Syll_AuditulSistemelorInformatice

7/31/2019 Syll_AuditulSistemelorInformatice

1/76

CUPRINS

I. INFORMAII GENERALE.......................................................................................1Date de identificare a cursului .................................................................................................. 1

Descrierea cursului ....................................................................................................................1Materiale bibliografice obligatorii..............................................................................................2Materiale i instrumente necesare pentru curs............................................................................3Calendar al cursului ...................................................................................................................3Politica de evaluare i notare...................................................................................................... 4Strategii de studiu recomandate ................................................................................................. 5

II. SUPORTUL DE CURS..............................................................................................7

MODULUL I: Aspecte generale privind informaia i noiunea de sistem

informaional ...................................................................................................................9Unitatea de curs 1: Aspecte generale privind noiunea de informaie.......................................9Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor.......................11Unitatea de curs 3: Entitatea economic abordare sistemic ...............................................13 Rezumatul modulului...............................................................................................................18Bibliografie modul...................................................................................................................19

MODULUL II: Aspecte generale privind auditul sistemelor informaionale .........21Unitatea de curs 1: Necesitatea auditului sistemelor informaionale ......................................21Unitatea de curs 2: Auditul sistemelor informaionale............................................................22Unitatea de curs 3: Auditul aplicaiilor informatice................................................................26Unitatea de curs 4: Valorificarea rezultatelor auditului ..........................................................28Rezumatul modului..................................................................................................................30Bibliografie modul...................................................................................................................30

MODULUL III: Auditul sistemelor informaionale i auditului intern...................31Unitatea de curs 1: O abordare bazat pe riscuri.....................................................................31Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit intern .................. 32Unitatea de curs 3: Gestiunea riscurilor ................................................................................... 34Rezumatul modulului...............................................................................................................42Bibliografie modul:.................................................................................................................. 43

MODULUL IV: Auditul sistemelor informaionale i auditul financiar.................45Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiar.............45Unitatea de curs 2: Evaluarea riscurilor..................................................................................48Unitatea de curs 3: Riscurile de audit ..................................................................................... 51Rezumatul modulului...............................................................................................................55Bibliografie modul...................................................................................................................56

MODULUL V: Auditul sistemelor informaionale n Romnia ...............................57Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionale...............57Unitatea de curs 2: Implicarea Camerei Auditori Financiari din Romnia.............................61 Unitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din Romnia ...........................63Unitatea de curs 4: Implicarea ISACA Romnia ....................................................................66Rezumatul modulului...............................................................................................................68Bibliografie modul...................................................................................................................68

III ANEXE ....................................................................................................................69Bibliografie obligatorie............................................................................................................69Glosar de termeni.....................................................................................................................71

Curriculum vitae al titularului de curs......................................................................................75


2/76

1

I. INFORMAII GENERALE

Date de identificare a cursului

Date de contact ale titularului de curs:

Nume: Popa Irimie Emil

Birou: str. T. Mihali, nr 58-60, cam. 226

Telefon: 40 + 0264-41.86.52 int. 5806

Fax: 40 + 0264-41.25.70

E-mail: [email protected]

Consultaii: se vor afia la cam.2 26 la

nceputul semerstrului

Date de identificare curs i contact tutori:

Numele cursului:

Auditul sistemelor informatice

Codul cursului: EMI024

Anul, Semestrul: anul II, sem 2

Tipul cursului: obligatoriu

Pagina web a cursului:

Tutori: Popa Irimie EmilAdresa e-mail tutori:

[email protected]

Condiionri i cunotine dobandite anterior

Cursul Auditul sistemelor informatice i propune s dezvolte abiliti i

cunotine necesare persoanelor care doresc sa se specializeze in domeniul acest

domeniu, precum i celor care doresc s acumuleze cunotine privind implicaiile iimportana auditrii sistemelor informaionale n cadrul unor misiuni de audit financiar

sau intern. Titularul de curs ncurajeaz participarea oricror studeni n cadrul cursului,

indiferent de pregtirea educaional a acestora. Pentru studenii care provin din afara

nvtmntului economic se recomand parcurgerea unei bibliografii minimale n

domeniile contabilitii, auditului intern, auditului financiar i al informaticii.

Descrierea cursului

Cursul de fa reprezint esena unor conotine dobndite deja dar i a unor

tehnici care vor fi nsuite de ctre participani la finalul sau n domeniul vast al

profesiei contabile din care o derivat este auditul sistemelor informaionale.

Persoanele care sunt beneficiarii de baz ai acestuia sunt studenii nscrii la

masterat, absolveni ai specializrilor de profil din cadrul facultii, nefiind ns exclui

nici cei care sunt absolveni ai altor specializri, sub rezerva deja artat anterior.


3/76

2

Patriciparea la acest curs ofer posibilitatea cursanilor de a deprinde aspectele

eseniale ale auditului sistemelor informaionale precum i a implicaiilor pe care

sistemul informaional al unei entiti l are asupra auditului intern i cel financiar..

Aspectele teoretice vor fi mbinate cu aplicaii practice care contribuie la fixarea

cunotinelor i dobndirea instrumentarului necesar pentru a se putea accede la profesia

liberal de auditor financiar.

Complexitatea noiunilor este una progresiv, fcndu-se numeroase referine la

celelalte discipline din care auditul sistemului informaional i are mprumutate unele

procedee de lucru, evideniind i instrumentele specifice.

Materiale bibliografice obligatorii

1. Arens A. & Loebbecke J., 2003, Audit o abordare integrat, ediia a 8-a, Ed.ARC (Mod de accesare: Biblioteca Catedrei de Contabilitate i Audit)

2. Boulescu M. et al. (2005), Auditul sistemelor informatice financiar-contabile, Ed.Tribuna economic, Bucureti (Mod de accesare: Biblioteca CentralUniversitar)

3. Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea deVest, Timioara (Mod de accesare: FSEGA)

4. Cascarino R., 2007, Auditors Guide to Information Systems Auditing, JohnWiley&Sons, (Mod de accesare: Biblioteca Central Universitar)5. Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech,

Bucureti, (Mod de accesare: Biblioteca FSEGA)6. Information Systems Audit and Control Association ISACA, 2008, IT Assurance

Framework, disponibil on-line la adresa: www.isaca.org7. Laudon K.C. & Laudon L.P. (2006) Management Information systems managing

the digital firm, 9th edition, Ed. Prentice Hall, (Mod de accesare: BibliotecaCentral Universitar)

8. Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom,Iai (Mod de accesare: FSEGA)

9. Nstase P. et al., 2007, Auditul i controlul sistemelor informaionale, EdituraEconomic, Bucureti. (Mod de accesare: Biblioteca Catedrei deContabilitate i Audit)

10.Oprea D. (2005), Analiza sistemelor informaionale, Edidura UniversitiiAlexandru Ioan Cuza, Iai, (Mod de accesare: Biblioteca FSEGA)

11.The Institute of Internal Auditors, IIA, 2008, Global Technology Audit Guides,disponibil on-line la adresa: http://www.theiia.org/guidance/technology/

12.ugui Al., (2003), Produse informatice generalizate pentru contabilitate, EdituraCECCAR, Bucureti (Mod de accesare: Biblioteca Central Universitar)


4/76

3

Materiale i instrumente necesare pentru curs

Susinerea prelegerilor i discutarea aplicaiilor practice se va realiza prin

utilizarea urmtoarelor echipamente:

- videoproiector (asigurat de facultate),- laptop sau calculator (asigurat de facultate),- acces la internet (asigurat de facultate).- suport de curs (format electronic i tiprit asigurat de catedr)- alte materiale (format electronic i tiprit asigurat de catedr)

Se vor putea face simulri privind utilizarea tehnicilor de audit asistate de calculator

Calendar al cursului

Activiti Tematica abordat Responsabilitile

masteranzilor

Locul de

desfurare

ntlnire I:Activitididactice

Informaia economic;Sistemul informaional;Necesitatea audituluisistemelor informaionale;Auditul sistemelorinformaionaleAuditul aplicaiilor informatice

ParcurgereabibliografieiRezolvarea studiilor decaz sau a activitiloralocate

Campusconformorarului postatpe site-ulfacultii

ntlnire II:Activitididactice

Rolul auditului sistemuluiinformaional din perspectivaauditului intern i financiar

ParcurgereabibliografieiRezolvarea studiilor decaz sau a activitiloralocate

Campus

Examenfinal

Parcurgereabibliografiei precizate

n vederea susineriiexamenului

Campus

Calendarul ntlnirilor cu studenii poate suporta modificri care ns vor fi aduse la

cunotina studenilor n timp util, n funcie de programul general al cadrului didactic.


5/76

4

Politica de evaluare i notare

Modalitatea de notare a masteranzilor pentru disciplina Auditul sistemelor

informatice are n vederea urmtoarele aspecte:

- participarea activ la activitile tutoriale: 20%.- ndeplinirea sarcinilor i activitilor alocate 50%- examenul final 40%

Studenii trebuie s tie c syllabusul de fa reprezint un suport minimal, a crui

simpl parcurgere nu este suficient pentru promovarea examenului. n vederea

promovrii examenului cu o not satisfctoare, studenii vor trebui s parcurg

bibliografie indicat n cadrul acestui syllabus.

Elemente de deontologie academic

Plagiatul este o problem serioas i este pedepsit cu asprime. Orice student

care este prins c plagiaz se poate atepta s i fie anulat munca i s se ntreprind

msuri disciplinare din partea conducerii facultii.

Exemple de plagiat:

- realizarea proiectului de cercetare de ctre o alt persoan.- copierea parial sau total a unui proiect de cercetare.- copierea unui proiect de cercetare de pe internet i rspndirea acestuia i n

rndul altor masteranzi.

- conspectarea unor surse bibliografice fr citirea prealabil a acestora(copierea unor conspecte fcute de alii).

Masteranzii pot s citeze surse bibliografice alctuite din reviste sau cri cu

condiia ca respectivele surse s fie identificate i prezentate n cadrul proiectului de

cercetare. Un proiect care se constituie n mare parte din compilarea unor idei ale unor

autori, neavnd o contribuie proprie din partea masterandului va fi notat cu un

calificativ inferior.


