55131081-Auditul-sistemelor-informatice

7/28/2019 55131081-Auditul-sistemelor-informatice

1/153


2/153

CuprinsIntroducere ......................................................................................................... 1. Sisteme informatice complexitate i costuri ....................................... 2. Construirea de modele i stabilireade limite ......................................... 3. Realizarea i msurarea concordanei ...................................................... 4. Obiectul auditului pentru sisteme informatice ...................................... 5. Construirea de liste ....................................................................................... 6. Auditul specificaiilor ................................................................................... 7. Auditul proiectului de sistem informatic ................................................. 8. Auditul texte

lor surs .................................................................................. 9. Auditul datelor ............................................................................................... 10. Raportul de auditare ................................................................................... 11. Concluzii ..........................................................................................................Anexa 1 Lista de variabile ....................................................................................................... Anexa 2 Lista de figuri ............................................................................................................ Anexa 3 Lista de tabele ........................................................................................................... Anexa 4 Lista de verificare (Checklist) pentru specificaiile funcionale ................. Anexa 5 Programul de audit .................................................

................................................... Anexa 6 Nota de neconformitate .............................................................................

............. Anexa 7 Raport de audit ..........................................

................................................................ Anexa 8 Raportde audit intern ............................................................................................. Anexa 9 Organisme, regulamente i standarde referitoare la auditul sistemelor informatice ...........................................................................................................

3 7 13 16 22 43 55 66 77 103 120 124 129 132 133 133 136 137 137 139 143 144

Bibliografie ..........................................................................................................


3/153

INTRODUCERESocietatea informaional determin o cretere dramatic a dependenei tuturor domeniileii economico-sociale de tehnnologiile informaionale. Sistemele informatice sunt construcii complexe care vizeaz mai multe probleme diferite ale unei companii. Avnd vedere consumul de resurse umane i financiare la dezvoltarea unui sistem informatic, este necesar s se desfoare anumite activiti care s conduc la atingerea obiei propus, la timp, cu nivelul de calitate stabilit i n limita bugetului alocat. Una dintre aceste activiti, deosebit de important, att pentru realizatori, ct, mai a, pentru utilizatori, este auditul sistemelor informatice (SI). Auditul SI esteo ramur a auditului general care se ocup cu controlul tehnologiilor informaiilor i omunicaiilor. Auditul SI studiaz, n primul rnd, sistemele i reelele de calcul din

t de vedere al examinrii eficienei controlului tehnic i procedural pentru a minimiza riscurile. Auditarea SI presupune discuii cu personalul care stabilete specificaiile, dezvolt, testeaz, conduce, administreaz i utilizeaz sistemele de calcul [HINSObiectivul lucrrii l constituie stabilirea unor modaliti de realizare a auditului istemelor informatice. Pentru atingerea acestui deziderat, lucrarea este structurat pe dousprezece capitole. n capitolul Sisteme informatice. Complexitate i costur, sunt prezentate condiiile n care se dezvolt un sistem informatic i influena acesa att asupra procesului de dezvoltare, ct i asupra produsului final. Se analizeaz, umar, structura unui sistem informatic i relaiile dintre subsistemele acestuia i seface referire la necesitatea auditului informatic. Construirea de modele i stabilirea de limite se trateaz n cel de-al doilea capitol. Construirea de modele i stabilirea de limite sunt activiti importante care sunt avute n vedere att de ctre reaatorii sistemului informatic, ct i de ctre auditori. Stabilirea limitelor ntre care

3


4/153

trebuie s se ncadreze rezultatele unui sistem informatic conduce la eliminarea unor situaii nedorite, care, n anumite domenii, au urmri imprevizibile. n capitolul altreilea, Realizarea i msurarea concordanei, sunt prezentate, succint, sistemele care compun o companie, indiferent de mrimea acesteia, sunt relevate interaciunile dintre sisteme i sunt scoase n eviden caracteristicile sistemului informatic comparatv cu celelalte sisteme. ntre toate sistemele care compun o companie este necesars existe concordan deplin pentru ndeplinirea obiectivelor asumate. Obiectul auditupentru sistemele informatice este tratat n capitolul al patrulea. Auditul informatic este o activitate complex diferit de alte activiti. Se prezint, comparativ, atul informatic i alte activiti precum controlul i expertiza. Se descrie rolul auditlui informatic i efectul acestuia asupra utilizatorului sistemului informatic aud

itat. Capitolul al cincilea Construirea de liste descrie necesitatea construiriilistelor pentru desfurarea procesului de auditare. Sunt analizate tipurile de liste i rolul acestora n desfurarea procesului de auditare. Se prezint cerinele impuei liste pentru a obine rezultatele scontate. Construirea listelor reprezint latura esenial a procesului de auditare planificare. Fr un plan bine elaborat, articulfr o viziune unitar, rezultatul final este afectat de factori perturbatori. Auditul specificaiilor este analizat n capitolul al aselea. Realizarea unui sistem informatic care s rspund cerinelor utilizatorilor depinde , n mod esenial, de stabilirecificaiilor. Specificaiile constituie baza proiectrii i dezvoltrii oricrui sistemacest considerent, se impune ca procesul de auditare a unui sistem informatic s nceap cu auditul specificaiilor. n acest capitol sunt analizate modalitile de realie a auditului specificaiilor. Auditul proiectului este analizat n capitolul al aptelea, avnd n vedere c un sistem informatic, cu un nivel de calitate cerut, se realiz

eaz avnd la baz un proiect cu un grad corespunztor al calitii. Se urmrete cupriecificaiilor, regsirea acestora n rezultatele finale. Se propun modaliti de auditaa cheilor de acces i a parolelor. Sunt descrise criterii de apreciere i indicatoride evaluare a calitii proiectului. Auditul4


5/153

proiectului sistemului informatic trece, prin utilizarea unor indicatori, din zona aprecierilor strict calitative, n zona analizei, avnd o fundamentare riguroas. Elementele incluse n liste i diferenele devin vizibile i sunt cuantificate, asigurnn grad ridicat de rigurozitate procesului de realizare a sistemului informatic.Auditul textelor surs este descris n capitolul al optulea. Se face o descriere succint a necesitii auditului textelor surs. Se prezint modaliti de evaluare a difedintre ce s-a proiectat i rezultatele practice obinute. Se propun msuri de remediere a deficienelor n cazul n care se constat. Se subliniaz importana, din punctul dere al auditorului, a rezultatelor i a fluxurilor pe care le genereaz. Capitolul al noulea, Auditul datelor, se refer la un proces complex ntruct vizeaz acele compote ale sistemului informatic care au ca obiectiv crearea i actualizarea fiierelor

sau bazelor de date. Sunt prezentate criterii de validare a datelor. Se analizeaz modaliti de iniializare a variabilelor i se propun msuri de prevenire a eroriloel de-al zecelea capitol este descris modul de redactare al unui Raport de audit. Lucrarea se ncheie cu concluzii n care sunt date i o serie de direcii de urmat. Bbliografia conine: tratate fundamentale de audit; cri privind metrici software nici i metode de programare; lucrri elaborate de autori sub form de cri, articolmunicri la manifestri tiinifice din ar i din strintate; articole din revisteate; site-uri care trateaz problemele de maxim actualitate, forumuri de discuii peprobleme de managementul calitii software i calitatea datelor. Autorii lucrrii au pocupri n domeniul dezvoltrii aplicaiilor informatice, analizei metricilor utilizatedezvoltarea software, calitii i costurilor calitii datelor i produselor program.te preocupri s-au materializat prin participarea la manifestri tiinifice cu caracte5


6/153

internaional, prin articole publicate att n ar, ct i n strintate, precum i pferite edituri. Referirea bibliografiei se efectueaz folosind mnemonici construite din primele patru litere ale numelui primului autor urmate de ultimele dou cifre ale anului apariiei, incluse n paranteze drepte. Diferenierile n cadrul lucrriloceluiai autor, aprute n acelai an, se fac prin adugarea, la cifrele anului, a uneiin primele litere mici ale alfabetului. n anexe se afl: - lista variabilelor folosite n definirea de indicatori; - lista figurilor; - lista tabelelor; - lista de verificare un exemplu; - program de audit - model; - nota de neconformitate - model; - raport de audit model; - raport de audit intern exemplu; - organizaii, reglementri i standarde referitoare la auditul SI. Datorit faptului c o serie de concepe i termeni nu au o traducere unanim acceptat n comunitatea specialitilor din ara

str, pentru a nu introduce confuzii prin folosirea corespondenilor locali ai acestor concepte i termene, s-a preferat utilizarea denumirilor originale n limba englez. Lucrarea se adreseaz att specialitilor care dezvolt i implementeaz sisteme ince, ct i utilizatorilor acestor sisteme. n lucrare sunt mbinate concepte, definiiiodele, tehnici i metode care se regsesc n literatura de specialitate, cu unele rezultate originale obinute de autori de-a lungul mai multor ani de cercetare. Autorii sunt recunosctori tuturor celor care, prin observaii i sugestii, contribuie la mbntirea unei viitoare ediii a acestei lucrri.

