Programul de studii [624553]
UNIVERSITATEA „TRANSILVANIA” DIN BRAȘOV
FACULTATEA DE ȘTIINȚE ECONOMICE ȘI ADMINISTRAREA
AFACERILOR
Programul de studii
SISTEME INFORMATICE INTEGRATE PENTRU AFACERI
LUCRARE DE DISERTAȚIE
Conducător științific
Prof. univ. dr. Lixăndroiu Dorin
Absolvent: [anonimizat] 2019
UNIVERSITATEA „TRANSILVANIA” DIN BRAȘOV
FACULTATEA DE ȘTIINȚE ECONOMICE ȘI ADMINISTRAREA
AFACERILOR
Programul de studii
SISTEME INFORMATICE INTEGRATE PENTRU AFACERI
LUCRARE DE DISERTAȚIE
Auditul Sistemelor Informatice
Studiu de caz la: Azets Insight Bra șov
Conducător științific
Prof. univ. dr. Lixăndroiu Dorin
Absolvent: [anonimizat] 2019
i
CUPRINS:
INTRODUCERE ………………………….. ………………………….. ………………………….. ………………………….. ……… 3
Cap.1. SISTEME INFORMATICE INTEGRATE (ERP) ………………………….. ………………………….. ……………… 5
1.1. DEFINIREA SISTEMELOR ERP. CARACTERISTICILE ACESTORA ………………………….. …………………. 5
1.2. MOTIVAȚȚIA IMPLEMENTĂRII SISTEMELOR ERP . AVANTAJELE ADUSE DE ACESTA ……………….. 8
1.3. FACTORII CARE CAUZEAZĂ PROBLEME ÎN IMPLEMENTAREA SISTEMELOR ERP ………………………
Cap. 2. AUDITUL SISTEMELOR INFORMATICE ………………………….. ………………………….. …………………. 13
2.1. CONTROL ȘI AUDIT, CONTROLUL GENERAL AL SISTEMELOR INFORMATICE ……………………….. 13
2.2. GUVERNANȚA IT ………………………….. ………………………….. ………………………….. …………………… 17
2.3. RISCURILE ASOCIATE SISTEMELOR INFORMATICE. METODE DE MINIMIZARE A ACESTORA …. 19
2.4. CONTROLUL SECURITĂȚII SISTEMELOR INFORMATICE ………………………….. ………………………… 25
Cap. 3. STUDIU DE CAZ – REALIZAREA ACTIVIT ĂȚII DE AUDIT ………………………….. ………………………… 33
3.1. OBIECTIVELE GENERALE ALE MISIUNII DE AUDIT ALE SISTEMULUI INFORMATIC ………………… 33
3.2. PLANIFICAREA ȘI EFECTUAREA MISIUNII DE AUDIT ………………………….. ………………………….. … 34
3.2.1. Realizarea chestionarului de audit al sistemului informatic ………………………….. …………… 34
3.2.2. Realizarea unui Chestionar de Control Intern ………………………….. ………………………….. ….. 43
3.3. ELABORAREA RAPORTULUI DE AUDIT ………………………….. ………………………….. ………………….. 57
Cap. 4. CONCLUZII ȘI PROPUNERI ………………………….. ………………………….. ………………………….. ……… 61
BIBLIOGRAFIE ………………………….. ………………………….. ………………………….. ………………………….. …….. 62
3
INTRODUCERE
Având o importan ță major ă în cadrul oric ărei organizații, auditul intern este activitatea
independent ă și obiectiv ă care d ă entit ății o asigurare în ceea ce priveste gradul de control
asupra opera țiunilor, o îndruma pentru a -i îmbun ătăți opera țiunile, și contribuie la adăugarea
unui plus de valoare.
Astfel, pentru a ajuta organiza ția să își ating ă obiectivele, auditul intern evaluând
procesele ce au loc la nivelul departamentului IT, printr -o abordare sistematic ă și metodic ă,
oferă ulterior propuneri pentru a -i consolida eficacitatea.
Auditorii interni au cunoștințe legate de princip alele riscuri și controale IT și de tehnicile
de audit disponibile pentru a -și exercita activitatea desemnat ă, misiunea, competen țele și
responsabilit ățile acestora fiind definite în mod oficial într -un regulament și aprobate de
Consiliu, în conformitate c u Standardele.
Auditul informatic reprezintă o ramură distinctă a auditului ce include tehnici și
metode de auditare a aplicațiilor informatice, a sistemelor informatice tradiționale, a
sistemelor informatice distribuite, a aplicațiilor mobile și a tuturor aplicațiilor informatice care
utilizează resurse internet.
Pe măsura creșterii complexității proceselor din societatea informațională, cerințele
sistemelor informatice impun un nivel de credibilitate deosebit de ridicat pe care numai
auditul informatic îl poate susține cu succes.
Motivul pentu care am ales aceast ă temă este să accentuez avantajele pe care le are
existența unui sistem informatic integrat într -o întreprindere și multiplele avantaje pe care le
aduce decizia de a adopta un astfel de sistem. În plus, am considerat că realizarea unui
chestionar de audit , iar mai apoi elaborarea unui Raport de Audit are o importanță majoră în
cadrul unei organizații.
4
Absolvent: Corîiu I. Oana – Gabriel a Promoția: 2019
Programul de studii: SIIPA
Conducător științific: Prof. univ. dr. Lixăndroiu Dorin
Tema lucrării: Auditul Sistemelor Informatice
Studiu de caz efectuat la: Azets Insghit Romania, Brașov
Rezumatul lucrării: Primele două capitole ale lucrării reprezintă fundamentarea teoritică. Astfel, este prezentat contextul
apariției, evoluției și princip alele probleme pe care le ridică adoptarea Sistemelor Informartice Integrate de Planificare a
Resurselor Întreprinderii (ERP), precum și concepte teoretice despre auditul unui sistem informatic, importanța realizării un ei
misiuni de audit, beneficiile adus e de aceasta. Urmează capitolul trei, unde s -a avut în vedere realizarea unui chestionar de
audit aprofundat, precum și un raport de evaluare numerică a riscurilor, iar mai apoi, în baza analizei efectuate s -a elaborat un
Raport de Audit.
Capitolul Nr. pa gini
Nr. figuri Nr. tabele Nr. referințe
bibliografice Nr. Denumire
1. Sisteme Informatice Integrate (ERP) 10 0 1 10
2. Auditul sistemelor informatice 25 1 0 13
3. Studiu de Caz – Azets Insight România 10 0 5 0
4. Concluzii și Propuneri 2 0 0 0
Sinteza
lucrării de
licență Nr. pagini text Nr. figuri Nr. tabele Nr. referințe
bibliografice Anexe
70 1 6 23 0
5
Cap.1. SISTEME INFORMATICE INTEGRATE (ERP)
1.1. DEFINIREA SISTEMELOR ERP. CARACTERISTICILE ACESTORA
Enterprise Resource Planning (ERP) reprezintă sisteme bazate pe arhitectura
client/server dezvoltate pentru prelucrarea tranzacțiilor și facilitarea integrării tuturor
proceselor, din faza planificării și dezvoltării producției, până la relațiile cu furnizorii, clien ții
și alti parteneri de afaceri.1
ERP a devenit în ultima perioadă un subiect extrem de popular: nenumărate cărți,
articole, studii, prezentări, promovări și versiuni demonstrative încearcă să convingă
comunitatea de afaceri de avantajele implementării a plicațiilor integrate de gestiune a
firmelor. Dezvoltarea în contextul societății informaționale și al globalizării afacerilor a
generat un nou elan pentru industria de software și a creat noi oportunități de carieră, în
special în zona consultanței și imp lementării acestor sisteme în întreprinderi.
Într-o definiție orientată tehnologic, ERP reprezintă un sistem informațional
contabil bazat pe interfețe grafice utilizator, baze de date relaționale, limbaje de generația a
IV-A, instrumente CASE și arhitectu ră client/server. Totuși, a fost acceptată opinia că, deși
tehnologia este esențială în realizarea ERP, definiția trebuie să evidențieze ariile funcționale
acoperite: contabilitate, producție, vânzare, aprovizionare, stocuri, control de calitate, etc.
Astfel, sistemele ERP sunt pachete de aplicații formate din mai multe module, care
sprijină toate ariile funcționale: planificare, producție, vânzare, marketing, distribuție,
contabilitate, financiar, resurse umane, gestiunea proiectelor, stocuri, service și întreținere,
logistică și e -business. Arhitectura sistemului facilitează integrarea transparentă a modulelor,
asigurând fluxul informațiilor între toate funcțiunile întreprinderii într -un mod extrem de
transparent.
Alegerea sistemului ERP potrivit permite beneficiarului să implementeze un sistem integrat
unic, prin înlocuirea sau reproiectarea sistemelor funcționale deja existente.
1 Fotache D., Hurbean L., Soluții informatice integrate pentru gestiunea afacerilor – ERP, Ed. Economica, 2004,
pag. 15.
6
O altă definiție scurtă, dar cuprinzătoare este “o soluție software completă și
atotcuprinzătoare pentru o întreprindere”2. ERP constă în module software care acoperă
toate ariile funcționale, structurate ca de exemplu: marketing și vânzări, service, proiectare și
dezvoltare de produs, producție și controlul stocurilor, aprovizionare, distribuție, resurse
umane, finanțe și contabi litate, servicii informatice. Integrarea acestor module este realizată
fără duplicarea informațiilor, cu ajutorul noilor tehnologii de baze de date și al rețelelor de
calculatoare.
American Production and Inventory Control Society3 a definit sistemele ERP astfel:
“metodă pentru planificarea eficientă și controlul tuturor resurselor necesare pentru
preluarea, realizarea, expedierea și contabilizarea comenzilor clienților în firmele de
producție, distribuție ori servicii.”4
Davenport oferă ca definiție “un pa chet de aplicații care promite integrarea completă
a tuturor informațiilor din cadrul unei organizații […]”. 5
O imagine simplificată se desprinde și din definiția lui Tadjer: “o bază de date, o
aplicație, o interfață unificată în întreaga întreprindere”. 6
Trebuie amintită și definiția lui O’Leary, care susține că “ERP reprezintă sisteme
computerizate care asigură prelucrarea integrată și în timp real a tuturor tranzacțiilor din
întreprindere și optimizează întregul lanț de activități, de la planificare la service
postvânzare.”7
Obiectivul principal urmărit prin introducerea unui sistem informatic îl constituie
asigurarea conducerii cu informații reale și în timp util, necesare fundamentării și elaborării
operative a deciziilor. Elaborarea sistemelor inform atice impune modelarea sistemului
2 Anderegg, T., ERP: A -Z Implementer’s Giude for Success , Resource Publishing, 2000, pag.5
3 APICS – societate internațională educațională pentru cercetarea managementului resurselor.
http://www.apics.or g
4 Hossain, L., Patrick, J.D., Rashid, M.A., Enterprise Resource Planning: global opportunities and challenges , Idea
Group Publishing, 2002, pag.3
5 Davenport, T.H., Putting the enterprise into the enterprise system , Harvard Business Review, nr. 4/199 8,
pag.121
6 Tadjer. R ., Enterprise Resource Planning , Internetweek, 1998, pag 7
7 O’Leary, D.E., Enterprise Resource Planning Systems , Cambridge University Press, 2000, pag.65
7
informațional al organizației cu ajutorul unui formalism prin care să poată fi reprezentată cât
mai sugestiv și fidel realitatea din cadrul sistemului informațional.
Pentru organizații de complexitate mică, informatizarea poate însemna realizarea unei
singure aplicații informatice referită de asemenea ca sistem informatic.
În raport cu gradul de cuprindere al domeniului sistemului informațional, sistemele
informatice se împart în:
a) sisteme informatice parți ale – realizează prelucrarea automată a datelor dintr -un
sector de activitate, de regulă cel mai important;
b) sisteme informatice totale – cuprind toate activitățile informaționale și prelucrează
toate datele cu calculatorul electronic; abordează sistemul ca fiind suma unor subsisteme
considerate ca entități distincte care deservesc anumite activități, fără a evidenția legăturile
dintre ele; nu sunt recomandabile, deoarece nu asigură în totalitate cunoșterea legăturilor de
cauzalitate dintre subsiteme și n u permit utlizarea cea mai eficientă a capacității de prelucrare
a calculatorului;
c) sisteme informatice integrate – abordează global procesul de prelucrare a datelor
din cadrul sistemului informațional al firmei, reliefând legăturile de cauzalitate dintr e
subsitemele acestuia; se bazează pe principiul prelucrării în toate modurile utile a datelor
primare introduse o singură dată în sistem.
Sistemele informatice integrate desemnează niște sisteme complete în cadrul cărora
se desfășoară procese de afaceri, practici manageriale, interacțiuni organizaționale,
transformări structurale și management al cunoștințelor.
Un sistem de aplicații integrat trebuie să reprezinte soluția pentru orice companie care
necesită un sistem informatic modern, indiferent dacă aces ta automatizează procesele
interne din cadrul organizației, relațiile cu clienții sau pe cele cu furnizorii și partenerii. Pentru
a face saltul calitativ de la acțiuni punctuale la procese de afaceri, organizațiile trebuie să
adopte soluții integrate și co laborative, care să se adapteze strategiilor de distribuție și care
să includă și funcționalități de suport decizional.
Un adevărat pachet integrat are aplicațiile proiectate de la început pentru a lucra
împreună: acestea partajează același model de inform ații și informatizează procesele de
afaceri la nivelul întregii organizații.
8
Principalele avantaje pe care o suită de aplicații integrate trebuie să le ofere beneficiarilor
sunt:
• reducerea costurilor pe termen lung;
• creșterea eficienței operaționale;
• recuperarea rapidă a investițiilor în IT;
• migrarea mai rapidă la modele de e -business.
În prezent, sistemele informatice s -au dezvoltat din ce în ce mai mult. Autorii lucrării “The
Evolution of ERP Systems: A Historic al Perspective” (Mohammad A. Rashid, Liaquat Hossain și
Jon David Patrick) sustin că evoluția sistemelor ERP a fost determinată de dezvoltările care s –
au produs în cadrul domeniilor software și a componentelor hardware. În acest sens,
managementul întrepri nderilor a trebuit să creeze sisteme care să determine creșterea
competitivității prin reducerea costurilor și implementarea unei logistici mai eficiente.8
1.2. MOTIVAȚȚIA IMPLEMENTĂRII SISTEMELOR ERP. AVANTAJELE ADUSE DE
ACESTA
Principalele motive pentru care companiile trebuie să instaleze si să implementeze un sistem
ERP sunt enumerate mai jos:
• Integrarea informațiilor financiare. Atunci când managerul unei companii încearcă să
descopere performanța de ansamblu a întregii sal e companii, el poate găsi mai multe
versiuni ale stării adevărate a firmei.
