Professional Documents
Culture Documents
Februarie 2007
Prof.univ.dr. Dorin LIX NDROIU Facultatea de tiin e Economice Universitatea TRANSILVANIA din Bra ov
1
AUDITUL SISTEMELOR INFORMATICE DE GESTIUNE reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, men ine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informa ionale. to audit = a examina, a verifica, a revizui conturi i nregistr ri contabile auditus = a asculta, a audia ( limba latin ) 2
ISACA
Web site: http://www.isaca.org Standarde: SISAS (Statement of Information Systems Auditing Standards) Ghiduri: Guidelines and Procedures for Audit and Control Professionals CobiT (Control Objectives for Information and related Technology) Certific ri: CISA (Certified Information Systems Auditor)
3
IFAC
Web site: http://www.ifac.org Standarde: ISA (International Standards on Auditing) IAPS (International Auditing Practice Statements) Ghiduri: IITG (International Information Technology Guidelines)
IIA
DECLARA IA INTERNA IONAL PRIVIND PRACTICA DE AUDIT 1001 Medii IT Calculatoare neincluse n re ea 1009 Tehnici de audit asistate de calculator Comitetul Interna ional pentru Practici de Audit (IAPC) al Federa iei Interna ionale a Contabililor (IFAC)
Societatea industrial - produc ia industrial - resursa capitalul Societatea informa ional - produc ia intelectual - resursa informa ia
Avantajul competitiv real se ob ine din surse invizibile, adic din informa ii sau circuite informa ionale, resursele vizibile pot fi cump rate sau copiate rapid, cele invizibile se acumuleaz ns n ani Hiroyouki Itami
SISTEMUL DECIZIONAL
SISTEMUL INFORMATIC
Information system Elementele sistemului: Resursa fizic (hardware) Resursa logic (software) Baza de date Resursa uman i cadrul organizatoric
10
Systme dinformation
12
CLASIFICAREA SISTEMELOR INFORMATICE SISTEME INFORMATICE PAR IALE SISTEME INFORMATICE TOTALE SISTEME INFORMATICE INTEGRATE
13
I DE
15
CARACTERSITICI Ciclu de via lung Cost ridicat ANALIZA PRODUSULUI SOFTWARE Tehnologia Arhitectura Mediul de dezvoltare Baza de date Flexibilitate utilizare modular i extindere n mai multe etape Deschidere noile tehnologii informatice Adaptabilitate la cerin ele beneficiarului integrarea aplica iilor interne 16
BAZA DE DATE
O colec ie de date opera ionale nregistrate pe suport adresabil, aflate n interdependen logic , mpreun cu descrierea datelor i a rela iilor dintre ele i care sunt prelucrate n aplica iile informatice ale unei organiza ii.
17
BAZA DE DATE
Este un ansamblu de date: structurate coerente persistente cu o redundan minim i controlat independente de programul de aplica ie direct accesibile dup mai multe criterii simultan accesibile de c tre mai mul i utilizatori
18
19
20
NTREPRINDEREA SISTEM CIBERNETIC SUBSISTEMUL LOGISTIC I DE PRODUC IE SUBSISTEMUL FINANCIAR CONTABIL SUBSISTEMUL DE MARKETING SUBSISTEMUL RESURSE UMANE SUBSISTEMUL DE CONTROL I GESTIUNE STRATEGIC
21
IT GOVERNANCE - procesul de control i coordonare a resurselor informa ionale: - mijloacele de culegere, prelucrare, stocare i transmitere automat a datelor (calculatoare, periferice, re ele, servere, routere, software etc.) - politicile i procedurile care guverneaz procesele informatice - utilizatorii, personalul implicat n dezvoltarea i conducerea sistemului informa ional (anali ti, programatori, manageri etc.), furnizorii de resurse informa ionale i auditorii sistemului informa ional
22
IT GOVERNANCE
obiectivele principale sunt: stabilirea unor strategii pentru ca utilizarea resurselor informa ionale s fie n concordan cu obiectivele organiza iei; utilizarea ct mai eficient i cu riscuri minime a resurselor informa ionale (hardware, software).