6


7/153

1. SISTEME INFORMATICE COMPLEXITATE I COSTURISistemul informatic are menirea de a acoperi toate problemele agentului economic, de a crea interdependene ntre componente, astfel nct structurii fizice din sisteml ataat agentului economic i se suprapune o structur n plan informaional. Fluxurilode producie le corespund fluxuri informatice. Actorilor implicai n procese li se asociaz emitori i receptori de informaii cu niveluri diferite de prelucrare. Dezvolea direct de sisteme informatice se dovedete o ntreprindere riscant dac nu este prdat de activiti care au menirea de a impune o echip, o tehnologie unitar de analizsign, dezvoltare, implementare, exploatare i mentenan, aspecte care trebuie luate nconsiderare la efectuarea unui audit de sistem informatic. Sistemele informaticesunt construcii complexe, realizate pe parcursul mai multor ani, necesitnd: fondu

ri foarte mari, uriae n anumite cazuri; echipe complexe i stabile de analiti, desigeri, programatori i personal care se ocup de testare, implementare i mentenan; stairea obiectivelor; definirea unei strategii de dezvoltare, exploatare i mentenan; achiziionarea de echipamente, instrumente necesare realizrii de prelucrri, de conexiuni i dezvoltrii fluxurilor cu exteriorul; -calificarea personalului pentru utilizarea corect i eficient a sistemului. Complexitatea sistemelor informatice i durata,relativ mare, de realizare a acestora genereaz o serie de probleme care trebuie luate n considerare i soluionate astfel nct, n final, s se obin rezultatele scomul rnd, pe durata ciclului de dezvoltare a unui sistem informatic au loc schimbrin echipa managerial a beneficiarului. n cazul n care o nou echip managerial areiziune asupra indicatorilor7


8/153

agregai pe care i fundamenteaz deciziile, se produc modificri n specificaii, carmodificri ale structurii sistemului informatic. n al doilea rnd, noile tehnologiiinformatice care apar impun adaptarea din mers a echipei de dezvoltare a sistemului informatic. Se produc schimbri n abordarea instrumentelor de asistare, n utilizarea de opiuni. n final, o serie de componente se construiesc utiliznd noile resurse. Sistemul informatic devine neomogen din punctul de vedere al tehnologiilor dedezvoltare. n al treilea rnd, dezvoltarea companiei prin achiziionarea de noi echipamente, reorganizarea fluxului de producie, trecerea la realizarea de noi produse, introducerea elementelor de management total al calitii vin s influeneze calitatv i cantitativ structura i funciunile sistemului informatic. Problema achiziiilor ddate capt o alt dimensiune n cazul utilajelor cu comand program sau n cazul lini

de producie robotizate. n al patrulea rnd, pe durata mai multor ani, nsi echipa dgramatori, webdesigneri, testeri i implementatori sufer modificri. Diferii specialirentregesc echipa. Toate aceste fluctuaii se reflect n sistemul de lucru, n calita componentelor sau stadiilor sistemului informatic. n al cincilea rnd, mediul economic, legislaia i dinamica proceselor din societatea informaional conduc la evolucare trebuie reflectate n sistemul informatic. Modificrile unor algoritmi de calcul, necesitatea de a utiliza noi coeficieni, apariia unor schimburi de informaii ntrcompanie i instituiile publice ale statului trebuie reflectate, de asemenea, dinmers n sistemul informatic aflat n construcie. Toate aceste procese se deruleaz conomitent, producnd efecte conjugate, n timp ce obiectivul stabilit iniial, acela dea realiza un sistem informatic pentru managementul companiei, rmne nemodificat. Sunt situaii n care chiar condiiile privind termenele de predare rmn neschimbate. nl n care noile cerine conduc la creterea semnificativ a complexitii produsului fi

istemul informatic pentru management se impune creterea volumului investiiei pentru a suplimenta resursele necesare dezvoltrii unui volum mai mare de activiti. Creteea volumului de activiti care se deruleaz n paralel impune noi abordri la nivelul cepiei sistemului informatic.8


9/153

Un sistem informatic are n structura sa modulele de prelucrare MO1, MO2, .., MOn istructurile de date Str1, Str2, ..., Strm. Forma fizic a acestora este foarte variat depinznd de tehnica de dezvoltare utilizat. Se construiete matricea de corespoden Ann pentru module. Elementul aij = 1 dac modulul MOi este apelat de modulul MOj, iar n caz contrar aij = 0. Se construiete matricea Bmn pentru a stabili relaia modul date. Elementul bij = 1 dac modulul MOj folosete structura de date Stri, iar ncaz contrar bij = 0. Matricea Ann evideniaz referirile ntre module. Matricea Bmn evideniaz referirile de date de ctre module. Se evideniaz indicatorul Nrm numrul l referirilor de module, prin relaia:N rm = aiji =1 j =1 n n

Se calculeaz indicatorul Nrd numrul total al referirilor de date de ctre module prn relaia:

N rd =

bi =1 j =1

m

n

ijComplexitatea sistemului informatic CSI, n sens Halstead, este dat de relaia: CSI =Nrm log2 Nrm + Nrd log2 Nrd n cazul n care sunt luate n considerare modificrile ceapar pe durata ciclului de dezvoltare, procesul de realizare a sistemului capt uncaracter iterativ convergent. O iteraie k include toate procesele care se produc ntre dou modificri. Caracterul convergent vizeaz atingerea scopului iniial, simultancu reducerea efortului de includere a modificrilor, pe msur ce procesul de realizare a sistemului informatic se apropie de final.

9


10/153

k k Pentru fiecare iteraie k se definesc N rm , N rd , respectiv CSIk.

Dac se calculeaz:

k= CSIk CSIk-1,caracterul iterativ convergent vizeaz ca : irul 1, 2, ... L s fie un ir cu numrtermeni; 1 > 2> >L = 0.

n [BARO88] este stabilit o relaie ntre costul CO al sistemului informatic i compleatea acestuia, de forma:C O = e CSI + ,

unde , i sunt coeficienii estimai ai modelului. ntre productivitatea W a celorlaboreaz un sistem informatic i complexitatea acestuia exist relaia:

W= f(CSI)n [BARO88] relaia dintre complexitate i productivitate este de forma:

W = e CSI + ,unde , i sunt coeficienii estimai. Durata de realizare D a sistemului informatincie de complexitate i numrul salariailor, ns, este dat de relaia:

D = h(CSI, ns)Numrul de salariai ns, funcie de complexitatea sistemului i de durata de realizare

ste dat de relaia:ns = g(CSI1, D)10


11/153

Dac se iau n considerare iteraiile 1 i L ale procesului de elaborare a sistemului iformatic, pentru a menine acelai termen de predare la cheie, sunt estimate nivelurile:

n1 = g CSI 1 , D s n sLiar diferena: L1 = n sL n1 sL

( ) = g (CSL , D ) ,

reprezint sporul de salariai necesar asigurrii ncadrrii elaborrii sistemului info

c n termenul stabilit, chiar dac apar modificri n toate direciile care privesc sisul informatic respectiv. Realizarea unui sistem informatic are menirea de a sprijini actul decizional la toate nivelurile. Sporul de informaie, calitatea acesteia, promptitudinea cu care se obine sunt argumente puternice pentru a determina saltul calitativ pe care l presupune societatea bazat pe cunoatere. Din aceste considerente, implementarea unui sistem informatic trebuie s genereze efecte pozitive att pentru utilizatorii si, ct mai ales, pentru beneficiarii direci ai informaiei pucrate. Pentru a se obine acest deziderat, n procesul de elaborare este necesar aplicarea tuturor cerinelor privind managementul calitii sistemului informatic. De asemenea, este necesar s se realizeze auditul sistemului informatic pentru a se obinegarania c acesta realizeaz corect i complet prelucrrile pentru care a fost proiec, iar orice combinaie de date, alta dect cea corect i complet, este semnalat i ngeneratoare de efecte colaterale pe termen mediu i lung. n realizarea proceselor d

e auditarea dezvoltrii SI este necesar s se ia n considerare caracteristicile organizaiei pentru care se proiecteaz sistemul i, n primul rnd, stabilitatea organizazvoltarea SI se face n contextul evoluiei mediului economico-social. Dinamismul schimbrilor n cadrul organizaiilor, indiferent de dimensiunea acestora, impune adaptarea metodelor de dezvoltare a SI la noile condiii sau apariia unor concepte i metode noi de dezvoltare a SI.11


12/153

Organizaiile n dezvoltare, denumite n limba englez, organizaii emergente, sunt orgzaiile a cror constant o constituie ncercarea continu de adaptare la mediile n scre, dar care nu ating niciodat stabilitatea pentru care acioneaz. Acest tip de organizaii este foarte diferit de cele stabile. Din cauza ipotezelor fundamental diferite privind realitatea i dezvoltarea SI, procesele de proiectare a SI pentru organizaii stabile, respectiv emergente, sunt diferite. De fapt obiectivele celor dou procese sunt contradictorii [ALAT03]. Dezvoltarea SI pentru organizaii stabile are n vedere urmtoarele obiective [ALAT03]: - avantajele economice ale unei analizeamnunite; - satisfacia utilizatorilor; - cerine abstracte; - specificaii completeipsite de ambiguiti. Obiectivele propuse pentru dezvoltarea SI destinate organizaiilor emergente sunt urmtoarele: - analiza dinamic; - negocierea cerinelor dinamice;

- specificaii utile ambigue i incomplete; - redezvoltare continu. Printre metodeleutilizate n dezvoltarea SI pentru organizaiile emergente se numr: modelarea conceptal i evaluarea utilitii i utilizabilitii. Modelarea conceptual la reproiectareaor sistemului, iar evalurile utilizabilitii pot fi vzute ca o form de analiz refela analiza permanent care necesit a fi aplicat organizaiilor emergente. Analizele ublicate n literatura de specialitate i unele cercetri ale autorilor demonstreaz cadrul SI sunt ntotdeauna necesare schimbri, aspect care se ia n considerare la auditarea SI.