• Integrarea informațiilor despre comenzile de la clienți. Sistemul ERP este locul unde
sunt procesate comenzile de la clienți din momentul în care acestea sunt primite de
către se rviciul de relații cu clienții până în momentul în care produsele sunt livrate și
este emisă factura pentru comanda respectivă. Păstrând aceste informații într -un
singur sistem, poate fi mai ușor de urmărit traseul unei comenzi, stadiul în care ea se
8 Rashid M.A., Hossain, L. Patrick J.D, The Evolution of ERP Systems: A h istorical perspective , Idea
GroupPublishing, 2002, pag. 2 -4.
9
află în orice moment, și de asemenea, pot fi coordonate mai ușor toate
departamentele firmei, indiferent de locația unde se află.
• Standardizarea și creșterea vitezei de producție. Sistemele ERP oferă premizele pentru
a standardiza diferitele etape ale procesul ui de producție, standardizare ce reduce
costurile, mărește viteza și productivitatea sectorului respectiv.
• Reduce timpul pierdut prin inventariere. Cunoscându -se în orice moment situația
stocurilor, pot fi făcute planuri mult mai precise de livrare a pro duselor la clienți și
coordonarea mult mai bună a distribuției acestora.
• Standardizează informațiile pentru resursele umane.
Folosind aplicația ERP adecvată, se pot spori performanțele companiei:
• se gestionează mai simplu structuri complexe, canale de piață și scenarii de afaceri;
• se uniformizează procesele și tranzacțiile de afaceri;
• se optimizează resursele și activele cu adevărat valoroase ale companiei;
• se accelerează timpul de comercializare și timpul de valorificare;
Foarte multe firme, în special cele de dimensiuni medii -mari, au sisteme ERP. Practica a
arătat că nu este atât de dificil să implementezi un pachet integrat de aplicații, cât să obții și
să beneficiezi de toate avantajele pe care le generează. Aceasta se datorează, pe de o parte,
complexității sistemelor ERP, iar pe de altă parte neînțelegerii principiilor de lucru la nivel
managerial. În plus, funcționarea optimă a sistemului este posibil ă doar prin armonizarea cu
activitățile funcționale zilnice din cadrul organizației.
Avantajele sistemelor ERP:9
• Informații de calitate – baza de date unică, rapoarte îmbunătățite;
• Evitarea redundanței datelor și operațiunilor – baza de date unică elimină operațiile
repetitive de actualizare;
• Scăderea timpului de răspuns – rapoarte și informații ad -hoc oferite de sistem;
9 Hossain, L., Pactrick, J.D., Rashid, L., Enterprise Resource Planning: global opportunities and challenges , Idea
Group Publishing, 2002, pag. 3
10
• Adaptabilitate – schimbările în procesele economice se reconfigurează ușor în
sistemul ERP;
• Scalabilitate – structura modulară a sistemulu i facilitează adăugarea de noi
componente;
• Sistem de întreținere îmbunătățit – contractul de întreținere pe termen lung cu
furnizorul ERP nu este facultativ, ci face parte din proiectul ERP;
• Dimensiune colaborativă – module precum CRM sau SCM extind și d eschid sistemul
către furnizori și clienți;
Pot exista și așa -zisele dezavantaje:
Tab.1.1. Dezavantaje ERP și modurile de combatere (sursa: adaptare după Hossain, L., Patrick, J.D.,
Rasid, L., pag 6)
Dezavantaj Mod de combatere/diminuare
Proiecte consumatoare de timp implicarea activă a managementului, obținerea
consensului și acceptului general
Costuri mari dificil și nerecomandat
Neconformitatea modulelor alegerea unui sistem ale cărui arhitectură și
componente corespund proceselor economice,
culturii și obiectivelor strategice ale organizației
Dependența de furnizor analiza atentă a celor doua alternative: furnizor
unic sau mai mulți furnizori, prima însemnând
implicarea furnizorului pe termen lung, a doua
oferind șansa alegerii soluțiilor “best of breed”
Complexitatea selectarea doar a modulelor care sunt absolut
necesare
Necesitatea extinderii și dezvoltării ulterioare a
sistemului poate fi eliminată, dar va reduce potențialul
sistemului, care va deveni la un moment dat
ineficient.
11
1.3. FACTORII CARE CAUZEAZĂ PROBLEME ÎN IMPLEMENTAREA SISTEMELOR ERP
Scopul adoptării sistemelor ERP în întreprinderi a fost acela să îmbunățească
activitatea acestora și să asigure o infrastructură integrată. În ciuda faptului că sistemele ERP
prezintă numeroase avantaje, în unele cazuri nu toate obiectivele propuse sunt atinse.
Conform unui studiu din revista Journal of Arts, Science & Commerce10, factorii care
determină probleme în implementarea sistemelor ERP sunt:
a) Procesarea datelor furnizate
Datele adecvate și corecte ar trebui să fie colectate de pe serverul vechi al companiei în
formatul standard și apoi implementate în noul sistem integrat. În acest sens, e ste nevoie de
o puternică strategie de management a companiilor care adopta un astfel de software, pentru
a reuși să furnizeze datele necesare.
b) Utilizarea sistemelor paralele
Atunci când se utilizează sistemul vechi al companiei și doar câteva module din
sistemul ERP, apar probleme. De exemplu, între modulele de vânzări și distrubutie, o ignorare
a unei nealinieri între sisteme poate conduce la probleme majore, până la prăbușirea
întregului software. Este recomandat ca utilizarea unor sisteme paralele să fie evitată.
c) Training -urile și testarea
În mod normal, training -urile și testarea ar trebui să se facă de către consultanții ERP.
Se observă că 50% din training -urile asigurate utilizatorilor finali nu au succes, în principal din
cauza lipsei de cunoștințe în ceea ce privește utilizarea calculatorului. Angajații care ar trebui
să folosească software -ul ERP nu sunt dispuși să accepte responsabilitatea instalării unui nou
sistem, conducând la o puternică rezistență la schimbare.
d) Așteptări prea m ari de la sistemul ERP
Obiectivele de management și așteptările de la sistemul ERP ar trebui să se facă bine
cunoscute încă de la început de către vânzătorul sistemului. Problema necunoașterii tuturor
10 Ashish Kr. Dixit., Om Prakash , A study of i ssues affecting ERP implementation in SMEs , Reasearches World –
Journal of Arts, Science & Commerce, Aprilie 2011, Vol. -II, Issues – 2, pag. 82 -84
12
aspectelor pe care le implică adoptarea unui astfel de sistem, conduce la credința conform
căreia noul sistem are puterea să integreze funcțiile actuale ale companiei într -un timp foarte
scurt. De asemenea, sistemul de management se așteaptă la rezultate imediate ale investiției,
ceea ce nu este practicabil, d eoarece durează aproximativ între trei și patru luni până să se
observe o restituire a investiției. Așadar, conducerea trebuie să fie răbdătoare cu noul
software și orice eșec trebuie să se rezolve pentru a avea un sistem de rulare de succes.
e) Rezistenț a la schimbare a angajaților
După completarea training -ului în ceea ce privește software -ul ERP pentru angajați, în
câteva zile după ce sistemul funcționează corect, mulți dintre traineri își dau demisia cauzând
o mare pierdere organizației.
f) Design -ul și testarea
Design -ul și testarea este o componentă importantă a implementării software -ului și
ar trebui să nu fie neglijat aspectul ca toate computerele de lucru să fie organizate în aceeași
încăpere pentru a putea respecta fiecare cerință majoră a servi ciului pentru clienți/primirea
comenzilor, planificare, stocuri, magazine și finanțe. Datele introduse în sistem cresc treptat,
începând cu proiectele în echipă, managerii și la final utilizatorii vor deveni mult mai familiari
cu software -ul.
13
Cap. 2. AUDITUL SISTEMELOR INFORMATICE
AUDITUL reprezinta o activitate de concepere a unui sistem care previne, detectează și
corectează evenimente ilicite în viața unei organizații.11
2.1. CONTROL ȘI AUDIT, CONTROLUL GENERAL AL SISTEMELOR INFORMATICE
Auditul sistemului informatic este o ramură a auditului general care se ocupă de
controlul tehnologiilor informa țiilor și comunicațiilor; studiază, în primul rând, sistemele și
rețelele de calcul din punct de vedere al examinării eficienței controlului tehnic și procedural
pentru a minimiza riscurile.12 Auditarea sistemului informatic presupune discu ții cu personalul
care stabilește specificațiile, dezvoltă, testează, conduce, administrează și utilizează sistemele
de calcul.
Auditul sistemelo r informatice reprezintă activitatea de colectare și evaluare a unor
probe pentru a determina dacă sistemul informatic este securizat, menține integritatea
datelor prelucrate și stocate, permite atingerea obiectivelor strategice ale întreprinderii și
utilizează eficient resursele informaționale.13
Auditul informatic reprezintă o formă esențială prin care se verifică dacă un system
informatic își atinge obiectivul pentru care a fost elaborat. Standardele europene definesc
clar domeniul, activitățile, etapele, conținutul auditării și formele de finalizare. Respectând
cerințele acestora, rezultatul procesului de auditare informatică este eliberat de riscurile
contestării. Auditul informatic reprezintă un domeniu cuprinzător în care sunt incluse toate
activitățil e de auditare pentru : specificații, proiecte, software, baze de date, procesele
specifice ciclului de viață ale unui program, ale unei aplicații informatice, ale unui sistem
informatic pentru management și ale unui portal de maximă complexitate, asociat u nei
organizații virtuale.
Potrivit standardelor, obiectul auditului sistemelor informatice poate fi focalizat pe
programe, proiecte, sisteme informatice sau resurse informatice create sau utilizate în
11 Lixăndroiu D., Auditul sistemelor informatice de gestiune , Brașov, 2015, pag.15 -16.
12 Academia Comercială Satu Mare, lilianatodor@yahoo.com (Consultat la data de 24.04.2019)
13 Ghiță, M., Briciu, S. și colab., Audit intern , Ed. ULISE, 2005, pag. 15
14
instituțiile private. Acestea pot fi auditate la nivel strategic, operațional sau la nivel de
aplicație. Auditarea se poate desfășura pe întreg ciclul de viață al sistemului sau numai pe
anumite etape: proiectare, dezvoltare, implementare, producție, livrare, interoperabilitate,
acces, utilizare. Auditarea inc lude, de asemenea, și evaluarea conformității cu legislația în
vigoare. În cadrul misiunilor de audit al sistemelor informatice se va efectua evaluarea
componentei aferente controalelor IT implementate în sistemul de control intern al entității
auditate. C onstatările vor evidenția punctele tari și punctele slabe ale sistemului informatic și
vor menționa aspectele care trebuie remediate. Pe baza acestora se vor formula recomandări
privind perfecționarea structurii de procese, controale și proceduri IT existe nte.
Principalele constatări, concluzii și recomandări formulate pe parcursul misiunii de audit vor
fi sintetizate și vor fi înaintate conducerii entității auditate, constituind obiectul valorificării
raportului de audit. Modul de implementare a recomandăr ilor și stadiul implementării
acestora vor fi revizuite periodic, la termene comunicate entității auditate.
Auditul IT este un proces prin care se evaluează dovezi cu scopul de a determina dacă
protecția fizică a sistemului IT și măsurile prin care se asi gură integritatea datelor, contribuie
la utilizarea eficace a resurselor și ajută în mod eficient la atingerea obiectivelor organizației.14
Se pot desfășura următoarele tipuri de audit IT15:
• Evaluarea unui sistem informatic în scopul furnizării unei asigură ri rezonabile privind
funcționarea acestuia, asigurare necesară inclusiv misiunilor de audit financiar sau de
audit al performanței la care este supusă entitatea;
• Evaluarea performanței implementării și utilizării sistemelor informatice;
• Misiuni de audit m ixte, prin integrarea celor trei tipuri de audit: auditul financiar,
auditul performanței și auditul IT, acestea urmând a se desfășura în cadrul unor
misiuni comune, în funcție de obiectivele stabilite;
Evaluarea unui sistem IT integrat și/sau a unor aplicații individuale utilizate ca support
pentru asistarea deciziei (sisteme IT utilizate pentru evidență, prelucrarea și obținerea de
14 Ivan I ., Auditul sistemelor informatice , Ed. ASE Buc urești, 2005
15 Ghiță, M., Pop, R., Ghiță, R., Timar, Alina, Guvernanța corporativă și auditul intern , Ed. Casa Cărții de Știință,
2011, pag. 55
15
rezultate, situații operative și sintetice la toate nivelele de raportar e) în cadrul entității
auditate. Extinderea utilizării tehnologiei informației în toate domeniile, inclusiv în cel al
sistemelor financiar -contabile, care presupune atât extinderea controalelor IT în cadrul
sistemului de control intern al entității auditat e, generează necesitatea perfecționării
modelelor tradiționale de auditare și extinderea auditului sistemelor informatice în
activitatea unității.
Misiunea de audit al sistemelor informatice are în vedere următoarele criterii de
evaluare generice:
• dacă sis temul informatic asigură un cadru adecvat, bazat pe integrarea tehnologiilor
informatice pentru desfășurarea continuă a activității;
• dacă activitățile desfășurate pe parcursul derulării proiectelor IT sunt conforme cu
obiectivele și termenele de realizare, aprobate la nivel instituțional, la fundamentarea
acestora;
• dacă pe parcursul proiectelor s -au înregistrat dificultăți tehnice, de implementare sau
de altă natură;
• dacă implementarea proiectelor conduce la modernizarea activității entității,
contribuind la integrarea unor noi metode de lucru, adecvate și conforme cu noile
abordări pe plan european și internațional;
• dacă soluția tehnică este fiabilă și susține funcționalitatea cerută în vederea creșterii
calității activității;
• dacă sistemul inform atic funcționează în conformitate cu cerințele programelor și
proiectelor informatice privind integralitatea, acuratețea și veridicitatea, precum și cu
standardele specifice de securitate;
• dacă pregătirea utilizatorilor atinge nivelul performanței cerute d e această nouă
abordare, analizată prin prisma impactului cu noile tehnologii;
• dacă există și au fost respectate standarde privind calitatea suportului tehnic și
metodologic.
Aceste criterii vor fi utilizate pe parcursul misiunii de audit IT, din perspect iva
creării, la nivelul unității auditate, a unor arhitecturi de sistem coerente, bazate pe
creșterea partajării informației și a sistemelor în administrație, reducerea costurilor
totale prin reutilizare și evitarea duplicării aplicațiilor și sistemelor, r educerea timpului
16
de implementare a proiectelor, îmbunătățirea manierei de administrare a proiectelor
și de implementare a soluțiilor (portofoliul de proiecte), stabilirea politicilor de
migrare pentru proiectele existente. Criteriile de audit pot fi difer ite de la un audit la
altul, în funcție de obiectivele specifice ale misiunii de audit.
Auditul sistemelor informatice este o activitate planificată, de evaluare a sistemului
informatic, pe baza probelor de audit, în scopul emiterii unei opinii calificate și obiective,
privind conformitatea sistemului cu legislația, cu standardele în domeniu și totodată, asupra
capacității sistemului de a susține efortul de realizare eficientă a obiectivelor strategice ale
organizației.16
Etapele auditului sistemelor informatice sunt:17
o planificarea auditului
o efectuarea auditului
o raportarea
o revizuirea auditului.
