Riscurile Intalnite In Misiunea de Audit a Sistemelor Informationale

Rezumat

Utilizarea tehnologiilor informaționale în activitățile economice a cunoscut o creștere semnificativă și benefică în ultimele decenii, ceea ce a condus la noi direcții de dezvoltare și evoluție. Ca urmare, auditul sistemelor informaționale a ajuns să ocupe un rol important în ceea ce privește controlul tehnologiilor informațiilor și comunicațiilor. Prezenta lucrare își propun să prezinte care sunt riscurile ce se întâlnesc într-o misiune de audit a sistemelor informaționale, precum și cum pot fi minimizate aceste riscuri ale utilizării tehnologiilor informaționale. Problemele asupra cărora se oprește autorul se referă la cum influențează o misiune de audit al sistemelor informaționale activitatea curentă a unei organizații și care sunt riscurile IT asociate acesteia?

Partea practică a prezentei lucrări se concentrează pe întocmirea unui chestionar adresat unor entități la care s-a efectuat deja un audit tehnic, cu scopul de a evalua atât misiunea, cât și echipa de audit. În urma aplicării acestui chestionar, autorul a urmărit să formuleze idei pentruîmbunătățirea practicilor utilizate și a performanțelor auditorilor IT.

Cuvinte-cheie: audit, risc, analiza riscurilor, sisteme informatice, managementul riscurilor

Introducere

Modalitatea prin care societatea a evoluat în ultimele decenii a fost marcată fundamental de transformarea ei într-o societate digitală. Acest fapt și-a pus amprenta pe toate subsistemele sale și, prin noul suport tehnologic, a accelerat ritmul progresului și, mai ales, a condus la

necesitatea unei mai clare orientări a strategiilor și a direcțiilor de acțiune a mijloacelor utilizate. Această evoluție este naturală, dar alături de avantajele generate de noile tehnologii informatice au apărut, implicit, și dezavantajele, și anume riscurile IT. Ca urmare, accesul neautorizat la resursele informaționale ale unei entități, modificarea, ștergerea intenționată sau nu a datelor, informațiilor, aplicațiilor financiar-contabile existente în sistem, atacurile cu viruși informatici, inexistența copiilor de siguranță pentru datele și fișierele importante din

sistem sunt doar câteva exemple de riscuri specifice mediului informatizat care pot conduce la pierderea confidențialității, integrității și disponibilității resurselor informaționale. În același timp, dezvoltarea mediului ebusiness, cât și utilizarea resurselor disponibile pe Internet au condus la apariția unor potențiale noi riscuri informatice, precum prelucrarea și transmiterea datelor la distanță, furtul de identitate etc.

Pentru auditorii financiari a apărut o nouă provocare, ce a constat în asigurarea integrității, completitudinii, acurateței și a disponibilității datelor prelucrate în mod automat de sistemele financiar-contabile. Pentru a răspunde acestei provocări, auditorii financiari apelează adesea la serviciile unui expert IT pentru auditarea sistemului informațional.

Colaborarea cu experții IT îi ajută pe auditorii financiari să înțeleagă sistemul de control intern, semnificația și complexitatea sistemelor informatice, precum și modul de prelucrare a datelor furnizate de sistemul informatic, în scopul planificării și stabilirii strategiei de audit.

Experiența organizațiilor românești în obținerea de finanțări europene pentru proiecte, dar și în implementarea propriu-zisă a arătat până acum că o cultură a managementului de proiect și a managementului riscului este încă la început în societatea noastră. Putem constata o lipsă de experiență a entităților economice în demararea și desfășurarea unui proiect finanțat din fonduri europene. O serie de riscuri asociate cu acest tip de proiecte este prea puțin luată în calcul de aplicanți, cu consecințe nefericite, de la pierderea finanțării la depășirea bugetului. Riscul și incertitudinea sunt caracteristici esențiale și definitorii ale oricărui proiect.

Practic, nu se poate cristaliza o idee de proiect completăfără a lua în discuție și riscurile aferente. Importanța riscului într-un proiect este dată și de aserțiunea: „managementul de proiect înseamnă managementul riscului”. Semnul de egalitate între cele două tipuri de

abordări manageriale subliniază caracterul determinant pe care îl joacă o bună gestionare a riscului șiincertitudinii în implementarea unui proiect.