12


13/153

2. CONSTRUIREA DE MODELE I STABILIREA DE LIMITESistemele informatice complexe presupun stocarea de informaii privind un numr r deentiti E1, E2, ..., Er. Pentru fiecare element al entitii este definit un set de curi de descriere. Experiena designerilor conduce la descrieri complete care nu mai trebuie mbuntite ulterior. Numrul de entiti depinde de profunzimea procesului iz n a identifica grade de omogenitate i criterii de alctuire a colectivitilor. Cuirea modelelor reprezint o etap deosebit de important. Stabilirea variabilelor precum: Ni numrul de componente ale entitii Ei; NCi numrul de cmpuri cu care se ic factorii care definesc elementele entitii Ei; xijk nivelul cmpului cu poziia jru ablonul de descriere aparinnd elementului k din entitatea Ei. i identificarea codiiilor pe care trebuie s le ndeplineasc datele culese pentru a iniializa cmpul x

eprezint o etap esenial n nelegerea particularitilor companiei pentru care se istemul informatic. Pentru datele care sunt introduse n bazele de date se definetelimita inferioar, LINF, respectiv limita superioar, LSUP. Astfel, pentru toate cmpurile se construiesc inegalitile duble. LINFijk xijk LSUPijk Pentru stabilirea ceor dou tipuri de limite sunt definite ipoteze de lucru unanim acceptate. De exemplu, pentru consumul casnic de gaze este luat n considerare debitul De pe or, asociat conductei de intrare n locuin. Presiunea considerat este de nivel maxim, Pmax. Pntru un interval de timp TG exprimat n numr de ore, consumul maxim, Cmax, este datde relaia: Cmax = TG*De13


14/153

Consumul minim este zero. Rezult c nivelul consumului de gaze CGgijk respect inegalitatea dubl: 0 CGijk TG*Deik. Absena indicelui j se justific prin nominalizarea cui cu identificator propriu CG. Absena acestor limite de intervale genereaz situaiidintre cele mai bizare, care includ pentru efectuarea de calcule, unele valoriaberante. Este cunoscut cazul unui cetean dintr-o comun vlcean cruia i s-a montatrs un contor de ap, fiind pus s plteasc pentru un consum astronomic. De asemenea, ntrebuie uitat nici posesoarea unui apartament de bloc care s-a trezit pltind un impozit cu mult mai mare dect al vecinilor de la celelalte etaje, ntruct apartamentul su, n mod eronat, a fost nscris cu o suprafa mai mare. Tot astfel de consideraifac i pentru consumatorii de electricitate care primesc facturi cu o valoare de cel puin 100 de ori mai mare. Chiar i cazul calculului eronat al unor pensii, care

a generat numeroase procese, i a fcut istorie, fiind finalizat cu o scutire a plii nor datorii, trebuie dat ca exemplu ce nu trebuie urmat, privind neglijena cu care au fost stabilite limitele. Un sistem informatic conduce la realizarea unui salt calitativ. Permite fundamentarea deciziilor n cunotiin de cauz. El nu nlocuiecu altceva. El este cu totul altceva, att pentru executant, ct i pentru decideni, ndiferent de nivelul la care se afl acetia. Cu o condiie, s fie construit ca instruent orientat spre management i nu ca un auxiliar care dezvolt aparatul birocratic.Existena limitelor de variaie are menirea de a filtra datele, iar la semnalizareaunor valori n afara intervalului se impune verificarea la faa locului i corectareasituaiei de fapt, fie din punct de vedere tehnic, fie din punct de vedere scriptic sau informatic. n dezvoltarea unui sistem informatic trebuie s se porneasc de laexperiena acumulat. n primul rnd, compania pentru care se elaboreaz sistemul esteun profil, de o dimensiune i de o complexitate asemntoare cu alte companii. nseamn

ea nu trebuie tratat ca un caz special, asemenea unei opere de art unicat, pentrucare totul este nou n a crea un produs original. ncadrarea companiei ntr-o anumit gup are drept consecin identificarea companiilor asemntoare i stabilirea elementelcomparaie pentru a obine un cost estimat, durata de realizare i, mai ales, eficienpe care o aduce proiectarea, realizarea i implementarea unui sistem informatic pentru management.14


15/153

n al doilea rnd, unei companii obinuite, aparinnd unei anumite clase, i se va realun sistem informatic adecvat, n concordan cu caracteristicile clasei. Complexitatea unui astfel de sistem nu depete semnificativ complexitatea medie a sistemelor informatice pentru companiile din aceeai categorie. n al treilea rnd, prin utilizareade prototipuri, impuse de instrumentele de asistare pentru funciile de baz ale companiei, ntregul proces de analiz proiectare programare testare implementare cent industrial, de rutin. n al patrulea rnd, existena procedurilor pentru derulartivitilor din companie definete fluxuri, stabilete condiii i orienteaz dezvoltatsisteme informatice spre care direcie s orienteze demersul su pentru a obine un sitem informatic modern, operaional i eficient. n al cincilea rnd, existena unei gamargi de modele, de tehnici de construire i de metode de msurare conduc la a stabil

i care este modelul cel mai potrivit. n al aselea rnd, regulile de asigurare a unuimanagement al calitii sistemului informatic, odat cunoscute, trebuie aplicate n aclai fel. nseamn c noul sistem este tratat din punct de vedere al managementului caltii ca oricare alt produs din aceeai clas de complexitate. n al aptelea rnd, toaurile asociate procesului de dezvoltare a sistemului informatic au niveluri carenu difer semnificativ de nivelurile riscurilor corespunztoare sistemelor similare. Echipa care dezvolt un sistem informatic urmrete cel mult s scad nivelurile de r, ceea ce conduce la creterea volumului de resurse, prin introducerea de noi proceduri. Ca n orice meserie i n cazul dezvoltrii de sisteme informatice se aplic reigure pentru reducerea diferitelor categorii de riscuri. n al optulea rnd, sistemul informatic, n integritatea lui, trebuie s fie un automat finit. Alfabetul de intrare, matricea de transfer i outputurile se definesc riguros. Orice ambiguitate are menirea de a determina punerea n coresponden a elementelor altfel dect o cer pro

esele care se deruleaz n companie. Mai ru, prin generarea de simboluri care nu aparn alfabetului, sistemul informatic devine automat stochastic, cu toate consecinele negative care se imagineaz. Concepia sistemului informatic are caracter unitar,urmrete un obiectiv unic i, prin modul de structurare, prin resursele alocate, se constituie ca un demers realist i, mai ales, realizabil.

15


16/153

3. REALIZAREA I MSURAREA CONCORDANEIO companie, oricare ar fi ea, este o suprapunere de sisteme. Primul sistem estecel al echipamentelor dispuse ntr-o anumit ordine pentru a dezvolta operaiile de prelucrare specifice unei tehnologii. Al doilea sistem este cel al materiilor prime care fac obiectul prelucrrilor prin trecerea de la un echipament la altul. Asupra lor se execut operaiile de prelucrare, rezultnd transformri. Al treilea sistem ete acela de comand a execuiei, care include persoane calificate i, ntr-o msur maiau mai mare, roboi cu grade diferite de flexibilitate n aciune i decizie. Al patrula sistem este sistemul energetic care are menirea de a pune n micare utilajele i dea crea condiii optime persoanelor pentru a executa operaii. Al cincilea sistem este sistemul informaional. Rolul su este determinant, ntruct fluxurile informaional

u menirea de a declana funcionarea utilajelor, generarea fluxurilor materiale, creaz comunicarea dintre persoane. mpreun cu sistemul energetic controleaz toate etapee unui ciclu de producie. ntre cele cinci sisteme care alctuiesc compania trebuie sexiste oricnd o concordan perfect. Primele patru sisteme, n mod obiectiv, sunt reaate i exist avnd o concordan real ntre scop i mijloacele de atingere a scopuluieconcordan produce efecte negative i, din acest considerent, din procesul de proiectare sistemele sunt concepute astfel nct s se minimizeze neconcordanele. Aa se expdimensionarea echipamentelor pentru a efectua operaii de prelucrare n condiii de siguran. Proiectarea unui echipament presupune dispozitiv de tiere, de msurare, de diijare, de control. Sunt create sisteme de pornire, de oprire, de protecie i de supraveghere. Toate acestea exist, au form material caracterizat prin dimensiune, volu, poziionare spaial. Acionarea produce efecte vizibile direct, precum: msurare, tlipire,

16


17/153

ajustare, asamblare, vopsire, amestecare, coacere etc. Pentru utilaj sunt definite operaii a cror caracterizare este precis. Sistemul materiilor prime, de asemenea, este compus din stocuri, din fluxuri n care componentele sunt descrise prin calitate, cantitate, form, dimensiune. Interaciunea sistemului materiilor prime cu utilajele determin transformri asupra materialelor. Astfel, o bar devine uruburi, piuie sau aibe. Sistemul energetic are menirea de a pune n micare echipamentele care pelucreaz materiile prime. Interaciunea dintre echipamente, materii prime i energiedefinete o tehnologie. Persoanele au menirea de a interaciona cu echipamentele, cumateriile prime i realizeaz conectarea echipamentelor la energie, determinnd, astfel, derularea de procese pe baz de tehnologii. Sistemul informaional este singurulcare nu are form vizibil, care nu are fluxuri impuse, iar efectele vizibile sunt

cele negative, efectele pozitive fiind asociate n mod natural echipei care dezvolt managementul companiei. Dac obiectul companiei este de a realiza nclminte, toatipamentele care alctuiesc liniile de producie efectueaz operaii specifice tehnologilor de realizare a nclmintei. Sistemul materiilor prime este i el realizat n concu obiectivul i cu cerinele sistemului de echipamente. Dac echipamentele sunt destinate prelucrrii pielei naturale, stocurile vor conine piele natural i niciodat nlori. Calificarea persoanelor care alctuiesc sistemul forei de munc se realizeaz pentu a mnui materiile prime i pentru a executa operaii pe echipamentele din cele dou ssteme existente n companie, concordana fiind necesar pentru exploatarea corect a ecipamentelor i pentru a nu produce rebuturi. n cazul sistemului energetic, concordana se realizeaz de la proiectare, cunoscut fiind aciunea devastatoare a existenei oncordanei dintre caracteristicile sistemului la intrarea n echipamente i caracteristicile cu care echipamentele au fost nzestrate. i n cazul sistemului informaional

ste necesar existena unei concordane. n mod firesc, o tehnologie se conecteaz prino linie de echipamente care este nsoit de software pentru sistemul informatic la cheie.17