23
26
27
Ce cuno tin e sunt necesare unui auditor de sisteme informatice ? cuno tin e din domeniul auditului financiar; cuno tin e din domeniul managementului; cuno tin e din domeniul contabilit ii; cuno tin e din domeniu financiar; cuno tin e privind evaluarea riscurilor; cuno tin e privind controlul; cuno tin e privind arhitectura fizic (hardware) a sistemelor informatice;
28
cuno tin e privind sistemele de operare i aplica iile informatice; cuno tin e privind re elele de calculatoare; cuno tin e privind securitatea sistemelor informatice; cuno tin e privind analiza, proiectarea i implementarea sistemelor informatice; cuno tin e privind programarea i limbajele de programare; cuno tin e privind sistemele de gestiune a bazelor de date;
29
cuno tin e privind tehnicile de procesare automat a datelor n cadrul sistemelor informatice de gestiune; cuno tin e de baz din statistic economic ; cuno tin e privind legisla ia.
30
NIVELUL RISCULUI TOTAL = amenin ri x vulnerabilit i x impacturi unde: amenin ri evenimente sau activit i ce pot afecta punctele slabe existente n sistem; vulnerabilit i punctele slabe existente n sistem i care pot fi exploatate de c tre amenin ri impacturi consecin e pe termen scurt, mediu sau lung pe care organiza ia le suport ca urmare a exploat rii vulnerabilit ilor de c tre amenin ri. mare (3) mediu (2) redus (1) inexistent (0)
33
1. RISCUL DE AFACERE
- probabilitatea ca o firm s nu- i ating obiectivele sale de afaceri datorit factorilor interni (de ex. func ionarea defectuas a sistemului informatic hardware isau software), sau a factorilor externi (de ex. apari ia pe pia a unor concuren i mai puternici).
2. RISCUL DE AUDIT
- probabilitatea ca un auditor s nu observe o eroare sau fraud din sistemul auditat.
34
Riscul de audit con ine mai multe tipuri de riscuri: Riscul inerent. Reprezint probabilitatea ca o eroare sau o fraud s se produc n mod inerent datorit naturii activit ii desf urate n ntreprindere. Riscul de control. Reprezint probabilitatea ca o eroare sau o fraud s se produc f r a fi detectat sau prevenit de c tre controlul intern. Riscul de detectare. Reprezint probabilitatea ca un auditor s nu detecteze prin testele aplicate o eroare din cadrul sistemului de control auditat.
35
dublarea datelor tranzac ionate; procesarea cu ntrziere a datelor; nefunc ionarea corect a transmisiei datelor; segregarea inadecvat sau inexistent a func iilor i responsabilit ilor; analiza i proiectarea defectuoas a aplica iilor; incompatibilitatea dintre aplica iile informatice; infectarea aplica iilor cu viru i electronici; instruirea inadecvat a utilizatorilor; suportul i mentenan a inadecvat a aplica iilor.
37
B. Riscul de continuare a activit ii sistemului informatic cuprinde: riscul disponibilit ii sistemului probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit securit ii sale (atacuri informatice); riscul recuper rii sistemului probabilitatea ca datele i opera iile sistemului s nu mai poat fi recuperate (lipsa unor copii de siguran i a procedurilor de de recuperare).
38
ETAPELE DE EVALUARE A RISCURILOR DIN SISTEMUL INFORMA IONAL identificarea factorilor de risc; ierarhizarea factorilor de risc dup acestora pentru sistemul auditat; importan a
determinarea frecven ei i duratei de apari ie a fiec rui factor de risc; cuantificarea i evaluarea nivelului de risc; programarea auditului i alocarea resurselor de audit corespunz toare nivelului de risc stabilit.