Prezenta lucrare își propune formularea unor răspunsuri la întrebările: „Cum influențează o misiune de audit a sistemelor informaționale activitatea curentă a unei organizații și care este valoarea adăugată adusă acesteia?”; „Care sunt riscurile IT identificate la nivelul proiectelor cu finanțare europeană?” Abordarea noastră s-a axat pe două planuri: o cercetare teoretică și o cercetare practică. La nivel teoretic, am procedat la studierea literaturii de specialitate în domeniul auditului sistemelor informaționale. La nivel practic, cercetarea s-a concentrat pe proiectarea unui chestionar care a avut drept obiectiv să analizeze și să evalueze misiunea și echipa de audit IT, dar și să îmbunătățească practicile utilizate și performanțele proprii.

2. Cadrul conceptual al auditului sistemelor informaționale

Auditul sistemelor informaționale reprezintă procesul prin care se colectează și evaluează dovezi cu scopul de a determina dacă protecția fizică a activelor sistemului și măsurile prin care se asigură integritatea datelor contribuie la utilizarea eficace a resurselor și ajută în mod

eficient la atingerea obiectivelor organizației.

Pe plan internațional, cea mai cunoscută autoritate îndomeniul auditului sistemelor informatice este ISACA (Information System Audit and Control Associaton). Într-un articol publicat pe site-ul acestei autorități de către Adrian Bogdănel Munteanu se afirmă: „auditul sistemelor informaționale are drept obiective protecția activelor, integritatea datelor, eficacitatea și eficiența sistemului”1.

În lucrarea sa „Auditul și controlul sistemelor informaționale”, Pavel Năstase2 privește auditul sistemelor informatice ca „o activitate complexă de evaluare a unui sistem informatic în scopul emiterii unei opinii calificate asupra gradului de conformitate a sistemului cu standardele în domeniu și, totodată, asupra capacității sistemului informatic de a atinge obiectivele strategice ale unei organizații, utilizând eficient resursele informaționale și asigurând integritatea datelor prelucrate și stocate”.

Obiectivul general și scopul unui audit nu se schimbă întrun mediu informatizat. Cu toate acestea, utilizarea unui computer modifică modul de procesare, stocare și comunicare

al informațiilor financiare și poate influența sistemul contabil și sistemul de control intern utilizate de entitate. Obiectivele misiunii de audit au un rol determinant în abordarea auditului, din acestea decurgând cerințe și restricții privind desfășurarea activităților în toate etapele misiunii de audit: planificarea auditului, efectuarea auditului, raportare, revizuire. Abordarea generală a auditului IT se bazează pe evaluarea riscurilor. Pentru auditul performanței implementării și utilizării sistemelor informatice se asociază și abordarea pe rezultate. Auditul

se poate efectua pentru întreg ciclul de viață al sistemelor și aplicațiilor informatice sau se poate raporta numai la anumite componente specificate sau la anumite etape de dezvoltare a sistemului. Formularea obiectivelor generale se face în funcție de scopul evaluării: evaluarea performanței unei activități bazate pe tehnologia informației, evaluarea unui program sau a unui sistem bazat pe tehnologia informației, evaluarea tehnică a unui sistem sau a unor aplicații, evaluarea unor componente ale sistemului dintr-un punct de vedere precizat.

Auditul IT se poate desfășura fie independent, fie în conjuncție cu o misiune de audit financiar sau audit intern. În acest fel, funcția auditorului IT o completează pe cea a

auditorului financiar sau a celui intern, furnizând o asigurare rezonabilă cu privire la implementarea și funcționalitatea sistemului informatic, securitatea activelor, acuratețea, integritatea, completitudinea datelor prelucrate și stocate în sistem.

Adrian Bogdănel Munteanu, Riscul auditării, CISA, CRISC,publicat la data de 8 octombrie 2011 pe site-ul http://isaca.ro/2011/10/riscul-auditarii/ (Davis,2004).

Pavel Năstase (coordonator) & all., Auditul și controlulsistemelor informaționale, Editura Economică, 2007, p.16

Auditul IT reprezintă în esență o examinare a sistemelor de control dintr-o infrastructură IT (NSAA & US GAO, 2001). Acesta poate fi privit ca fiind procesul de colectare și evaluare a probelor cu privire la sistemul informatic, practicile și operațiile aferente dintr-o organizație .