18/153

Caracterul local, particular al oricrui sistem informatic este dat de: - legislaiarii unde se implementeaz tehnologia; - structurile documentelor; - stadiul informatizrii sistemului financiar-bancar; - diferenele prin care se dezvolt comunicarea nre agenii economici, fiecare avnd sistemul lui informatic original; - nivelul de dezvoltare a managemetului companiei; - resursele financiare de care dispune compania pentru a investi n informatic; - strategia companiei de a acorda informaiei rolul de motor spre progresul ei nsi. Sistemul informaional trebuie s fie i el n cn cu obiectivul companiei, cu sistemul echipamentelor, cu sistemul materiilor prime, cu sistemul energetic i, mai ales, cu sistemul forei de munc. Neconcordanele dinre sistemul informaional i celelalte sisteme creaz probleme n principal prin neutilzarea resurselor la nivelurile pentru care au fost proiectate. Acest mod de a re

aliza concordana explic de ce aceleai echipamente, aceleai materii prime, aceleai sumuri energetice, aceleai persoane au performane diferite, n funcie de context. Coceptul de context include nsi sistemul informaional ca expresie a cerinelor managetului distribuit pe nivelurile de structurare a companiei. Dezvoltarea unui moddinamic de a derula procese i de a fundamenta decizii, depinde de numeroi factori,dintre care cei care definesc persoanele, calitile i defectele acestora, au o pondere nsemnat. n primul rnd, concordana dintre sistemul informaional i celelalte sntre care exist deja concordan de natur obiectiv, se realizeaz prin definirea dri de informaie, concretizate prin mesaje comensurate direct sau prin documente care urmresc fluxurile de producie, specifice echipamentelor i materiilor prime careprin transformri devin repere, subansambluri i, n final, produse finite. n al doila rnd, concordana se realizeaz prin stabilirea de puncte de preluare a mesajelor care reflect activiti efectuate, operaii executate, stadii, stri ale echipamentelor

ebuie realizat un echilibru ntre numrul emitorilor poteniali i capacitatea de prea mesajelor n vederea prelucrrii. n al treilea rnd trebuie stabilite procedurile dprelucrare a mesajelor. Aceste proceduri trebuie s fie complete, n sensul lurii n onsiderare a tuturor tipologiilor de mesaje care se constituie ca intrri pentru algoritmii de prelucrare. Procedurile de prelucrare au un nivel de18


19/153

complexitate deosebit de ridicat, limitnd elementele care introduc riscuri n derularea proceselor decizionale. n al patrulea rnd, concordana sistemului informaional ste obinut din modul n care abaterile din procesul tehnologic sunt corectate prin decizii luate rapid. Este vorba de viteza de reacie pe care o asigur managementul prin canalele informaionale. n al cincilea rnd, concordana dintre sistemul informail i celelalte sisteme este dezvoltat odat cu definirea unor modaliti de culegere amat a datelor i prin utilizarea unor algoritmi bazai pe eantionarea datelor din volme foarte mari de date. Trecerea de la sistemele n care sunt nregistrate cantiti, vlori, durate, la sistemele care preiau momente de start i de ncheiere a unor activiti sau de definire a strilor, asigur saltul calitativ de la tratarea calitativ a portamentului de producie care este compania. n al aselea rnd, concordana se asigu

iminnd elementele subiective, dictate de tradiionalismul, de rutina specific unui mod nvechit de tratare a informaiei, nici ca materie prim, nici ca produs finit, nici ca purttor de valoare, ci pur i simplu ca mesaj auxiliar, opional n derularea proeselor, care oricum se deruleaz i fr schimb de mesaje, ci numai prin schimburi de smne sau numai prin schimburi de simboluri. Abordarea modern impune o schimbare profund la nivelul transferului de mesaje. Mesajul ca orice fel de produs este generat ntr-un interval de timp, urmeaz o traiectorie precis i genereaz, la momente demp date, aciuni i noi mesaje. Sistemul informaional devine o component de sine stte a companiei care se definete prin toate dimensiunile pe care le au toate celelalte sisteme care compun compania. n al aptelea rnd, sistemului informaional i se asciaz costuri. Sunt costurile de definire, costurile de funcionare. La rndul su, priefectele pe care le genereaz mesajele definite n sistem genereaz costuri. Diferenee de costuri dau ponderea eficienei circulaiei informaiilor n companie. Apar situa

care costul informaiei se stabilete direct, o dat cu el se obine fie nivelul de prfit, fie nivelul pierderilor. Informaia din companie are natur economic asemenea celorlalte sisteme care prin consumuri genereaz, pe de o parte, cheltuieli i pe de alt parte, prin modul de valorificare a produselor sau serviciilor, genereaz profit, dac piaa recunoate aceste rezultate sau pierderi. A privi sistemul informaional -o19


20/153

alt abordare, nseamn a crea o component la nivelul companiei care frneaz evoluiaia, distrugnd-o. n al optulea rnd, concordana sistemului informaional este o proble timp. Concordana se dobndete, se menine, dar se i pierde cu mare uurin atunciun decalaj ntre dinamica proceselor de producie i dinamica mesajelor care circul ompanie. Noilor moduri de organizare a produciei trebuie s le corespund modaliti avate de culegere, prelucrare i transmitere a informaiei. Concordana are un caracterglobal i include n aceeai msur i cu aceeai intensitate toate cele cinci sistemempaniei. Ea este o caracteristic pentru a asigura normalitatea derulrii tuturor proceselor din companie, ncepnd cu planificarea, continund cu aprovizionarea, produci, desfacerea i ncheind cu reflectarea n plan financiar - contabil a tuturor transformrilor i transferului, respectiv, cu toate deciziile echipei manageriale. Absena c

oncordanei, mai ales n plan informaional, creeaz decalaje care presupun luarea de dcizii bazate pe un minus de informaie. n plus, scderea acurateei informaiei transfseturile de mesaje n mesaje incomplete, cu efecte directe asupra creterii ponderiideciziilor bazate pe incertitudine. Devin frecvente situaiile n care decizii de rutin se transform n decizii luate la nivelurile superioare ale echipei manageriale,n concordan cu capacitatea de asumare a riscurilor generate de incompletitudinea informaiei furnizate de un sistem informaional neconcordant. Din aceste considerent, auditarea unui sistem informatic dezvoltat pentru o organizaie va avea n vedereexistena concordanei ntre subsisteme. n final, pentru certificarea sistemului inforatic, trebuie ca nivelurile planificate ale caracteristicilor de calitate s fie mai mari sau egale dect nivelurile reale. n activitatea de informatic aplicat trebuiparcurse pe lng etapele ciclului de dezvoltare, o serie de activiti care au menirede a stabili c produsul program, baza de date, interfaa web sau oricare alte comp

onente, este exact ceea ce trebuie. Aceste activiti au menirea de a stabili c existconcordan ntre ceea ce s-a planificat i produsul finit existent. Faptul c activitnt derulate de persoane aparinnd unor organisme independente, reprezint garania c oartele consemneaz diferenele reale dintre proiect i produs.20


21/153

Auditarea reprezint o activitate deosebit de important pentru companiile care realizeaz sisteme informatice, ntruct rezultatele procesului de auditare se constituie baz pentru fundamentarea deciziilor pe termen lung privind politicile companiei.Certificarea echipelor, companiilor, persoanelor, produselor informatice, evideniaz capacitatea de a derula procese, tranzacii, capacitate care trebuie s se manifste ori de cte ori se dezvolt un produs, prin respectarea standardelor, prin utilizarea tehnicilor, modelelor i instrumentelor adecvate. Toate elementele converg spre obinerea de produse i servicii de calitate. Exist o important deosebire ntre cce se dorete i ceea ce se efectueaz, se obine i se utilizeaz n activitatea econzi cu zi. Garantarea calitii este un concept de mare importan, complexitate i dinaExistena unei mrci este fundamentat pe existena unei conduite, pe definirea de pro

eduri restrictive, calificarea continu a persoanelor pe existena unui management suficient al calitii i pe formarea contiinei orientate spre calitate. Indiferent dentextul n care o companie ce dezvolt sisteme informatice i desfoar activitatea, tea informaional, n stadiul artat, impune ca dezvoltarea de sisteme informatice s ereze un efect de antrenare multipl, n direcia pozitiv, a evoluiei gradului de satacie nregistrat de utilizatorul final.

21


22/153

4. OBIECTUL AUDITULUI PENTRU SISTEME INFORMATICEAuditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale. n cadrul unei misiuni deaudit a sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile i testrile mijloacelor informaionale, astfel[BRN04]: - identificarea i evaluareascurilor din sistem; - evaluarea i testarea controlului din sistem; - verificareai evaluarea fizic a mediului informaional; - verificarea i evaluarea administrriistemului informatic; - verificarea i evaluarea aplicailor informatice; - verificarea i evaluarea securitii reelelor de calculatoare; - verificarea i evaluarea planu

or i procedurilor de recuperare n caz de dezastre i continuare a activitii; - testa integritii datelor. Auditul informatic reprezint o form esenial prin care se vedac un SI i atinge obiectivul pentru care a fost elaborat. Standardele definesc cladomeniul, activitile, etapele, coninutul auditrii i formele de finalizare. Respeccerinele standardelor, rezultatul procesului de auditare informatic este eliberatde riscurile contestrii. Auditul informatic reprezint un domeniu cuprinztor n care unt incluse toate activitile de auditare pentru : specificaii, proiecte, software,baze de date, procesele specifice ciclului de via ale unui program, ale unei aplicaii informatice, ale unui sistem informatic pentru management i ale unui portal demaxim complexitate, asociat unei organizaii virtuale. n domeniul informatic exist ai multe direcii de dezvoltare a auditului.22


23/153

Auditarea software const n activiti prin care se evideniaz gradul de concordan ecificaii i programul elaborat. Auditul software d msura siguranei pe care trebuieaib utilizatorul de programe atunci cnd obine rezultate. Sigurana se refer la coritudinea i completitudinea rezultatelor finale atunci cnd datele de intrare sunt,de asemenea, corecte i complete. Auditul bazelor de date, este un domeniu de maxim complexitate avnd n vedere c, de regul, lucrul cu bazele de date presupune att e ca atare nsoite de relaiile create ntre ele, ct i programele cu care datele se oneaz. De aceea se impune efectuarea unei reparri. Auditul datelor vizeaz definireaacelor elemente prin care se stabilete msura n care datele stocate ndeplinesc cerile de calitate: corectitudine, completitudine, omogenitate, comprehensibilitate,temporalitate, reproductibilitate. Pentru fiecare caracteristic exist o metric ela

borat, iar auditorul de date trebuie s evalueze nivelul atins de caracteristic, pentru setul de date supus auditrii. n final, auditorul de date certific faptul c datee stocate n baze de date constituie intrri valabile pentru a obine rezultate corecte. n cazul auditrii riscului de gestiune a datelor stocate n baze de date se verific dac: - programele refer corect cmpurile cu date stocate; - operaiile de prelucrasunt cele din specificaii; - agregrile, sortrile, evalurile de expresii de extragera subseturilor de date sunt n concordan cu specificaiile de obinere a rezultateloa structur, dimensiune i coninut. Auditul sistemelor informatice evalueaz riscurileunui mediu informatic sau ale unei aplicaii informatice, ca de exemplu calculul salariilor sau facturarea. Aceste misiuni se realizeaz alegnd, mpreun cu clientul, pocesul de evaluare. Auditul informatic se poate referi la evaluarea riscurilor informatice ale securitii fizice, securitatea logic, managementul schimbrilor, planude asisten etc. n cazul general, auditul informatic se refer la un ansamblu de pro

ese informatice pentru a rspunde la o cerere precis a clientului. De exemplu, aprecierea disponibilitii informaiilor i a sistemului. n acest caz se controleaz carere procesele informatice rspund cel mai eficient la o asemenea cerere. n cazul disponibilitii, de exemplu, securitatea fizic i planul de continuitate.23