6/76

5

Studeni cu dizabiliti

n vederea oferirii de anse egale studenilor afectai de dizabiliti motorii sau

intelectuale, titularul de curs i manifest disponibilitatea de a comunica cu studenii

prin intermediul potei electronice. Astfel, studenii cu dizabiliti vor putea adresa

ntrebrile lor legate de tematica cursului Auditul sistemelor informatice pe adresa de

email a titularului de curs, menionat la nceputul acestui silabus, putnd primi

lmuririle necesare n maxim 48 de ore de la primirea mesajului.

Strategii de studiu recomandate

Pentru a obine performana maxim, studenii trebuie sin cont de urmtoarele

recomandri n ceea ce privete studiul individual, precum i activitile colective realizate

n cadrul cursului:

1. Este recomandat remprosptatrea cunotinelor de contabilitate, audit intern ifinanciar, respectiv informatic;

2. Se recomand parcurgerea suportului minimal n ordinea capitolelor, aa cum suntdescrise n prezentul syllabus;

3. Este recomandat ca studiul s se bazeze pe o bibliografie minimal, indicat nsyillabus i pe alte surse bibliografice indicate de tutori.

4. Se recomand participarea la discuii i analize mpreun cu tutorii, pe margineatemelor indicate spre studiu.


7/76

6


8/76

7

II. SUPORTUL DE CURS


Unitatea de curs 1: Aspecte generale privind noiunea de informaieUnitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entit ilorUnitatea de curs 3: Entitatea economic abordare sistemic

MODULUL II: Aspecte generale privind auditul sistemelor informaionale

Unitatea de curs 1: Necesitatea auditului sistemelor informaionaleUnitatea de curs 2: Auditul sistemelor informaionaleUnitatea de curs 3: Auditul aplicaiilor informaticeUnitatea de curs 4: Valorificarea rezultatelor auditului

MODULUL III: Auditul sistemelor informaionale i auditului intern

Unitatea de curs 1: O abordare bazat pe riscuri

Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit internUnitatea de curs 3: Gestiunea riscurilor

MODULUL IV: Auditul sistemelor informaionale i auditul financiar

Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiarUnitatea de curs 2: Evaluarea riscurilorUnitatea de curs 3: Riscurile de audit

MODULUL V: Auditul sistemelor informaionale n Romnia

Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionaleUnitatea de curs 2: Implicarea Camerei Auditori Financiari din RomniaUnitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din RomniaUnitatea de curs 4: Implicarea ISACA Romnia


9/76

8


10/76

9


informaional

Scopul i obiectivele modulului

Scopul acestui modul este familiarizarea cursanilor cu noiunile de informaie i sistem

informaional n vederea nelegerii acestora din perspectiva unei entiti economice.

Totodat se urmrete nelegerea importanei sistemului informaional din perspectiva

auditului acestuia.

Obiectivele prezentului modul sunt:

1. Familiarizarea studenilor cu principalele aspecte privind informaia i sistem;2. Cunoaterea caracteristicilor informaiilor economice i contabile;3. Cunoaterea caracteristicilor sistemelor informaionale;4. nelegerea importanei sistemului informaional n cadrul unei entiti

economice.

Unitatea de curs 1: Aspecte generale privind noiunea de informaie

Generic, informaia se definete ca un mesaj rezultat din reprezentarea realitii prin

cunoaterea creia att emitentul ct i destinatarul i asociaz aceeai semnificaie. ntr-

o alt accepie informaia este o reprezentare simbolic asupra unor entiti din

realitate, avnd caracter de noutate pentru subiecii receptori" ea fiind generat prin

procese de cunoatere de natura observrii directe sau a interpretrii semantice demesaje".(Dicionar de Economie, 2001: 233).

Informaie este unul din cuvintele cel mai des folosite, de foarte multe ori abuziv.

Diferite discipline tiinifice acord diferite nelesuri acestui termen, sau i asociaz

omonime incoerente. Cu toate c de cteva decenii omenirea a pit n era

informaional, iar societatea a trecut de la societatea informaional la societatea

cunoaterii, cuvntul informaie este folosit adesea fr a se da atenia cuvenit

diferitelor sensuri pe care le poate avea.


11/76

10

Creterea gradului de informatizare a proceselor entitii precum i a creterii gradului

de folosire a informaiilor n rezolvarea problemelor umane a fcut ca informaia s fie

considerat ca o resurs economic, n mare msur egal cu alte resurse cum ar fi

munca, materia (prim) i capitalul. n calitatea ei de resurs neofactorial, obinerea

informaiei i utilizarea ei n orice demers al activitii umane, presupune un efort uman

i material financiar.

Aceast perspectiv scoate n eviden faptul c posesia, manipularea i folosirea

informaiei poate mbunti raportul cost-eficien n multe procese fizice sau cognitive.

Ca resurs individual i social, informaia are cteva caracteristici ce o deosebesc de

noiunea tradiional de resurs economic. Spre deosebire de alte resurse economice,informaia este teoretic nelimitat, avnd totui unele limite aparente impuse de timp, de

capabilitatea cognitiv uman sau care in de posibilitile de accesare a diverselor canale

de comunicare a informaiilor ceea ce n fapt ridic costul informaiilor.

Dezvoltarea tehnologiilor informaionale, proliferarea internetului, ceea ce a dus la

reducerea timpului necesar cutrii i accesrii informaiilor, a ridicat problema cantitii

de informaii pe care o entitate economic este dispus s o comunice pe o pia

informaional deschis. Zu K. (2005) ntr-un studiu privind aspectele sociale i

economice ale transparenei informaiilor ntr-o pia electronic deschis, arat c ntr-un

mediu transparent entitile economice au acces mai uor la informaii ceea ce le permite:

reducerea costurilor sub nivelul concurenilor, alegerea strategiilor de viitor innd cont de

situaia pieei i implicit creterea profiturilor. Se creeaz fenomenul de corelare a

strategiilor tuturor entitilor care activeaz pe o pia informaional deschis i astfel

accesul la informaie tinde s reduc avantajele competiionale ducnd la o reorientare

spre o mai bun alocare a resurselor tradiionale.

Informaia, ca resurs economic utilizat la nivelul unei entiti genereaz un avantaj

competiional numai n msura n care costurile obinerii i transmiterii ei sunt mai mici

dect beneficiile pe care le genereaz. Totui costurile obinerii informaiilor nu pot fi

abordate numai dintr-o perspectiv financiar ci i dintr-o perspectiv abstract, a

impactului pe care comunicarea informaiilor o are asupra pieei. De asemenea beneficiile


12/76

11

nu pot fi comensurate numai n termeni de eficien a proceselor interne ci i din

perspectiva parametrilor externi influenai de informaiile deinute i comunicate.

A doua percepie a informaiei (ce dateaz din aceeai perioad), de serviciu de primnecesitate, a determinat dezvoltarea n ntreaga lume a unui nou segment a economiilor

naionale: sectorul de servicii informatice. Beneficiind de avantajele proprietilor

informaiei i construind o percepie a utilitii i valorii sale individuale i sociale, acest

sector furnizeaz o larg gam de produse i servicii informatice.

Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor

ntr-un mediu supra-abundent n informaii, o entitate performant trebuie s-i dezvolte

capacitatea de a identifica sursele importante, de a selecta, stoca, gestiona, prelucra i

folosi inteligent informaia, de a-i dezvolta fluxurile de informaii (interne i externe)

n calitate de generator de informaie i de a-i alege cele mai favorabile strategii i

suporturi de comunicare.

Entitatea nu poate exista fr informaie i comunicarea ei, informaia devenind un bun

al acesteia. Informaia prezint ntr-o entitate patru roluri principale (Nica & Panaite,

1994: 378, dup Simon, 1977):

Msur a succesului: de exemplu, informaia cu privire la profitabilitatea entitiipoate fi folosit pentru evaluarea succesului acesteia pe o anumit perioad de timp;

Semnal de alarm: Unele informaii reflect schimbri nsemnate n volumulvnzrilor, nivelul costurilor, nivelul profitului, constituind astfel semnale de alarm

pentru manageri, determinndu-i s ia decizii i s declaneze aciuni pentruremedierea neajunsurilor. Sistemul informaional al ntreprinderii are rolul de a

dirija informaiile spre locul unde acestea sunt necesare, evitndu-se aglomerarea

managerilor cu informaii inutile;

Baz pentru aprofundarea analizei activitii: Investigarea i analiza operaiunilorcurente ale unei entiti, n urma crora sunt evideniate punctele ei forte i aspectele

vulnerabile ale activitii, au la baz informaii pertinente, att din mediul intern ct

i din cel extern;


13/76

12

Baz pentru planificare: Pentru a fi realiste i eficace, obiectivele i aciunileviitoare ale entitii trebuie proiectate pe baza unor informaii adecvate.

Informaia este indispensabil funcionrii entitii. Utilizarea informaiilor are n vedereurmtoarele trei tipuri de obiective:

Suport pentru luarea deciziilor. Informaia este baza lurii deciziilor. Elaborareadeciziilor necesit informaii de complexiti diferite, n cadrul firmei pe diferite

nivele iar pentru utilizatorii externi, n funcie de natura acestora;

Satisfacerea unor obligaii legale. Fiecare entitate trebuie s transmit mediului ncare activeaz categorii diferite de informaii privind starea acesteia, diveri

parametri, etc. n conformitate cu reglementrile legale; Asigurarea comunicrii. Este vorba att de o comunicare intern realizat prin

schimburi orizontale i verticale de informaii, ct i de o comunicare extern,

materializat n schimbul de informaii cu exteriorul (primirea i difuzarea de

informaii din/ctre exterior, schimburi regulate de informaii cu partenerii,

furnizorii, clienii, creditorii etc.).

Necesitatea informatizrii s-a manifestat pe fondul creterii continue a volumului de

informaii vehiculate. Excesul de informaii a determinat nevoia de informaii

sintetizate, mai uor de urmrit i analizat. Aceast sintetizare o realizeaz, de exemplu,

contabilitatea, dar volumul imens de informaii pe care trebuie s le gestioneze a impus

cutarea de noi posibiliti de eficientizare a respectivelor activiti.