Tendința actuală de evaluare a sistemului informațional și a sistemului informatic de către auditori a condus la o modificare de percepție, realizând o migrație de la „auditul tehnologiei informatice” la „auditul sistemului informațional” și, implicit, o creștere a rolului auditorului IT.

Putem spune că demersul metodologic al misiunii de audit IT este similar celui de audit financiar, el realizându-se prin prisma etapelor de planificare, evaluare a controlului intern, desfășurare a procedurilor de audit IT și definire a concluziilor și elaborare a raportului de audit. Desfășurarea procedurilor de audit IT reprezintă ansamblul activităților desfășurate de echipa de audit, plecând de la documentare, evaluare și testare, controale implementate în entitatea auditată, culegerea probelor și realizarea documentației de audit, cu scopul identificării punctelor slabe și forte ale sistemului auditat.

În prima etapă, cea de planificare, ținând cont de obiectivul misiunii de audit IT, auditorii vor urmări cunoașterea și înțelegerea sistemului informațional auditat. În mod practic, aceasta se va materializa într-o evaluare preliminară a sistemului, care se va baza pe analiza structurii organizatorice a entității, arhitectura sistemului informatic (platforma hardware/software),

arhitectura de rețea, licențe, politicile și procedurile interne de securitate, procedurile de operare în sistem, identificarea contractelor de externalizare din sistemul informațional, complexitatea aplicațiilor financiarcontabile, identificarea sistemelor informatice financiar-contabile în curs de dezvoltare, fluxurile de transmitere și stocare a informațiilor, căderile sistemului IT și alte incidente de securitate IT, asigurarea continuității activității. Concluziile acestei etape vor constitui elementele definitorii pentru stabilirea strategiei de audit.

Finalitatea acestui proces o reprezintă opinia auditorului inclusă în raportul de audit, care trebuie să prezinte pe lângă obiectivele, scopul, întinderea angajamentului, perioada auditată și slăbiciunile controalelor analizate, riscurile IT asociate și recomandările necesare pentru

diminuarea riscurilor, orice rezervă pe care auditorul o are asupra sistemului auditat, opinia și concluziile misiunii, referențialul de raportare reprezentat de standardele, normele și ghidurile asociate domeniului auditat. Jacques Renard spunea că auditorul informatician nu este un auditor care a învățat informatică, ci reprezintăneapărat un informatician format după metodologia și instrumentele auditului intern. Acest auditor informatician își folosește talentul și competențele în cinci direcții fundamentale: auditul centrelor informatice, auditul

biroticii, auditul rețelelor informatice, auditul sistemelor în exploatare și al aplicațiilor software și auditul sistemelor în curs de dezvoltare.

Așadar, auditorii sistemelor informatice joacă un rol major, întrucât, prin intermediul rapoartelor de audit al sistemelorinformatice, aceștia oferă informații privind performanța

implementării și utilizării infrastructurilor bazate pe tehnologia informației și efectele obținute în planul modernizării activității prin informatizarea acesteia, precum și încrederea pe care sistemul o asigură utilizatorului. Acestea se materializează în prevenirea pierderii ori înlocuirii informației, reducerea timpului de acces la informație, creșterea gradului de securitate a informațiilor, protecția datelor personale, reducerea reală a costurilor administrative, furnizarea și utilizarea de informații în timp real, asigurarea compatibilității cu

sistemele similare disponibile în țările Uniunii Europene. Odată ce a fost implementat, este obligatoriu ca un sistem informatic să fie auditat periodic, pentru a se asigura că îndeplinește toate sarcinile cerute la cel mai ridicat grad posibil de eficiență și eficacitate. Creșterea organizației, creșterea volumului afacerilor, schimbările în mediul afacerilor, schimbările tehnologice și noile cerințe de informații, toate plasează o solicitare crescândă asupra

sistemului informatic existent și adeseori impun modificarea sau extinderea acestuia pe baze ad-hoc. Auditul sistemelor informatice oferă o asigurare rezonabilă asupra faptului că sistemul auditat este un sistem de încredere, care asigură protejarea resurselor informaționale,

integritatea și disponibilitatea datelor prelucrate și stocate, conformitatea cu un cadru de referință.

