic. Meninerea

    acestor reguli n linie cu cerinele organizaiei implic un proces de gestiune a accesului

    utilizatorilor sistemului.

    Msuri de control pentru fiecare nivel al sistemului informatic:

    - Controlul accesului la serviciile reelei - conexiunile la serviciile reelei trebuiecontrolate iar pentru obinerea accesului la astfel de servicii este recomandat

    implementarea unei proceduri formale.

    -

    Controlul accesului la nivelul sistemului de operare sistemul de operare trebuie saprevad msuri de restricionare a accesului la date existente pe calculatore.

    - Controlul accesului la aplicaii - prevenirea accesului neautorizat la informaiilegestionate de aplicaiile software.

    Orict de elaborate ar fi msurile de control al accesului exista totdeauna posibilitatea

    unei intruziuni, sau utilizarea inadecvata a resurselor existente.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    31/76

    30

    Rezumatul modului

    ntr-o lume n care mediul de afaceri i tehnologiile informaionale sunt ntr-o continumicare i dezvoltare, locul i rolul auditorului se schimb pentru a ine pasul cu acestetendine. n acest context, auditul sistemelor informaionale a devenit o necesitate, o

    prioritate, pentru c trebuie s asigure: conformitatea informaiilor, prin care seprobeaz c realitatea este conform cu legislaia i cu standardele din domeniu,credibilitatea situaiilor financiare prin creterea eficienei activitilor desfurate ncadrul organizaiei, pe baza deciziilor i msurilor care duc la atingerea obiectivelor.

    Auditul sistemelor informaionale reprezint procesul prin care se colecteaz ievalueaz dovezi cu scopul de a determina dac protecia fizic a activelor sistemului imsurile prin care se asigur integritatea datelor, contribuie la utilizarea eficace aresurselor i ajut la atingerea obiectivelor organizaiei (ISACA, 2008).

    Auditarea aplicaiei informatice se realizeaz prin efectuarea de teste, prin analizastructurii, a modulelor, a interaciunilor dintre module i prin analiza procesului care stla baza ciclului de dezvoltare. Se verific nivelul concordanei dintre cerinele formulatede beneficiar i reflectarea acestora la nivelul specificaiilor. Se stabilete concordanadintre structura proiectului i structura sistemului aa cum rezult din specificaii.

    Rezultatele auditului sunt transpuse la nivelul organizaiei prin implementarea msurilorde mbuntire a securitii tehnologiei informaiei i comunicaiilor care vizeaz:modului de organizare a structurilor interne, securitatea fizic a datelor, accesulpersonalului, controlul accesului etc..

    Sarcini i temen vederea eficientizrii activitii masteranzilor precum i pentru facilitarea nvriicursanii vor realiza o inventariere a activelor informaionale ale unei entiti dup unmodel care va fi pus la dispoziie electronic sau n cadrul primei activiti tutoriale.Aceast activitate va fi luat n considerare la stabilirea notei finale.

    Bibliografie modul

    Arens A. & Loebbecke J., 2003,Audit o abordare integrat, ediia a 8-a, Ed. ARC

    Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea de Vest,Timioara

    Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech,Bucureti

    Information Systems Audit and Control Association, 2008, Standards for IT Audit andAssurance

    Ivan et al., 2005,Auditul sistemelor informatice, Ed. ASE, 2005

    Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom, Iai

    Peltier T., 2005, Information Security Risk Analysis Second Edition, CRC Press,Taylor & Francis Group, Boca Raton, Florida

    Piattini M., 2000,Auditing Information Systems, Idea Group Publishing, Hershey SUA

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    32/76

    31

    MODULUL III: Auditul sistemelor informaionale i auditului intern

    Scopul i obiectivele modulului

    Scopul modulului este de a famirializa masteranzii cu particularitile riscurilor

    generate de sistemul informaional al entitii din perspectiva unei misiuni de audit

    intern. De asemenea se urmrete nelegerea diferitelor metode sau tehnici de evaluare

    a riscurilor precum i a posibilitilor de gestionare a acestora.