24/153

Auditul informatic poate, de asemenea, s evalueze aspecte strategice sau referitoare la calitatea sistemelor informatice. De exemplu, s verifice dac sistemul informatic al ntreprinderii rspunde n mod eficient la nevoile funciilor serviciului. Audtul mediului informatic se execut pentru a evalua riscurile sistemelor informatice necesare funcionrii aplicaiilor. De exemplu: securitatea fizic, securitatea logicsecuritatea reelelor, plan de salvare. n urma auditrii, se ntocmete un raport n cunt prezentate punctele slabe, nivelul de risc al acestora i msurile corective propuse. Analistul informatic are la dispoziie numeroase tehnici i metode pe care leadapteaz contextului. ntr-un fel este auditat un program de calcul statistic sau de optimizare i altfel este auditat o aplicaie care utilizeaz o baz de date. Pentrusistem informatic complex exist metode adecvate de auditare, iar pentru aplicaiil

e web accentul auditrii este pus pe gradul de satisfacie a grupului int. Aplicaiilobile au fundamente de auditare n care accentul este pus pe asigurarea continuitii,compatibilitii, accesibilitii rapide la resurse i, mai ales, asupra nivelului atide asigurarea securitii fluxurilor din ntregul sistem. De aceea, n cadrul procesulude audit informatic, planificarea i definirea metodei de audit este esenial. Alegerea unei metode neadecvate conduce la utilizarea de instrumente neadecvate, iarrezultatele auditului au caracter speculativ. Alegerea metodei presupune obinereaunor informaii privind contextul n care se deruleaz procesele legate de produsul software, de aplicaia informatic sau de sistemul informatic, obiecte ale auditrii. Auditul este, prin complexitatea sa, o activitate n care sunt luate n analiz legturie, implicaiile pe care le genereaz produsul software, aplicaia informatic sau sisteul informatic ntre dezvoltator - compania de software i utilizator. Raporturile trebuie privite din punct de vedere tehnic, financiar i juridic. Aspectul tehnic pr

ivete date de interior, algoritmi, rezultate, resurse folosite. Aspectul financiar vizeaz costul estimat al produsului software, aplicaie, sistem informatic i costul efectiv, modul n care s-au efectuat plile. Caracterul juridic al abordrii vizeazligaiile contractuale i legislaia din domeniul informatic. Toate aceste elemente conduc la stabilirea unor proceduri preliminare prin care sunt definite direciile de analiz, gradul de semnificaie pe care procesul de audit informatic l ofer i riscle ca unele24


25/153

concluzii s fie infirmate de practica derulrii proceselor de utilizare curent a produsului software, a aplicaiei informatice sau a sistemului informatic n integralitatea lui. Pentru a realiza auditul informatic se definete planul de audit generali programul de audit. Structura planului i definirea programului sunt standard, presupunnd parcurgerea unor pai obligatorii. Specificitatea produsului software, aaplicaiei informatice sau a sistemului informatic i complexitatea acestora, determin efectuarea unor detalieri care difer de la un plan general la altul, respectivde la un program de audit informatic la altul. Sarcinile care se includ n plan, ealonarea etapelor din program au elemente de variabilitate legate strict de structura i de diversitatea produselor informatice analizate. Standardele de auditareinclud suficiente elemente astfel nct planul general i programul de audit s fie rig

roase, fr ambiguiti i, mai ales, operaionale. nainte de a se trece la auditul inc propriu-zis, datorit eforturilor ridicate de derulare i, mai ales, datorit riscurilor ca reproductibilitatea procesului de audit s fie afectat chiar de schimbrile care au loc n produsele informatice auditate, trebuie efectuate teste asupra mecanismelor de control i a mecanismelor de testare pe teste surs, pe specificaii, pe diagrame, pe documentaii, pe structuri de rezultate. Pentru a obine o reducere a nivelului estimat pentru riscul erorilor de analiz/control a produsului informatic nprocesul de audit, printr-un proces iterativ se procedeaz la efectuarea de coreciiasupra modalitilor n care se includ procedee tehnice, metode, modele de analiz/conrol a produselor informatice. Procesul iterativ se ntrerupe atunci cnd estimarea probabilitii ca rezultatele auditrii informatice s fie afectate de erori a atins un rag acceptabil. Auditul propriu-zis include proceduri analitice, teste, prin care se evideniaz diferenele dintre ceea ce s-a planificat a se realiza i ceea ce s-a

ealizat. Procedurile analitice au la baz contractele ncheiate ntre pri, minutele cdetaliaz obiective, sarcinile ce revin partenerilor, specificaiile. Auditorul tehnic trebuie s ierarhizeze informaiile astfel nct s identifice punctele cheie care inesc procesul de analiz, proiectare, dezvoltare, testare, implementare a produsului informatic, fie c este vorba de un simplu program, fie c este vorba de o aplicaie informatic desktop sau n reea, fie c este vorba de un sistem informatic care vaz ntreaga activitate a unei organizaii.25


26/153

Toate procedurile analitice i textele de detaliere aplicate modulelor, programelor i sistemelor de programe, au menirea de a evidenia comportamentul, pas cu pas, asecvenelor de program. n cazul n care auditorul informatic are la baz pregtire deogramator, tie s aleag din multitudinea de proceduri i texte cu caracter analitic, e acelea care ofer informaia reprezentativ privind produsul software auditat, fie ceste vorba de un modul, fie c este vorba de un sistem complex. Efortul de auditare este ridicat indiferent de complexitatea produsului auditat. Auditul se ncheiecu raport care are la baz o serie de verificri ale intercondiionrilor dintre moduledintre programe, respectiv dintre subsistemele sistemului informatic, pentru momentul t, considerat baz. Se verific modul de producere a evenimentelor care suntconcretizate prin succesiuni de prelucrri, corespunztoare momentului t + 1. n acest

fel, produsul informatic, proiectat pentru derularea unor seturi de prelucrri, este analizat innd cont tocmai de succesiunea prelucrrilor. Auditul informatic are la baz nregistrri privind structura software, structura bazei de date, nregistrri alungimilor, volumului, complexitii i nregistrri complete asupra comportamentului pul execuiei. n cazul n care exist seturi de date cu care au fost testate produse iformatice din aceeai clas cu produsul auditat acum, se colecteaz serii de date privind comportamentul produsului pentru a fi comparat cu produsele deja existente.Cnd nu exist date, sunt generate i testarea produsului se realizeaz simultan cu prouse din aceeai clas, tocmai pentru a efectua analize i pentru a compara produsele informatice. Seriile de date se constituie n baze de redactare a raportului de auditare. De cele mai multe ori, auditul informatic este cerut ca soluie final, imparial, pentru a justifica ipotezele unei pri contractante, fie c este vorba de cumpre software, fie c este vorba de beneficiar, cnd acetia cred n dreptatea lor absolut

general, auditul este descris ca Examinarea independent a nregistrrilor i a altor nformaii n scopul formrii unei opinii referitoare la integritatea sistemului controalelor i mbuntirea controalelor recomandate pentru limitarea riscurilor. Definiiae termeni semnificativi ca [HINS05]: - examinare; auditiarea implic culegerea i evaluarea informaiilor factuale din surse variate; este important ca rezultatele procesului de auditare (raportul primar de audit care conine recomandri pentru26


27/153

mbuntirea controalelor) s fie urmrit pn la sursele de informaii valide; - indeditorii nu sunt implicai direct n operaii sau n managementul funciei care se auditsubordonarea lor trebuie s le asigure exprimarea liber a opiniilor; - nregistrri lte informaii; termenii includ ceea ce adeseori sunt numite inregistrri de audit; aditorii trebuie s se refere la informaii privind procesul afacerii i sistemele aflate n revizii aa cum sunt formele complete de intrri de date, rapoarte generate de sistem i, bineneles, personalul implicat n desfurarea sau conducerea proceselor afi auditate; - opinie; auditorii furnizeaz att fapte obiective ct i opinii subiectivpe o situaie dat; dei subiective, opiniile lor sunt bazate pe interpretarea faptelor i sunt deschise discuiilor; se poate s nu se fie de accord cu aceste opinii, dartrebuie purtat o discuie complet i sincer; - integritate; termenul integritate in

de completitudine, acuratee i credibilitate; un control al unui sistem care este numai parial efectiv poate fi mai bun dect nimic, sau poate da un sens fals de securitate; auditorul va lua n considerare ambele ci; - recomandare; auditorii genereaz recomandri, dar nu au autoritatea nici s implementeze schimbrile sugerate, nici smpun managementului s fac schimbri; mbuntirile se obin numai printr-un proces e, justificare i persuasiune, explicnd riscurile reprezentate de punctele slabe constatate n SI n urma auditrii, justificnd nevoia de schimbare n cadrul procesului u sistemului i sugernd managementului necesitatea alocrii unor resurse i luarea de uri pentru gestionarea riscurilor; - mbuntirea controalelor; mbuntirea sistemultrol nseamn, n general, adugarea controalelor care lipsesc; sunt foarte rare cazurie n care auditorii pot recomanda eliminarea unor controale, n general, din cauz c ee sunt ineficiente, distrugtoare sau costisitoare; - limite; ricurile i erorile pot fi reduse, dar nu pot fi complet eliminate; o bun activitate implic minimizarea

riscurilor cu cheltuieli eficiente i pregtirea pentru aciune n cel mai ru caz posicare s-ar putea produce (planificare pentru aciuni n caz de dezastre); - risc; posibilitatea ca ceva s se desfoare ntr-o direcie nefavorabil; formal, riscul este ilitatea combinrii ameninrilor27