În zilele noastre auzim sau citim, destul de des, despre riscurile utilizării tehnologiilor informaționale. Conducerea societăților este din ce în ce mai interesată de sensul noțiunilor de analiză și management al riscurilor, care se aplică asupra tehnologiilor informaționale utilizate în cadrul organizației. Acest lucru poate fi atribuit faptului că nivelul de dependență a business-ului de tehnologiile informaționale a cunoscut o creștere considerabilă. Riscul poate fi definit ca fiind gradul de expunere la un eveniment care poate să se întâmple în detrimentul sau în beneficiul unui proiect sau a unei activități. Dominique Vincenti1 definește riscul ca fiind „amenințarea ca un eveniment sau o acțiune să aibă un impact defavorabil asupra capacității organizației de a-și îndeplini cu succes obiectivele”. El poate fi descris ca o combinație dintre probabilitatea ca riscul să apară și consecințele în termenii pierderii sau câștigului ca urmare a aparițieiriscului. Riscul este o componentă inerentă a tuturor activităților unui proiect, indiferent dacă este vorba de o activitate mai simplă sau de o activitate mai complexă. De aceea, dimensiunea și/sau complexitatea unei activități nu

este întotdeauna o măsură adecvată a gradului de risc potențial asociat cu activitatea respectivă. Totuși, dependența este directă, adică, în cele mai multe cazuri, activitățile complexe au asociate riscuri mai mari. Riscul proiectului este un eveniment incert sau o condiție care, dacă apare, poate să aibă un impact pozitiv sau negativ asupra obiectivului proiectului. Riscul are o cauză și, dacă apare, generează un impact.

În lucrarea Managementul riscurilor – concepte, metode, aplicații, Nicolae Bârsan-Pipu și Ion Popescu 2 definesc managementul riscurilor ca fiind ” procesul sistematic de identificare, de analiză și de răspuns la riscul potențial al unui proiect. Managementul riscului este deci o abordare structurată și formală, focalizată asupra pașilor necesari și acțiunilor planificate pentru a determina și a controla riscurile, menținându-le la un nivel acceptabil.”

Managementul riscului mai poate fi definit ca fiind „procesul de identificare a vulnerabilităților și amenințărilor resurselor informaționale utilizate de organizație în

atingerea obiectivelor de business și stabilirea contramăsurilor în vederea reducerii riscurilor la un nivel acceptabil, în raport cu valoarea resursei informaționale pentru organizație”3. Obiectivul constă în a maximiza probabilitatea de succes a proiectului, crescând șansele

de îmbunătățire și performanțele proiectului și, totodată, diminuând șansele de evoluții neanticipate, precum întârzieri de program, costuri depășite sau compromisuri privind calitatea. În procesul de management al riscului este important să se identifice și să se clasifice resursele informaționale, stabilind pentru fiecare în parte vulnerabilitățile, astfel încât să se poată asigura o protecție viitoare adecvată.

Informatizarea sistemului informațional al entității prezintă o serie de avantaje, precum eliminarea transcrierilor manuale a operațiunilor economice, ceea ce conduce la un grad redus de erori întrucât intervenția factorului uman în operațiunile de transcriere, clasificare, centralizare, totalizare este foarte mică. Un alt avantaj constă în facilitarea dezvoltării de noi modalități de valorificare a informațiilor și în obținerea de informații într-un timp mult mai scurt. Dar în același timp trebuie luat în calcul că utilizarea noului mod de prelucrare și valorificare a informațiilor poate fi predispusă la o serie de deficiențe, precum distorsiunea – modificarea parțială și neintenționată a informațiilor pe parcursul culegerii, prelucrării și transmiterii acestora de la emițător la beneficiar sau filtrajul – modificarea parțială sau totală a unei informații în mod deliberat.

2Bârsan-Pipu Nicolae, Popescu Ion, Managementul riscurilor – concepte, metode, aplicații, Editura Universității Transilvania Brașov, 2003, p.8

3 Năstase Pavel (coordonator) & all, Auditul și controlul sistemelor informaționale, Editura Economică, 2007, p. 68

Pe scurt, astăzi tehnologiile informaționale au posibilitatea mai mult ca oricând să determine reușita sau eșecul unei afaceri. Din această cauză, pe lângă obiectivele evidente ale analizei riscurilor, trebuie menționat cel de etapă preliminară în procesul de formare a planului de asigurare a continuității sistemului informațional al organizației.