    Obiectivele modulului sunt:

    1. nelegerea conceptului de risc i a impactului pe care riscurile le au asupraactivitii unei entiti economice;

    2. nelegerea locului i rolului auditului sistemelor informaionale dinperspectiva unei misiuni de audit intern;

    3. Cunoaterea etapelor de lucru privind identificarea i cuantificarea riscurilor;4. nsuirea modalitilor de gestionare a riscurilor: acceptare, eliminare etc.

    Unitatea de curs 1: O abordare bazat pe riscuri

    ntr-un mediu al auditului intern n care tranzaciile sunt procesate prin aplicaii

    informatice dispersate i eterogene identificarea i cuantificarea nregistrrilor

    ocazionale eronate pe baza eantioanelor statistice se poate aplica cu dificultate ca

    urmare a modului de realizare a sistemului informaional i a controalelor automate pe

    care aceste le are sau ar trebui s la aib ncorporate. n schimb urmrirea erorilor

    sistematice generate de aplicaiile informatice i nivelul riscului de control aferent

    sistemului informaional sunt mai relevante pentru determinarea naturii, duratei icostului unei misiuni de audit. Ca urmare a acestui fapt la nivel internaional se constat

    o mutaie de la aplicarea testelor de conformitate la o abordare bazat pe risc.

    Obiectivul principal al implementrii unei abordri bazate pe risc este mbuntirea

    activitii de audit intern i creterea profitabilitii entitii prin utilizarea eficient a

    resurselor de care aceasta dispune. Auditarea orientat spre riscuri este astfel conceput

    nct s utilizeze resursele disponibile n zonele de risc maxim ceea ce faciliteaz o

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    33/76

    32

    evaluare eficient a riscurilor i un mediu de control mai eficient. Acest lucru necesiti

    ntrete cooperarea dintre auditori i management. ntr-un audit centrat spre risc auditorii

    sistemelor informaionale se bazeaz pe controalele interne i pe cunoaterea entitii.

    Prin nelegerea naturii activitilor16558(i)-2entitii iauditorule 4 2 8 / R 1 0 1 2 T f 0 . 9 5 4 ( ) - 5 8 ( i ) 3 8 u

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    34/76

    33

    conducerii privind funcionarea efectiv a managementul riscurilor ceea ce presupune c

    riscurile sunt gestionate corespunztor, iar n al doilea rnd, prin implicarea auditului

    intern n activiti consultative se ntresc procesele managementului riscurilor n entitate.

    Extinderea utilizrii tehnologiilor informaionale n toate zonele i activitile unei

    entiti atrage dup sine reducerea numrului i importanei controalelor tradiionale n

    favoarea controalelor automate, dar n acelai timp acest lucru poate fi o surs de risc

    dac sistemul informaional are implementate controale defectuoase ceea ce are un

    impact major asupra activitii entitii. (IIA GTAG 4, 2006:2). La acestea mai putem

    aduga tendina de ncorporare n echipamente i aplicaii informatice a unor controale

    manuale sau automate (Piattini, 2000). Implementarea controalelor automate are efectesemnificative asupra scopului, duratei, costurilor, procedurilor i metodelor folosite

    pentru auditarea unor astfel de sisteme.

    Printre mbuntirile controlului intern rezultnd din integrarea tehnologiilor

    informaionale n sistemele contabile se numr:

    1) Mecanismele de control informatice le nlocuiesc pe cele manuale. Beneficiileevidente ale tehnologiilor informaionale, cum ar fi posibilitatea de a gestiona

    rentabil volume impresionante de operaiuni economice complexe, determin

    organizaiile s fac apel la asemenea tehnologii pe tot parcursul derulrii

    activitilor. Unul dintre avantajele tehnologiilor informaionale const n

    posibilitatea de a mbunti controlul intern prin ncorporarea unor mecanisme de

    control executate de calculatoare n activitile cotidiene de prelucrare a

    operaiunilor. nlocuirea procedurilor manuale cu mecanisme de control programate,

    care aplic verificri i calculeaz solduri pentru fiecare operaiune prelucrare poate

    reduce erorile umane care ar putea aprea n mediile manuale tradiionale. Unsistem de TI bine controlat ofer un potenial mai mare de reducere a erorilor,

    deoarece, calculatoarele prelucreaz informaiile de manier consecvent, uniform.