Delimitri privind informaia economic

Informaia economic reprezint o comunicare, o tire sau un mesaj ce conine

elemente noi de cunoatere a unor stri, a unor situaii sau a condiiilor de manifestare a

anumitor fenomene sau procese economice din trecut, prezent sau viitor. Informaiile

reprezint elemente noi n raport cu alte cunotine prealabile. (Mati, 2003: 8)

Analiza definiiei informaiei, redat mai sus, conduce la urmtoarele concluzii principale:

- din punct de vedere economic, are relevan numai informaia care prezint interespentru altcineva dect subiectul care a elaborat-o; numai n acest caz se poate vorbi

despre nevoi i resurse de informaie i despre motivaii care determin furnizarea,


14/76

13

respectiv procurarea de informaii;

- faptul c informaia este o reprezentare de natur simbolic face ca utilitatea ei, n senseconomic, s fie determinat de modul de aranjare a simbolurilor care i dau expresie;

- caracterul de noutate este indispensabil pentru a putea vorbi despre informaie;noutatea trebuie perceput ca atare de fiecare primitor de informaie.

n cadrul sistemului informaional, informaia economic deine un loc de prim rang.

Prin esena ei, informaia economic are un rol deosebit de important n funcionarea

sistemului economic, intervenind n procesele de producie i de comercializare, n

gestionarea resurselor, n cunoaterea tiinific a realitii economice.

Funcionarea unei entiti a crei obiectiv este obinerea unui bun economic destinat

satisfacerii unei nevoi, n condiii de eficien economic, exprimat prin mrimea

profitului, are loc pe baza unor perturbri ce se manifest att la nivelul fluxurilor materiale,

tehnologice i informaionale, ct i la nivelul sistemului de management al organizaiei

economice. n astfel de condiii, alturi de resursele economice clasice, rolul resursei

informaionale n atingerea obiectivelor strategice, precum i n asigurarea competitivitii

firmei devine esenial, iar organizarea i utilizarea informaiei pe toate palierele decizionale

devine mai important dect utilizarea n sine a calculatorului electronic.

Unitatea de curs 3: Entitatea economic abordare sistemic

Un sistem reprezint orice instan din viaa real pentru care se identific un ansamblu

de componente (fenomene, obiecte, procese, noiuni, concepte, entiti sau colectiviti)

aflate att n relaii reciproce, ct i cu mediul nconjurtor i care acioneaz n comun

pentru atingerea unor obiective bine stabilite (Oprea, 2005).

O alt abordare consider sistemul ca fiind ... un set de elemente difereniate conectate

sau interrelaionate nct s ndeplineasc o funcie unic care nu poate fi realizat de

elementele privite n mod individual (Rechtin, 1991: 7)

Sistemele sunt universal prezente n cosmos, n realitatea fizico-biologic i n viaa

social. Oprea (2005: 34) consider organizaiile ca fiind formaii sociale constituite din


15/76

14

oameni implicai n vederea ndeplinirii anumitor funcii predeterminate. Orice

organizaie este un sistem, fr ca orice sistem social s fie propriu-zis o organizaie.

n pofida numeroaselor caracteristici generale, sistemele nu sunt identice ntre ele. Deisunt formate dintr-o mulime de elemente aflate n interaciune i se comport unitar i

integral n relaiile lor cu mediul, sistemele se deosebesc foarte mult ntre ele.

Entitatea economic - abordare sistemic

Pornind de la definiiile anterioare ale conceptului de informaie putem preciza c

sistemul informaional economic poate fi definit ca un ansamblu de oameni, de mijloace

i procedee folosit pentru culegerea, pstrarea, prelucrarea, transmiterea, analiza ivalorificarea informaiilor economice.

Avnd n vedere particularitile constructive ale unei entiti economice putem afirma

ca aceasta se circumscrie caracteristicilor unui sistem, deoarece:

1 prezint o structur proprie constnd dintr-o mulime de elemente (departamente,secii, servicii, activiti etc);

2 ntre elementele constitutive exist o serie de fluxuri (materiale, financiare,informaionale, umane etc.) care implic resursele entitii;

3 elementele disponibile i fluxurile existente urmresc realizarea unui anumitobiectiv. (Mati & Cardo, 2007: 33)

Pornind de la abordarea sistemic a unei entiti economice putem particulariza

tipologia acestuia n funcie de criteriile menionate n subcapitolul anterior. Astfel:

entitatea economic este un sistem deschis, adaptativ, innd seama de faptul c este o

component a unor sisteme mai mari, cu care are legturi armonizate prin procesul de

conducere. n acelai timp, entitatea economic are i un grad propriu de autonomie, o

funcionare de sine stttoare. Entitatea economic poate fi neleas numai privind-o ca

sistem deschis, ale crui procese interne se afl n interrelaie cu mediul. Entitatea

economic ca un sistem complet nchis probabil nu va exista niciodat, deoarece

componentele sale sunt totdeauna influenate de fore din afara sistemului. Aceasta

nseamn c entitatea economic trebuie analizat contextual i, n acest sens, putem

vorbi de grade de permeabilitate" la influenele din mediu, dar nu de un sistem nchis.


16/76

15

Importana sistemelor informaionale economice a crescut pe msur ce datele au

devenit resurs cheie pentru orice organizaie, alturi de resursele umane i materiale.

Decidenii au neles c informaia nu mai este un rezultat n sine, ci mai degrab,materia prim a unei afaceri i poate fi considerat factor hotrtor n determinarea

succesului sau eecului acesteia (Oprea, 2005: 24)

Exist o strns legtur ntre sistemele fizice, existente la nivelul unei firme, i

sistemul informaional, considerat sistem logic, din urmtoarele considerente:

- sistemul fizic (real) este alctuit din bunurile corporale prin intermediul crora sedesfoar activitile oricrei organizaii (firm, instituie guvernamental, banc,instituie de nvmnt etc.). Componentele sistemului fizic sunt cldirile,

angajaii, echipamentele, resursele materiale, banii, toate folosite pentru atingerea

unor obiective, cum ar fi: obinerea profitului, recuperarea investiiilor, ctigarea

unui segment de pia, creterea cotaiei aciunilor pe piaa bursier etc.;

- sistemul logic (reglat) informaional (n.a.) reprezint mijloacele prin care sepot reda, din punct de vedere logic componentele sistemului fizic. (McLeod &

Jordan, 2002: 29-30)

ntre sistemul fizic, real, al unei entiti, fie i economice i sistemul informaional care

exist o legtur inseparabil, cel puin din urmtoarele motive:

- pentru ca efectul legturilor dintre sistemul informaional i sistemul su de bazs fie pozitiv i ct mai nalt este necesar s se asigure o deplin concordan ntre

acestea;

- activitile sistemului informaional sunt importante att pentru ansamblulsistemului ct i pentru elementele sale de structur;

- necesitile de perfecionare i dezvoltare sunt valabile att pentru sistemul debaz ct i pentru sistemul informaional aferent. Nu se poate concepe o etap de

dezvoltare sau de perfecionare a activitii economice dintr-o firm fr o

dezvoltare i perfecionare a sistemului informaional decizional din cadrul

acesteia.


17/76

16

Entitatea economic sistem cibernetic

Lucrrile n domeniul sistemicii au condus la definirea unui model care

promoveaz viziunea sistemic asupra entitii pe care o consider format din

urmtoarele trei subsisteme:

- Subsistemul managerial sau decizional este sediul activitii decizionale a entitii.Activitatea decizional este, de fapt, asigurat de ctre toi actorii, la diferite

nivele, de la cei ce-i desfoar activitatea n sistemul operaional, pn la

conducerea de vrf. Acest sistem primete informaii despre sistemul operaional

i acioneaz prin decizii asupra acestuia.

-

Subsistemul informaional joac un dublu rol: pe de o parte asigur toateinformaiile necesare lurii deciziilor pe toate nivelurile de responsabilitate,

conducere i control iar pe de alt parte asigur cile de comunicare ntre celelalte

subsisteme, deoarece deciziile formulate de subsistemul de conducere sunt

transmise factorilor de execuie prin subsistemul informaional (flux descendent).

- Subsistemul condus sau operaional (n cadrul cruia se desf oar proceseleeconomice specifice domeniului de activitate a agentului economic) are loc

culegerea datelor care apoi sunt transmise subsistemului informaional (flux

ascendent) n vederea stocrii i prelucrrii datelor necesare obinerii

informaiilor utilizate n fundamentarea deciziilor la nivelul subsistemului

decizional (de conducere).

Figura 1. Abordarea sistemic a entit ii

(Sursa: Oprea, 2005: 32)


18/76

17

Avnd n vedere definirea unui sistem cibernetic caracterizat prin existena a cel puin

dou subsisteme ntre care exist autoreglarea prin conexiune inversi analiznd acest

lucru pentru sistem un economic putem constata c acesta are caracter cibernetic.

Figura 2. Viziunea cibernetic a entitii

(Sursa: Laudon & Laudon, 2006: 90)

Caracterul de sistem cibernetic este ntrit de faptul c sistemul are propriile obiective,

metode, tehnici i resurse specifice. La nivelul sistemului economic putem identifica cel

puin dou subsisteme interdependente, care asigur stabilitatea ntregului sistem:

subsistemul managerial (de conducere) i subsistemul operaional (condus). Legtura

dintre aceste dou subsisteme este realizat prin intermediul (sub)sistemului

informaional care are menirea de a asigura procesul informaional al sistemului

economic. n cadrul (sub)sistemului informaional se deruleaz fazele formrii

informaiei economice: culegerea datelor rezultate din procesul direct productiv al

sistemului economic, transmiterea datelor pentru prelucrarea propriu-zis (indiferent de

mijloacele tehnice), formarea informaiei economice i arhivarea acesteia.