Domeniile de responsabilitate incluse în cadrul de referință al auditului sunt:
-riscul;
-controlul intern;
-administrarea proceselor și afacerilor.
Ipotezele desfășurării auditului: 18
1. Se presupune că obiectivele sunt de la bun început bine și clar definite și
măsurabile printr -un sistem de indicatori.
2. Procesele și activitățile sunt reglementate prin norme interne, metodologi i,
standarde și acte legislative care stabilesc cadrul de desfășurare practică și de
control, mediul și resursele necesare.
16 Traian S ., Auditul sistemelor informatice , Note de curs ASE, Buc., 2008
17 Ghiță, M., Sprânceană, M., 20 06, Auditul intern în sistemul public , Ed. Tribuna Economică, București, pag. 45
18 Năstase P., ș.a., Auditul și controlul sistemelor informaționale , Ed. Economică, 2007
17
Prin audit se dorește să se demonstreze că sistemul, procesele supuse auditării,
îndeplinesc următoarele trei condiții esențiale pen tru asigurarea corectă a succesului în
afaceri:
▪ Conformitatea, prin care se probează că realitatea este conformă cu legislația, cu
standardele, cu cele mai bune practici;
▪ Credibilitatea rezultatelor și încrederea în rapoarte;
▪ Performanța, sub aspectul econ omicității, eficienței și eficacității activităților
organizației.
2.2. GUVERNANȚA IT
Guvernanța IT – o clasă de probleme manageriale ce cuprinde optimizarea resurselor
IT: informațiile, infrastructura IT &C, procesele IT și resursele umane asociate.19
Guvernanța IT face parte din Guvernanța corporativă.
Guvernanța corporativă – este definită de saltul calitativ realizat în conținutul și formele
managementului actual.
Factorii care au condus Guvernanța corporativă:
– globalizarea
– Internetul (e-business, e -comerț, ERP II),
– internaționalizarea acționariatului.
Guvernanța IT – reprezintă activitatea de conducere, coordonare și control a activităților IT
dintr -o organizație.
IT Governance Institut definește acest concept ca reprezentând „totali tatea structurilor de
conducere, organizatorice precum și procedurile prin care funcționarea sistemului IT susține
îndeplinirea obiectivelor și a strategilor organizației”.
Guvernanța IT reprezintă:20
✓ structuri de conducere
✓ structuri organizatorice
19 Lixăndroiu D., Auditul sistemelor informatice de gestiune , Brașov, 2015, pag. 8 -10
20 Eden A., Stanciu V., Auditul sistemelor informatice , Ed. Dual Tech, 2004.
18
✓ procedur i
Explicații:
-reprezintă mai mult decât managementul clasic al informațiilor;
-realizează corelarea strategiei și obiectivelor IT cu strategia și obiectivele economice ale
întreprinderii;
-realizează organizarea proceselor IT într -un model general accepta t și integrat organizației,
prin legarea proceselor IT de procesele de business;
-este principala condiție prin care sistemul IT susține creșterea eficienței, a valorii adăugate
pe care o produce întreprinderea;
-obligă managementul organizației să se impl ice în deciziile strategice privind investițiile în IT;
-asigură participarea la deciziile strategice a acționarilor, a partenerilor de afaceri, furnizori
sau clienți și a compartimentelor funcționale din firmă, financiar, marketing, resurse umane
etc.
-are în vedere controlul, prevenirea și soluționarea riscurilor datorate erorilor și
disfuncționalităților din sistemul IT.
Obiectivele Guvernanței IT21:
-alinierea activităților IT cu cerințele proceselor de business, asigurând continuitatea și
dezvoltarea afacerilor întreprinderii;
-activitățile IT trebuie să susțină maximizarea beneficiilor;
-utilizarea resurselor IT cu responsabilitate și riscuri minime respectând principiile eficacității;
21 Popa Ș., Ionescu C., Auditul în medii informatizate , Ed. Expert, 2005.
19
-administrarea corespunzătoare, corectă a riscurilor IT.
Fig. 2.1. Problemele Guvernanței IT
Alinierea strategiilor se concentrează pe corelarea strategiei IT în relație cu strategia
de business a întreprinderii; alinierea trebuie să reflecte: definirea, validarea și materializarea
ofertei IT și legarea proceselor IT de procesele de afaceri ale întreprinderii.
Creșterea valorii adăugate urmărește ca prin cantitatea și calitatea informațiilor livrate
de sistemul IT, conform ofertei de servicii IT modelată pe nevoile managementului, să se
asigure o optimiz are a costurilor și o creștere a beneficiilor.
Măsurarea performanțelor urmărește o cuantificare a performanțelor proceselor IT și a
furnizării de servicii IT în cadrul sistemului informatic integrat.
2.3. RISCURILE ASOCIATE SISTEMELOR INFORMATICE. METODE DE MINIMIZARE A
ACESTORA
Managementul riscurilor –reprezintă procesul de identificare a vulnerabilităților și
amenințărilor din cadrul unei întreprinderi22, precum și de elaborare a unor măsuri de
22 Lixăndroiu D., Auditul sistemelor informatice de gestiune , Brașov, 2015, pag. 55
20
minimizare a impactului acestora asupra resurselor informaționale din întreprindere.
Riscurile afectează în primul rând securitatea sistemului informatic.
Nivelul riscului total = f (amenințări, vulnerabilități, impacturi)
Amenințările reprezintă pericolele potențiale din exterior ce exploateaz ă
vulnerabilitățile sistemului informatic.
Vulnerabilitățile sunt verigile slabe, punctele slabe ale sistemului informatic care -l
expun din interior evenimentelor ce pot afecta negativ funcționarea sistemului.
Cele cinci atribute ale securității sistemului informatic pe care le poate afecta producerea
unor astfel de riscuri:
– confidențialitatea;
– integritatea;
– disponibilitatea;
– încrederea;
– conformitatea.
Vulnerabilitățile unui sistem informatic pot fi grupate, în următoarele categorii23:
1. vulnerabilități ale infrastructurii hardware și de comunicație;
2. vulnerabilități ale sistemului software – software de bază și software aplicativ;
3. vulnerabilități ale bazelor de date și arhivelor de date istorice;
4. vulnerabilități umane;
5. vulne rabilități naturale.
Amenințările unui sistem informatic se grupează în următoarele categorii24:
1. amenințări cu caracter general;
2. amenințări legate de autentificare și autorizare, controlul accesului și non
repudiere;
3. amenințări legate de credib ilitatea și continuitatea serviciilor;
4. amenințări legate de integritatea datelor;
23 Eden A., Stanciu V., “Auditul sistemelor informatice ”, Editura Dual Tech, București, 2004
24 Eden A., Stanciu V., “Auditul sistemelor informatice ”, Editura Dual Tech, București, 2004
21
5. amenințări secrete;
6. amenințări legale.
CLASIFICAREA RISCURILOR
✓ După probabilitatea de apariție riscurile pot fi:
o riscuri potențiale , care se pot produce dacă nu se stabilesc acțiuni de control prin
care să fie prevenite și corectate;
o riscuri posibile , sunt acele riscuri potențiale pentru care controalele nu sunt
suficiente pentru a elimina sau pentru a le diminua impactul;
✓ După natura lor riscurile pot fi:
o riscuri f izice , datorită disfuncționalităților infrastructurii hardware și de
comunicație;
o riscuri logice , datorită funcționării defectuoase a programelor sau derularea
greșită a unor proceduri de prelucrare sau unor erori umane;
✓ După tipul activităților vizate:
o riscuri de funcționare a sistemului informatic;
o riscuri financiare;
o riscuri juridice – legislative;
o riscuri sociale;
o riscuri de imagine;
o riscuri de mediu;
o riscuri de securitate.
✓ După specificul exercitării activităților de audit:
o riscuri de organizare , care se referă la actualizarea și documentarea procedurilor,
la organizarea resurselor umane și repartizarea responsabilităților;
o riscuri operaționale legate de controlul operațiilor, mai ales cele cu cost ridicat.
22
Relația audit – managementul riscurilor derivă din faptul că identificarea și aplicarea
controlului intern și aplicarea măsurilor pentru minimizarea riscurilor revin ca responsabilități
managementului sistemului informatic.
Auditul, ca activitate independentă reanalizează riscurile, controalele, evaluează
corectitudinea și eficacitatea aplicării practice a controlului intern.Apoi disfuncționalitățile
sunt comunicate evident sistemului de management și se propun măsuri de îmbunătățire.
Această relație aduce în discuție și riscul de aud it, care trebuie să -și găsească și el o abordare
managerială. Auditul în sine se confruntă cu propriile riscuri.
Riscul de audit (RA ) – este riscul ca auditorul să exprime o opinie de audit care nu este
adecvată atunci când rezultatele, rapoartele sunt er onate în mod semnificativ25.
Riscul de audit este determinat de riscul existenței unor denaturări semnificative și respectiv
a riscului ca auditorul să nu detecteze o astfel de denaturare.
Riscul unor denaturări semnificative are două componente:
– riscul i nerent – reprezintă probabilitatea ca o eroare sau o fraudă să se producă în mod
inerent din cauza naturii activității desfășurate în firmă.
– riscul de control – reprezintă probabilitatea ca o eroare sau o fraudă să se producă fără a fi
detectată sau prevenită de către controlul intern.
Model de evaluare a riscurilor – bazat pe metoda probabilităților (UK Departament of
Trade and Industries)
Se bazează pe urmă torii indicatori:
PA – pierderea anticipată : este o valoare estimată a se pierde la anumite intervale de timp;
PAA – pierderea anticipată anuală : valoarea medie a pierderilor anticipate pe un an.
ARP – anticiparea reducerii pierderilor : Pierderea antic ipată – Pierderea anticipată anuală
PP – pierderea potențială.
Rata de apariție (RA) : = numărul de apariții al amenințării într -o anumită perioadă de timp;
este caracteristică pentru fiecare amenințare.
Pierderea anticipată anuală (PAA) se calculează independent pentru fiecare activ în parte.
Fiecare pereche amenințare – activ este caracterizată de un indicator care se numește factor
25 Lixăndroiu D., Auditul sistemelor informatice de gestiune , Brașov, 2015, pag. 80
23
de vulnerabilitate (FV) .
Factorul de vulnerabilitate (FV) = pierderea curentă cauzată de o singură apariție / totalul
pierderilor potențiale aferente unui activ.
PAA = RA x PP x FV
Pierderea anticipată anuală totală (PAAT) = ∑ pierderilor anticipate anuale pentru fiecare
pereche activ -amenințare.
Modelul are o aplicabilitate ge nerală, dar el se dovedește operațional mai ales pentru
următoarele tipuri de pierderi:
– fraude cu calculatorul,
– furturi de echipamente sau de informații,
– distrugeri fizice de echipamente și informații,
– divulgarea neautorizată a informațiilor,
– întârzieri cauzate de disfuncționalitatea sistemului informatic.
Finalitatea modelului este reprezentată de analiza cost – beneficiu, în sensul estimării
costurilor controalelor și implementării măsurilor de diminuare a riscurilor, costuri comparate
cu benef iciile potențiale. Se poate determina astfel și o rată a recuperării investiției pentru
un anumit control.
Evaluarea și cuantificarea riscurilor în cadrul auditului permite argumentarea alocării
de resurse pentru îmbunătățirea măsurilor de control din cad rul sistemului informatic.
Metodologic este bine să se urmărească parcurgerea următoarelor etape pentru a
finaliza corect procesul de stabilire și evaluare a riscurilor, pentru a stabili un sistem
corespunzător de controale interne:
– identificarea elemen telor entităților auditabile;
– stabilirea riscurilor pentru fiecare element auditabil;
– măsurarea riscurilor;
– clasificare;
– ierarhizare;
– clasare și stabilirea priorităților;
– evaluare controalelor interne și a măsurilor.
24
METODE DE MINIMIZARE A RISCURILOR
– Creează din start un sistem informatic corect
– Pregăteste utilizatorii pentru procedurile de securitate
– Odată sistemul pornit, menține securitatea sa fizică
– Securitatea fizică asigurată, previne accesul neautorizat
– Având controlul accesului, se asigura ca reluările de proceduri sa fie corecte
– Chiar dacă există proceduri de control, caută cai de a -l perfecționa
– Chiar dacă sistemul pare sigur, auditează -l si identifică noi probleme de
securitate
– Chiar dacă este foarte vigilent, pregătește -te de dezastre.
CAI :
1. Dezvoltarea si modificarea sistemului de control
➢ Orice modificare de soft trebuie verificată
➢ Asigurarea documentației la zi
➢ Asigurarea cu softuri specializate antivirus la zi.
2. Pregătirea personalului pentru reducerea riscului.
➢ periodicitate
➢ selecție
3. Menținerea securității fizice
➢ acces fizic restrâns
4. Controlul accesului la date, hardware și rețele
➢ controlul operațiunilor vamale
➢ definirea exactă a accesului privilegiat
➢ eliminarea intruziunilor
o parole
o carduri ID
o chei hardware
o control – retinei, amprentei digitale palmare etc.
o criptare si decriptare date.
5. Controlul tranzacțiilor
➢ segregarea îndatoririlor
25
➢ validarea datelor
➢ corectarea erorilor
➢ Backup
2.4. CONTROLUL SECURITĂȚII SISTEMELOR INFORMATICE
Procesele de asigurare a securității sistemelor informatice îndeplinesc funcția de a
proteja sistemele împotriva folosirii, publicării sau modificării neautorizate, distrugerii sau
pierderii informațiilo r stocate.
Securitatea sistemelor informatice este asigurată prin controale logice de acces, care asigură
accesul la sisteme, programe și date numai utilizatorilor autorizați.26
Elemente de control logic care asigură securitatea sistemelor informatice :
o cerințele de confidențialitate a datelor;
o controlul autorizării, autentificării și accesului;
o identificarea utilizatorului și profilele de autorizare;
o stabilirea informațiilor necesare pentru fiecare profil de utilizator;
o controlul cheilor de criptare;
o gestionarea incidentelor, raportarea și măsurile ulterioare;
o protecția împotriva atacurilor virușilor și prevenirea acestora;
o firewalls;
o administrarea centralizată a securitații sistemelor;
o training -ul utilizatorilor;
o metode de monitorizare a res pectării procedurilor IT, teste de intruziune și
rapotari.
26 Lee S., Young A., Accounting Information Systems, Houghton Mifflin Company, Boston, 1989
26
Obiective de control detaliate
Asigurarea securității sistemului informatic27:
1. Controlul măsurilor de securitate
Securitatea sistemelor informatice trebuie organizată astfel încât sa fie in concordanță
cu obiectivele de afaceri ale organizației:
• includerea informațiilor legate de evaluarea riscurilor la nivel organizațional
in
proiectarea securității informatice;
• implementarea și actualizarea planului de securitate IT pentru a reflecta
modificările intervenite in structura organizației;
• evaluarea impactului modificărilor planurilor de securitate IT, și
monitorizarea implementării procedurilor de securitate;
• alinierea procedurilor de securitate IT la procedurile generale ale organizației.