    Printre exemplele de proceduri de control intern executate de calculatoare i care n

    trecut le reveneau angajailor se numr: compararea codului clientului i al

    produsului cu fiierul sistematic sau compararea sumelor operaiunilor de vnzare

    cu limitele de creditare prestabilite.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    35/76

    34

    2) Sunt disponibile informaii de calitate mai nalt. Dup ce managementul se convingede fiabilitatea informaiilor produse cu ajutorul tehnologiilor informaionale, utilizarea

    acestor informaii ofer un potenial adiional de mbuntire a deciziilor

    manageriale. n primul rnd, mediile de TI complexe sunt, de obicei, gestionate cu

    eficacitate, deoarece complexitatea impune organizare, proceduri i documentare

    eficiente. n al doilea rnd, sistemele de TI ofer, de regul, managementului o

    cantitate mai mare de informaii de calitate disponibile mai rapid dect n majoritatea

    sistemelor manuale. (Arens&Loebbecke, 2003:380-381).

    n ceea ce privete activitatea de audit al sistemelor informaionale din perspectiva

    auditului intern trebuie s precizm c auditorul trebuie s adopte o abordare n realizareaplanului de audit astfel nct s se permit alocarea eficient ale resurselor auditului

    sistemelor informaionale. n acest demers evaluarea riscurilor are n vedere identificarea

    elementelor auditabile i alegerea zonelor sau activitilor care sunt expuse cel mai mult la

    risc. Riscul asociat fiecrui element poate fi determinat prin izolarea riscurilor individuale

    aferente acestora, dar de cele mai multe ori riscurile se identific pornind de la procesele

    sau obiectivele entitii la atingerea crora contribuie respectivul element. Evaluarea

    riscurilor legate de sistemul informaional trebuie sin cont de impactul i probabilitatea

    de apariie a riscurilor. Impactul riscurilor legate de sistemul informaional este deseori

    mare mai ales pentru riscurile complexe care vizeaz zonele vulnerabile ale entitii.

    Unitatea de curs 3: Gestiunea riscurilor

    Gestionarea riscurilor sau managementul riscurilor cuprinde toate procesele privind

    identificarea, evaluarea i aprecierea riscurilor, stabilirea responsabilitilor, luarea de

    msuri de atenuare sau anticipare a acestora, revizuirea periodic i monitorizarea

    progresului (M.F.P., 2007:10). Implementarea unui sistem de management al riscurilor

    este un imperativ al entitilor moderne care activeaz ntr-un mediu dinamic i

    caracterizat de incertitudine, deoarece trebuie s fie capabil s rspunde la aceste

    elemente n mod eficient.

    Managementul riscurilor poate fi definit ca fiind procesul de identificare a

    vulnerabilitilor i ameninrilor din cadrul unei entiti, precum i de elaborare a unor

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    36/76

    35

    msuri de minimizare a impactului acestora asupra resurselor informaionale,

    monitorizarea i evaluarea msurilor i urmrirea eficienei controalelor implementate

    (COSO, 2004)

    Managementul riscurilor impune modificarea stilului de management, deoarece managerii

    nu trebuie s se limiteze la a trata consecinele generate de manifestarea riscurilor. Ei

    trebuie s adopte o poziie proactiv n sensul lurii unor decizii care s prentmpine sau

    s atenueze impactul riscurilor. De asemenea, managementul riscurilor faciliteaz

    realizarea eficienti eficace a obiectivelor entitii prin concentrarea eforturilor pentru

    gestionarea riscurilor i mai ales prin revizuirea periodic a riscurilor pentru a realiza o

    realocare a resurselor. n alt ordine de idei managementul riscurilor asigur condiii debaz pentru un control intern sntos (M.F.P., 2007:6-7).