(Sub)sistemului informaional este influenat i condus prin decizii proprii transmise pe

canalul conexiunii inverse. Aceste decizii au rolul de a asigura funcionarea

(sub)sistemului informaional la parametrii prestabilii. Totodat, aceste decizii au i

rolul de a adapta i de a perfeciona continuu procesul informaional astfel nct acesta s

corespund ntru-totul modificrilor sistemului economic pe care l deservete.

Mediul economic

Sistem informaional

Feedback (conexiune invers)

Legiuitor Acionari Competitori

Furnizori Clien i

Entitatea economic

Intrri Prelucrri Ieiri


19/76

18

O parte din fazele procesului informaional (de exemplu culegerea datelor din evidena

primar) se realizeaz n nsi subsistemul operaional (condus) al sistemului economic.

Putem aprecia c subsistemul n care are loc procesul informaional mpreun cu o parte

din subsistemul operaional formeaz subsistemul condus al sistemului cibernetic

informaional. Rolul principal al subsistemului condus const n asigurarea cu

informaii pentru conducerea ntregului sistem economic precum i pentru funcionarea

sistemului informaional i meninerea acestuia n cadrul unor limite prestabilite.

Rezumatul modulului

Informaia este o reprezentare simbolic asupra unor entiti din realitate, avndcaracter de noutate pentru subiecii receptori" ea fiind generat prin procese decunoatere de natura observrii directe sau a interpretrii semantice de mesaje".(Dicionar de Economie, 2001: 233).

Informaia prezint ntr-o entitate patru roluri principale: (1) msur a succesului; (2)semnal de alarm; (3) baz pentru fundamentarea deciziilor; (4) baz pentru planificare.Utilizarea informaiilor are n vedere urmtoarele trei tipuri de obiective: (1) suport pentruluarea deciziilor; (2) ndeplinirea unor obligaii legale; (3) asigurarea comunicrii.

Sistemul informaional economic poate fi definit ca un ansamblu de oameni, de

mijloace i procedee folosit pentru culegerea, pstrarea, prelucrarea, transmiterea,analiza i valorificarea informaiilor economice.

Avnd n vedere definirea unui sistem cibernetic caracterizat prin existena a cel puindou subsisteme ntre care exist autoreglarea prin conexiune inversi analiznd acestlucru pentru sistem un economic putem constata c acesta are caracter cibernetic.

Viziunea sistemic asupra entitii este format din urmtoarele trei subsisteme:

- Subsistemul managerial sau decizional este sediul activitii decizionale a entitii.- Subsistemul informaional joac un dublu rol: pe de o parte asigur toate

informaiile necesare lurii deciziilor iar pe de alt parte asigur cile decomunicare ntre celelalte subsisteme

- Subsistemul condus sau operaional (n cadrul cruia se desf oar proceseleeconomice specifice domeniului de activitate a agentului economic).

Sarcini i teme

n vederea eficientizrii activitii masteranzilor precum i pentru facilitarea nvriicursanii vor realiza o inventariere a componentelor unui sistem informaional al uneientiti dup un model care va fi pus la dispoziie electronic sau n cadrul primeiactiviti tutoriale. Aceast activitate va fi luat n considerare la stabilirea notei finale.


20/76

19

Bibliografie modul

Anghelescu C., Apostol Gh., Avram I., (2001), Dicionar de economie, EdituraEconomic, Bucureti

Feleg N. & Ionacu I., (1998), Tratat de contabilitate financiar vol. I, EdituraEconomic, Bucureti

Kirkegaard, H. 1997. Improving Accounting Reliability: Solvency, Insolvency andFuture Cash Flows, Quorum Books, Westport, Connecticut, USA

Laudon K.C. & Laudon L.P. (2006)Management Information systems managing thedigital firm, 9th edition, Ed. Prentice Hall

Mati D., 2000, Caliti i limite ale informaiilor contabile, Studia Universitatis Babe-Bolyai, Oeconomica, nr. 1, pag. 3140

Mati D. & Cardo V., 2007, Particularitile evalurii riscurilor n activitatea de audital sistemelor informatice n scopul raportrilor financiare, Revista de Audit,

CAFR, nr. 10:32-39McLeod Jr. & Jordan E., (2002), System Development. A project ManagementApproach, John Wiley&Sons, New York

Oprea D. (2005), Analiza sistemelor informaionale, Edidura Universitii AlexandruIoan Cuza, Iai

Popa I, (2005),Management general, Editura ASE, BucuretiRahman M. & Halladay M. (2007), Accounting information Systems-Principles,

Applications, and Future Directions, disponibil online la adresa:http://www.kglobal.org/path04/ Chapter_1.pdf)

Rechtin E., (1991), Systems Architecting: Creating and building complex systems,Englewood Cliffs, NJ: Prentice Hall

ugui Al., (2003), Produse informatice generalizate pentru contabilitate, EdituraCECCAR, BucuretiZu K., (2005), Information Transparency hypothesis: Economic Implications of

Information Transparency in Electronic Markets, Advances in Economics ofInformation systems, Idea Group Publishing


21/76

20


22/76

21

MODULUL II: Aspecte generale privind auditul sistemelor informaionale


Scopul eacestui modul este de a sublinia importana auditulul sistemelor informaionale i

de a oferi o imagine asupra diverselor valene ale acestei activiti. Masteranzii vor putea

s fac distincie ntre auditul sistemelor informaionale i auditul informatic precum i s

contientizeze modul n care rezultatele unui asemenea audit pot fi valorificate

Obiectivele acestui modul sunt:1. nelegerea necesitii i importanei auditului sistemelor informaionale;2. Cunoterea sferei de cuprindere a auditului sistemelor informaionale;3. Cunoaterea aspectelor definitorii privind auditul aplicaiilor informatice;4. nelegerea disticiei dintre auditul sistemelor informaionale i auditul

aplicaiilor informatice;

5. nelegerea modalitilor de valorificare a rezultatelor unui audit al sistemelorinformaionale.

Unitatea de curs 1: Necesitatea auditului sistemelor informaionale

Evoluia tehnologiilor implic revoluionarea modelelor de structurare a organizaiilor

care implic printre altele: externalizarea serviciilor sau a unor procese care necesit un

nivel ridicat de pregtire i cunotine, descentralizarea activitilor i reducerea gradului

de utilizare a resurselor clasice ca urmare a creterii n importan a noilor resurse cum arfi informaiile i cunotinele. Reelele informatice nchise au evoluat n reele virtuale

care au la baz Internetul, aplicaiile singulare au fost ncorporate n soluii integrate de

genul ERP (Enterprise Resource Planning) i operaiunile zilnice nu se mai deruleaz la

nivel local ci includ aplicaii care au la baz tehnologii electronice i mobile. Aceste

evoluii i tendine au ca i factor comun producerea, transmiterea i utilizarea informaiei.


23/76

22

Informaia nu trebuie privit izolat, ca un factor singular, ci n cadrul unui sistem coerent i

dinamic din care mai fac parte datele i cunoaterea. n form grafic aceste elemente pot fi

reprezentate sub forma unei piramide care are la baz data, la mijloc informaia, iar la

nivelul superior cunoaterea.Pornind de la aceast structur ierarhic, datele sunt definite ca

fiind faptele, fenomenele brute, neprelucrate, informaiile reprezint date aflate ntr-o form

organizat sau modele ce deriv din date (Munteanu, 2001).

Pentru realizarea proceselor de cunoatere i de gestiune a poziiei financiare i

performanelor ntreprinderii datele i informaiile sunt organizate ntr-un sistem

informaional care are la baz tehnologia informaional. n acest scop se identific

evenimentele i faptele ce genereaz informaii, se delimiteaz obiectivele cunoaterii iconducerii, se stabilesc purttorii materiali de informaii i modul n care se culeg, se

nregistreaz datele, se aleg metodele de prelucrare, se definesc destinaiile

informaiilor i se organizeaz transmiterea lor la destinatar.

ntr-o lume n care mediul de afaceri i tehnologiile informaionale sunt ntr-o continu

micare i dezvoltare, locul i rolul auditorului se schimb pentru a ine pasul cu aceste

tendine. n acest context, auditul sistemelor informaionale a devenit o necesitate, o

prioritate, pentru c trebuie s asigure: conformitatea informaiilor, prin care se

probeaz c realitatea este conform cu legislaia i cu standardele din domeniu,

credibilitatea situaiilor financiare prin creterea eficienei activitilor desfurate n

cadrul organizaiei, pe baza deciziilor i msurilor care duc la atingerea obiectivelor.

Unitatea de curs 2: Auditul sistemelor informaionale

Sistemul informaional modern modific parcursul clasic al datelor prelucrate de la

documentele primare la situaii i rapoarte tiprite pe hrtie, nlocuindu-l cu proceduri

automate de introducere a datelor cu ajutorul formularelor electronice i cu afiarea

situaiilor de sintez pe dispozitive electronice. Actualizarea bazelor de date n timp

real, n regim de acces concurenial ne oblig la verificarea i controlul sincronizrii

procedurilor de calcul i afiare.


24/76

23

nainte de a se contura ca o disciplin de sine-stttoare auditul sistemelor

informaionale a parcurs mai multe etape strns legate de stadiul evoluiei tehnologiilor

informaionale folosite n entitile economice i modul n care aceste tehnologii au

influenat formele de control. Aceste etape au fost (Piattini, 2000:11):

- auditul n jurul calculatorului: a fost metoda folosit la nceputurile utilizriitehnologiilor informaionale pentru procesarea datelor. n aceast faz predomin

nc controalele manuale la care fac apel auditorii care considerau calculatoarele ca

fiind adevrate cutii negre. Auditorul nu face apel la controalele automate pentru

reducerea riscurilor estimate ci se bazeaz pe formele de control clasice reproducnd

practic prelucrrile fcute de calculatoare (Arens&Loebbecke, 2003);

- auditarea calculatorului: s-a dezvoltat cnd cantitatea de date prelucrate itehnologiile folosite pentru acest lucru au crescut n complexitate. Acest lucru a

pretins din partea auditorului o serie de cunotine pe care puini le deineau. Ca

urmare acetia au apelat la specialiti pentru a se asigura c sistemul de control care

exista la nivelul sistemului informaional permitea auditorului o asigurare rezonabil

asupra modului de procesare al informaiilor;

- auditarea prin computer: este momentul n care auditul sistemelor informaionaledevine o profesie i ulterior o disciplin academic. n acest moment auditulsistemelor informaionale depete sfera auditului clasic, fie el intern sau extern, ca

urmare a dezvoltrii sistemelor informaionale iar entitile economice aveau nevoie

de servicii de consultan care s certifice eficiena acestor sisteme;

- auditarea cu ajutorul calculatorului: a fost favorizat de faptul c auditorii apelaudin ce n ce mai des la computere pentru extragerea datelor din sistemul

informaional, eantionare, realizarea testelor etc.;

-

auditarea interiorului calculatorului: s-a dezvoltat ca urmare a faptului c din ce nce mai multe echipamente i aplicaii aveau ncorporate n ele controale i proceduri

de securitate care anterior au fost realizate prin procedee manuale sau alternative.