2. Identificarea, autentificarea și accesul
Accesul logic la resursele informatice trebuie restricționat prin implementarea unor
mecanisme adecvate de identificare, autentificare și acces, prin crearea unei legături
între utilizatori și resurse, bazata pe drepturi de acces.
3. Securitatea accesului on-line la date
Într-un mediu IT on -line trebuie implementate proceduri în concordanta cu politica de
securitate, care presupune controlul securității accesului bazat pe necesitățile
individuale de accesare, adăugare, modificare sau ștergere a informațiilor.
4. Managementul conturilor utilizator
Conducerea organizației trebuie să stabilească proceduri care sa permită acțiuni rapide
privind crearea, atribuirea, suspendarea și anularea conturilor utilizator. O procedura
formala in raport cu gestionarea conturilor utilizator trebuie inclusă in planul de
securitate.
27 Kaner C., Falk J., Quoc Nyugen H., Testing Computer Software, Wiley Computer Publishing, 1999
27
5. Verificarea conturilor utilizator de către conducere
Conducerea trebuie să dispună de o procedura de control care să verifice și să confirme
periodic drepturile de acces.
6. Verificarea conturilor utilizator de către utilizatori
Utilizatorii trebuie să efectueze periodic controale asupra propriilor lor conturi, în
vederea detectării activităților neobișnuite.
7. Supravegherea securității sistemului
Administratorii sistemului informatic trebuie să se asigure că toate activitățile legate
de securitatea sistemului sunt înregistrate într -un jurnal, și orice indiciu referitor la o
potențială violare a securității trebuie raportată imediat persoanelor responsabile.
8. Clasificarea datelor
Conducerea trebuie să se asigure că toate datele sunt clasificate din punct de vedere al
gradului de confidențialitate, printr -o decizie formală a deținătorului datelor. Chiar si
datele care nu necesită protecție trebuie clasificate în această categorie printr -o decizie
formală. Datele trebuie să poată fi reclasificate în condițiile modificării ulterioare a
gradului de confidențialitate.
9. Centralizarea identificării utilizatorilor și drepturilor de acces
Identificarea și controlul asupra drepturilor de acces trebuie efectuate centralizate
pentru a asigura consistența și eficiența controlului global al accesului.
10. Rapoarte privind violarea securității sistemului
Administratorii de sistem trebuie să se asigure ca activitățile care pot afecta securitatea
sistemului sunt înregistrate, raportate și analizate cu regularitate, iar incidentele care
presupun acces neautorizat la date sunt rezolvate operativ. Accesul logic la informații
trebuie acordat pe baza necesitaților stricte ale utilizatorului (acesta trebuie sa aibă
acces numai la informațiile care ii sunt necesare).
11. Gestionarea incidentelor
Conducerea trebuie să implementeze proceduri de gestionare a incidentelor legate de
securitatea sistemului, astfel încât răspunsul la aceste incidente să fie eficient, rapid și
adecvat.
28
12. Încrederea în terțe părți
Organizația trebuie să asigure implementarea unor proceduri de control și autentificare
a terților cu care intră în contact prin medii electronice de comunicare.
13. Autorizarea tranzacțiilor
Politica organizației trebuie să asigure implementarea unor controale care să verifice
autenticitatea tranzacțiilor precum și identitatea utilizatorului care inițiază tranzacția.
14. Prevenirea refuzului de acceptare a tranzacției
Sistemul trebuie să permită ca tranzacțiile efectuate să nu poată fi negate ulterior de
nici un participant. Aceasta presupune implementarea unui sistem de confirmare a
efectuării tranzacției.
15. Informațiile sensibile trebuie transmise numai pe un canal de comunicații considerat
sigur de parti, care să nu permită interceptarea datelor
16. Protecția funcțiilor de securitate
Toate funcțiile organizației legate de asigurarea securității trebuie protejate in mod
special, în vederea menținerii integrității acestora. Organizațiile trebuie să păstreze
secrete procedurile de securitate.
17. Managementul cheilor de criptare
Conducerea trebuie să definească și să implementeze proceduri și protocoale pentru
generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de
criptare pentru a asigura protecția împotriva accesului n eautorizat.
18. Prevenirea, detectarea și corectarea programelor distructive
În vederea protejării sistemului împotriva aplicațiilor distructive (viruși), trebuie
implementata o procedura adecvata care să includă masuri de prevenire, detectare,
acțiune, corectare și raportare a incidentelor de acest fel.
19. Arhitecturi Firewall și conectarea la rețele publice
În cazul în care sistemul organizației este conectat la Internet sau alte rețele publice,
programe de protecție adecvate (firewalls) trebuie implementate pentru a proteja
accesul neautorizat la resursele interne ale sistemului.
20. Protecția valorilor electronice
29
Conducerea trebuie să asigure protecția și integritatea cardurilor și a altor dispozitive
folosite pentru autentificare sau înregistrare de date considerate sensibile (financiare).
✓ CONTROLUL SECURITĂȚII FIZICE
• Auditorul verifică masura în care accesul fizic la date si resursele hardware sunt
restricționate corespunzător28 :
– Cum este restricționat accesul fizic la facilitățile IT din firma?
– Cum este restricționat accesul la spatiile unde se află echipamentele pe care se
realizează prelucrările?
– Cum sunt protejate stocările offline de date?
– Cât de sigura, din punct de vedere informațional, este scoaterea din uz a
calculatoarelor si mediilor de stocare a datelor?
• Existența unor programe gen Easy Recovery sau Lost & found care permit
recuperarea datelor șterse de pe mediile de stocare. Comanda UNFORMAT din
DOS.
o dificultatea asigurării controlului accesului fizic la fiecare componenta hardware
o extinderea lucrului în rețea și a utilizării sistemelor distribuite s -a caracterizat
prin concentrarea atenției pe controlul accesului logic, dar controlul accesului
fizic rămâne în continuare important, el reprezentând o componenta a
sistemului de securitate.
✓ COPII DE SIGURANȚĂ ȘI EVENIMENTE NEPREVĂZUTE
• Auditorul trebuie să verifice dacă la nivelul organizației există :
– Proceduri prin care să se asigure funcționarea sistemului în cazul căderii
alimentarii cu energie electrică sau a căilor de comunicații.
• Există sectoare “sensibile” – bancar, bursier, securitatea statului, energetic
etc. care impun asigurarea funcționării continue a sistemelor informatice
ceea ce implică existenta unor surse alternative de energie și/ sau
comunicații.
– Planuri bine testate și documentate, actualizate periodic prin care să se asigure
28 Millichamp A., Auditing. Letts educational, Aldine Place, 1996
30
operaționalitatea sistemului informatic în condițiile producerii unor
evenimente neprevăzute.
– Proceduri și controlul aplicării acestora, privind realizarea copiilor de siguranță și
refacerea stării sistemului in cazul “căderii” acestuia ca urmare a unor cauze hard
sau soft.
– Existența unui contract de asigurare a organizației pentru evenimente
neprevăzute.
– Nivelul de instruire a personalului cu privire la procedurile aplicabile în cazul
realizării periodice a copiilor de siguranță sau executării procedurilor de criză în
cazul producerii dezastrelor.
• Dezastre :
– acțiuni cu scop distructiv produse intenționat sau nu, inclusiv VIRUSI
– dezastre naturale.
Conceptul de BUSI NESS CONTI NUITY MANAGEMENT (BCM)29 :
Anticiparea incidentelor care pot afecta funcțiile critice și procesele organizației
asigurând că organizația va răspunde oricărui incident conform planurilor
elaborate până la revenirea activității la o desfășurare normală.
Nu toate incidentele (evenimentele distructive) pot fi anticipate prin BCM.
Planificarea continuității activității in cadrul organizației implica aspectele
funcției IT :
• Ce a făcut managementul privitor la riscul de “cădere” a sistemului și
față de scenariul de dezastre.
• Cum sunt testate și actualizate planurile de continuitate a activității :
– Revederea planurilor existente
– Sunt clar precizate responsabilitățile?
– Care este nivelul de instruire a personalului implicat?
NOTA : “Riscul” anului 2000 a reprezentat un eveniment pentru care BCM a trebuit să
prevadă un plan de acțiune.
• Refacerea în cazul eșecului operațional
29 Ly. H., L’audit informatique dans un context mini et micro, Les Editions d’Organisations, 1991.
31
Auditorul verifica30 :
– daca sunt stabilite proceduri adecvate în cazul producerii unor eșecuri
operaționale
– daca aceste proceduri sunt verificate si aprobate de staff -ul IT
– daca aceste eșecuri operaționale sunt identificate, rezolvate la timp,
consemnate și raportate
– în ce măsura echipamentele sunt adecvat plasate și protejate pentru a
se preveni riscul distrugerii accidentale (foc, fum, praf, vibrații, radiații
electromagnetice etc.)
– în ce măsura echipamentele sunt corect întreținute
– ce controale exista pentru prevenirea eșecurilor operaționale produse
din : cauze hardware, neaplicarea corecta a procedurilor de operare ,
erori software
– care sunt procedurile de RESTART si REFACERE (Recovery) pentru
refacerea stării sistemului in urma unui eșec operațional
– în caz de incidente sunt evaluate acțiunile operatorilor pentru a se
vedea daca prin acțiunile lor nu au afectat calitatea prelucrărilor sau structurile
de date.
• BACKUP
Actualizările folosind backup -urile datelor (fișierelor), aplicațiilor si software -ul
de sistem trebuie să fie posibile în caz de urgență :
• Sunt procedurile de backup (pentru date și soft) cele potrivite?
• Sunt backup -urile corect jurnalizate și stocate in locații sigure?
• Exista siguranța ca backup -urile și procedurile RECOVERY vor lucra la nevoie?
• Datele din fișierele copii sunt acoperitoare pentru refacerea fișierelor
operaționale?
o Frecvența realizării copiilor este direct proporțională cu volumul
tranzacțiilor și importanța datelor pentru organizație.
o Conform procedurilor de back -up copiile pot fi:
30 Thorin M., L’audit informatique, Edition Hermes Science, 2000
32
-parțiale
-totale
o Cea mai populară tehnică de backup este GFS (bunic -tată-fiu):
– se fac copii zilnice
– copia zilnică se va rescrie în săptămâna următoare
– la sfârșitul săptămânii se realizează copia săptămânii
– copia săptămânii se reface în luna următoare
– la sfârșitul fiecărei luni se realizează copia lunii . Aceasta se
reface în trimestrul sau anul următor.
• SOFTWARE BACKUP
– Copii ale sistemului de operare și ale aplicațiilor (se realizează în măsura în care
licența permite acest lucru);
– Copiile trebuie păstrate în loc sigur (chiar alte locații decât sediul firmei).
• HARDWARE BACKUP
– Achiziționarea unui al doilea sistem care poate fi31 :
• Un sistem STANDBY HOT : poate prelua imediat funcția sistemului operațional
• Un sistem STANDBY COLD : stocat separat si la nevoie conectat pentru a putea
fi folosit
– Încheierea unui contract cu o firma al cărei sistem de procesare a datelor are
aceleași facilități și poate să suporte prelucrările firmei al cărui sistem nu mai este
operațional
– Apelarea la o firma care oferă servicii în acest domeniu.
Contractele de service cu furnizorul hardware să prevadă furnizarea, pe timp limitat, a
echipamentelor care vor înlocui pe cele avariate.
31 Information Systems Audit and Control Association , Standards and Guidelines for IS Auditing, 200 0
33
Cap. 3. STUDIU DE CAZ – REALIZAREA ACTIVIT ĂȚII DE AUDIT
3.1. OBIECTIVELE GENERALE ALE MISIUNII DE AUDIT ALE SISTEMULUI
INFORMATIC
Având o importan ță major ă în cadrul oric ărei organiza ții, auditul intern este activitatea
independent ă și obiectiv ă care d ă entit ății o asigurare în ceea ce priveste gradul de control
asupra opera țiunilor, o îndruma pentru a -i îmbun ătăți opera țiunile, și contribuie la adaugarea
unui plus de valoare.
Astfel, pentru a ajuta organiza ția să își ating ă obiectivele, auditul intern evaluând
procesele ce au loc la nivelul departamentului IT, printr -o abordare sistematic ă și metodic ă,
oferă ulterior propuneri pentru a -i consolida eficacitatea.
Scopul misiunii de audit intern este acela de evaluare a sistemelor informatice de la
nivelul entității publice, de a adăuga valoare prin formularea recomandărilor, iar în cazul
identificării unor proble me/iregularități, de corectare a acestora.
Obiectivele misiunii de audit intern privind activitatea IT, stabilite prin planul de audit
sunt următoarele:
o Strategia și planificarea sistemelor informatice;
o Organizarea și funcționarea departamentului IT;
o Operații ale sistemului informatic;
o Securitatea informațiilor;
o Achiziționarea și testarea programelor și aplicațiilor;
o Elaborarea și implementarea proiectelor IT;
o Proiectarea și menținerea în funcțiune a unei rețele.
Principalele tehn ici și instrumente de audit utilizate:
• Interviul – pentru lămurirea aspectelor leate de organizarea și desfășurarea
activităților;
• Testarea – pentru urmărirea detectării erorilor sau a iregularităților;
• Observarea fizică – în vederea formării unei păreri propria privind modul de
întocmire și emitere a documentelor;
34
• Liste de verificare – pentru a stabili condițiile pe care trebuie să le
îndeplinească fiecare domeniu auditabil;
• Liste de control;
• Chestionare;
• FIAP -uri întocmite pentru fiecare disfuncțio nalitate constatată.
Misiunea de audit a Sistemului informatic a pornit de la cunoașterea modului de
organizare și funcționare a sistemului informatic, a modului în care este implementat sistemul
informatic, dar și securitatea sistemului informatic, a con dițiilor de regulariate a activității de
tehnologie a informației la nivelul entității publice și s -a materializat în elaborarea testelor,
verificărilor, interviurilor, prin care s -au identificat probleme și deficiențele care au fost
înscrise în formularel e de constatare.
Constatările au fost efectuate, iar recomandările formulate, în vederea corectării
disfuncționalităților semnalate sau ale celor care pot să apară ca urmare a acestora, diminuării
riscurilor existente.
3.2. PLANIFICAREA ȘI EFECTUAREA MISIUNII DE AUDIT
3.2.1. Realizarea chestionarului de audit al sistemului informatic
A. Mediul IT din cadrul organizației
1. Cât de critică este disponibilitatea sistemelor IT pentru afacerea clientului? (foarte critic –
întrerupere tolerabilă < 1 zi, critic – întrerupere tolerabilă 1 -3 zile, necritic – întrerupere
tolerabilă > 3 zile)
Foarte critic -1
2. Care p ărți din mediul IT sunt externalizate?
Mentenanța softului de salarizare Star Professional este asigurată de către cei care
l-au dezvoltat. Suportul pentru service IT , IT Network și Aplicatii Software este
acoperit de către personalul din departament.