    Evaluarea riscurilor este doar unul din elementele unei structuri mai ample,

    managementul riscurilor. Evaluarea riscurilor reprezint baza pentru celelalte elemente

    care formeaz managementul riscurilor. Mai exact, evaluarea riscurilor permite stabilirea

    politicilor de control adecvate i identificarea celor mai eficiente msuri pentru

    implementarea respectivelor politici. Deoarece riscurile i ameninrile se afl ntr-o

    continu schimbare este important reevaluarea periodic a riscurilor i reconsiderarea

    adecvrii i eficienei politicilor i controalelor implementate.(GAO, 1999:7)

    Evaluarea riscurilor, fie c se refer la riscurile asociate auditului sistemelor

    informaionale sau la alte tipuri de riscuri, reprezint o modalitate de asigurare a unei

    baze necesare pentru: nelegerea factorilor care pot s influeneze operaiunile,

    rezultatele unei entiti i susinerea deciziilor legate de modalitile de reducere a

    impactului riscurilor. Utilizarea la o scar din ce n ce mai mare a sistemelorinformaionale i a datelor electronice atrage dup sine i o cretere a riscurilor la un

    nivel care solicit implicarea constant a managementului i a auditorilor.

    Cadrul conceptual de management al riscurilor unei entiti (Enterprise Risk

    Management Framwork) publicat de COSO n 2004 identific patru categorii de

    obiective care sunt luate n vedere i pot fi realizate dac entitatea are implementat un

    management al riscurilor eficient (COSO, 2004:3):

    - obiective strategice: care vizeaz realizarea obiectivelor fundamentale corelate cu

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    37/76

    36

    misiunea entitii;

    - obiective operaionale: care vizeaz utilizarea eficienti eficace a resurselor;- obiective privind raportarea: susine credibilitatea raportrilor;- obiective privind conformitatea: respectarea legilor i reglementrilor.Pornind de la ideea c sistemul informaional al entitii acoper toate domeniile,

    activitile i procesele unei entiti putem afirma c acesta, sistemul informaional, este

    un factor important pentru realizarea obiectivelor entitii, dar n acelai timp poate fi i

    o surs de riscuri. Astfel putem considera sistemul informaional ca genernd riscuri

    (Cascarino, 2007:37):

    -

    strategice: legate de sistemele informaionale dezvoltate n entitate sauimplementate cu ajutorul terilor dar care nu sunt corelate cu obiectivele

    fundamentale ale entitii i nu susin ndeplinirea misiunii acesteia;

    - operaionale: legate de utilizarea ineficient sau mult sub parametrii optimi asistemului informaional, ceea ce poate genera costuri suplimentare. n aceeai

    msur, dependena sporit de sistemul informaional presupune c orice ntrerupere

    sau funcionare defectuoas a acestuia este o surs de risc;

    -

    privind raportarea: ca urmare a nencrederii n capacitile sistemului informaionalde a genera informaii care s corespund caracteristicilor calitative ale informaiilor

    contabile;

    - privind conformitatea: generate de funcionarea sau utilizarea sistemuluiinformaional de o manier care contravine legilor sau altor reglementri.

    Desigur aceast noiune (managementul riscurilor) se preteaz nevoilor auditului intern

    deoarece permite identificarea zonelor, activitilor, activelor critice, generatoare de

    riscuri pentru reducerea crora trebuie implementat un sistem de control adecvat.

    Indiferent de natura riscurilor luate n considerare, evaluarea acestora presupune, de

    regul, urmtoarele etape (GAO, 1999:7)

    1. Identificarea ameninrilor care ar putea avea un impact negativ i astfel s afectezeoperaiunile i activele critice. Ameninrile includ elemente de natura intruilor,

    angajailor neglijeni sau ru-intenionai, atacuri externe sau chiar dezastre naturale;

    2.