Auditul sistemelor informaionale reprezint procesul prin care se colecteaz i

evalueaz dovezi cu scopul de a determina dac protecia fizic a activelor sistemului i

msurile prin care se asigur integritatea datelor, contribuie la utilizarea eficace a

resurselor i ajut la atingerea obiectivelor organizaiei (ISACA, 2008).


25/76

24

Munteanu (2001:40) consider c activele unui sistem informaional modern includ:

hardware-ul, software-ul, personalul, fiierele cu date, documentaia sistemului i

facilitile oferite. Ca oricare alte active din cadrul entitii i acestea trebuie protejate

prin intermediul unui sistem de control.

Eden&Stanciu (2004:15) consider c auditul sistemelor informatice (informaionale

n.a.) este activitatea prin care auditorul n urma colectrii i evalurii unor probe

specifice de audit, i exprim opinia asupra modului n care sistemul informatic

(informaional n.a.) permite atingerea obiectivelor strategice ale entitii n condiiile

utilizrii eficiente a tuturor resurselor informatice (informaionale n.a.)

Auditul sistemelor informaionale a evoluat progresiv odat cu utilizarea la o scar din ce

n ce mai mare a tehnologiilor informaionale, dar mai ales odat cu utilizarea unor

tehnologii din ce n ce mai complexe. Dac la origini auditul sistemelor informaionale s-a

numit auditul procesrilor automate a datelor, etap care corespundea utilizrii n cadrul

entitilor economice a unor calculatoare izolate care realizau operaiuni de preluare a

datelor de pe suporturi tradiionale, prelucrarea acestora i furnizarea unor rapoarte,

ulterior, ca urmare a apariiei reelelor de calculatoare, care permiteau procesarea unor

date variate, a avut loc mutaia denumirii acestei activiti n forma sa actual.

Clarificarea locului i rolului auditului sistemelor informaionale n cadrul auditului

intern i al auditului extern (financiar) a depins de doi factori eseniali: n primul rnd

creterea complexitii sistemelor informaionale nu le mai permitea auditorilor

tradiionali, fie ei interni sau externi, luxul de a audita n jurul calculatorului, iar n al

doilea rnd nevoia de informaii actuale, obinute ntr-un timp ct mai scurt ale

managerilor, n special, dar i al celorlali utilizatori a dus la o focalizare a atenieiacordat riscurilor pe care acest demers le presupunea.

Aflat la grania dintre auditul sistemelor informatice i auditul tradiional, realizarea

unei misiuni de audit al sistemelor informaionale presupune cunotine din domenii

variate cum ar fi: contabilitate, audit, informatic, managementul sistemelor

informaionale etc. Auditul sistemelor informaionale acoper mai multe segmente de

activiti: verificarea managementului sistemului informatic, verificarea i controlul


26/76

25

aplicaiilor, controlul securitii fizice, al accesului comunicaiilor n cadrul reelei

(Eden & Stanciu, 2004).

Desigur pentru fiecare segment de activitate supus auditrii din perspectiva sistemelorinformaionale putem vorbi de o multitudine de tipuri de audit, dintre care amintim

(Ivan et al., 2004):

a) auditul sistemului operaional de calcul, care vizeaz controlul configuraiilor decalcul, al reelelor, sistemelor de operare, software aplicativ, baze de date, controale

logice/procedurale, controale preventive i corective;

b) auditul instalaiilor IT, care vizeaz securitatea fizic, controalele mediului de lucrui echipamentele IT;

c) auditul procesului IT, care se refer la revizia proceselor legate de dezvoltare aaplicaiilor IT, testarea, implementarea, meninerea in funciune, gestionarea

incidentelor;

d) auditul controlului i securitii informaiilor, care vizeaz revizia controalelorreferitoare la confidenialitatea, integralitatea i disponibilitatea sistemelor i

datelor;

e) auditul conformitii cu legalitatea, ncepnd cu licenele software, copyright,respectarea legislaiei, protecia datelor personale;

f) auditul continuitii, care vizeaz refacerea dup dezastre, msurile de restaurare,evaluarea modului de abordare a managementului riscurilor.

Toat aceast tipologie enumerat mai sus are ca numitor comun derularea unor activiti

de colectare i evaluare a unor probe specifice care s permit formarea unei opinii asupra

modului in care sistemul informaional permite atingerea obiectivelor strategice ale

organizaiei n condiiile utilizrii eficiente a tuturor resurselor informatice. Acesteactiviti presupun parcurgerea urmtoarelor faze (Eden & Stanciu, 2004):

- stabilirea tipului de audit i obiectivul su specific;- planificarea;- culegerea probelor, verificarea lor;- evaluarea rezultatelor;-ntocmirea raportului de audit.


27/76

26

n cadrul auditului sistemelor informaionale o atenie deosebit se acord auditului

aplicaiilor informatice deoarece aceste pot fi o surs major de risc ca urmare a

utilizrii defectuoase, a slabei pregtiri ale personalului sau a utilizrii acestora pe

echipamente inadecvate sau neprotejate. Ca urmare a acestor constatri n continuare

vom aduce n centrul ateniei problematica auditului aplicaiilor informatice.

Unitatea de curs 3: Auditul aplicaiilor informatice

Aplicaiile informatice sunt construcii complexe care includ aplicaii i seturi de date

organizate n fiiere, baze de date sau alte structuri a cror dinamic i coninutamelioreaz duratele tranzaciilor. Aplicaia informatic soluioneaz probleme ce

aparin unei clase riguros definit (Ivan et al., 2004).

"Auditul sistemelor informatice (informaionale n.a.) reprezint activitatea de colectare

i evaluare a unor probe pentru a determina dac sistemul informatic (informaional

n.a.) este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea

obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale."

(Brnda, 2004)

Elaborarea i implementarea de aplicaii informatice creeaz premisele reale pentru

dezvoltarea de sisteme informatice pentru management deoarece prin agregarea de

aplicaii informatice ale companiei se obin subsisteme informatice de management;

prin agregarea de subsisteme de management se obine sistemul informatic n

integralitatea sa; sistemul este integrat datorit faptului c abordeaz totalitatea

aspectelor ce se manifest la nivelul companiei;

Auditarea aplicaiei informatice se realizeaz prin efectuarea de teste, prin analiza

structurii, a modulelor, a interaciunilor dintre module i prin analiza procesului care st

la baza ciclului de dezvoltare. Se verific nivelul concordanei dintre cerinele formulate

de beneficiar i reflectarea acestora la nivelul specificaiilor. Se stabilete concordana

dintre structura proiectului i structura sistemului aa cum rezult din specificaii. Este


28/76

27

important s se defineasc fluxurile care se parcurg la nivelul aplicaiei informatice

astfel nct testele s acopere totalitatea elementelor definite prin specificaii.

Testele se efectueaz pentru a marca msura n care componentele aplicaiei informatice(date de intrare, module program, date de ieire) satisfac specificaiile i de a stabili care

sunt diferenele ntre ceea ce se atepta s se obin prin utilizarea aplicaia i ceea ce s-a

obinut n mod concret.

Testele utilizeaz module program, structuri de date, exigenele de acceptare, seturi de

date de test i documentaia care alctuiete ghidul utilizatorului. Procesul de testare are

la baz un plan care include: definirea obiectivului testrii, etapele prin care se

efectueaz testarea, intrrile i ieirile testrii.

n planul de testare sunt evideniate distinct, ca teste de acceptare, procesele de la

nivelul unitilor, de la nivelul ntregii aplicaii i de la nivelul interaciunii dintre

aplicaia informatic i utilizator. Planului de testare pentru aplicaia informatic i

corespunde un program de testare n care obiectivele i etapele iau forme concrete prin

enumerarea de componente ale aplicaiei, prin persoane care deruleaz activitile de

testare, prin precizarea obiectivelor urmrite n fiecare caz n parte.

Auditul aplicaiei informatice traverseaz etapele oricrui proces de auditare. Orice

proces de audit este derulat daci numai dac este fezabil. Fiecare aplicaie informatic

este nsoit de o documentaie cadru care definete condiiile de elaborare, sarcinile

elaboratorului i cele ale beneficiarului. De asemenea echipa de audit analizeaz i

documentele relevante de ordin tehnic prin care se evideniaz modul n care au fost

parcurse etapele ciclului de dezvoltare.

Etapele de derulare a auditului privesc interaciuni ale echipei de auditori cu cei care au

dezvoltat aplicaia n aa fel nct, printr-o abordare gradat, s se obin toate datele

necesare stabilirii concordanei dintre ceea ce se solicit prin specificaii i ceea ce

exist n realitate: programe, fiiere, baze de date i structuri de rezultate finale.

Raportul de audit trebuie s consemneze toate diferenele. El nu soluioneaz

problemele, dar creeaz bazele corecte ale derulrii proceselor de eliminare a erorilor i

de cretere a nivelurilor unor caracteristici de calitate.


29/76

28

Unitatea de curs 4: Valorificarea rezultatelor auditului

Rezultatele auditului sunt transpuse la nivelul organizaiei prin implementarea msurilor

de mbuntire a securitii tehnologiei informaiei i comunicaiilor care vizeaz:modului de organizare a structurilor interne, securitatea fizic a datelor, accesul

personalului, controlul accesului i altele, conform (Ivan et al., 2004).

