Metodologia de audit a sistemelor informatice o Avnd

Metodologia de audit a sistemelor informatice o Având în vedere recomandările standardelelor IFAC – ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale unei misiuni de audit IT pot fi: n n n Planificarea. Evaluarea riscurilor şi controlului intern. Elaborarea programului de audit. Culegerea probelor. Formularea concluziilor şi elaborarea raportului. Urmărirea (monitorizarea) implementării recomandărilor din raportul de audit.

Planificarea o să se documenteze cu privire la structura sistemului informaţional. o o o o Auditorul trebuie să analizeze structura organizatorică (organigrama), organigrama sistemului informatic şi flowchart-urile din sistem; să determine complexitatea sistemului informatic; să se documenteze cu privire la aplicaţiile informatice utilizate; se documenteze cu privire la infrastructura reţelei de calculatoare; să se documenteze cu privire la politicile şi procedurile de securitate, respectiv procedurile de operare din sistemul informatic; să identifice contractele de outsourcing (externalizare) din sistemul informaţional; să se documenteze cu privire la controlul intern şi mai cu seamă a controalelor ce privesc procesele ce vor fi auditate; să stabilească nivelul pragului de materialitate; să stabilească şi să documenteze foile de lucru necesare pentru misiunea de audit.

Evaluarea riscurilor şi controlului intern o să identifice vulnerabilităţile şi ameninţările la care este expusă aria de audit; o să evalueze prin tehnici adecvate (metoda scorurilor sau judecata liberă) nivelurile de risc din cadrul ariei de audit; o să stabilească riscul inerent şi de control; o să evalueze controlul intern din aria de audit;

Elaborarea programului de audit o În general programul de audit trebuie să fie documentat în cadrul foilor de lucru şi cuprinde următoarele: n n n Scopul auditului. Obiectivele auditului. Procedurile şi tehnicile de audit ce vor fi utilizate. Planificarea şi programarea sarcinilor şi responsabilităţilor membrilor echipei. Bugetul misiunii de audit.

o Program pentru evaluarea generală a sistemului informatic n n Responsabilitatea administrării s. i. p Determinarea entităţilor responsabile. p Analiza contractelor pentru administrarea s. i. Informaţii tehnice p Identificarea numărului de calculatoare (staţii sau servere), a perifericelor şi modul de repartizare al acestora în cadrul funcţiunilor intreprinderii. p Identificarea topologiei de reţea. p Identificarea sistemelor de operare utilizate. p Identificarea aplicaţiilor economice utilizate, inclusiv dacă acestea au fost realizate în intreprindere sau au fost achiziţionate. p Identificarea gradului de licenţiere a software-ului utilizat. p Identificarea documentaţiei sistemului şi aplicaţiilor. p Determinarea stadiului implementării sistemului. p Identificarea sistemelor de gestiune a bazelor de date. p Determinarea tipului de prelucrări (on-line sau pe loturi). p Determinarea modului de protecţie a sistemului împotriva întreruperilor de energie electrică. p Determinarea procedurilor de salvare şi recuperare a datelor.

p p p Utilizarea sistemului n Determinarea numărului de utilizatori din sistem şi gruparea lor pe aplicaţii sau funcţiuni. n Intervievarea utilizatorilor aplicaţiilor pentru determinarea: o calităţii aplicaţiilor; o riscurilor în utilizarea aplicaţiilor. n Determinarea training-urilor pentru utilizarea aplicaţiilor. Recuperarea datelor n Determinarea aplicaţiilor şi bazelor de date critice. n Identificarea procedurilor de salvare şi recuperare a datelor critice. Introducerea datelor n Identificarea modului de introducere a datelor în sistem. n Determinarea procedurilor de control şi validare a datelor introduse în sistem. Prelucrarea datelor n Analiza rapoartelor de erori ale funcţionării aplicaţiilor. Ieşirea datelor (Raportarea) n Identificarea ieşirilor (listelor, rapoartelor sau fişierelor) critice. n Determinarea modului de distribuţie a ieşirilor critice (liste sau rapoarte). Securitatea sistemului n Determinarea procedurilor de acces în sistem. n Determinarea procedurilor de protecţie împotriva viruşilor.

Culegerea probelor o Probele pe care auditorul IT le culege într-o misiune sunt diverse. În general acestea pot fi: n n n n documente privind politicile şi procedurile de securitate din sistemul informaţional al clientului; documente privind procedurile de lucru din sistemul informatic; documente sau observaţii privind infrastructura fizică (hardware) şi logică (software) a sistemului auditat. interviurile şi chestionarele aplicate; flowchart-uri de sistem şi/sau de aplicaţii; observaţii personale în cadrul foilor de lucru; fişiere cu datele extrase din aria de auditat; fişiere cu tranzacţiile de date necesare auditului; fişiere jurnal pentru intrări, prelucrări, tranzacţii de date şi tratare a erorilor; situaţii listate din aplicaţiile sistemului; fişierele cu datele de test; fişiere cu erori; conţinutul şi rezultatul testelor controlului din sistem; liste cu surse ale programelor utilizate în procesele auditate; conţinutul şi rezultatul testelor securităţii sistemului.

Formularea concluziilor şi elaborarea raportului o În general un raport de audit IT trebuie să conţină următoarele: n n n n n Denumirea organizaţiei auditate. Titlul, data şi semnătura. Descrierea obiectivelor auditului. Scopul auditului. Perioada acoperită prin audit. Standardele şi criteriile sub care a fost desfăşurat auditul. Descrierea detaliată a rezultatelor pentru obiectivele auditului. Concluziile şi opiniile auditorului. Recomandările şi măsurile corective.

Urmărirea (monitorizarea) implementării recomandărilor din raportul de audit o constă în stabilirea de comun acord cu clientul a unor date în care auditorul să revină şi să verifice dacă recomandările şi măsurile corective propuse de el au fost implementate.

Tehnici de audit a sistemelor informatice o Tehnici de investigare a sistemului auditat (interviul, chestionarul şi flowchart-ul). o Tehnici de identificare şi evaluare a riscurilor (judecata liberă sau intuiţia, tehnica scorurilor, metoda cantitativă). o Tehnici de testare a controlului din cadrul sistemului auditat (teste de concordanţă, teste de integritate, tehnica datelor de test, tehnica testului integrat, simularea paralelă).

Tehnici de audit asistate de calculator (CAATs) o Instrumente pentru creşterea productivităţii muncii de audit. Planificarea şi urmărirea automată a misiunii de audit: aplicaţiile pentru managementul proiectelor (MS Project, Primavera Project Planner etc. ); aplicaţiile pentru calcul tabelar (MS Excel, Lotus 1 -2 -3, Quattro Pro etc. ); n Editarea şi managementul automat al foilor de lucru (electronic workingpapers): Microsoft Office, Lotus Smart Suite, Intacct Audit (produs de către Intacct Corporation şi Deloitte & Touche), Working Papers (produs de către Case. Ware International), Team. Mate (produs de Price. Waterhouse. Coopers) ş. a. ; n Comunicarea şi transferul automat al datelor: aplicaţii pentru e -mail (Microsoft Outlook), instrumente groupware (Lotus Notes Domino Server); forumuri intranet ş. a. o Aplicaţii generale de audit (GAS - Generalized Audit Software). o Aplicaţii informatice (utilitare) pentru testarea şi verificarea sistemului. n