    Estimarea probabilitii de materializare a ameninrilor pornind de la informaiile

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    38/76

    37

    anterioare i de la raionamentul profesional al auditorului;

    3. Identificarea i ierarhizarea valorii i importanei operaiunilor i activelor(resurselor) care ar putea fi afectate de materializarea ameninrilor;

    4. Estimarea pierderilor sau pagubelor poteniale pe care ameninrile le pot generaasupra celor mai importante operaiuni i active, inclusiv costul de refacere;

    5. Identificarea unor msuri eficiente de reducere sau diminuare a impactuluiriscurilor. Printre aceste msuri se pot numra i propunerile legate de

    implementarea de noi politici, proceduri i controale.

    1. Identificarea ameninrilor presupune identificarea factorilor care prin natura lor pot

    atrage poteniale evenimente nedorite prin exploatarea vulnerabilitilor sistemelorinformaionale din perspectiva unor atribute definitorii cum ar fi:

    1 confidenialitatea;2 integritatea;3 disponibilitatea;4 conformitatea cu legislaia.

    Conform metodei OCTAVE (2006) ameninrile se refer la situaia n care o persoan

    sau un eveniment natural, obiectiv, poate provoca ceva nedorit sau poate cauza unrezultat neateptat.

    Ameninrile au urmtoarele componente:

    1 activul: un element de valoare pentru entitate;2 actorul: care poate fi o persoan sau un eveniment care poate determina

    periclitarea confidenialitii, integritii, disponibilitii i conformitii

    informaiilor;

    3 motivul (opional): se determin dac inteniile actorului sau fost deliberate sauaccidentale;

    4 accesul (opional): modul n care actorul poate determina pagube asupra activului;5 finalitatea: rezultatul imediat care are impact asupra activului.

    Ameninrile au o tipologie divers ncepnd cu erori sau sincope de funcionare a

    echipamentelor sau ale programelor, acte neintenionate, superficialitate profesional n

    pregtirea i respectarea procedurilor documentate, pierderi de date, fraude, sabotaje i

    nu n ultimul rnd dezastrele naturale sau politice.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    39/76

    38

    Vulnerabilitile sunt i ele la fel de diverse incluzndu-se n categoria punctelor slabe:

    echipamentele hardware, pachetele software, mediile de stocare, mediile de comunicaie,

    deficienele de administrare, vulnerabiliti fizice i vulnerabiliti naturale.

    2. Estimarea probabilitii de materializare a ameninrilor presupuneutilizarea mai

    multor tehnici dintre care amintim (Boulescu et al., 2005, pag. 318):

    a) judecata liber sau intuiia. Prin aceast tehnic auditorul i folosete propriilecunotine i experiena pentru a cuantifica probabilitatea de materializare a riscurilor.

    Aceast tehnic mai este cunoscut sub denumirea de abordare intuitiv.

    b) tehnica scorurilor. Conform acestei tehnici se acord fiecrui factor de risc(ameninri sau vulnerabiliti) o pondere (un coeficient de importan pentru

    diferitele funciuni sau operaii ale ntreprinderii) i un nivel de risc. Prin produsul

    ponderii cu nivelul de risc se determin riscul funciunii, iar prin adunarea riscurilor

    ponderate se determin riscul sistemului informatic din care fac parte funciunile;

    c) metoda cantitativ. Aceast metod presupune calculul valorii pierderii datoratexpunerii la factorii de risc. Pierderea anual datorat expunerii se calculeaz dup

    formula:

    PAE = Impactul x Frecvena

    PAE pierderea anual datorat expunerii;

    Impactul impactul estimat n lei sau valut;

    Frecvena frecvena de apariie i manifestare a factorilor de risc.

    Auditorul financiar sau expertul desemnat poate s utilizeze variante combinate ale

    acestor tehnici pentru a identifica i evalua ct mai corect riscurile din sistem, n

    vederea unei testri corespunztoare a controlului informatic intern. Ulterior se poate

    trece la o grupare a riscurilor dup urmtoarea structur (Brnda, 2004):

    1. riscul de afacere, care reprezint probabilitatea ca entitatea s nu-i atingobiectivele sale de afaceri. Pentru a evalua acest risc auditorul trebuie s

    investigheze planul strategic al ntreprinderii i s observe nivelul de implicare a

    resurselor informaionale pentru atingerea obiectivelor. Factorii care determin acest

    risc pot fi, att de natur intern, ct i extern. De exemplu un factor intern de risc

    poate fi gradul ridicat de uzur i defeciunile repetate ale echipamentelor de

    prelucrare a datelor, iar un factor extern poate fi apariia pe pia a unor concureni.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    40/76