3. Cum este formalizată relația dintre client și furnizorul de servicii externe? (cum ar fi
indicatori de măsurare a nivelului serviciilor)
35
Relația este una stabilă, bazată pe un contract, semnat de ambele părți pe o
perioadă de 2 ani. Dacă cooperarea d intre cei doi parteneri a fost una bună, adică
obiectul contractului a fost îndeplinit de ambele părți, acesta se reînnoiește.
4. Este IT -ul critic pentru atingerea obiectivelor clientului?
Fără suport din partea departamentului IT, celelalte departamen te din cadrul firmei
(de exemplu Contabilitate, Payroll, Controlling, HR, Achiziții), nu și -ar putea
îndeplini obiectivele și activitățile zilnice. Este nevoie de creări conturi utilizator,
conturi de email, de dat drepturi pentru acces aplicații/ foldere, controlul securității
accesului bazat pe necesitățile individuale de accesare, adăugare, modificare și
ștergere a informațiilor, instalări de programe, instalări Windows, Office, suport
aplicații software, reînnoiri de licențe, etc.
5. Cum se asigură clientul că IT -ul este parte a strategiei pe termen mediu și lung?
Departamentul IT se asigură zilnic că toate activitățile zilnice pot fi desfășurate
corespunzător ( de exemplu dacă merg programele software, daca s -a realizat
back -up-ul datelor), dar de asemenea se mobilizează rapid în caz de probleme,
pentru soluționarea cât mai rapidă a acestora.
6. Are clientul dezvoltat DRP (disaster recovery plan) / BCP (business continuity plan)? (DA/NU)
DA
7. Planul (DRP/BCP) acoperă toate aplicațiile și funcțiile de infrastructură care suportă
procesele? Care continuitate este critică pentru client? Cât de des și cât de riguros este
testat planul?
Planul acoperă în mare parte toate aplicațiile și funcțiile de infrastructură care
suportă procesele (baz ele de date). Planul este testat cam de două, trei ori pe an.
Planul urmărește să stabilească echipa care este responsabilă cu realizarea planuui
de refacere a sistemului, elaborarea procedurilor de verificare a componentelor
sistemului (date, soft, hard, documentații), stabilirea locațiilor în care vor fi
păstrate copii de siguranță, documentații și componente hardware,stabilirea
priorității privind procedurile ce trebuie efectuate, stabilirea locației în care se vor
executa procedurile și testarea planulu i pe elemente componente.
8. Este clientul conștient de date care îi sunt critice?
Da. Clientul detine o lista in mediul digital a tuturor sistemelor critice care sunt
reevaluate anual.
36
9. Este IT -ul critic pentru atingerea obiectivelor clientului? Ce a întreprins clientul pentru a
asigura securitatea datelor sale? (politici/proceduri)
Este critic, pentru că nu se vrea pierderea datelor importante sau confidențiale, de
aceea s -a început să se investească din ce în ce mai mult în programe software.
Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din răspunsurile
date la întrebările de mai sus? (3 riscuri)
1. Se efectuează anumite investiții care nu sunt neapărat necesare, în
defavoarea celor importante.
2. Vulnerabilitatea datelor in situatii de indisponibilitate a sistemelor.
3. Mai multe investiții în ceea ce privesc aplicațiile informatice ( la SAP ar trebui
să se mai dezvolte anumite funcționalități care le -ar fi de folos celor din
Departamentul Financiar).
B. Tehnologia utilizată
Denumirea
aplicației Scurtă descriere a
aplicației Sursa
aplicației
(cumpărată,
cumpărată cu
modificări,
dezvoltare
proprie) Este
aplicația
accesibilă
din
exterior
(dial -up/
internet)
SAP
ERP- Planificare și analiză
financiară, Contabilitate,
închidere financiară și
gestiunea taxelor
Trezorerie și gestiunea de
numerar
Cumpărată cu
modificări pe
cerințele
organizației NU
STAR
Professional
Software pentru generare
de analize, rapoarte,
situație salarizare lunară,
informatizarea activității
de payroll Cumpărată cu
modificări pe
cerințele
organizației NU
Software pentru
managementul Cumpărată,
dar DA
37
Documenta
documentelor, arhivare
electronică, creare fluxuri
de lucru. configurările
conform
cerințelor
organizației
sunt realizate
in-house
Web
Interface
Este o soluție care
permite informatizarea
activității contabile. Dezvoltată
intern NU
Pay-flow Este o soluție modernă
pentru planificarea zilnică
a taskurilor fiecărui
angajat din cadrul
companiei Dezvoltată
intern DA
Charisma
HCM
Soluție de administrare HR Cumpărată DA
38
Diagrama de rețea
Organigrama departamentului IT
1. La ce nivel din cadrul organizației raportează șeful departamentului de IT?
Seful departamentului IT raportează Directorului General al companiei.
2. Cum este IT -ul organizat astfel încât să asigure o delimitare a responsabilităților și
continuitatea activității? (cum ar fi pe perioada concediilor)
Calculator
Calculator
Calculator
Switch
Server
Imprimanta
Manager departament IT
Service
Administrator Network
Administrator Software
Administrator
39
Persoanele din funcțiile de Service Administrator și Network Administrator își
împart din task -uri, pentru că ambii au cunoștințe pe ambele domenii. Deci când
unul din ei este în concediu, celălalt va rezolva și responsabilitățile acestuia. Î n cazul
persoanei care este pe funcția de Software Administrator, când va fi în concediu,
atribuțiile acesteia vor fi preluate de către managerul departamentului IT. Astfel,
toate activitățile și task -urile vor fi rezolvate și nu se va simți lipsa vreunei persoane
din departament.
3. Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din informațiile
prezentate în secțiunea B? (3 riscuri)
1. Din cauza organizării departamentului IT, se pot ivi probleme și conflicte în
perioada co ncediilor, deoarece tot timpul trebuie să fie cineva backup -ul colegului.
2. Stergerea bazelor de date si a informatiilor de pe servere.
3. Incompatibilitate a aplicatiilor dupa un upgrade al versiunilor serverelor, bazelor
de date etc.
C. Analiza aplica ției selectate
C.1. Accesul în aplicație
1. Cum este reglementat (limitat) accesul către funcțiile importante din mediul IT?
(administrator de baze de date, administrator de aplicație, administrator de rețea)
La funcțiile importante din mediul IT nu au acces decat administratorul de baze de
date (managerul/ administratorul de aplicații), la aplicații doar administratorul de
aplicații sau managerul IT. Pentru configurări de rețea, administratorul de rețea, iar
pentru crearea de conturi și configurare de d repturi acces foldere, aplicații,
securitate se ocupă administratorul de servicii.
2. Prezentați principalele setări de securitate ale sistemului (server de domeniu) și analizați
completitudinea lor?
Rețeaua intranet este protejată de drepturi de acces cu user și parolă. Daca se
dorește să se lucreze de acasă, utilizatorii se pot loga pe server sau aplicații,
folosind rețeaua privată VPN, care este protejată de asemenea cu user și parolă.
În caz în care sistemul organizației este conectat la Internet sa u alte rețele publice,
sunt implementate programe de protecție (firewalls) pentru a proteja accesul
neautorizat la resursele interne ale sistemului.
4. Cum este monitorizat accesul în aplicație? (revizuire de loguri, revizuire de listă de utilizatori)
Accesul în aplicații sau pe server, se dă doar dacă utilizatorul are neapărat nevoie
de anumite informații de pe server sau trebuie să lucreze pe anumite platforme. În
caz de demisii, se restricționează accesul, pentru a nu permite furtul de informații.
40
5. Prezentați și analizați setările de parolă aferente aplicației?
Aplicațiile permit diferite nivele de acces la date, protejate prin parolă, parolă ce
trebuie schimbată o data la 3 luni. De obicei, în aplicații, utilizatorii au nume de
utilizator LDAP, lo gându -se cu numele și parola de Windows.
6. Accesul utilizatorilor este autorizat și creat corespunzător? (cine face cererea, cine stabilește
drepturile, cine aprobă accesul, cine creează contul, cine notifică plecarea angajatului din
organizație)
Cererea este facută de către superiorul angajatului.
Drepturile, precum și aprobarea accesului intră în atribuțiile managerului
departamentului IT.
Crearea si gestiunea conturilor, dar și configurări acces foldere -aplicații -server,
intră în a tribuțiile administratorului de servicii.
Superiorul angajatului notifică plecarea anajatului din organizație, astfel încât să i
se retragă toate drepturile și să i se inchidă conturile.
7. Care sunt riscurile identificate de dumneavoastră pentru clien tul selectat, din informațiile
prezentate în secțiunea C.1? (3 riscuri)
1. Nu se pot identifica încercările de penetrare a sistemului de securitate folosit de
aplicații.
2. Se pot întâmpla situații când utilizatorii conectați la rețeaua publică își pot opri
programele de protecție (firewalls), pentru că acestea blochează anumite site -uri
pe care vor să le acceseze. Poate exista riscul ca cineva să aibă acces la resursele
interne ale organizației. De aceea tot timpul, utilizatorii trebuie informați cu pri vire
la riscuri.
3. În caz că superiorul nu anunță rapid de plecarea unui angajat, nu se poate bloca
accesul în aplicații, VPN, astfel că se pot pierde informații confidențiale și
importante pentru organizație.
C.2. Gestionarea modificărilor aduse aplicației
1. Cine și cum inițiază o modificare care să fie adusă aplicației?
Utilizatorii care folosesc aplicațiile și observă ca au nevoie de îmbunătățiri,
semnalează departamentului IT, care se ocupă mai departe de configurări în
aplicații, care pot fi si in -house, dar pot fi și dezvoltări realizate împreună cu
anumiți consultanții din afara organizației.
41
2. Cine aprobă modificarea pentru a fi dezvoltată?
Managerul departamentului IT împreună cu Directorul General.
3. Cine și cum monitorizează modificările aduse aplicației?
Managerul IT și administratorul de aplicații
4. Cine și cum testează modificările dezvoltate? Cine aprobă migrarea dezvoltării în producție?
Administratorul de aplicații testează modificările dezvoltate. Migrarea dezvoltării în
producție este aprobată de către managerul IT.
5. Cine și cum monitorizează modificările aduse aplicației?
Managerul IT și administratorul de aplicații
6. Cum este asigurată delimitarea responsabilităților în cadrul procesului de gestionare a
modificărilor aduse aplicației?
În cadrul procesului de gestionare a modificărilor aduse aplicației, se împart
responsabilitățile între managerul IT și administratorul de aplicații.
C.3. Alte informații
1. Cum se realizează b ackup -ul informațiilor din aplicație? Cât de des este verificat backup -ul și
cum?
Backup -ul se realizeaza zilnic si este verificat de catre echipa de support / prin tool –
uri de monitorizare.
2. Cum sunt monitorizate și rezolvate deviațiile care apar în procesărilor programate?
(transferuri, scheduled task)
Prin tool -uri de monitorizare deschizandu -se automat un ticket catre echipa de
support in caz de eroare.
Echipa monitorizeaza activ transferul de date, in caz de eroare aceasta rezolvă
problema și repornește procesul.
3. Care sunt riscurile identificate de dumneavoastră pentru clientul selectat, din informațiile
prezentate în secțiunea C.2 și C.3? (3 riscuri)
42
Dacă nu există un plan pus bine la punct pentru modificări în aplicații, pot exista
mai multe riscuri:
-dificultatea testării și verificării corectitudinii modificărilor
-reducerea eficienței aplicațiilor
-dacă dezvoltarea nu se face in -house, poate exista riscul ca cei din afara
organizației care fac modificările, să nu perceapă corect informațiile și astfel se va
maximiza timpul estimat pentru dezvoltare și astfel, utilizatorii își vor realiza
obiectivele zilnice într -un timp mai mare, deoarece vor fi îngreunați de reducerea
eficienței aplicațiilor.
4. Dați exemple de minim trei întrebări care ar trebui să se regăsească în acest chestionar?
Cum se realizeaza ducumentația aplicațiilor și cât de des este actualizată (BHB, FK,
ITK)?
Cine verifică plauzibilitatea informațiilor din documentație?
Sunt semnate acte de confide nțialitate între client și angajat?
43
3.2.2. Realizarea unui Chestionar de Control Intern
Chestionarul de control intern este structurat pe obiectivele misiunii de audit intern și
permit prin intermediul întrebărilor formulate și răspunsurilor primite, identificarea
controalelor interne instituite de management și aprecierea funcționalității acestora, astfel
încât riscurile să poată fi identificate în totalitate și apreciat corect nivelul acest ora.
A. INTREBĂRI ADRESATE DEPARTAMENTULUI IT DA NU OBSERVAȚII
Există un sistem de proceduri care sa reglementeze activitatea departamentului
IT? X
Procedurile de lucru sunt scrise si formalizate? X
Există proceduri
informatice? scri
se privind achiziționarea programelor și aplicațiilor X
Există proceduri scrise privind întreținerea aplicațiilor informatice?
X Sunt realizate pe bază
de
contracte de prestări de
servicii
Există o strategie clară și obiective stabilite pentru IT? X
Strategia IT are viziunea orientată spre viitor? X
Managementul este mulțumit cu rolul sau valoarea IT în cadrul organizației? X
Sistemul IT este dezvoltat într -o manieră planificată și controlată? X Anual se realizează o
evaluare a indicatorilor
Este supravegheată respectarea strategiei? X
Utilizatorii contribuie la prioritățile și la dezvoltarea în domeniul IT?
X Există un sistem prin
care utilizatorii pot
formula propuneri si
soluții, care
apoi sunt analizate
Planurile IT sunt aplicate în practică? X Numai
necesitat
e în caz de
Răspunderea și responsabilitatea pentru sistemele de informații aparține
personalului de conducere? X
Rotație personalului este redusă în cadrul departamentului IT? X
Ocuparea posturilor este adecvată în cadrul departamentului? Grad de ocupare 95%
Managementul are cunoștință asupra tehnologiilor prezente și viitoare necesare
entității pentru asigurarea realizării activităților și mandatului? X
Există capacitate adecvată de a planifica și implementa resursele IT? X
Există capacitate de a monitoriza performanța IT? X
Există o strategie adecvată de achiziții IT? X
Există concordanță între obiective și strategii de achiziții IT? X
Riscurile legate de achiziții IT sunt administrate atât de entitate, cât și de
furnizori?
X Nu există un proces de
identificare și
gestionare a
riscurilor la nivelul
entității
B. INTREBARI ADRESATE MANAGEMENTULUI DA NU Auditorii
44
Strategia și planificarea sistemelor informatice
Strategia definește principalele direcții în IT? X
Strategia definește principalele obiective ale entității? X Definește obiectivele
strategice
Strategia IT este concordantă cu strategia entității? X
Există planuri de dezvoltare IT?
X Planuri de continuitate a
activității și planuri de
recuperare a datelor
Planurile IT pe termen scurt sau mediu asigură dezvoltarea informațională la
nivelul entității? X
Obiectivele IT îndeplinesc planurile entității? X
Comitetul IT determină strategia IT?