28/153

cauzate fie de cineva cu intenii rele, fie din neglijen sau incompeten, acionnd vulnerabilitilor sistemului; vulnerabilitile sunt punctele slabe ale sistemului carapar, n general, din cauza lipsei controalelor n sisteme de calcul i n proceduri doperare; manifestarea riscurilor poate genera, n anumite SI, rezultate catastrofale. Din alt punct de vedere auditul informatic este mecanismul de examinare a eficienei organizaiilor, sistemelor, proceselor riscurilor i controalelor. Auditurile dau posibilitatea managementului s: - descopere ceea ce se ntmpl n realitate la moment dat; - depisteze problemee poteniale nainte de a fi prea trziu pentru remediere; - evalueze n mod obiectiv situaia afacerii; - accepte realitatea i s ia, n cuin de cauz, decizii chiar dac sunt dificile; - implementeze aciuni corective, schii mbuntiri acolo unde este necesar. Auditul nu se refer numai la conformitate. M

audituri includ un element de control privind conformitatea cu politica/standardele/procedurile interne ale companiei sau cu legi, reguli i termeni contractualiexterni, dar conformitatea este activitatea zilnic a managementului. Auditorii experimentai controleaz dac procesele de management pentru realizarea i evaluarea conormitii sunt eficiente, care reguli sunt potrivite i suficiente pentru SI auditat.Auditorii sesizeaz mai mult absena conformitii i nu att de mult cutarea simptomeblemelor n adncime. Organizaiile de audit n SI au ci diferite de desfurare a audiar auditorii au metodele lor preferate de lucru. Amploarea unui audit informatic presupune realizarea n mod normal, a unei balane ntre cantitate, referitor la numrul subsistemelor din compunerea unui SI care se auditeaz i calitate, nsemnnd nivl de detaliere la care se auditeaz subsistemele selectate. Resursele auditului SIsunt direcionate, n primul rnd, ctre zonele cu grad ridicat de risc. Aplicaiile uizate n zonele critice ale afacerii se recomand s fie revizuite anual. Zonele cu ni

vel de risc mai sczut pot fi auditate la intervale mai mari, n general odat la treiani, imediat dup un incident sau cnd se consider necesar de ctre echipa managerial28


29/153

Principalele tipuri de audit informatic sunt [HINS05]: - auditul sistemului operaional de calcul; revizia controalelor sistemelor operaionale de calcul i reelelor,la diferite niveluri; de exemplu, reea, sistem de operare, software de aplicaie, baze de date, controale logice/procedurale, controale preventive/detective/corective etc; - auditul instalaiilor IT; include aspecte cum sunt securitatea fizic, controalele mediului de lucru, sistemele de management i echipamentele IT; - auditul sistemelor aflate n dezvoltare; acoper unul sau ambele aspecte: (1) controalelemanagementului proiectului i (2) specificaiile, dezvoltarea, testarea, implementarea i operarea controalelor tehnice i procedurale, incluznd controalele securitii tice i controalele referitoare la procesul afacerii; - auditul managementului IT;include: revizia organizaiei, structurii, strategiei, planificrii muncii, planificr

ii resurselor, stabilirii bugetului, controlul costurilor etc.; n unele cazuri, aceste aspecte pot fi auditate de ctre auditorii financiari i operaionali, lsnd audrilor informaticieni mai mult aspectele tehnologice; - auditul procesului IT; revederea proceselor care au loc n cadrul IT cum sunt dezvoltarea aplicaiei, testarea, implementarea, operaiile, mentenana, gestionarea incidentelor; - auditul managementului schimbrilor; revizia planificrii i controlului schimbrilor la sisteme, re, aplicaii, procese, facilitai etc., incluznd managementul configuraiei, controlul odului de la dezvoltare, prin testare, la producie i managementul schimbrilor produse n organizaie ca rezultat al ICT; - auditul controlului i securitii informaiilovizia controalelor referitoare la confidenialitatea, integritatea i disponibilitatea sistemelor i datelor; - auditul conformitii cu legalitatea; copyright, conformitate cu legislaia, protecia datelor personale; - auditul accidentelor dezastruoase/planificrii continuitii afacerii/refacerii dup dezastre; reviziile msurilor propus

entru restaurarea dup un dezastru care afecteaz sistemul i evaluarea modului n careorganizaia abordeaz managementul riscurilor; - auditul strategiei IT; revizia aspectelor variate ale strategiei IT, viziune i planuri, inclusiv relaiile cu alte strategii, viziuni i planuri.29


30/153

Auditarea sistemelor informatice aflate n dezvoltare este considerat cel mai dificil tip de audit informatic. n majoritatea cazurilor, proiectele auditate implic sume mari de bani, iar practica demonstreaz c n domeniul IT, un management corespunzor al proiectelor este mai mult o excepie dect o regul [HINS05]. Un auditor experimentat n domeniul SI depisteaz simptomele unui dezastru iminent privind evoluia unuiproiect, dar nu poate s opreasc un proiect aflat n dezvoltare. Auditul sistemelorinformatice nu este un audit financiar. Nu se testeaz date din punct de vedere alformularelor financiare pentru a determina completitudinea, drepturi i obligaii,evaluri sau alocri, prezentri sau divulgri. Auditul sistemelor informatice implicexecutarea unei serii de teste pentru a se asigura c exist un control adecvat asupra sistemului informatic; - controale generale; - controalele aplicaiilor. Contro

ale generale presupun: - controale care afecteaz mediul de procesare al calculatoarelor incluznd: o managementul resurselor computerelor; o copii de salvare i arhivare; o controlul schimbrilor n programul computerului; o controlul sistemului deoperare. Controale ale aplicaiilor: - specific pentru o aplicaie: o acceptarea datelor autorizate; o procesarea este complet i corect; o output-urile sunt corecte i redibile. Controalele generale formeaz baza controalelor aplicaiilor. Auditul informatic trebuie astfel planificat nct s se obin rezultatele pe care le urmresc atorul ct i organizaia auditat. n planificarea auditului, auditorul trebuie s nelul i s planifice auditul. Auditorul trebuie s neleag complexitatea sistemului infic i, de asemenea, modul n care mediul n care evolueaz sistemul informatic influenevaluarea i controlul riscurilor. Auditorul trebuie s nceap cu intervievarea echipemanageriale i a personalului din sistemul informatic pentru a culege informaiilenecesare

30


31/153

desfurrii auditului. Auditorul trebuie s examineze activitile care se desfoar cional al sistemului informatic, s revad documentele elaborate de auditrile anteriore i s revad documentaia sistemului informatic. Este necesar ca auditorul s revadrmaiile colectate astfel nct s capete o bun nelegere a tuturor controalelor carecadrul organizaiei. Auditul este o activitate complex, realizat de specialiti cu ncalificare i experien n domeniu. Auditul nu este o activitate de control. Orice actvitate de control presupune existena unui sistem n funciune. Controlul are menireade a stabili dac au fost respectate sau nu procedurile de desfurare a activitilor,c s-au nregistrat plusuri sau minusuri. Se stabilesc diferenele dintre nivelurile reale i cele scriptice i se propun msuri de recuperare a pierderilor sau de valorificare a plusurilor. Activitatea de control are caracter repetat, se execut la anum

ite intervale. Se constat fie c sistemul funcioneaz corect/normal, fie c exist abn plus sau n minus i apar sanciuni i msuri de remediere, respectiv de valorificauditul nu este o activitate de expertizare. O expertiz presupune dou pri adverse, cl puin, i mai multe cauze care au generat un eveniment. Expertiza se execut de specialiti, numii experi, cu vast experien n domeniul evenimentelor. Expertiza are mde a stabili cauze, de a demonstra legtura dintre cauze i efecte. Expertiza se concretizeaz printr-un raport care are menirea de a clarifica, fr a mai lsa loc interpetrilor, toate aspectele definite de cei care au solicitat-o. Se fac expertize laaccidente, la modul n care au fost realizate construcii. Sunt expertize judiciare, sunt expertize contabile, sunt expertize tehnice. Expertizele se repet. Exist superexpertize aa cum exist i supracontroale. Ideea de baz este de a stabili un mod ral n care s-a derulat un eveniment, care au fost cauzele care au favorizat o anumit direcie. Se stabilesc vinovai atunci cnd controlul, respectiv expertiza, o cer.

uditul presupune un produs nou care se lanseaz n uz curent. Specialitii care asigurauditul sunt auditori. Activitatea de auditare are menirea de a analiza un produs nainte de a fi lansat n utilizare curent. Auditarea se efectueaz de ctre o echipependent care se bucur de credibilitate. Credibilitatea echipei de auditori este transferat, prin31


32/153

intermediul raportului, asupra produsului auditat. La livrarea unui produs auditat, prin specificarea echipei de auditare, cumprtorul/utilizatorul capt ncrederea odusul achiziionat are, n realitate, parametrii nscrii n documentaie, la niveluriecificate. De asemenea, cumprtorul/utilizatorul primete toate informaiile legate deavantaje, performane, dar, n egal msur, primete i informaiile privind riscuri cundare, negative sau pozitive, rezultate din construcia produsului. Cnd este finalizat un sistem informatic exist: - documentaia privind contractul pe baza cruia seconstruiete sistemul, fondurile disponibile, duratele de timp rezervate; documentaia cuprinde obiectivul sistemului informatic, sarcinile ce revin echipei de realizatori i sarcinile care revin beneficiarilor; - documentaia tehnic n care este deinit calitatea planificat, exigenele exprimate de beneficiar i modul n care se efe

eaz testarea ntregului sistem; - specificaiile sistemului informatic i minutele ncate ntre realizator i beneficiar care au reiterat acele aspecte necesare satisfacerii cerinelor beneficiarilor pentru a atinge obiectivul propus la ncheierea contractului; se are n vedere rolul activ al echipei de realizatori pentru a orienta pebeneficiar spre soluii care au acoperire n plan informatic, platforme i arhitecturi moderne; - setul de date de test discutat i avizat de beneficiarul sistemului informatic, inclusiv indicaiile pentru generarea de extensii de date de test att dectre realizatorul sistemului, ct i de ctre beneficiar, fr ca aceste extensii s ructurile definite n contractul pe baza cruia se dezvolt investiia; - setul de nretrri privind comportamentul sistemului pe parcursul efecturii testelor; sunt incluse i procedurile, algoritmii i rezultatele intermediare ale indicatorilor de calitate aa cum au rezultat pentru diferitele componente ale sistemului informatic; -evidenele de distribuire a sarcinilor pe membrii echipei de realizatori, rezultnd

cu claritate ce module a realizat un anumit programator, ce componente a testatun specialist n evaluarea subsistemelor, ce date au fost ncrcate de fiecare operator n parte; aceste evidene conin i termenele i consumurile de resurse pentru a stabcorelaia dintre calitate i cost, dintre consumurile de resurse i complexitatea componentelor realizate;32