    39

    2. riscul sistemului informaional, reprezint probabilitatea de apariie a unor erorisau fraude datorit utilizrii inadecvate a sistemului informaional. Riscul sistemului

    informaional cuprinde:

    riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic, care pot fi:

    securitatea sczut a aplicaiilor; accesul neautorizat la datele sistemului;

    introducerea unor date inadecvate sau false; procesarea incomplet a datelor;

    dublarea datelor tranzacionate; procesarea cu ntrziere a datelor; nefuncionarea

    corect a transmisiei datelor; separarea inadecvat sau inexistent a funciilor i

    responsabilitilor; analiza i proiectarea defectuoas a aplicaiilor;

    incompatibilitatea dintre aplicaiile informatice; infectarea aplicaiilor cu virui

    electronici; instruirea inadecvat a utilizatorilor; suportul i mentenana inadecvat

    a aplicaiilor.

    riscul de continuare a activitii sistemului informatic. Reprezint riscul asociat

    disponibilitii i recuperrii sistemului. Riscul disponibilitii sistemului

    reprezint probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit

    securitii sale. Riscul recuperrii sistemului reprezint probabilitatea ca datele i

    operaiile sistemului s nu mai poat fi recuperate n vederea continurii activitii

    ntreprinderii.

    3. Identificarea i ierarhizarea valorii i importanei operaiunilor i activelor

    presupune realizarea unui tablou de ansamblu al infrastructurii informaionale a entitii.

    Resursele informaionale, luate n considerare de o mare parte a standardelor din

    domeniu sau a metodelor de evaluare a riscurilor, sunt: informaiile, aplicaiile,

    infrastructura i personalul (ISACA, 2006). Ca o modalitate de grupare resursele pot fi:

    1 critice; entitatea sau o structur care utilizeaz resursa nu poate s-i continueactivitate n lipsa resursei respective;

    2 eseniale; entitatea sau o structur care utilizeaz resursa poate s-i continueactivitatea, ns pentru o perioad determinat de timp (cteva ore sau zile), ns

    resursa trebuie restabilit;

    3 normale; entitatea sau o structur care utilizeaz resursa poate s-i continueactivitatea pentru o perioad ndelungat de timp, totui anumite persoane vor fi

    parial afectate, fiind obligate s gseasc alternative.

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    41/76

    40

    Aceste resurse trebuie identificate cu un anumit grad de detaliere astfel nct s se evite

    suprapunerea resurselor informaionale. O alt component indispensabil analizei este

    interdependena resurselor. Rezultatul acestei etape poate fi o list sau mai multe liste cu

    toate resursele informaionale identificate n cadrul entitii. Gruparea i ierarhizarea

    resurselor informaionaleeste necesar pentru determinarea prioritilor de protejare a

    lor. Repartizarea resurselor n fiecare categorie trebuie s fie foarte precis pentru a

    evita confuzia. Criteriile posibile de repartizare sunt: importana, impactul produs de

    indisponibilitatea resursei, costul neutilizrii resursei, compromiterea confidenialitii,

    integritii etc.

    4. Estimarea pierderilor sau pagubelor poteniale presupune aproximarea valorii datelori aplicaiilor din prisma raportului impact/cost ca urmare a pierderii de confidenialitate,

    integritate, disponibilitate i/sau conformitate cu legislaia n vigoare, respectiv a activelor

    fizice din prisma costurilor de remediere sau de nlocuire. Pentru realizarea unei estim ri

    ct mai concludente auditorul va apela la persoanele din cadrul entitii care au avut acces

    sau au utilizat datele, aplicaiile sau activele informaionale supuse evalurii.