3. Metodologia de cercetare

Abordarea noastră a fost una mixtă, în sensul că am efectuat o cercetare intrinsecă și o cercetare aplicată. În primul rând, am procedat la selectarea și analiza literaturii de specialitate în ceea ce privește sistemele informaționale și riscurile asociate acestora. În egală măsură, pentru cercetarea desfășurată, am efectuat și un studiu empiric, bazat pe întocmirea unui chestionar.

Grupul țintă, căruia le-a fost aplicat acest chestionar a fost format din clienți din portofoliul propriu al cabinetului de audit, cărora le-a fost realizat un audit IT de-a lungul timpului. Chestionarele au fost transmise către aceștia pe e-mail, iar perioada în care au fost colectate răspunsurile a fost cuprinsă între 25 iulie 2014 și 8 august 2014. Chestionarul utilizat în această cercetare este alcătuit din 19 întrebări închise, cu variante singulare sau multiple de

răspunsuri predefinite, iar 11 dintre acestea au și o rubrică de observații, care permite respondenților să formuleze opinii și sugestii cu privire la modul de desfășurare a auditului sistemelor informatice. Scopul acestei cercetări a fost dublu și a urmărit, în primul rând, să evalueze misiunea și echipa de audit, dar și să îmbunătățească practicile utilizate și performanțele proprii.

4. Rezultatele obținute

Auditul IT reprezintă o analiză aprofundată a sistemului informatic dintr-o companie. Este un instrument foarte important pentru conducerea companiei, un instrument care evaluează eficiența și eficacitatea utilizării resurselor IT (hardware si software). Astfel, întotdeauna există aspecte care pot fi îmbunătățite, mai ales într-un domeniu cu schimbări atât de rapide și, de aceea, prin întrebările formulate în chestionar am urmărit să vedem câți dintre clienți au beneficiat de un sprijin real în urma auditului pentru identificarea și ținerea sub control a riscurilor informatice.

După cum se poate observa în Figura 1, auditul sistemelor informatice joacă un rol important în a evalua exhaustiv situația unei companii și în a recomanda modalități de îmbunătățire a soluțiilor IT sau a activității de suport.

FIG.1. Sprijinul auditului IT pentru companii

penFigFf Sursa: Proiecția autorului, pe baza studiului empiricfurtru igura 1. Sprijinul auditului IT pentru companiicompanii

Auditul sistemului informatic presupune realizarea unui raport detaliat cu privire la securitatea informației, atât în interior, cât și în exterior, scanarea vulnerabilităților tehnice și rularea unor teste menite să identifice alte posibile amenințări. Auditul IT mai presupune verificarea

serverelor și a stațiilor de lucru din punct de vedere operațional, analiza modului în care se desfășoară salvarea datelor, verificarea rețelei de comunicații. Pe lângă identificarea

posibilelor breșe de securitate, auditarea are rolul de a furniza recomandări specifice pentru ținerea sub control a riscurilor informaționale și oferă direcții de abordare a celor mai performante metode de securitate informațională. Pornind de la datele prezentate mai sus, prin aceste chestionare am căutat săanalizăm în ce măsură echipa, în misiunea pe care a

desfășurat-o la clienții săi, a atins obiectivele unui audit IT.

În figura 2 sunt concentrate întrebări adresate celor 6 clienți cu privire la modul de desfășurare al auditului și la profesionalismul membrilor echipei de audit. Menționăm

că 50% dintre respondenți au considerat că echipa de audit a fost foarte interesată de a înțelege particularitățile sistemului informatic, restul de 50% privind echipa ca fiind

doar interesată, iar 16,67% au răspuns că auditul s-a desfășurat bine. Un aspect pozitiv reieșit din analiză este faptul că, la restul întrebărilor, respondenții au fost de acord în unanimitate că echipa de audit a asigurat servicii de calitate și că recomandările acesteia au fost benefice pentru companie.