33/153

- documentaia complet de realizare a produsului, scheme, diagrame, descrieri ale modulelor, ale procedurilor, ale variabilelor, ale rezultatelor, ale fluxurilor,ale structurilor de date; sunt date mesajele oferite operatorilor i semnificaia fiecruia; sunt indicate valorile implicite i combinaiile de opiuni care pun n oper mul de programare; se definesc condiiile minimale care trebuie asigurate pentru ca sistemul s fie operaional; - rapoartele de predareprimire pentru asamblarea componentelor; - rapoartele de testare ale subsistemelor de programe folosind datelede test convenite cu beneficiarul i ncrcate n bazele de date de test; rapoartele detestare ale ntregului sistem; - rapoartele grupurilor de lucru pe parcursul derulrii procesului de dezvoltare, urmrindu-se fiecare etap a ciclului de realizare; - fiierele cu variantele de module, de biblioteci de obiecte, nsoite de rapoartele de

acceptare i de unele comentarii privind trecerea de la o variant la alta; - documentaia de prezentare i de instalare precum i totalitatea software i baze de date pe uport pentru a fi preluate ca produse portabile, la beneficiar. Obiectivul auditului pentru un sistem informatic ia n analiz totalitatea elementelor pentru a proba dac produsul finit sistemul informatic al companiei rspunde cerinelor formulatcontractul n baza cruia s-a efectuat investiia. Pentru a avea un audit de calitatetrebuie ndeplinite urmtoarele condiii: - echipa de auditare trebuie s primeasc tottatea informaiilor care s constituie intrri ale procesului de auditare; - tehnicilei metodele de auditare trebuie s fie utilizate corect, folosind tot ceea ce estenecesar pentru a obine rezultate reale, neafectate de factorii perturbatori sau de abordri pariale; - s existe clar delimitat ceea ce trebuie s realizeze sistemul iformatic i ceea ce realizeaz efectiv; auditarea scoate n eviden diferenele, efectnele cuantificri, pentru a reiei mai precis pentru fiecare cerin n parte, ponderea

ceea ce lipsete sau ponderea a ceea ce este n plus. Pornind de la obiectivul auditrii, de la importana pe care o prezint rezultatul auditrii, echipa de specialiti dimnsioneaz efortul care trebuie33


34/153

depus de la ntocmirea planului de auditare, ca atare, i pn la elaborarea raportuluide auditare. La desfurarea obiectivului auditrii trebuie s fie introduse acele elemnte care subliniaz ncrederea pe care utilizatorul sistemului informatic trebuie s oaib pe durata exploatrii. Raportul de auditare trebuie s fac dovada n mod convingc achiziionnd un produs sau utiliznd un sistem informatic rezultat al unui proces ivestiional, utilizatorul va beneficia de servicii de calitatea dorit. La fel ca n cazul unei operaii chirurgicale, n care viaa pacientului este mai presus de orice, nauditul sistemelor informatice nu exist o difereniere n profunzimea cu care este abordat procesul de auditare. Dac obiectivul definit este cu un enun comun precum stabilirea concordanei dintre produsul dorit i cel real n vederea consolidrii ncreden utilizarea produsului real, el trebuie interpretat prin prisma rigurozitii i pro

esionalismului cu care sunt parcurse toate etapele. Este cunoscut faptul c auditarea unui produs, de complexitatea sistemelor informatice, reprezint o investiie moral, a crei pierdere nu se mai recupereaz niciodat. Companii renumite de audit au dsprut atunci cnd rezultatul auditului a fost unul, iar realitatea privind produsulauditat a fost alta. Auditul nu are menirea de a stabili ncrederea ntr-un sisteminformatic. De exemplu, un sistem este livrat, utilizatorul i exprim nemulumirea, ir dup un timp dorete s recupereze pe cale judiciar daune. Atunci productorul cere itarea sistemului informatic pentru a restabili c produsul e bun, altele fiind cauzele care genereaz nemulumirea beneficiarului. Aceste aspecte revin expertizelortehnice. Auditul transfer credibilitate unui produs nou. Obiectivul clar al auditului este de a se concentra ntreaga activitate, prin analiz, pe aspecte calitativei cantitative, din care rezult concordana dintre produsul planificat a fi realizati produsul pe cale de a fi livrat. Auditul sistemului informatic este un proces

extrem de complex, iar echipa care realizeaz un astfel de audit trebuie s aib o diversitate de specialiti, iar acetia, la rndul lor, trebuie s aib o bogat experienonal i vaste cunotiine teoretice. Un sistem informatic nu se auditeaz de persoane e nu stpnesc domeniul afectat etapei din procesul de auditare. Aa cum n dezvoltareasistemului informatic exist un ciclu de dezvoltare, divizat n etape, tot aa exist eape ale ciclului de auditare. Fiecare etap reprezint un sistem de diviziune a muncii, iar comunicarea este un factor esenial. Este vorba de comunicarea ntre membriiechipei de auditare, respectiv, comunicarea ntre auditori. De34


35/153

asemenea, auditorii trebuie s comunice, pentru a clarifica unele aspecte, cu echipa care a realizat sistemul informatic. n domeniul sistemelor informatice, categoria important o constituie sistemele informatice de management, a cror auditare prezint anumite pariculariti. Sistemele informatice pentru management sunt construciideosebit de complexe care au ca obiectiv ridicarea la cote maxime a procesului de informatizare la nivelul organizaiilor. Dac o organizaie este caracterizat prin fnciile F1, F2,...Fk, structura sistemului informatic pentru management include ksubsisteme, SS1, SS2,...SSk, pentru fiecare funcie un subsistem. ntregul sistem informatic este proiectat sub forma unor subsisteme cu stabilirea legturilor dintreele. Abordarea sistemelor pentru management presupune un fundament teoretic i practic deosebit de solid i acceptarea unui demers de anvergur pe o perioad de doi-ci

nci ani. Tehnicile i metodele de analiz i proiectare au la baz o cunoatere n detastadiului actual atins de procesul de informatizare la nivelul organizaiei. Exist sisteme puternice de gestiune a bazelor de date, de soluionare a problemelor definite n cadrul fiecrei funcii din organizaie. Trecerea la dezvoltarea unui sistem iformatic pentru management trebuie s ia n considerare existena acestor componente. acelai fel se pune problema i n cazul n care se dorete dezvoltarea de sisteme de tiune a documentelor, din moment ce exist deja astfel de sisteme livrate la cheie. A spune acum c o organizaie are particularitile ce impun definirea unei structuriproprii de sistem informatic nseamn a considera c echipele care au proiectat sisteme care se aplic n foarte multe ri nu sunt competente, iar organizaia este att de al nct nu se ncadreaz n nici o categorie. Abordarea este nu numai absurd prin sil ei, dar denot un nivel de ignoran greu de acceptat din punctul de vedere al nivelului actual al informaticii. Problemele de audit pentru un sistem informatic de

management au o alt anvergur fa de celelalte entiti, produsul program sau aplicarmatic. Literatura de specialitate include numeroase lucrri care se adreseaz celorcare elaboreaz sisteme informatice orientate pe gestiune financiar-contabil.

35


36/153

Auditul acestor sisteme este o problem extrem de actual pentru c: - sistemele informatice de gestiune contabil neauditate conduc la efectuarea de operaii neautorizate; - sunt situaii n care nu exist concordan ntre teoria contabilitii i procedue apeleaz pentru a efectua prelucrri; - n faza de analiz sunt definite incomplet ceinele care corespund laturilor calitative i cantitative definite prin relaia ntre cnturi, prin restricii privind efectuarea de operaii i prin proporii impuse unor nivluri cu care se efectueaz debitrile sau creditrile; - prioritilor de efectuare a oaiilor existente n teoria contabil trebuie s le corespund secvene de testare caregure concordana ntre listele prioritilor existente n teoria contabil i listele gprin procesele de prelucrare prin programe; - validrile datelor capt o alt semnifiaie, fiind legate nu numai de apartenena la un anumit domeniu de variaie, ci fiind

dependente de context, ntruct operaiunile contabile sunt definite n cadrul unui anuit context; - interfeele acestor sisteme trebuie s fie orientate spre o abordare aproceselor n timp real, ntruct numeroase operaii se deruleaz prin sistemul e-bank, e-commerce; operatorii trebuie s lucreze n regim responsabilizat cu nregistrareaoperaiei ntr-o structur impus din care s nu lipseasc momentul efecturii operaietele de identificare a operatorului; - ntre sistemul de restricii de acces la efectuarea de operaii n baza de date i cerinele teoriei i practicii contabile trebuie iste o concordan perfect; trebuie s existe persoane care au acces la consultarea ngii baze de date; trebuie s existe alte persoane care au acces la consultarea unor pri din baza de date, sunt alte persoane din organizaie care au drept de a consulta numai operaiile care privesc activitatea lor; lista persoanelor care opereaz pebaza de date se definete aa nct, pe msura creterii importanei operaiei n bazaumrul i funcia n organizaie se definesc cu un nivel de exigen sporit, regulile

menirea de a ine sub control totalitatea operaiilor pe cmpurile bazei de date; - sistemul informatic de gestiune financiar-contabil se proiecteaz incluznd numeroasechei de control care s evidenieze frecvene ale unor operaiuni, apropierile de limitle domeniilor de variaie, astfel nct s se ia rapid deciziile adecvate; - la proiectre i la realizare se definesc situaiile de blocare pentru a semnaliza tentativelede efectuare a operaiilor interzise;36