X Realizează doar o
evaluare a necesităților
de
achiziții IT
Funcția IT este organizată adecvat în concordanță cu strategia IT? X
Personalul IT asigură calitatea serviciilor IT? X
Personalul IT asigură competența necesară continuității activităților? X
Personalul a luat la cunoștință de sarcinile posturilor? X
Există cooperare interdepartamentală pentru dezvoltarea sistemelor integrate? X
Achizițiile electronice sunt legate cu profilurile performanței așteptate?
X Sunt legate doarde
necesitățile de
îmbunătățire a
activităților
Sistemele informatice achiziționate asigură calitatea informațiilor potrivit nevoilor? X
Planificarea continuității activităților
Scopul planului de continuitate a activității este de a limita pierderile? X
Toate activitățile critice și resursele sunt incluse în planul de continuitate a
activităților? X
În cadrul planului de continuitate a activităților sunt stabilite responsabilități clare? X
Planurile de continuitate a activităților sunt comunicate ? X Sunt cunoscute doar de
departamentul IT
Eficiența planurilor de continuitate a activităților a fost testată? X
Planul de continuitate a activităților este testat regulat? X
Planul de continuitate a activităților este aprobat de conducere? X
Planul de continuitate a activităților a fost realizat urmare unei analize a riscurilor? X
Planul de continuitate a activităților are la bază și o evaluare a impactului? X
Echipamentul necesar este instalat în cadrul locației de recuperare? X
Există o bună relație între utilizatori și personalul IT? X
Există o gestiune adecvată a riscurilor legate de departamentul IT? X nu există o gestionare a
riscurilor legate de IT
Personalul entității este pregătit și capabil să răspundă Planurilor de continuitate? X nu cunoaște aceste
planuri
Implementarea software și hardware este realizată după testarea
corespunzătoare? X
IT asigură continuitatea și eficiența operațiilor în derularea activităților entității? X
45
Securitatea informațiilor
Există o politică de securitatea informației? X
Există o practică privind securitatea informației? X
Există proceduri privind securitatea informației? X
Politica de securitate este definită și aprobată de conducere? X
Securitatea informației este cunoscută și însușită de conducere? X
Politica de securitate a informației este cunoscută de utilizatori?
X Doar în legătură cu
obligațiile cei revin
postului respectiv
Descrierile și responsabilitățile posturilor în raport cu securitatea informațiilor
este
clar definită și cunoscută? X
Există disponibile descrieri clare ale sarcinilor? X
Responsabilitățile sunt clar definite privind securitatea informației? X
Responsabilitățile și sarcinile sunt comunicate corespunzător? X
Administrarea utilizatorilor este adecvată? X
Drepturile de acces sunt alocate corect? X
Drepturile de acces sunt alocate pe baza nevoii utilizatorului de a executa
sarcinile
atribuite? X
Drepturile de acces sunt alocate/schimbate corect și la timp?
X Există cazuri în
care dreptul de
acces este lăsat
și după eliberarea
postului
Drepturile de acces sunt verificate regulat? X Numai la solicitări
Utilizatorii au parole de autorizare individuale? X
Parolele au lungimea adecvată și sunt greu de aflat? X
Parolele sunt regulat schimbate?
X Există cazuri în care
aceeași parolă este
menținută și chiar
jumătate de an
Parolele și profilurile utilizatorilor privilegiați sunt folosite la accesul la sisteme și
aplicații cu un grad înalt de securitate? X
Utilizarea parolelor și profilurilor utilizatorilor privilegiați este urmărita cu
strictețe? X
La sistemele de operare au acces doar persoanele autorizate? X
Accesul la funcțiile aplicației este permis pe baza necesităților utilizatorului de a –
și realiza sarcinile? X
Confidențialitatea și integritatea datelor este suficient de securizată? X
Mecanismele de securitate logică implementate și configurate asigură
securitatea informațiilor din cadrul rețelei? X
Informația din rețea este protejată de viruși? X
Accesul neautorizat la rețea este blocat suficient? X
Criptarea este folosită ca protecție necesară integrității și confidențialității
datelor? X
Sistemele informatice sunt adecvat protejate împotriva factorilor de catastrofă? X
Securitatea informației impune o analiză de risc în mod regulat? X
Politica de securitate a informației interzice utilizarea informațiilor și sistemelor
fără autorizație și pentru scopuri care nu au legătură cu munca? X
46
Politica de securitate interzice copierea sau scoaterea neautorizată din sediu a
informației fără autorizare? X
Politica de securitate este comunicată și cunoscută de întregul personal și
părțile
externe cu acces la informațiile și sistemele entității? X
Accesul fizic la sistemele de calculatoare este restricționat pentru personalul
autorizat în afara programului de lucru? X
Echipamentele sunt protejate împotriva furtului? X Se află în gestiunea
utilizatorului
Utilizatorii sistemului au acces numai pentru scopuri clare și autorizate? X Accesul le este permis
doar dacă sunt autorizați
Utilizatorii sistemului sunt instruiți cu privire la cerințele de siguranță și sunt
supravegheați permanent? X Informațiile critice sunt
securizate suplimentar
Implementarea aplicațiilor și administrarea lor
Metodologia de achiziționare sau dezvoltare a noilor aplicații este conformă cu
scopurile entității? X
Metodologia aplicată garantează că aplicațiile corespund nevoilor? X
Achiziția de noi aplicații este aprobată de conducere? X
Aplicațiile sunt testate suficient și eficient? X
Testările aplicației garantează că aceasta funcționează corect și corespunde
cerințelor? X
Implementarea unei aplicații asigură continuitatea activităților? X
Întreținerea unei aplicații garantează funcționalitatea proceselor? X
Modificările aplicațiilor sunt autorizate? X
Există metodologie pentru dezvoltarea sau achiziția unei aplicații? X
Metodologia este asigurată de proceduri? X
Sunt respectate criteriile de licitație la achiziția unei aplicații? X
Există o analiză funcțională a cerințelor de lucru pentru dezvoltarea unei
aplicații? X
Utilizatorii sunt implicați în analiza funcțională? X
Programatorii au acces la mediul de producție? X
Există analize de calitate privind dezvoltarea unei aplicații? X
Rezultatele controalelor de calitate sunt documentate? X
Sunt comparate funcționalitățile aplicației cu cerințele inițiale? X
Există un control adecvat din punct de vedere temporal al tranzacțiilor? X
Funcțiunile de introducere de date și de autorizare sunt restricționate și
separate? X
Sunt efectuate verificări pentru detectarea posibilelor înregistrări duble? X
Programele furnizează confirmări cu privire la finalizarea procesării și există
proceduri de recuperare și de reintroducere în caz de anomalii în funcționare? X
Înregistrările sunt armonizate în cazurile în care sunt trecute dintr -un sistem în
altul? X
Utilizatorii sunt responsabili de introducerea, modificarea sau ștergerea
operațiilor
înregistrate în cadrul unui sistem? X
Fișierele sunt salvate la intervale regulate de timp în timpul prelucrării pentru a
permite recuperarea operațiunilor? X
Implementarea și gestionarea bazelor de date
Achiziția unui program de baze de date este aprobată de conducere? X
Programul de baze de date este selectat conform nevoilor? X
Programul de baze de date este standardizat? X
47
Baza de date este testată înainte de implementare? X
Modificările asigură un impact minim asupra proceselor? X
Performanța unei baze de date este urmărită adecvat? X
Programele de baze de date posedă licențe? X
Integritatea bazelor de date sunt verificate periodic și se rețin copii de siguranță X
Instrucțiunile operatorilor și utilizatorilor specifică clar procedurile de urmat în
cazul unei deficiențe a aplicației în timpul prelucrărilor? X
Accesul la echipamente este protejat prin securitatea fizică și/sau supravegherea
continuă? X
Autorizarea fizică la echipamente este realizată în conformitate cu standardele
sau proceduri? X
Măsurile de control a accesului țin seama de politica de securitate a informațiilor? X
Utilizatori sunt pregătiți corespunzător cu privire la implementarea bazelor de
date? X
Este acordată asistență utilizatorilor pe perioada implementării bazei de date? X
Timpul de răspuns la un apel de la operatori este scăzut? X
Măsurile de control a accesului asigură răspunderea personală? X
Măsurile de control intern privind utilizarea sistemelor asigură separarea
sarcinilor? X
Operațiuni ale sistemelor informatice
Organizarea operațiunilor de sistem sigură funcționarea eficientă și eficace? X
Activitățile operaționale sunt conforme cu instrucțiunile date de operatori? X
Problemele sunt identificate și rezolvate în termen? X
Problemele sunt administrate și urmărite adecvat? X
Problemele sunt prioritizate și planificate? X
Rezultatul procesului este stocat cu precizie? X
Rezultatul procesului este asigurat împotriva accesului neautorizat? X
Mediile de stocare sunt păstrate adecvat? X
Integritatea datelor de pe mediile de stocare este asigurată? X
Procedurile de back -up și recuperare asigură disponibilitatea datelor și
informațiilor importante? X
Recuperarea este testată regulat? X
Sarcinile realizate de operatori sunt monitorizate? X
Identitatea utilizatorilor este controlată? X
Există procese prin care se asigură remedierea deficiențelor de funcționare? X
Există numită o persoană responsabilă cu supervizarea noilor dezvoltări și cu
întreținerea și integrarea sistemelor în fiecare arie de activitate? X
Utilizatorii sunt instruiți pentru fiecare aplicație a sistemului? X
Departamentul măsoară aspectele cheie ale performanței IT? X
Mecanismele de control sunt potrivite pentru minimizarea riscurilor? X
Administrarea rețelelor software și hardware
Achiziția hardware și software este aprobată de conducere? X
Hardware și software sunt selectate pe baza criteriilor stabilite în funcție de
necesități? X
Hardware și softul sunt standardizate? X
Hardware și softul sunt testate înainte de implementare? X
Modificările asigură un impact minim asupra proceselor? X
Programele de rețea au licențe? X
48
Există contracte la nivel de service privind întreținerea sistemelor și
aplicațiilor? X
Timpul mediu de intervenție și soluționare a defecțiunii este redus? X
Normele de siguranță privind computerele sunt dezvoltate? X
STABILIREA FACTORILOR DE RISC, A PONDERILOR ACESTORA
ȘI APRECIEREA NIVELURILOR RISCURILOR
Factori de risc Ponderea
factorilor de Nivelul de apreciere al riscului (N i)
(Fi) risc
(Pi) N 1 N 2 N 3
Aprecierea controlului
intern F1
P1 – 50%
Există proceduri și
se aplică
Există proced uri,
sunt cunoscute,
dar nu se aplică
Nu
proceduri
există
Aprecierea c antitativă
F2
P2 – 30%
Impact
scăzut
financiar
Impact
mediu
financiar
Impact financiar
ridicat
Aprecierea calitativă F3
P3 – 20%
Vulnerabilitate
mică
Vulnerabilitate
medie
Vulnerabilitate
mare
Prin acest document se stabilesc, în func ție de importan ța și greutatea factorilor de risc,
ponderile și nivelurile de apreciere ale riscurilor.
Stabilirea nivelului riscului și determinarea punctajului total al riscurilor este
documentul din procedura Analiza riscurilor în care auditorii apreciază nivelul riscului pe
factorii de risc și determină punctajul total al riscurilor pe baza documentelor în posesia
cărora au intrat până în acel moment, dar și pe baza expertizei personale în domeniu.
Elaborarea documentului Stabilirea nivelului riscului și a punctajului total al riscului
comportă două etape: în prima fază se realizează eva luarea nivelelor riscurilor asociate
opera țiilor audiabile, iar în a doua fază se determină punctajul total pe baza formulei din
Normele metodologice privind auditul intern, respectiv:
49
T= Σ Pi x Ni
unde: Pi = ponderea riscului pent ru fiecare criteriu
Ni = nivelul riscurilor pentru fiecare criteriu utilizat
În tabelul următor, se poate identifica lista obiectelor auditabile, identificarea riscurilor,
stabilirrea nivelului riscului și al punctajului total al riscurilor., precum și clasarea operațiilor în
funcție de analiza riscurilor.
50
Nr
crt Domeniul Activități/
obiective Obiecte auditabile Riscuri semnificative Pct.
total Clasare
1. Strategia
planificarea
sistemelor
informatice și 1.1. Strategia IT este
concordantă cu
scopurile organizației 1.1.1. Strategia
prioritățile IT definește necesitățile și Achiziția și implementarea programelor și
aplicațiilor nu este corelată cu obiectivele propuse; 2,20 Mare
1.1.2. Strategia IT face trimitere la nevoile viitoare
ale organizației Sistemele nu sunt dezvoltate într-o manieră
planificată și controlată 1,90 Mediu
1.1.3. Strategia definește direcțiile și obiectivele de
dezvoltare a IT Strategia IT nu are o viziune orientată spre viitor,
fiind o extrapolare a tendințelor trecute 1,00 Mic
1.2. Planurile IT se
adresează întregii
organizații 1.2.1. Strategia IT este transpusă în planuri IT Dezvoltarea IT nu acoperă toate procesele; 1,50 Mic
1.2.2. Planurile IT ajută la îndeplinirea misiunii
organizației Planurile IT nu contribuie la realizarea scopului
entității în domeniul IT; 2,00 Mediu
1.2.3. Planurile IT oferă asigurare cu privire la
faptul că resursele IT sunt alocate în concordanță
cu necesitățile Resursele IT nu sunt identificate pentru fiecare
element al planului;
2,00
Mediu
1.3. Obiectivele
îndeplinesc
obiectivele
organizației IT 1.3.1. Strategia IT este concordantă cu scopurile
organizației Utilizatorii și IT nu au aceleași opinii cu privire la
responsabilitățile și autoritatea lor 2,10 Mare
1.3.2. Planurile IT se adresează întregii organizații Planul IT nu acoperă cerințele pe termen mediu; 1,50 Mic
1.3.3. Obiectivele IT îndeplinesc obiectivele
organizației Obiectivele în domeniul IT nu derivă și nu contribuie
la realizarea obiectivelor entității; 1,70 Mic
1.4. Comitetul IT
determină strategia IT 1.4.1. Strategia IT este stabilită de un comitet IT Strategia IT este definită de departamentul IT; 2,00 Mediu
1.4.2. Comitetul IT transpune strategia în planuri
pe termen scurt și pe termen mediu Comitetul IT nu contribuie la dezvoltarea și
implementarea strategiei în domeniu; 2,70 Mare
1.4.3. Comitetul IT stabilește prioritățile
proiectelor de dezvoltare a sistemelor IT Stabilirea dezvoltării IT de către departamentul IT; 2,50 Mare
1.5. Organizarea IT
corespunde
necesităților
organizației 1.5. Organizarea adecvată a funcției IT Responsabilitățile nu sunt definite clar în cadrul
compartimentelor și posturilor; 2,00 Mediu
51
Nr
crt Domeniul Activități/
obiective Obiecte auditabile Riscuri semnificative Pct.