Organizare

Fiecare utilizator al sistemului informatic este responsabil cu asigurarea securitii

datelor pe care le manipuleaz. Existena unei structuri organizatorice unitare care s

iniieze i s controleze implementarea mecanismelor de securitate n cadrul

organizaiei, presupune un punct central de coordonare responsabilul cu securitatea.

Rolul si atribuiile sale se refer la coordonarea si urmrirea respectrii procedurilor i

politicilor de securitate. Msurile de protecie sunt proiectate n funcie de gradul de

senzitivitate si de semnificaia economic a resurselor vizate. Perimetrele n care sunt

amplasate echipamentele de procesare, vor fi protejate cu bariere de acces suplimentare.

Msuri de securitatea fizic

Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sauafectarea facilitailor oferite de sistemul informaional. Aceasta seciune vizeaz

mecanismele prin care se asigura securitatea fizica a imobilului n care organiza ia i

desfoar activitatea. Alt aspect important al securitii fizice este cel legat de

protecia echipamentelor, prin prevenirea pierderii, distrugerii sau compromiterii

funcionarii echipamentelor care pot afecta funcionarea organizaiei.

Msuri de securitatea personalului

Cele mai multe incidente de securitate sunt generate de personal din interiorul organizaiei,

prin aciuni ru intenionate sau chiar erori sau neglijena n utilizarea resurselor

informaionale. Securitatea informaiilor este un aspect ce trebuie avut n vedere nc din

etapa de selecie a angajailor. Angajaii trebuie monitorizai pe ntreaga perioada de

valabilitate a contractului de munci trebuie s aib cunotin de prevederile politicilor de

securitate. Clauzele de confidenialitate, definirea conflictelor de interese, distribuirea si

divulgarea informaiilor trebuie avute n vedere pentru fiecare post n parte.


30/76

29

Utilizatorii trebuie instruii cu privire la procedurile de securitate ce trebuie urmate si

utilizarea facilitilor IT n conformitate cu politica organizaiei. Ar trebui s existe un

program coerent de instruire a angajailor pe diverse niveluri de interes, pe lng o

instruire general n gestiunea securitii fiind necesare si specializri pentru

administratorii sistemului informatic n tehnologii de securitate specifice.

Msuri pentru controlul accesului

Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces neautorizat.

Este important pentru o organizaie s-i apere proprietatea intelectual, reetele de

producie, aprovizionare, desfacere, datele despre personalul angajat etc. Pentru o

instituie public, datorit caracterului informaiei pe care o gestioneaz este importants asigure n primul rnd integritatea si disponibilitatea datelor.

Controlul accesului ncepe cu stabilirea cerinelor de acordare a drepturilor de utilizare a

informaiilor. Accesul la facilitile si serviciile oferite de sistemul informatic trebuie

controlat n funcie de specificul si cerinele mediului n care i desfoar activitatea

organizaia. Pentru a rspunde acestor cerine sunt n general definite o serie de reguli

de acces corelate cu atribuiile fiecrui utilizator al sistemului informatic. Meninerea

acestor reguli n linie cu cerinele organizaiei implic un proces de gestiune a accesului

utilizatorilor sistemului.

Msuri de control pentru fiecare nivel al sistemului informatic:

- Controlul accesului la serviciile reelei - conexiunile la serviciile reelei trebuiecontrolate iar pentru obinerea accesului la astfel de servicii este recomandat

implementarea unei proceduri formale.

-

Controlul accesului la nivelul sistemului de operare sistemul de operare trebuie saprevad msuri de restricionare a accesului la date existente pe calculatore.

- Controlul accesului la aplicaii - prevenirea accesului neautorizat la informaiilegestionate de aplicaiile software.

Orict de elaborate ar fi msurile de control al accesului exista totdeauna posibilitatea

unei intruziuni, sau utilizarea inadecvata a resurselor existente.


31/76

30

Rezumatul modului

ntr-o lume n care mediul de afaceri i tehnologiile informaionale sunt ntr-o continumicare i dezvoltare, locul i rolul auditorului se schimb pentru a ine pasul cu acestetendine. n acest context, auditul sistemelor informaionale a devenit o necesitate, o

prioritate, pentru c trebuie s asigure: conformitatea informaiilor, prin care seprobeaz c realitatea este conform cu legislaia i cu standardele din domeniu,credibilitatea situaiilor financiare prin creterea eficienei activitilor desfurate ncadrul organizaiei, pe baza deciziilor i msurilor care duc la atingerea obiectivelor.

Auditul sistemelor informaionale reprezint procesul prin care se colecteaz ievalueaz dovezi cu scopul de a determina dac protecia fizic a activelor sistemului imsurile prin care se asigur integritatea datelor, contribuie la utilizarea eficace aresurselor i ajut la atingerea obiectivelor organizaiei (ISACA, 2008).

Auditarea aplicaiei informatice se realizeaz prin efectuarea de teste, prin analizastructurii, a modulelor, a interaciunilor dintre module i prin analiza procesului care stla baza ciclului de dezvoltare. Se verific nivelul concordanei dintre cerinele formulatede beneficiar i reflectarea acestora la nivelul specificaiilor. Se stabilete concordanadintre structura proiectului i structura sistemului aa cum rezult din specificaii.

Rezultatele auditului sunt transpuse la nivelul organizaiei prin implementarea msurilorde mbuntire a securitii tehnologiei informaiei i comunicaiilor care vizeaz:modului de organizare a structurilor interne, securitatea fizic a datelor, accesulpersonalului, controlul accesului etc..

Sarcini i temen vederea eficientizrii activitii masteranzilor precum i pentru facilitarea nvriicursanii vor realiza o inventariere a activelor informaionale ale unei entiti dup unmodel care va fi pus la dispoziie electronic sau n cadrul primei activiti tutoriale.Aceast activitate va fi luat n considerare la stabilirea notei finale.

Bibliografie modul

Arens A. & Loebbecke J., 2003,Audit o abordare integrat, ediia a 8-a, Ed. ARC

Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea de Vest,Timioara

Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech,Bucureti

Information Systems Audit and Control Association, 2008, Standards for IT Audit andAssurance

Ivan et al., 2005,Auditul sistemelor informatice, Ed. ASE, 2005

Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom, Iai

Peltier T., 2005, Information Security Risk Analysis Second Edition, CRC Press,Taylor & Francis Group, Boca Raton, Florida

Piattini M., 2000,Auditing Information Systems, Idea Group Publishing, Hershey SUA


32/76

31

MODULUL III: Auditul sistemelor informaionale i auditului intern


Scopul modulului este de a famirializa masteranzii cu particularitile riscurilor

generate de sistemul informaional al entitii din perspectiva unei misiuni de audit

intern. De asemenea se urmrete nelegerea diferitelor metode sau tehnici de evaluare

a riscurilor precum i a posibilitilor de gestionare a acestora.

Obiectivele modulului sunt:

1. nelegerea conceptului de risc i a impactului pe care riscurile le au asupraactivitii unei entiti economice;

2. nelegerea locului i rolului auditului sistemelor informaionale dinperspectiva unei misiuni de audit intern;

3. Cunoaterea etapelor de lucru privind identificarea i cuantificarea riscurilor;4. nsuirea modalitilor de gestionare a riscurilor: acceptare, eliminare etc.

Unitatea de curs 1: O abordare bazat pe riscuri

ntr-un mediu al auditului intern n care tranzaciile sunt procesate prin aplicaii

informatice dispersate i eterogene identificarea i cuantificarea nregistrrilor

ocazionale eronate pe baza eantioanelor statistice se poate aplica cu dificultate ca

urmare a modului de realizare a sistemului informaional i a controalelor automate pe

care aceste le are sau ar trebui s la aib ncorporate. n schimb urmrirea erorilor

sistematice generate de aplicaiile informatice i nivelul riscului de control aferent

sistemului informaional sunt mai relevante pentru determinarea naturii, duratei icostului unei misiuni de audit. Ca urmare a acestui fapt la nivel internaional se constat

o mutaie de la aplicarea testelor de conformitate la o abordare bazat pe risc.

Obiectivul principal al implementrii unei abordri bazate pe risc este mbuntirea

activitii de audit intern i creterea profitabilitii entitii prin utilizarea eficient a

resurselor de care aceasta dispune. Auditarea orientat spre riscuri este astfel conceput

nct s utilizeze resursele disponibile n zonele de risc maxim ceea ce faciliteaz o


33/76

32

evaluare eficient a riscurilor i un mediu de control mai eficient. Acest lucru necesiti

ntrete cooperarea dintre auditori i management. ntr-un audit centrat spre risc auditorii

sistemelor informaionale se bazeaz pe controalele interne i pe cunoaterea entitii.

Prin nelegerea naturii activitilor16558(i)-2entitii iauditorule 4 2 8 / R 1 0 1 2 T f 0 . 9 5 4 ( ) - 5 8 ( i ) 3 8 u


34/76

33

conducerii privind funcionarea efectiv a managementul riscurilor ceea ce presupune c

riscurile sunt gestionate corespunztor, iar n al doilea rnd, prin implicarea auditului

intern n activiti consultative se ntresc procesele managementului riscurilor n entitate.

Extinderea utilizrii tehnologiilor informaionale n toate zonele i activitile unei

entiti atrage dup sine reducerea numrului i importanei controalelor tradiionale n

favoarea controalelor automate, dar n acelai timp acest lucru poate fi o surs de risc

dac sistemul informaional are implementate controale defectuoase ceea ce are un

impact major asupra activitii entitii. (IIA GTAG 4, 2006:2). La acestea mai putem

aduga tendina de ncorporare n echipamente i aplicaii informatice a unor controale

manuale sau automate (Piattini, 2000). Implementarea controalelor automate are efectesemnificative asupra scopului, duratei, costurilor, procedurilor i metodelor folosite

pentru auditarea unor astfel de sisteme.