39
UN MODEL DE EVALUARE A RISCURILOR ( A- B- C ) DIN SISTEMUL INFORMA IONAL Riscul accesibilit ii = f (riscul accesului fizic, riscul accesului la re ea) A. Nivelul de vulnerabilitate = f (riscul accesibilit ii, nr.de utilizatori autoriza i) Riscul dependen ei de speciali ti = f (riscul asociat angaja ilor, riscul documenta iei)
40
Riscul tehnologic = f (riscul ciclului de via , riscul dependen ei de speciali ti) Complexitatea organiza ional i a proiectului = f (riscul complexit ii organiza ionale, riscul asociat func iilor) B. Complexitatea sistemului = f (riscul tehnologic, complexitatea organiza ional a proiectului) C. Riscul de ncredere = f (riscul asociat personalului, riscul asociat managerilor)
41
Controlul n cadrul Sistemului Informa ional Controlul intern - asigur prevenirea, identificarea i corectarea problemelor cauzate de c tre factorii de risc. Controlul preventiv permite identificarea problemelor (erori, omisiuni, fraude) nainte ca acestea s apar ; Controlul detectiv permite raportarea problemelor ap rute; detectarea i
Controlul corectiv - permite remedierea unei probleme sau minimizarea amenin rii identificate prin controlul detectiv.
42
Obiectivele controlului intern specifice SI: asigurarea securit ii fizice i logice a resurselor informa ionale; asigurarea integrit ii aplica iilor informatice; asigurarea eficien ei dezvolt rii sau achizi iei de aplica ii informatice i asigurarea compatibilit ii; asigurarea eficacit ii i eficien ei opera iilor i procedurilor din sistem; asigurarea concordan ei dintre procedurile, respectiv opera iile din sistem i reglement rile legale i regulamentele interne n vigoare; asigurarea recuper rii datelor i continuarea activit ii n caz de dezastre sau evenimente neprev zute.
43
45
IFAC
Standarde: ISA (International Standards on Auditing) IAPS (International Auditing Practice Statements) ISA 400: reglementeaz evaluarea riscurilor i a controlului intern. ISA 401: reglementeaz procesul de audit n cadrul sistemelor informatice. IAPS 1008: reglementeaz evaluarea riscurilor i controlului intern din cadrul sistemelor informatice.
47
1. PLANIFICAREA
s se informeze cu privire la obiectul de activitate al clientului i domeniul n care i desf oar activitatea; s se documenteze cu privire la structura sistemului informa ional. Auditorul trebuie s analizeze structura organizatoric (organigrama), organigrama sistemului informatic i flowcharturile din sistem; s determine complexitatea sistemului informatic; s se documenteze cu privire la aplica iile informatice utilizate; s se documenteze cu privire la infrastructura re elei de calculatoare; 49
PLANIFICAREA (continuare)
s se documenteze cu privire la politicile i procedurile de securitate, respectiv procedurile de operare din sistemul informatic; s identifice contractele de outsourcing (externalizare) din sistemul informa ional; s se documenteze cu privire la controlul intern i mai cu seam a controalelor ce privesc procesele ce vor fi auditate; s s evalueze riscurile din sistem (inerent, de detectare i de control); s stabileasc nivelul pragului de materialitate; s stabileasc i s documenteze foile de lucru 50 necesare pentru misiunea de audit.
51
52
4. Culegerea probelor
documente privind politicile i procedurile de securitate din sistemul informa ional al clientului; documente privind procedurile de lucru din sistemul informatic; documente sau observa ii privind infrastructura fizic (hardware) i logic (software) a sistemului auditat; interviurile i chestionarele aplicate; flowchart-uri de sistem i/sau de aplica ii; observa ii personale n cadrul foilor de lucru; fi iere cu datele extrase din aria de auditat; fi iere cu tranzac iile de date necesare auditului
53
6. Urm rirea (monitorizarea) implement rii recomand rilor din raportul de audit
n aceast etap se stabilesc de comun acord cu clientul datele n care auditorul va reveni s verifice dac recomand rile i m surile corective propuse de el au fost implementate.