total Clasare
1.6. Elaborarea
strategiei IT
corespunde strategiei
entității 1.6.1. Dotarea actuală cu tehnică de calcul a stat la
baza elaborării strategiei IT Infrastructura IT existentă nu asigură implementarea
strategiei IT; 3,00 Mare
1.6.2. Realizarea strategiei IT pe baza evaluării
sistemelor existente Elaborarea strategiei nu are la bază și o evaluare și
identificare a posibilităților financiare; 1,50 Mic
2 Organizarea și
funcționarea
departamentul
ui IT 2.1. Definirea
atribuțiilor și
activităților 2.1.1. Definirea atribuțiilor și responsabilităților în
cadrul departamentului IT Lipsa ariei de competență pentru realizarea
activităților stabilite structurii funcționale 2,40 Mare
2.1.2. Atribuțiile specifice departamentului sunt
stabilite în cadrul atribuțiilor generale ale entității Definirea de atribuții care nu se regăsesc in ROF 1,50 Mic
2.1.3. Atribuțiile stabilite asigură realizarea
activităților necesare implementării obiectivelor Definirea atribuțiilor sub formă de sarcini 1,80 Mic
2.1.4. Identificarea tuturor activităților care
concură la realizarea obiectivelor Activități stabilite incorect pentru realizarea
obiectivelor 1,80 Mic
2.1.5. Corelația între atribuțiile postului și
competențele ocupantului postului Stabilirea de sarcini diferite pentru aceleași funcții
sau aceleași sarcini pentru funcții diferite 1,50 Mic
2.1.6. Definirea activităților în cadrul structurii
organizatorice Activitățile realizate la nivelul structurii funcționale
nu se regăsesc în totalitate în cadrul sarcinilor
stabilite posturilor
2,40
Mare
2.2. Stabilirea
structurii
organizatorice 2.2.1. Organizarea funcțională a departamentului
IT Structura funcțională nu este adaptată complexității
activităților derulate 1,90 Mediu
2.2.2. Definirea relațiilor organizatorice între
compartimente Repartizarea activităților și relațiilor organizatorice
fără a se ține cont de natura organizării
compartimentului
1,50
Mic
2.2.3. Examinarea sistemului de gestionare a
riscurilor generale la nivelul departamentului IT Riscurile nu sunt identificate și gestionate la nivelul
structurii funcționale 2,50 Mare
2.2.4. Riscurile legate de securitatea datelor,
programelor și echipamentelor sunt identificate și
evaluate cât mai corect și complet Gestionarea slabă a riscurilor privind securitatea
informațiilor
2,40
Mare
2.3. Stabilirea
responsabilităților 2.3.1. Definirea limitelor de competență Autoritatea formală în realizarea activităților este
insuficient stabilită postului 1,60 Mic
2.3.2. Definirea responsabilităților în realizarea
activităților Definirea doar a atribuțiilor, nu și a limitei până unde
răspunde ocupantul postului în realizarea activităților 1,80 Mic
2.3.3. Definirea sarcinilor prin fișa postului Sarcinile stabilite postului potrivit fișei postului nu
corespund cu acțiunile efectiv realizate de ocupantul
postului
2,50
Mare
52
Nr
crt Domeniul Activități/
obiective Obiecte auditabile Riscuri semnificative Pct.
total Clasare
3. Operații ale
sistemului
informatic 3.1 Managementul
operațiunilor 3.1.1. Existența listei operațiunilor zilnice de
realizat Activitățile se realizează fără o prioritizare a
operațiilor 1,50 Mic
3.1.2. Performanța, capacitatea și disponibilitatea
sistemelor informatice este monitorizată de
administratori Lipsa analizelor privind scopul și cerințele de
realizare a activităților și calitatea aplicațiilor sau
programelor utilizate
2.20
Mare
3.1.3. Responsabilitatea pentru supravegherea
sarcinilor pe seturi de programe revine
administratorilor Responsabilitățile operatorilor nu sunt delimitate și
stabilite în funcție de specializarea fiecăruia și
tipurile de aplicații și programe utilizate
2,50
Mare
3.1.4. Elaborarea Planului anual de activitate Activitățile sunt derulate în cadrul departamentului
fără a exista o planificare anuală sau periodică 2,20 Mare
3.2. Managementul
problemelor 3.2.1. Incidentele privind funcționarea normală a
serviciilor IT sunt rezolvate sau prevenite în
termen Soluționarea cu întârziere a problemelor apărute în
utilizarea aplicațiilor și programelor
1,00
Mic
3.2.2. Programele antivirus asigură protecția
aplicațiilor Utilizarea neadecvată a programelor antivirus 2,50 Mare
3.2.3. Problemele apărute sunt prioritizate și luate
în calcul pentru remediere Soluționarea problemelor apărute nu este realizată
potrivit gravității și asigurând eficiența realizării
activităților entității
1,40
Mic
3.2.4. Implementarea subsistemelor IT Programele și aplicațiile derulate la nivelul
organizației nu sunt actualizate potrivit noilor
necesități ca urmare a modificării acțiunilor de
realizare a activităților
2,20
Mare
3.2.5. Activitățile operaționale sunt conforme cu
instrucțiunile din manualele de utilizare Neconcordanțe între utilizarea unei aplicații sau
program și precizările din caietul tehnic, privind
execuția acelei operații
1,80
Mic
3.3. Funcționalitatea
activităților în cadrul
departamentului IT 3.3.1. Activitățile sunt bine organizate pentru
asigurarea bunei funcționării a departamentului Lipsa revizuirii și urmării contractelor la nivel de
service și a celor la nivel operativ 1,50 Mic
3.3.2. Organizarea funcțională a activităților în
cadrul departamentului IT Activitățile și acțiunile necesare realizării acestora nu
sunt repartizate eficient și omogen pe compartimente
în cadrul departamentului IT
2,50
Mare
3.3.3. Activitățile în cadrul departamentului sunt
definite respectând criteriile de calitate Activități și acțiuni neresponsabilizate 1,40 Mic
3.3.4. Evidența datelor aflate pe mediile de stocare Acces nerestricționat la date și informații 1,70 Mic
3.3.5. Distribuirea cu precizie a informației către
utilizatori și mediile de stocare Dependența de terțe părți în centralizarea informației
și oferirea rapoartelor 1,80 Mic
3.3.6. Asigurarea caracterului secret al datelor Accesul la datele și informațiile organizației nu este
limitat doar pentru persoanele îndreptățite 2,30 Mare
53
Nr
crt Domeniul Activități/
obiective Obiecte auditabile Riscuri semnificative Pct.
total Clasare
3.3.7. Soluționarea problemelor presupune
parcurgerea etapelor: inițierea, planificarea,
execuția, monitorizarea și analiza, încheierea Soluționarea unei probleme prin luarea în calcul
doar a execuției acesteia
1,50
Mic
3.4. Mentenanța
echipamentelor 3.4.1. Obținerea de rapoarte de activitate utile Rapoartele obținute nu oferă informații suficiente
pentru luarea deciziilor 2,00 Mediu
3.4.2. Întreținerea calculatorului și a
echipamentelor Disfuncțiile identificate nu sunt analizate și înlăturate
în conformitate cu instrucțiunile și manualele de
întreținere
2,20
Mare
3.4.3. Instalarea și configurarea calculatorului Echipamentele periferice nu sunt instalate și
conectate conform documentației 2,80 Mare
3.1.1. Sistemul este întreținut pentru a se asigura
că este conform cu nevoile organizației Întreținerea sistemului doar la solicitările
utilizatorilor 1,20 Mic
3.5. Utilizarea
echipamentelor 3.5.1. Realizarea eficientă a operațiilor în cadrul
departamentului IT Suportul tehnic cu privire la utilizarea programului
nu este acordat în mod corespunzător utilizatorilor 2,30 Mare
3.5.2. Identificarea și raportarea pericolelor Costuri ridicate cu remedierea defecțiunilor,
frecvență mare a acestora, timpi mari până la reluarea
lucrului
1,40
Mic
3.5.3. Administrarea eficientă a aplicațiilor și
programelor Controlul intern asupra datelor de intrare nu este
asigurat corespunzător 2,70 Mare
3.5.4. Evaluarea problemelor și soluționarea
acestora Lipsa revizuirii și urmării măsurilor privind
corectarea erorilor conduce la persistența unora
dintre acestea
1,90
Mediu
3.5.5. Programele corespund cerințelor stabilite Neadaptarea la schimbările rapide ale tehnologiei
informației 1,40 Mic
3.5.6. Echipamentele sunt utilizate adecvat
asigurând un confort în exploatare Lipsa cunoștințelor privind exploatarea
echipamentelor la potențialul maxim 1,50 Mic
4. Securitatea
informațiilor 4.1. Organizarea
securității
informațiilor 4.1.1. Crearea politicii de securitate a informației Organizarea și responsabilitățile privind securitatea
informațiilor nu constituie o prioritate a politicii de
securitate
1,50
Mic
4.1.2. Crearea standardelor și practicilor pentru
securitatea informației Standardele privind securitatea informației nu sunt
definite formal 2,50 Mare
4.1.3. Stabilirea responsabilităților privind
securitatea informației Responsabilitățile nu sunt separate clar între cele ale
administratorilor și cele ale operatorilor 1,50 Mic
4.1.4. Elaborarea politicii privind securitatea
informației Datele și informațiile prelucrate și stocate nu sunt
asigurate în condiții de confidențialitate, integritate și
disponibilitate
2,50
Mare
4.1.5. Stabilirea responsabilităților în cadrul
politicii de securitate Politica de securitate nu definește responsabilitățile
cu privire la securitatea datelor și informațiilor 2,00 Mediu
54
Nr
crt Domeniul Activități/
obiective Obiecte auditabile Riscuri semnificative Pct.
total Clasare
4.1.6. Securitatea informațiilor asigură integritatea
acestora Datele și informațiile nu sunt stocate în condiții de
securitate 1,50 Mic
4.1.7. Securitatea datelor asigură disponibilitatea
acestora doar pentru utilizatori autorizați Accesul la informații și pentru persoanele
neautorizate 2,50 Mare
4.2. Disponibilitatea
datelor 4.2.1. Protejarea împotriva atacurilor informatice Lipsa programelor de protecție adecvate pentru
aplicații și programe; 1,80 Mic
4.2.2. Protejarea datelor împotriva virușilor Vulnerabilitate sporită în fața virușilor 2,70 Mare
4.2.3. Asigurarea continuității activităților Planurile privind continuitatea activităților nu
stabilesc măsuri concrete pentru reluarea activității 1,50 Mic
4.2.4. Recuperarea datelor în caz de dezastru Lipsa planurilor de recuperare a datelor și
informațiilor 1,50 Mic
4.2.5. Protejarea împotriva asumării unei identității
false Sustragerea informațiilor sau echipamentelor, fără
autorizare 1,70 Mic
4.3. Asigurarea
funcționării
programelor și
aplicațiilor 4.3.1. Asigurarea introducerii corecte a datelor și
informațiilor pentru prelucrare Aplicațiile informatice nu sunt utilizate în
conformitate cu instrucțiunile de exploatare 2,30 Mare
4.3.2. Existența licențelor pentru programele
utilizate Plata unor despăgubiri urmare implementării unor
programe fără licență 1,50 Mic
4.3.3. Prelucrarea datelor Introducerea incorectă a datelor și informațiilor în
cadrul programelor și aplicațiilor 2,50 Mare
4.3.4. Asigurarea securității datelor și informațiilor Accesul la datele și informațiile stocate nu este
restricționat și autorizat pe niveluri ierarhice 2,00 Mediu
4.4. Implementarea
instrumentelor de
control 4.4.1. Accesul la aplicație este oferit pe baza
necesităților utilizatorului Accesul la program, aplicație este oferit pentru
întregul personal ce posedă o parolă 2,40 Mare
4.4.2. Mecanismele de securitate configurate și
implementate verifică și limitează accesul la
aplicații Pentru vulnerabilitățile sistemelor nu sunt stabilite și
implementate instrumente de control
1,50
Mic
4.4.3. Introducerea instrumentelor de control fizic
asupra echipamentelor IT Accesul fizic la echipamente și aplicații este
restricționat 2,50 Mare
4.4.4. Stabilirea de chei de control pentru fiecare
program sau aplicație Posibilitatea de a obține și utiliza rezultate nesigure,
neverificate 1,20 Mic
4.5. Securitatea
rețelei 4.5.1. Mecanismele de securitate configurate și
implementate asigură securitatea informațiilor în
cadrul rețelei Metodele de criptare nu asigură protecția integrității
și confidențialității datelor sensibile
1,50
Mic
4.5.2. Monitorizarea securității rețelelor Comunicarea în rețea nu este monitorizată 1,80 Mic
4.6. Gestionarea
parolelor 4.6.1. Utilizatorii au parole de acces individuale Accesul la aplicații se realizează direct, fără a fi
permis doar pentru personalul îndreptățit 2,00 Mediu
4.6.2. Schimbarea periodică a parolelor Risc crescut de spargere a parolei 2,10 Mare
55
Nr
crt Domeniul Activități/
obiective Obiecte auditabile Riscuri semnificative Pct.
total Clasare
4.6.3. Conturile și parolele generice sunt folosite
pentru accesul la sisteme și aplicații Conturile și parolele generice inițiale nu sunt
personalizate după începerea prelucrărilor de către
utilizatori
1,50
Mic
4.6.4. Protejarea parolelor Descărcarea ilegală a unor informații 2,50 Mare
4.6.5. Persoanele autorizate au acces la sistemul de
operare Accesul la servere este permis întregului personal,
nefiind înregistrat și monitorizat 2.30 Mare
4.7. Securitatea
logică 4.7.1. Asigurarea securității funcționării
programelor și aplicațiilor Lipsa controalelor sau controale slabe de acces 2,50 Mare
4.7.2.Protejarea sistemelor informatice împotriva
factorilor de mediu Lipsa controalelor de mediu, respectiv detectoare de
foc, incendiu etc. 1,50 Mic
4.7.3. Protejarea informației din rețea Funcții de siguranță sau control nu sunt prevăzute în
cadrul sistemelor de aplicații 1,80 Mic
5 Proiectarea și
testarea
programelor și
aplicațiilor 5.1. Proiectarea și
elaborarea
programelor și
aplicațiilor 5.1.1. Proiectarea programului informatic În proiectarea programului/aplicației, fluxul de date
nu este stabilit adecvat rezultatelor așteptate 2,00 Mediu
5.1.2. Elaborarea programului informatic Graficul de realizare a programului și bugetul
aprobat nu sunt respectate 2,50 Mare
5.1.3. Proiectarea unui program sau aplicație tine
cont de necesitățile organizației Elaborarea de programe și aplicații fără o analiză
strategică la nivelul utilizatorilor 1,80 Mic
5.1.4. Proiectarea unui program sau aplicație pe
baza existenței resurselor financiare Lipsa resurselor financiare în elaborarea și
implementarea unui program sau aplicație 1,80 Mic
5.1.5. Respectarea cerințelor și programelor în
achiziția unei aplicații Costuri suplimentare în achiziția unui program sau
aplicație 1,40 Mic
5.2. Testarea și
implementarea
programelor și
aplicațiilor 5.2.1. Utilizarea de date ipotetice în testarea unui
program Efectuarea de prelucrări asupra datelor reale în
cadrul testării programelor 2,50 Mare
5.2.2. Testarea programului și aplicației Neconformitățile și erorile constatate în cursul
testării unui program nu sunt analizate cu atenție 2,00 Mediu
5.2.3. Asigurarea corectitudinii rezultatelor Opțiunile și parametrii de lucru ai
programului/aplicației nu sunt stabiliți conform
specificațiilor din documentațiile tehnice
2,20
Mare
5.2.4. Implementarea unui program după realizarea
testării acestuia Programele sau aplicațiile achiziționate sunt
implementate fără a fi testate 1,50 Mic
6. Elaborarea și
implementarea
proiectelor IT 6.1. Dezvoltarea
proiectelor IT
(programe și
aplicații) 6.1.1. Metodologia pentru dezvoltarea și achiziția
aplicației Lipsa proiectelor de dezvoltare a achizițiilor 1,50 Mic
6.1.2. Inițierea și elaborarea proiectelor IT Obiectivele generale ale proiectului nu sunt stabilite
cu respectarea strategiei generale a organizației 2,50 Mare
56
Nr
crt Domeniul Activități/
obiective Obiecte auditabile Riscuri semnificative Pct.