FIG. 2

FiFIgura 2. Evaluarea misiunii și a echipei de audit

Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea, implicarea, influența și adoptarea de IT în cadrul unei întreprinderi. Se compune din evenimente legate de IT și din condiții care ar putea avea impact potențial asupra afacerii. O întrebare din chestionar se referă la riscurile IT care au fost identificate și evaluate de auditorii IT la nivelul entității (Figura 3). La această întrebare, riscul de securitate IT a fost răspunsul cel mai des întâlnit în rândul respondenților. Este de înțeles acest lucru, deoarece cu cât o societate este mai informatizată cu atât ea este mai vulnerabilă, iar asigurarea securității spațiului virtual trebuie să constituie o preocupare majoră pentru toți cei implicați, mai ales la nivel de instituție. Locul al doilea la nivel de riscuri este ocupat de riscurile privind infrastructura tehnică. În mod normal, aceste riscuri pot fi cuantificate cu ușurință, întrucât sunt interne. Complicațiile apar în circumstanțele unor aspecte externe. Această întrebare din chestionar a fost una din întrebările la care respondenții puteau să menționeze și alte tipuri de riscuri întâlnite. Astfel, doi dintre respondenți au menționat că auditorii au identificat

riscuri precum lipsa de personal specializat și, în cazul în care locația unde își desfășoară activitatea entitatea auditată este nefuncțională sau distrusă, nu există posibilitatea recuperării bazelor de date, a informațiilor.

FIGURA 3. RISCURI IT IDENTIFICATE

În Figura 4 am identificat standardele, reglementările de raportare care au vizat Standardele internaționale de audit IT, Standardele ISO 27001, ISO 27005, standardul COBIT (Control Objectives for Information and Related Technology), elaborat de ISACA (Information Systems Audit and Control Association -Asociația Internațională a Auditorilor de Sisteme

Informatice), dar și alte standarde precum ISO 17799/BS 7799, Information Technology Infrastructure Library (ITIL) sau The Committee of Sponsoring Organizations of theTreadway Commission (COSO).

FIGURA 4.STANDARDE PROFESIONALE DE AUDIT

În ceea ce privește controalele și testele IT care s-au realizat, acestea au urmărit mai multe aspecte, dintre care ponderea cea mai mare (83,33%) au avut-o securitatea accesului fizic și securitatea accesului logic la sistemul informatic. În continuare, ierarhia este completată de

evaluarea riscurilor IT și verificarea existenței și securității copiilor de siguranță a datelor, informațiilor critice, aplicațiilor informatice, cu un procent de 66,67%. Ultimele poziții sunt ocupate de controlul aplicațiilor informatice existente în sistem (50%), continuitatea activității în caz de dezastre (33,33%) și verificarea separării funcțiilor incompatibile din sistemul informatic (0%). O altă întrebare din chestionar a fost despre obiectivul misiunii de audit IT. După cum se poate observa în Tabelul 1, majoritatea misiunilor de audit IT s-au axat pe

controlul și testarea securității informatice a sistemului informatic existent și pe controlul și testarea dezvoltării unui nou sistem informatic, fiind urmate de controlul și testarea aplicațiilor financiar-contabile existente în sistemul entității.

TABEL 1

TaTABEbel 1.O

In urma analizei efectuate și a comparării standardelor europene utilizate în auditarea sistemelor informatice financiar contabile, privind totodată și din perspectiva entităților auditate, am constat o serie de elemente comune pe care auditul sistemelor informatice financiar contabile ar trebui să le presupună:

a) să fie ușor de înțeles – trebuie să se utilizeze un limbaj cât mai clar, simplu, evident în măsura în care obiectivele auditului o permit. Formularea conținutului raportului de audit trebuie să fie accesibilă celor cărora li se adresează.

b) lipsit de ambiguitate – auditorul se va asigura că toate constatările sunt exprimate cu acuratețe și nu lasă loc de interpretări, cel mai ușor mod de a fi pe deplin înțeles este acela de a folosi formule standard care sunt general acceptate.

c) complet – un audit trebuie să cuprindă toate informațiile necesare pentru a satisface în primul rând obiectivele auditării și apoi exigențele entității auditate.

d) exact – o prezentare corectă presupune descrierea cu acuratețe a sferei de cuprindere a auditului și a metodelor folosite. O inexactitate apărută în raportul de audit poate crea îndoieli asupra validității întregului raport și poate atrage atenția de la esența raportului.

e) obiectiv – un raport de audit are o credibilitate considerabil mai mare dacă probele de audit sunt prezentate într-o manieră imparțială.