Printre mbuntirile controlului intern rezultnd din integrarea tehnologiilor

informaionale n sistemele contabile se numr:

1) Mecanismele de control informatice le nlocuiesc pe cele manuale. Beneficiileevidente ale tehnologiilor informaionale, cum ar fi posibilitatea de a gestiona

rentabil volume impresionante de operaiuni economice complexe, determin

organizaiile s fac apel la asemenea tehnologii pe tot parcursul derulrii

activitilor. Unul dintre avantajele tehnologiilor informaionale const n

posibilitatea de a mbunti controlul intern prin ncorporarea unor mecanisme de

control executate de calculatoare n activitile cotidiene de prelucrare a

operaiunilor. nlocuirea procedurilor manuale cu mecanisme de control programate,

care aplic verificri i calculeaz solduri pentru fiecare operaiune prelucrare poate

reduce erorile umane care ar putea aprea n mediile manuale tradiionale. Unsistem de TI bine controlat ofer un potenial mai mare de reducere a erorilor,

deoarece, calculatoarele prelucreaz informaiile de manier consecvent, uniform.

Printre exemplele de proceduri de control intern executate de calculatoare i care n

trecut le reveneau angajailor se numr: compararea codului clientului i al

produsului cu fiierul sistematic sau compararea sumelor operaiunilor de vnzare

cu limitele de creditare prestabilite.


35/76

34

2) Sunt disponibile informaii de calitate mai nalt. Dup ce managementul se convingede fiabilitatea informaiilor produse cu ajutorul tehnologiilor informaionale, utilizarea

acestor informaii ofer un potenial adiional de mbuntire a deciziilor

manageriale. n primul rnd, mediile de TI complexe sunt, de obicei, gestionate cu

eficacitate, deoarece complexitatea impune organizare, proceduri i documentare

eficiente. n al doilea rnd, sistemele de TI ofer, de regul, managementului o

cantitate mai mare de informaii de calitate disponibile mai rapid dect n majoritatea

sistemelor manuale. (Arens&Loebbecke, 2003:380-381).

n ceea ce privete activitatea de audit al sistemelor informaionale din perspectiva

auditului intern trebuie s precizm c auditorul trebuie s adopte o abordare n realizareaplanului de audit astfel nct s se permit alocarea eficient ale resurselor auditului

sistemelor informaionale. n acest demers evaluarea riscurilor are n vedere identificarea

elementelor auditabile i alegerea zonelor sau activitilor care sunt expuse cel mai mult la

risc. Riscul asociat fiecrui element poate fi determinat prin izolarea riscurilor individuale

aferente acestora, dar de cele mai multe ori riscurile se identific pornind de la procesele

sau obiectivele entitii la atingerea crora contribuie respectivul element. Evaluarea

riscurilor legate de sistemul informaional trebuie sin cont de impactul i probabilitatea

de apariie a riscurilor. Impactul riscurilor legate de sistemul informaional este deseori

mare mai ales pentru riscurile complexe care vizeaz zonele vulnerabile ale entitii.

Unitatea de curs 3: Gestiunea riscurilor

Gestionarea riscurilor sau managementul riscurilor cuprinde toate procesele privind

identificarea, evaluarea i aprecierea riscurilor, stabilirea responsabilitilor, luarea de

msuri de atenuare sau anticipare a acestora, revizuirea periodic i monitorizarea

progresului (M.F.P., 2007:10). Implementarea unui sistem de management al riscurilor

este un imperativ al entitilor moderne care activeaz ntr-un mediu dinamic i

caracterizat de incertitudine, deoarece trebuie s fie capabil s rspunde la aceste

elemente n mod eficient.

Managementul riscurilor poate fi definit ca fiind procesul de identificare a

vulnerabilitilor i ameninrilor din cadrul unei entiti, precum i de elaborare a unor


36/76

35

msuri de minimizare a impactului acestora asupra resurselor informaionale,

monitorizarea i evaluarea msurilor i urmrirea eficienei controalelor implementate

(COSO, 2004)

Managementul riscurilor impune modificarea stilului de management, deoarece managerii

nu trebuie s se limiteze la a trata consecinele generate de manifestarea riscurilor. Ei

trebuie s adopte o poziie proactiv n sensul lurii unor decizii care s prentmpine sau

s atenueze impactul riscurilor. De asemenea, managementul riscurilor faciliteaz

realizarea eficienti eficace a obiectivelor entitii prin concentrarea eforturilor pentru

gestionarea riscurilor i mai ales prin revizuirea periodic a riscurilor pentru a realiza o

realocare a resurselor. n alt ordine de idei managementul riscurilor asigur condiii debaz pentru un control intern sntos (M.F.P., 2007:6-7).

Evaluarea riscurilor este doar unul din elementele unei structuri mai ample,

managementul riscurilor. Evaluarea riscurilor reprezint baza pentru celelalte elemente

care formeaz managementul riscurilor. Mai exact, evaluarea riscurilor permite stabilirea

politicilor de control adecvate i identificarea celor mai eficiente msuri pentru

implementarea respectivelor politici. Deoarece riscurile i ameninrile se afl ntr-o

continu schimbare este important reevaluarea periodic a riscurilor i reconsiderarea

adecvrii i eficienei politicilor i controalelor implementate.(GAO, 1999:7)

Evaluarea riscurilor, fie c se refer la riscurile asociate auditului sistemelor

informaionale sau la alte tipuri de riscuri, reprezint o modalitate de asigurare a unei

baze necesare pentru: nelegerea factorilor care pot s influeneze operaiunile,

rezultatele unei entiti i susinerea deciziilor legate de modalitile de reducere a

impactului riscurilor. Utilizarea la o scar din ce n ce mai mare a sistemelorinformaionale i a datelor electronice atrage dup sine i o cretere a riscurilor la un

nivel care solicit implicarea constant a managementului i a auditorilor.

Cadrul conceptual de management al riscurilor unei entiti (Enterprise Risk

Management Framwork) publicat de COSO n 2004 identific patru categorii de

obiective care sunt luate n vedere i pot fi realizate dac entitatea are implementat un

management al riscurilor eficient (COSO, 2004:3):

- obiective strategice: care vizeaz realizarea obiectivelor fundamentale corelate cu


37/76

36

misiunea entitii;

- obiective operaionale: care vizeaz utilizarea eficienti eficace a resurselor;- obiective privind raportarea: susine credibilitatea raportrilor;- obiective privind conformitatea: respectarea legilor i reglementrilor.Pornind de la ideea c sistemul informaional al entitii acoper toate domeniile,

activitile i procesele unei entiti putem afirma c acesta, sistemul informaional, este

un factor important pentru realizarea obiectivelor entitii, dar n acelai timp poate fi i

o surs de riscuri. Astfel putem considera sistemul informaional ca genernd riscuri

(Cascarino, 2007:37):

-

strategice: legate de sistemele informaionale dezvoltate n entitate sauimplementate cu ajutorul terilor dar care nu sunt corelate cu obiectivele

fundamentale ale entitii i nu susin ndeplinirea misiunii acesteia;

- operaionale: legate de utilizarea ineficient sau mult sub parametrii optimi asistemului informaional, ceea ce poate genera costuri suplimentare. n aceeai

msur, dependena sporit de sistemul informaional presupune c orice ntrerupere

sau funcionare defectuoas a acestuia este o surs de risc;

-

privind raportarea: ca urmare a nencrederii n capacitile sistemului informaionalde a genera informaii care s corespund caracteristicilor calitative ale informaiilor

contabile;

- privind conformitatea: generate de funcionarea sau utilizarea sistemuluiinformaional de o manier care contravine legilor sau altor reglementri.

Desigur aceast noiune (managementul riscurilor) se preteaz nevoilor auditului intern

deoarece permite identificarea zonelor, activitilor, activelor critice, generatoare de

riscuri pentru reducerea crora trebuie implementat un sistem de control adecvat.

Indiferent de natura riscurilor luate n considerare, evaluarea acestora presupune, de

regul, urmtoarele etape (GAO, 1999:7)

1. Identificarea ameninrilor care ar putea avea un impact negativ i astfel s afectezeoperaiunile i activele critice. Ameninrile includ elemente de natura intruilor,

angajailor neglijeni sau ru-intenionai, atacuri externe sau chiar dezastre naturale;

2.

Estimarea probabilitii de materializare a ameninrilor pornind de la informaiile


38/76

37

anterioare i de la raionamentul profesional al auditorului;

3. Identificarea i ierarhizarea valorii i importanei operaiunilor i activelor(resurselor) care ar putea fi afectate de materializarea ameninrilor;

4. Estimarea pierderilor sau pagubelor poteniale pe care ameninrile le pot generaasupra celor mai importante operaiuni i active, inclusiv costul de refacere;

5. Identificarea unor msuri eficiente de reducere sau diminuare a impactuluiriscurilor. Printre aceste msuri se pot numra i propunerile legate de

implementarea de noi politici, proceduri i controale.

1. Identificarea ameninrilor presupune identificarea factorilor care prin natura lor pot

atrage poteniale evenimente nedorite prin exploatarea vulnerabilitilor sistemelorinformaionale din perspectiva unor atribute definitorii cum ar fi:

1 confidenialitatea;2 integritatea;3 disponibilitatea;4 conformitatea cu legislaia.

Conform metodei OCTAVE (2006) ameninrile se refer la situaia n care o persoan

sau un eveniment natural, obiectiv, poate provoca ceva nedorit sau poate cauza unrezultat neateptat.

Ameninrile au urmtoarele componente:

1 activul: un element de valoare pentru entitate;2 actorul: care poate fi o persoan sau un eveniment care poate determina

periclitarea confidenialitii, integritii, disponibilitii i conformitii

informaiilor;

3 motivul (opional): se determin dac inteniile actorului sau fost deliberate sauaccidentale;

4 accesul (opional): modul n care actorul poate determina pagube asupra activului;5 finalitatea: rezultatul imediat care are impact asupra activului.

Ameninrile au o tipologie divers ncepnd cu erori sau sincope de funcionare a

echipamentelor sau ale programelor, acte neintenionate, superficialitate profesional n

pregtirea i respectarea procedurilor documentate, pierderi de date, fraude, sabotaje i

nu n ultimul rnd dezastrele naturale sau politice.