total Clasare
6.2. Implementarea și
funcționarea
programelor și
aplicațiilor 6.2.1. Reproiectarea soluțiilor IT pentru programe
și aplicații Soluțiile privind îmbunătățirea programelor și
aplicațiilor nu țin cont de punctele slabe și critice,
precum și evoluțiile tehnologice
2,00
Mediu
6.2.2. Implementarea adecvată a aplicațiilor Rapoartele nu corespund cerințelor 1,70 Mic
6.2.3. Întreținerea aplicațiilor garantează
funcționarea proceselor la parametrii optimi Supravegherea proceselor aflate în execuție și a
performanțelor aplicațiilor, sistemelor sau
programelor nu respectă procedurile și instrucțiunile
2,50
Mare
7. Proiectarea și
menținerea în
funcțiune a
unei rețele 7.1. Proiectarea,
instalarea și
administrarea rețelei
de calculatoare 7.1.1. Asigurarea bunei funcționări a sistemelor
bazate pe existența și funcționarea rețelei de
calculatoare Subsistemele existente nu sunt configurate și
supravegheate individual
2,50
Mare
7.1.2. Monitorizarea performanțelor rețelelor Scăderea performanțelor rețelelor 1,50 Mic
7.1.3. Administrarea serverelor Accesul și utilizarea datelor și informațiilor stocate
pe server nu respectă strategia de securitate a rețelei 2,00 Mediu
7.1.4. Rețeaua de calculatoare corespunde
cerințelor funcționale Rețeaua de calculatoare nu asigură integrarea
informațiilor și elaborarea rapoartelor 1,50 Mic
7.2. Interconectarea
și securitatea rețelei 7.2.1. Interconectarea rețelelor Conexiunile dintre rețele nu sunt conforme cu
arhitectura prevăzută de instrucțiuni și nu respectă
standardele
2,40
Mare
7.2.2. Proiectarea și asigurarea securității rețelei Vulnerabilitățile și amenințările nu sunt identificate
și prioritizate 2,00 Mediu
7.2.2. Urmărirea adecvării performanțelor unei
rețele Proiectarea rețelei de calculatoare nu asigură
integrarea programelor 1,70 Mic
Împărțirea pe cele 3 categorii:
• Riscuri mici → 1,0 – 1,7
• Riscuri medii → 1,8 – 2,3
• Riscuri mari → 2,4 – 3,0
57
3.3. ELABORAREA RAPORTULUI DE AUDIT
În baza Programului de audit intern, a testărilor și analizei efectuate, Sistemul informatic
din cadrul entității este evaluat, după cum urmează:
Nr..
Crt.
OBIECTIVUL APRECIERE
FUNCȚIONAL DE ÎMBUNĂTĂȚIT CRITIC
1. Strategia și planificarea sistemelor
informatice; X
2. Organizarea și funcționarea
departamentului IT; X
3. Operații ale sistemului informatic; X
4. Securitatea informațiilor; X
5. Testarea programelor și aplicațiilor; X
6. Elaborarea și implementarea proiectelor IT; X
7. Proiectarea și menținerea în funcțiune a
unei rețele. X
Principalele constatări și recomandări:
✓ Constatări : Obiectivelor strategice nu asigură acoperirea domeniului de activitate al
structurii funcționale și nu contribuie la asigurarea realizării mandatului organizației.
Acestea reprezintă exprimările cantitative și calitative ale scopului pentru care există
și funcționează organizația.
Recomandări : Pentru deficiențele constatate s -a recomandat evaluarea
performanțelor actuale ale sistemului de organizare și conducere a activităților
desfășurate în cadrul structurii funcționale, țținând cont de influența factorilor de
mediu, interni și externi, în vederea redefinirii obiectivelor strat egice. Implicarea
managementului pentru ca obiectivele strategice redefinite să întrunească
caracteristicile de a fi realiste, mobilizatoare, stimulative și să poată fi înțelese de
salariați, stabilite de metodologie.
✓ Constatări : Departamente din cadrul en tității nu dispun de subsisteme IT specifice
activităților care se desfășoară în cadrul acestora.
58
Recomandări : Pentru deficiențele constatate s -a recomandat coroborarea atribuțiilor
prezentate prin proceduri cu cele stabilite prin fișele posturilor și inve ntarierea
stadiului implementării subsistemelor IT la nivelul departamentelor entității publice și
stabilirea necesităților IT care trebuie incluse în strategia IT.
✓ Constatări: Activitățile nu sunt definite omogen în cadrul structurii funcționale, iar
stab ilirea complexității acestora nu se realizează în funcție de nivelurile de calificare
ale posturilor existente.
Recomandări : Realizarea unei analize riguroase a sarcinilor și responsabilităților
fiecărui angajat, care să stea la baza oricărei inițiative d e organizare a activității.
Constituirea unei echipe, pe baza deciziei managementului general, care să analizeze
și să redefinească activitățile și acțiunile realizate în cadrul compartimentelor și
serviciilor, astfel încât să se asigure că obiectivele vor fi realizate în totalitate.
✓ Constatări : Persoanele responsabilizate în posturile de conducere nu au coordonat în
nici un fel activitățile care erau realizate zilnic de către salariați, nu au îndrumat în nici
un fel salariații cu privire la modul în care î n care să realizeze activitățile și nici nu au
realizat o monitorizare cu privire la modul de realizare a acestora. Salariații, în baza
sarcinilor stabilite prin fișa postului, au realizat activitățile în funcție de cunoștințele și
aptitudinile pe care le dețineau.
Recomandări : Desfășurarea procesului de selecție și recrutarea în vederea ocupării
posturilor de conducere existente la nivelul departamentului IT. În același timp se va
urmări dacă persoanele selectate dețin abilitățile și aptitudinile manageria le necesare
realizării activităților specifice celor două servicii și dacă au pregătirea de bază, de nivel
superior, în domeniul IT.
✓ Constatare : Existența unor controale interne slabe privind managementul
operațiunilor IT, reflectate în disfuncții legate d e gestionarea acestora.
Recomandare : Implementarea unei aplicații care să monitorizeze alocarea și utilizarea
resurselor în funcție de gradul de complexitate al operațiilor efectuate. Urmărirea în
permanență a echilibrului între necesitățile IT și resursele alocate acestor scopuri.
59
Mediile sau locațiile de stocare să fie protejate împotriva deteriorării sau accesului
neautorizat.
✓ Constatări: Controalele fizice nu sunt implementate în mod eficient pentru a asigura
securitatea echipamentelor.
Recomandare : Introducerea de instrumente de control adecvate astfel încât orice
acces la echipamentele sau datele si informațiile organizației sa fie limitat, sau în
cazurile în care acesta este permis să fie supravegheat în totalitate.
✓ Constatări : Utilizarea în cadrul entității publice a unor programe sof tware fără licență.
Astfel, cu toate că entitatea publică a achiziționat licențe pentru pachetul de programe
Lotus, s -au constatat că în cadrul unor departamente se folosesc programe aferente
pachetului Microsoft Office fără ca pentru acestea entitatea pub lică să fi achiziționat
licențe. Practic salariații au instalat programe utilizând CD -uri piratate.
Recomandare: Inventarierea tuturor stațiilor de lucru pentru a stabili situația reală
privind utilizarea programelor fără licență și dezinstalarea tuturor programelor
nelicențiate din pachetul Microsoft Office. Totodată, s -a recomandat și realizarea unei
analize complexe în urma căreia managementul entității publice să decidă asupra
oportunității schimbării programelor existente și achiziționarea unui număr adecvat de
licențe Microsoft Office.
✓ Constatare: Neutilizarea unui singur nume de utilizator și unei singure parole pentru
accesul la sistemul IT, în condițiile în care majoritatea salariaților din cadrul entității
publice, prin natura sarcinilor de servic iu, trebuie să acceseze mai multe subsisteme IT
care folosesc nume de utilizator și parole diferite. Sistemul IT este conceput astfel încât
pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator și parolă
diferite, în loc să se folos ească același nume de utilizator și parolă indiferent de
subsistemul IT la care se conectează angajatul.
Recomandare : Realizarea unui proces de reenginering la nivelul sistemului IT din
cadrul entității publice, astfel încât salariații să poată accesa subs istemele IT de care
au nevoie utilizând un singur nume de utilizator și o singură parolă;
60
61
Cap. 4. CONCLUZII ȘI PROPUNERI
Mediul în permanentă schimbare a lumii afacerilor, a impus companiilor să își modifice
strategiile și să se adapteze acestor modificări pentru a putea rezista. Din momentul înființării,
fiecare companie are anumite țeluri printre care se poate enumera crearea valorii adăugate,
remarcarea pe piață, atingerea scopurilor propuse, dar și menține rea cât mai îndelungată pe
piață.
Auditul sistemelor informatice reprezintă o activitate de evaluare a sistemelor prin
prisma optimizării gestiunii resurselor informatice disponibile (date, aplicații, tehnologii,
facilități, resurse umane), în scopul atin gerii obiectivelor companiei, prin asigurarea unor
criterii specific: eficiență, confidențialitate, integritate, disponibilitate. Efectuarea misiunii de
audit are un rol esen țial în cadrul unei organizații. Îndeplinirea acesteia implică parcurgerea
procedu rilor și documentelor specific structurate în etapele prezentate prin normele
generale. Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea
auditului, raporarea și revizuirea auditului.
Auditorul are sarcina de a clarifica ob iectivele auditului, de a indentifica referențialul
pentru efectuarea auditării și de a examina gradul în care cerințele care decurg sunt aplicate
și contribuie la realizarea obiectivelor entității.
Pentru acțiunile de control și misiunile de audit, de o importanță deosebită este
identificarea riscurilor care rezultă din utilizarea unui sistem bazat pe tehnologii informatice.
Riscurile cheie sunt: dependența de funcționarea echipamentelor și programelor informatice,
vizibilitatea pistei de audit, reducere a implicării factorului uman, erori sistematice și erori
incidentale, accesul neautorizat, pierderea datelor, lipsa separării sarcinilor, lipsa de
experiență în domeniul IT. Descrierea riscurilor identificate de către auditori trebuie să include
informații privind cauzele și impactul posibil al acestora, precum și nivelul de risc (mic, mediu
sau mare).
În ceea ce privește raportarea, acesta are ca scop punerea în evidență a punctelor slabe
identificate și aducerea lor la cunoștința companiei auditate prin intermediul raportului de
audit care conține sinteza principalelor constatări și recomandări. Raportul de audit al
sistemelor informatice trebuie să fie obiectiv și corect, să cuprindă toate constatările
relevante, inclusive cele positive, să fie construct ive și să prezinte concluziile și recomandările
formulate de echipa de audit.
62
BIBLIOGRAFIE
1. Lixăndroiu D., Analiza și proiectarea sistemelor informatice , Note de curs (format electronic),
anul univ. 2015 -2016
2. Lixăndroiu D., Informatică Economică , Editura Universității Transilvania, Brașov, 2015
3. Fotache D., Hurbean L., Soluții informatice integrate pentru gestiunea afacerilor – ERP, Ed.
Economica, 2004
4. Fotache D., Hurbean L., Dospinescu O., Păvăloaia V. D., Platforme integrate pentru afaceri ,
Editura Economica, 2013
5. Anderegg, T., ERP: A -Z Implementer’s Giude for Success , Resource Publishing, 2000
6. Ashish Kr. Dixit., Om Prakash, A study of issues affecting ERP implementation in SMEs ,
Reasearches World – Journal of Arts, Science & Commerce, Aprilie 2011, Vol. -II, Issues – 2
7. Davenport, T.H., Putting the enterprise into the enterprise system , Harvard Business Review,
nr. 4/1998, pag.121
8. O’Leary, D.E., Enterprise Resource Planning Systems , Cambridge University Press, 2000.
9. Hossain, L., Patrick, J.D., Rashid, M.A., Enterprise Resource Planning: global opportunities and
challenges , Idea Group Publishing, 2002
10. Rashid M.A., Hossain, L. Patrick J.D, The Evolution of ERP Systems: A historical perspective ,
Idea GroupPublishing, 2002
11. Smalley, C.P., CRM: Now what? , www.technologyevaluation.com , 2002
12. Jenkins B., Cooke P., Quest P. – Coopers & Lybr and. An Audit Approach to Computers. The
Institute of Chartered Accountants in England and Wales. Chartered Accountants Hall.
London.1992.
13. Kaner C., Falk J., Quoc Nyugen H., Testing Computer Software. Wiley Computer
Publishing.1999
14. Lee Summers E., Young A. ,Accounting Information Systems. Houghton Mifflin Company.
Boston.1989.
15. Ly H., L’audit informatique dans un contexte mini et micro. Les Editions d’Organisations.
Paris.1991.
16. Millichamp A.H., Auditing. Letts Educational, Aldine Place. London.1996.
17. Munteanu A., Auditul sistemelor informationale contabile. Editura Polirom.2001.
18. Thorin M., L’audit informatique.Edition Hermes Science. Paris.2000.
19. Information Systems Audit and Control Association – Standards and Guidelines for IS
Auditing.2000.
63
20. Securitatea in Int ernet, Editura Teora.1999.
21. Camera Auditorilor Financiari din Romania Audit financiar 2000, Editura Economica
Bucuresti.2000.
22. www.nao.gov.uk/intosai/edp
23. http://www.referatele.com/informatica/Auditul -Sistemelor -Informatice428.php
24. http://www.rasfoiesc.com/educatie/informatica/Auditul -financiar -si-auditul -s76.php
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Programul de studii [624553] (ID: 624553)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.