f) convingător – utilizatorul trebuie să fie convins de realitatea constatărilor, de rezonabilitatea concluziilor și de beneficiul aplicării recomandărilor formulate.

g) concis – auditul trebuie să fie concis și să cuprindă concluzii și recomandări care să sprijine probele prezentate. Prin prisma întrebărilor formulate în chestionare, am căutat să aflăm cum a fost perceput auditul efectuat asupra sistemelor informatice și dacă acesta a întrunit elementele mai sus menționate. Astfel, misiunea de audit a primit aprecieri bune și foarte bune, semn că aceasta

s-a desfășurat în mod obiectiv, complet și convingător, că a fost pe înțelesul entităților auditate și că raportul de audit a fost exact și concis.

5. Concluzii

Entitățile economice, forțate de mediul concurențial agresiv, trebuie să identifice și să exploateze toate mijloacele disponibile care să le eficientizeze activitatea, să le reducă costurile și în același timp să le crească performanțele. Printre mijloacele care pot ajuta entitatea să își atingă obiectivele sale se numără și asimilarea soluțiilor oferite de tehnologia informației prin includerea acestora în sistemele informaționale. Respectarea tuturor caracteristicilor calitative ale informațiilor presupune unele costuri suplimentare dinpartea entității cu instruirea personalului, cu modificarea și dezvoltarea infrastructurii informaționale (aplicații și echipamente informatice), influențând în același timp controlul intern al entității și riscurile la care aceasta este expusă. Pornind de la aceste aspecte, calitatea și conformitatea informațiilor transmise utilizatorilor de către sistemul informațional trebuie să fie garantate de către auditorii interni și cei IT.

Obiectivul general și scopul unui audit nu se schimbă într-un mediu informatizat. Cu toate acestea, utilizarea unui computer modifică modul de procesare, stocare și comunicare al informațiilor financiare și poate influența sistemul contabil și sistemul de control intern utilizat de entitate. În planificarea domeniilor de audit ce pot fi afectate de sistemul informatic al clientului, auditorul trebuie să înțeleagă semnificația și complexitatea activităților sistemului informatic și a disponibilităților datelor ce se utilizează în audit. Atunci când sistemul informatic este complex, auditorul trebuie să obțină o bună înțelegere a sistemului informatic și a faptului că acesta poate influența evaluarea riscurilor.

Lucrarea de cercetare realizată aduce în prim plan modalitățile prin care auditul IT contribuie la gestionarea riscurilor cu care o entitate se poate confrunta. Aportul personal a constat în sistematizarea teoriilor referitoare la risc, gestiune a riscurilor, audit IT, metode de evaluare cantitativă și calitativă a riscurilor etc. Prin consultarea unui număr mare de referințe bibliografice a fost posibilă sintetizarea celor mai importante rezultate privind subiectul abordat, precum și elaborarea concluziilor care au fundamentat cercetarea aplicativă.

În zona cercetării aplicative, aportul personal a constat în conceperea întrebărilor din chestionar, în centralizarea datelor rezultate în urma aplicării chestionarului și a

întocmirii graficelor și tabelelor care să prezinte într-un mod elocvent aceste rezultate.

Riscul poate fi asociat, aproape cu orice activitate și nu trebuie să fie confundat cu „pericolul” care este o cauză de risc. Aproape orice poate fi un pericol, în timp ce consecința unui risc duce la o pierdere parțială sau totală a valorii, acestea putând fi considerate „speculative”

(diferența dintre pierdere și câștig).

Evaluarea riscurilor constă în abordarea acestora în mod rațional și ordonat, reprezentând o soluție la identificarea problemelor de securitate prin determinarea probabilității de producere a riscurilor. O putem privi și ca pe o modalitate de estimare a pierderilor neașteptate în cazul apariției unui eveniment nedorit. Așadar, analiza riscurilornu este și nu va fi vreodată o știință exactă deoarece este vorba de probabilități, dar aceasta poate răspunde la întrebările referitoare la securitatea sistemului informatic.