56
57
58
62
CAAT include:
Teste ale detaliilor tranzac iilor i soldurilor, de exemplu folosirea software-ului de audit pentru recalcularea dobnzii sau pentru extragerea din nregistr rile computerizate a facturilor care dep esc o anumit valoare; Proceduri analitice, de exemplu identificarea neconcordan elor sau a fluctua iilor semnificative;
63
Teste ale controalelor generale, de ex. testarea set rii sau a configur rii SO sau a procedurilor de acces la bibliotecile de programe, sau prin folosirea programelor de comparare a codurilor pentru a verifica faptul c versiunea programului folosit este versiunea aprobat de conducere; Programe de e antionare pentru extragerea datelor n vederea test rii de audit; Teste ale controalelor aplica iilor, de exemplu testarea modului n care func ioneaz un control programat; Reefectuarea calculelor efectuate de sistemele contabile ale entit ii.
64
Pachetele de programe - sunt programe de computer generalizate, proiectate s efectueze func ii de procesare de date (de ex. citirea datelor, selectarea i analizarea informa iilor, executarea calculelor, crearea fi ierelor de date i raportarea ntr-un format specificat de auditor). Programele realizate pentru un anumit scop execut sarcini de audit n circumstan e specifice. Acestea pot fi elaborate de c tre auditor, de entitatea auditat sau de un programator extern angajat de auditor.
65
Programele utilitare sunt utilizate de c tre o entitate pentru a executa func ii comune de procesare de date, precum sortarea, crearea i tip rirea fi ierelor. Aceste programe, n general, nu sunt proiectate pentru scopuri de audit i, de aceea, ele pot s nu con in caracteristici de genul num r tori automate ale nregistr rilor sau totaluri de control. Programele de gestionare a sistemelor sunt instrumente pentru mbun t irea productivit ii (de ex. programe de recuperare a datelor). Ca i n cazul programelor utilitare, aceste instrumente nu sunt proiectate n mod special pentru audit i necesit o aten ie suplimentar n utilizare.
66
Programele de audit de rutin ncorporate includ: - Instantanee imaginea unei tranzac ii pe m sur ce aceasta parcurge sistemele de calcul. - Fi ier de revizuire a auditului referitor la controlul sistemelor module de program de audit ncorporate n sistem. Informa iile sunt colectate ntr-un fi ier special pe care auditorul l poate examina. Tehnicile de testare a datelor pentru - Testarea accesului la date, parole on-line. - Testarea tranzac iilor selectate din tranzac iile procesate anterior sau create de auditor. - Testarea tranzac iilor folosind o unitate dummy (un departament sau un angajat fictiv).
67
Pa ii principali f cu i de AUDITOR n aplicarea unui CAAT Stabilirea obiectivului aplica iei CAAT; Determinarea con inutului i a accesibilit ii la fi ierele entit ii; Identificarea fi ierelor sau bazelor de date specifice care urmeaz a fi examinate: n elegerea rela iilor dintre tabelele de date, acolo unde urmeaz s fie examinat o baz de date; Definirea testelor sau a procedurilor specifice, precum i a tranzac iilor i soldurilor aferente afectate; Definirea cerin elor cu privire la ie irile de date;
68
Stabilirea mpreun cu utilizatorul i resposabilul IT a efectu rii unor copii ale fi ierelor i bazelor de date relevante; Identificarea personalului care poate participa la proiectarea i aplicarea CAAT-urilor; Perfec ionarea estim rilor costurilor i beneficiilor; Asigurarea c utilizarea CAAT-urilor este controlat i documentat corespunz tor; Organizarea activit ilor administrative, inclusiv aptitudinile necesare i facilit ile computerizate; Reconcilierea datelor care vor fi utilizate pentru CAAT-urile cu nregistr rile contabile; Executarea aplica iei CAAT; 69 Evaluarea rezultatelor.