39/76

38

Vulnerabilitile sunt i ele la fel de diverse incluzndu-se n categoria punctelor slabe:

echipamentele hardware, pachetele software, mediile de stocare, mediile de comunicaie,

deficienele de administrare, vulnerabiliti fizice i vulnerabiliti naturale.

2. Estimarea probabilitii de materializare a ameninrilor presupuneutilizarea mai

multor tehnici dintre care amintim (Boulescu et al., 2005, pag. 318):

a) judecata liber sau intuiia. Prin aceast tehnic auditorul i folosete propriilecunotine i experiena pentru a cuantifica probabilitatea de materializare a riscurilor.

Aceast tehnic mai este cunoscut sub denumirea de abordare intuitiv.

b) tehnica scorurilor. Conform acestei tehnici se acord fiecrui factor de risc(ameninri sau vulnerabiliti) o pondere (un coeficient de importan pentru

diferitele funciuni sau operaii ale ntreprinderii) i un nivel de risc. Prin produsul

ponderii cu nivelul de risc se determin riscul funciunii, iar prin adunarea riscurilor

ponderate se determin riscul sistemului informatic din care fac parte funciunile;

c) metoda cantitativ. Aceast metod presupune calculul valorii pierderii datoratexpunerii la factorii de risc. Pierderea anual datorat expunerii se calculeaz dup

formula:

PAE = Impactul x Frecvena

PAE pierderea anual datorat expunerii;

Impactul impactul estimat n lei sau valut;

Frecvena frecvena de apariie i manifestare a factorilor de risc.

Auditorul financiar sau expertul desemnat poate s utilizeze variante combinate ale

acestor tehnici pentru a identifica i evalua ct mai corect riscurile din sistem, n

vederea unei testri corespunztoare a controlului informatic intern. Ulterior se poate

trece la o grupare a riscurilor dup urmtoarea structur (Brnda, 2004):

1. riscul de afacere, care reprezint probabilitatea ca entitatea s nu-i atingobiectivele sale de afaceri. Pentru a evalua acest risc auditorul trebuie s

investigheze planul strategic al ntreprinderii i s observe nivelul de implicare a

resurselor informaionale pentru atingerea obiectivelor. Factorii care determin acest

risc pot fi, att de natur intern, ct i extern. De exemplu un factor intern de risc

poate fi gradul ridicat de uzur i defeciunile repetate ale echipamentelor de

prelucrare a datelor, iar un factor extern poate fi apariia pe pia a unor concureni.


40/76

39

2. riscul sistemului informaional, reprezint probabilitatea de apariie a unor erorisau fraude datorit utilizrii inadecvate a sistemului informaional. Riscul sistemului

informaional cuprinde:

riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic, care pot fi:

securitatea sczut a aplicaiilor; accesul neautorizat la datele sistemului;

introducerea unor date inadecvate sau false; procesarea incomplet a datelor;

dublarea datelor tranzacionate; procesarea cu ntrziere a datelor; nefuncionarea

corect a transmisiei datelor; separarea inadecvat sau inexistent a funciilor i

responsabilitilor; analiza i proiectarea defectuoas a aplicaiilor;

incompatibilitatea dintre aplicaiile informatice; infectarea aplicaiilor cu virui

electronici; instruirea inadecvat a utilizatorilor; suportul i mentenana inadecvat

a aplicaiilor.

riscul de continuare a activitii sistemului informatic. Reprezint riscul asociat

disponibilitii i recuperrii sistemului. Riscul disponibilitii sistemului

reprezint probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit

securitii sale. Riscul recuperrii sistemului reprezint probabilitatea ca datele i

operaiile sistemului s nu mai poat fi recuperate n vederea continurii activitii

ntreprinderii.

3. Identificarea i ierarhizarea valorii i importanei operaiunilor i activelor

presupune realizarea unui tablou de ansamblu al infrastructurii informaionale a entitii.

Resursele informaionale, luate n considerare de o mare parte a standardelor din

domeniu sau a metodelor de evaluare a riscurilor, sunt: informaiile, aplicaiile,

infrastructura i personalul (ISACA, 2006). Ca o modalitate de grupare resursele pot fi:

1 critice; entitatea sau o structur care utilizeaz resursa nu poate s-i continueactivitate n lipsa resursei respective;

2 eseniale; entitatea sau o structur care utilizeaz resursa poate s-i continueactivitatea, ns pentru o perioad determinat de timp (cteva ore sau zile), ns

resursa trebuie restabilit;

3 normale; entitatea sau o structur care utilizeaz resursa poate s-i continueactivitatea pentru o perioad ndelungat de timp, totui anumite persoane vor fi

parial afectate, fiind obligate s gseasc alternative.


41/76

40

Aceste resurse trebuie identificate cu un anumit grad de detaliere astfel nct s se evite

suprapunerea resurselor informaionale. O alt component indispensabil analizei este

interdependena resurselor. Rezultatul acestei etape poate fi o list sau mai multe liste cu

toate resursele informaionale identificate n cadrul entitii. Gruparea i ierarhizarea

resurselor informaionaleeste necesar pentru determinarea prioritilor de protejare a

lor. Repartizarea resurselor n fiecare categorie trebuie s fie foarte precis pentru a

evita confuzia. Criteriile posibile de repartizare sunt: importana, impactul produs de

indisponibilitatea resursei, costul neutilizrii resursei, compromiterea confidenialitii,

integritii etc.

4. Estimarea pierderilor sau pagubelor poteniale presupune aproximarea valorii datelori aplicaiilor din prisma raportului impact/cost ca urmare a pierderii de confidenialitate,

integritate, disponibilitate i/sau conformitate cu legislaia n vigoare, respectiv a activelor

fizice din prisma costurilor de remediere sau de nlocuire. Pentru realizarea unei estim ri

ct mai concludente auditorul va apela la persoanele din cadrul entitii care au avut acces

sau au utilizat datele, aplicaiile sau activele informaionale supuse evalurii.

5. Identificare unor msuri eficiente de reducere sau diminuare a impactului riscurilor

presupune completarea listei rezultate la etapa anterioar cu descrierea mijloacelor de

protecie utilizabile pentru nlturarea sau atenuarea riscului abordat. n urma acestei etape

se obine pentru fiecare resurs critic sau esenial identificat o list cu riscurile

aferente. Dac auditorul consider c exist soluii acceptabile, el va proceda la:

a. identificarea i documentarea fiecrei soluii ce poate fi implementat. Soluiile

identificate pot fi de ordin tehnic sau procedurale. O problem aparte o reprezint

numrul i calitatea soluiilor care permit eliminarea riscurilor. Pot exista situaii n

care se identific o singur msur eficient. n acest caz, este necesar argumentareaacestui fapt precum i a eventualei imposibilitii privind acceptarea altor soluii;

b. justificarea fiecrei soluii propuse. Argumentul evident e soluionarea problemei,

ns s-ar putea ca o anumit soluie s rezolve mai multe probleme simultan;

c. efectuarea unei analize tip costuri/beneficii pentru fiecare soluie propus,

incluznd costurile directe, costurile de instruire a personalului i costurile

operaionale ulterioare;


42/76

41

d. formularea concluziilor privind controalele existente, integritatea i

funcionalitatea sistemului;

e. propunerea unui plan de implementare a soluiei identificate. Planul trebuie sin

cont de prioritatea resursei i impactul pe care l poate avea realizarea riscului

analizat;

f. stabilirea condiiilor pentru urmrirea implementrilor recomandrilor.

Msurile de reducere a efectelor negative pe care le au riscurile asupra sistemului

informaional sunt variate i depind de o serie de factori care in gradul de risc pe care

entitatea este dispus s l accepte, receptivitatea managementului la soluiile propuse i

nu n ultimul rnd posibilitile de implementare a controalelor sau soluiilor propuse.Orice metod trebuie s ofere beneficii maxime cu costuri minime. Printre msurile cele

mai eficiente care pot fi luate de management la propunerea auditorului intern se

numr (Munteanu, 2001:53) (M.F.P., 2007:61):

- Acceptarea (tolerarea) riscurilor. Acest tip de rspuns la risc const n neluareaunor msuri de control al riscurilor i este adecvat pentru riscurile inerente a cror

expunere este mai mic dect tolerana la risc. Acceptarea (tolerarea) riscurilor este

o strategie de rspuns la risc recomandat pentru riscurile cu expunere sczut. ncazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvati,

de aceea, n astfel de situaii, opiunea trebuie temeinic justificat.

- Eliminarea sau evitarea. Este o msur care poate fi aplicat pentru majoritateariscurilor cu excepia riscurilor de dezastre naturale. Aceast strategie de rspuns la

risc const n eliminarea activitilor (circumstanelor) care genereaz riscurile.

- Transferul ctre alt organizaie. Aceast strategie de rspuns la risc const nncredinarea gestionrii riscului unui ter care are expertiza necesar gestionriiacelui risc, ncheindu-se n acest scop un contract. Prin aceasta se urmrete, pe de o

parte, micorarea expunerii organizaiei, iar pe de alt parte, gestionarea eficace a

riscului de ctre un ter specializat. Aceast opiune este benefic mai ales n cazul

riscurilor financiare i patrimoniale.

- Reconfigurarea controalelor. Implementarea unor noi forme de control care sduc la diminuarea frecvenei de apariie sau a impactului unui risc (desigur, aceast

msur nu este aplicabil pentru riscurile de dezastre naturale).


43/76

42

Rezumatul modulului

Auditarea orientat spre riscuri este astfel conceput nct s utilizeze resurseledisponibile n zonele de risc maxim ceea ce faciliteaz o evaluare eficient a riscurilor iun mediu de control mai eficient. Acest lucru necesit i ntrete cooperarea dintreauditori i management. ntr-un audit centrat spre risc auditorii sistemelor informaionalese bazeaz pe controalele interne i pe cunoaterea entitii.

n activitatea de audit

Syll_AuditulSistemelorInformatice

Documents

Transcript of Syll_AuditulSistemelorInformatice