Analiza de risc oferă managementului informații pe care să-și bazeze deciziile. Principalul obiectiv al managementului riscului este acela de a permite organizației să își îndeplinească misiunile printr-o securizare îmbunătățită a sistemelor IT folosite pentru stocarea, procesarea, sau transmiterea informațiilor organizaționale. Probele obținute în timpul procesului de management al riscului pot ajuta managerii în luarea de decizii bine informate pentru managementul riscului, în justificarea cheltuielilor pentru un buget IT și în autorizarea sistemelor IT eficiente. O metodologie bine structurată de management al riscului poate să ajute procesul de management în identificarea mijloacelor de control pentru asigurarea capacității de securitate esențială în îndeplinirea misiunii.

Sistemul informatic constituie suportul furnizării informației și devine indispensabil în condițiile societății informaționale. Datorită extinderii misiunilor de audit financiar și a acțiunilor de control care se desfășoară în medii informatizate, se accentuează necesitatea asigurării convergenței metodelor și standardelor de audit financiar cu metodele și standardele de audit IT.

Transformările suferite de sistemul informațional al unei organizații și în special de componenta sa centrală, sistemul informatic, conduc la o repoziționare și o reproiectare a funcției de audit IT, ce se face simțită tot mai intens în ultimul deceniu.

Scopul prezentei lucrări a constat în cercetarea din perspectiva teoretică și practică a modalităților prin care auditul IT contribuie la gestionarea riscurilor, aducând, ca o contribuție personală, propunerea unei strategii de audit pentru o gestionare cât mai eficientă a riscurilor entității analizate. Lucrarea elaborată respectă obiectivele stabilite inițial, însă este foarte dificil de implementat un sistem de management al riscurilor care să și funcționeze în practică, conform metodologiei misiunilor de audit IT.

Auditul sistemelor informaționale este un domeniu foarte vast și este foarte dificilă, dacă nu chiar imposibilă, dezbaterea, într-un mod exhaustiv, a acestui subiect. De aceea, limitele acestei cercetări constau în faptul că nu se poate concepe un model universal valabil de gestionare a riscurilor numai prin intermediul unor tehnici de audit IT.

Considerăm că indiferent care ar fi limitele identificate sau nu ale prezentei cercetări, acestea pot fi transformate în oportunități, respectiv perspective de cercetare, care pot

reprezenta direcții de orientare ale unor cercetări viitoare.

BIBLIOGRAFIE

Andronie Maria, Analiza și proiectarea sistemelor informatice de gestiune, Editura Fundației România de Mâine, 2007, București

Bârsan-Pipu Nicolae, Popescu Ion, Managementul riscurilor – concepte, metode, aplicații, Editura Universității Transilvania Brașov, 2003, p.8

Boulescu Mircea, Fusaru Doina, Zenovic Gherasim, Auditul Sistemelor Informatice Financiar-Contabile, Editura Tribuna Economică, 2005, București

Cardoș Vasile-Daniel, Auditul sistemelor informaționale contabile – Provocări teoretice și valențe practice, Editura Alma Mater, 2010, Cluj-Napoca

Davis, R. E., IT Auditing: The Process, Pleier Corporation, 2004, disponibil în versiune CD-ROM, 2004

Davis, R. E., IT Auditing: An Adaptive Process, PleierCorporation, 2005 disponibil în versiune CD-ROM, 2005

Munteanu Adrian Bogdănel, Riscul auditării, CISA, CRISC, publicat în 8 octombrie 2011 pe site-ul http://isaca.ro/2011/10/riscul-auditarii/

Munteanu Andrei, Auditul sistemelor informaționale contabile, Editura Polirom, 2001

Năstase Pavel (coordonator) & all., Auditul și controlul sistemelor informaționale, Editura Economică, 2007, p.16, p. 68

Popa Ștefan, Ionescu Claudia, Audit în medii informatizate, Editura Expert, 2005, București

Renard, Jacques, Teoria și practica auditului intern, Ministerul Finanțelor Publice, 2005

Vincenti Dominique – Dresser une cartographie des risques, în Revista de Audit, nr. 144, citată de Jacques Renard în Teoria și practica auditului intern National State Auditors Association & U.S. General Accounting Office, Management Planning Guide for

Information Systems Security Auditing, disponibil online la http://www.gao.gov/special.pubs/mgmtpln.pdf,2014, accesat la data de 19.12.2014

http://www.ifac.org/sites/default/files/downloads/a035-2010-iaasb-handbook-isa-620.pdf, accesat la data de 20.12.2014