    5. Identificare unor msuri eficiente de reducere sau diminuare a impactului riscurilor

    presupune completarea listei rezultate la etapa anterioar cu descrierea mijloacelor de

    protecie utilizabile pentru nlturarea sau atenuarea riscului abordat. n urma acestei etape

    se obine pentru fiecare resurs critic sau esenial identificat o list cu riscurile

    aferente. Dac auditorul consider c exist soluii acceptabile, el va proceda la:

    a. identificarea i documentarea fiecrei soluii ce poate fi implementat. Soluiile

    identificate pot fi de ordin tehnic sau procedurale. O problem aparte o reprezint

    numrul i calitatea soluiilor care permit eliminarea riscurilor. Pot exista situaii n

    care se identific o singur msur eficient. n acest caz, este necesar argumentareaacestui fapt precum i a eventualei imposibilitii privind acceptarea altor soluii;

    b. justificarea fiecrei soluii propuse. Argumentul evident e soluionarea problemei,

    ns s-ar putea ca o anumit soluie s rezolve mai multe probleme simultan;

    c. efectuarea unei analize tip costuri/beneficii pentru fiecare soluie propus,

    incluznd costurile directe, costurile de instruire a personalului i costurile

    operaionale ulterioare;

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    42/76

    41

    d. formularea concluziilor privind controalele existente, integritatea i

    funcionalitatea sistemului;

    e. propunerea unui plan de implementare a soluiei identificate. Planul trebuie sin

    cont de prioritatea resursei i impactul pe care l poate avea realizarea riscului

    analizat;

    f. stabilirea condiiilor pentru urmrirea implementrilor recomandrilor.

    Msurile de reducere a efectelor negative pe care le au riscurile asupra sistemului

    informaional sunt variate i depind de o serie de factori care in gradul de risc pe care

    entitatea este dispus s l accepte, receptivitatea managementului la soluiile propuse i

    nu n ultimul rnd posibilitile de implementare a controalelor sau soluiilor propuse.Orice metod trebuie s ofere beneficii maxime cu costuri minime. Printre msurile cele

    mai eficiente care pot fi luate de management la propunerea auditorului intern se

    numr (Munteanu, 2001:53) (M.F.P., 2007:61):

    - Acceptarea (tolerarea) riscurilor. Acest tip de rspuns la risc const n neluareaunor msuri de control al riscurilor i este adecvat pentru riscurile inerente a cror

    expunere este mai mic dect tolerana la risc. Acceptarea (tolerarea) riscurilor este

    o strategie de rspuns la risc recomandat pentru riscurile cu expunere sczut. ncazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvati,

    de aceea, n astfel de situaii, opiunea trebuie temeinic justificat.

    - Eliminarea sau evitarea. Este o msur care poate fi aplicat pentru majoritateariscurilor cu excepia riscurilor de dezastre naturale. Aceast strategie de rspuns la

    risc const n eliminarea activitilor (circumstanelor) care genereaz riscurile.

    - Transferul ctre alt organizaie. Aceast strategie de rspuns la risc const nncredinarea gestionrii riscului unui ter care are expertiza necesar gestionriiacelui risc, ncheindu-se n acest scop un contract. Prin aceasta se urmrete, pe de o

    parte, micorarea expunerii organizaiei, iar pe de alt parte, gestionarea eficace a

    riscului de ctre un ter specializat. Aceast opiune este benefic mai ales n cazul

    riscurilor financiare i patrimoniale.

    - Reconfigurarea controalelor. Implementarea unor noi forme de control care sduc la diminuarea frecvenei de apariie sau a impactului unui risc (desigur, aceast

    msur nu este aplicabil pentru riscurile de dezastre naturale).

  • 7/31/2019 Syll_AuditulSistemelorInformatice

    43/76

    42

    Rezumatul modulului

    Auditarea orientat spre riscuri este astfel conceput nct s utilizeze resurseledisponibile n zonele de risc maxim ceea ce faciliteaz o evaluare eficient a riscurilor iun mediu de control mai eficient. Acest lucru necesit i ntrete cooperarea dintreauditori i management. ntr-un audit centrat spre risc auditorii sistemelor informaionalese bazeaz pe controalele interne i pe cunoaterea entitii.

    n activitatea de audit