37/153

- aceste sisteme sunt organizate ca structuri ierarhice, cu intervenii de asemenea, ierarhice, dac s-a produs un eveniment la nivelul K+1, numai un administratorde la nivelul K al structurii arborescente intervine i produce deblocarea sau efectueaz operaia care trebuie autorizat pentru a readuce sistemul la nivelul de operare normal; toate procesele de blocare/deblocare sunt nregistrate i se trateaz distict. Rezult c un sistem informatic pentru management n general, iar un sistem informatic pentru managementul financiar contabil n special, trebuie nzestrat pe lng funcle clasice de prelucrare, de extragere a rezultatelor i de creare-actualizare a bazei de date, cu funcii de management pentru calitatea i protecia sistemului informatic nsui. Marile probleme rezultate n activitatea curent a implementrii de softwapentru contabilitate au impus dezvoltarea auditului spre aceast categorie de prod

use program. Exist o preocupare special pentru auditul sistemelor informatice de gestiune financiar-contabil. i celelalte sisteme informatice sunt auditate. Principiile auditului sistemelor informatice de gestiune sunt o particularizare a principiilor auditului pentru sistemele informatice pentru management. Aa cum n modul clasic de operare pe documente exist riscul transferurilor de fonduri i de mijloacecare genereaz fraude mpotriva companiei, fraude mpotriva altor companii, fraude ale managerilor, fraude ale unor membri ai companiei, n cazul implementrii unui sistem informatic de gestiune contabil, toate aceste tipuri de fraude se reproduc dac inumai dac sistemul nu conine procedurile care s semnaleze efectuarea de operaii neonsistente n raport cu criterii precis stabilite. n primul rnd, legile definesc situaiile n care o persoan nu are drept s ia un credit. Sunt date reguli extrem de preise n a defini un creditor ca fiind ru-platnic. Sistemul informatic dintr-o banc trebuie s includ proceduri prin care se verific statutul solicitantului i ncadrarea

tegoria : - ru platnicilor; - creditorilor al cror plafon de creditare a fost atins; - creditorilor care mai pot solicita un credit, nu mai mare dect o valoare impus; - creditorilor care au dreptul s solicite credit cu valoare care se ncadreaz nun interval definit de garanii, de cifre de afaceri i de istoricul lor n relaia cu anca.37


38/153

Evident, rolul auditului unui astfel de sistem este de a testa dac respectivul sistem bancar include proceduri. Datele de text sunt date reale cu care se opereaz nbanca unde sistemul informatic va fi operaional. Sistemul informatic bancar nu trebuie s valideze efectuarea unor operaii interzise prin acte normative, dintre care operaia de efectuare de pli ale ratelor unui credit cu banii obinui dintr-un alredit. Auditorii sistemelor informatice bancare au deja inclus aceast operaie n lisa operaiilor interzise, list folosit cu prioritate n testarea comportamentului unuisistem informatic bancar. Un sistem informatic de management financiar-contabilauditat devine credibil cnd echipa conchide n raportul de audit c sistemul rspunde uturor cerinelor din specificaii, din legi i regulamente, iar securitatea operaiiloeste asigurat, condiiile de risc n utilizare fiind minime. Auditul sistemelor de g

estiune financiar-contabil are menirea de a oferi ncredere utilizatorului n produsul informatic. De aceea trebuie supuse auditrii toate componentele sistemului, intrrile i ieirile acestora. Numai prin coborrea auditului la nivelul detaliilor se voobine informaiile necesare fundamentrii unei concluzii finalizate printr-o propozie simpl, fr echivoc, de calificare a sistemului. Prin specificaii este creat o imae, un sistem informatic virtual. Dac se adaug noi cerine desprinse din legislaie, dn experiena curent, dac se produce o ierarhizare a prioritilor privind operaii pe, respectiv, operaii interzise, se creeaz proiecia unui sistem informatic virtual iideal. Toate comparaiile sistemului real sunt efectuate strict fa de coordonatele pe care le ofer ca reper sistemul virtual ideal. Auditul unui sistem informatic degestiune financiar-contabil nu are rolul de a controla. Esena auditului nu estecontrolul. Auditorii sunt persoane cu nalt calificare care nu se substituie controlorilor de calitate, controlorilor care stabilesc existena fizic a unui produs, ex

primnd-o prin cantitate, dup msurare. Auditul este o activitate superioar de orientre, analiz i de sintez. Este o necesitate tocmai prin extensiile pe care le determin asupra ntregii viziuni de abordare. Planul de audit i programul de audit presupunactiviti clare, nici una dintre acestea nefiind de control.38


39/153

Specificaiile reprezint un text structurat. Sistemul informatic reprezint o structur. Auditorul are menirea de a stabili existena corespondenei dintre componentele textului structurat i, respectiv componentele sistemului, identificnd concordan perfet, concordan parial, concordan redus sau absena concordanei. Componentele dinxtului care alctuiesc specificaiile includ: - nivelul managementului; - ciclul deelaborarea a sistemului informatic de gestiune financiarcontabil; - securitatea sistemului prin: precizarea responsabilitilor, separarea funciilor incompatibile, ierarhizarea accesului la resursele sistemului, gestiunea copiilor; - nivelul operaional n modul de lucru, prin procedurile pe care operatorii le efectueaz n ceea ceprivete: introducerea de date, manipularea de documente, manipularea dischetelorcu date intermediare, nregistrarea evenimentelor, asistena tehnic; - nivelul aplica

ilor presupune parcurgerea de ctre auditor a tuturor etapelor astfel nct s se dezvote convingerea c sistemul informatic de gestiune contabil este chiar construcia n cre utilizatorul trebuie s aib mare ncredere; se reia un ciclu complet de prelucrare, de la iniierea procesului, pregtirea datelor, procesarea acestora i obinerea rezutatelor: fiierele, bazele de date sufer o serie de modificri pe care analistul trebuie s le analizeze pentru a vedea dac exist sau nu i alte efecte secundare; - nivell de acces presupune identificarea modului n care au fost soluionate elementele fundamentale ale accesului la resursele sistemului informatic - proceduri, baze dedate, modul n care se dezvolt i alte canale de transfer a informaiilor i cum se aur robusteea reelei de calculatoare. Echipa de audit colecteaz date proprii, dar pria i rezultate oferite de sistemul informatic de gestiune financiar-contabil. Pe msur ce se traverseaz etapele ciclului de dezvoltare, echipa de realizare a sistemului informator elaboreaz pri ale documentaiei care nsoete sistemul. Echipa de aud

izeaz i aceast documentaie pentru a urmri traseul parcurs de la specificaii, pnea produsului finit n form livrabil ctre organizaii.39


40/153

Raportul de audit este un document sintez care efectueaz analiza comparat ntre un sstem virtual-ideal i un sistem real. Toate datele nregistrate n procesul de auditare se coroboreaz cu specificaiile, cu documentaia. Se calculeaz o serie de indicator. n final se spune c sistemul este sau nu credibil, asigur sau nu calitatea prelucrilor, c exist sau nu garania ca sistemul informatic s dea satisfacie clientului nrt cu un obiectiv stabilit. Auditul informatic este un demers deosebit de complex, motiv pentru care trebuie aezat pe un fundament solid. Obiectivul fundamentalal activitii de auditare informatic este stabilirea gradului de credibilitate a sistemului informatic de management. Fluxurile de informaii specifice oricrui sisteminformatic trebuie s asigure integritatea informaiilor organizaiei, completitudineaprelucrrilor, corectitudinea rezultatelor i mai ales accesibilitatea beneficiarul

ui la informaia ateptat, obinnd n acest fel un nivel maxim al satisfacerii cerinoprii. Din punct de vedere al echipelor de auditare auditul sistemelor informatice se clasific astfel: - audit intern, prin care se confirm respectarea procedurilor de transformare a datelor de intrare n rezultate urmrindu-se modul n care noul istem n care se implementeaz este mai eficient, este nsoit de economisire de resurs; - audit extern care include proceduri prin care se evideniaz comportamentul sistemului informatic, prin testri cu ajutorul crora se evideniaz ct de stabile, ct dbile, mentenabile sunt procedurile de control care intr n componena sistemului i cae implementez toate cerinele exprese incluse n specificaii, n legi, n regulamnetee restricioneaz prin blocare orice tentativ de execuie a operaiilor interzise. Pena dezvolta un proces de auditare a sistemului informatic de management sunt parcuri urmtorii pai: - planificarea proceselor de auditare avnd la baz o serie de elnte prin care se stabilete anvergura prin cunoaterea unor elemente legate de compl

exitatea sistemului informatic i mai ales prin stabilirea nivelului de credibilitate pe care trebuie s-l stabileasc auditorii sistemului; - evaluarea riscurilor legate de influenele negative care se manifest asupra componentelor sistemului informatic ce vor fi auditate, pe msur ce se activeaz procedurile de control;40


41/153

- elaborarea programului de audit ce include: definirea scopului, stabilirea obiectivelor, efectuarea planificrii, derularea propriu-zis, ntocmirea de rapoarte; -culegerea de date ce evideniaz modul cum se execut prelucrrile, care sunt neconcordnele ntre specificaii i produsul real; datele apar sub forme extrem de variate, de a liste, fiiere de tranzacii, liste de erori, chestionare care vizeaz obinerea unorrspunsuri cu cheie, diagrame, texte surs, seturi de date de text, documentaia carese livreaz o dat cu implementarea sistemului informatic, ghidurile de utilizare i de administrare; - elaborarea raportului de auditare care preia elemente definiten planul de audit a sistemului informatic la care sunt adugate detalii asupra modului cum s-a derulat procesul de auditare, gradul de transparen asigurat. ntruct auitorii de sisteme informatice pentru management sunt specialiti de nalt calificare

domeniu, enumer n raport totalitatea diferenelor care au fost ntlnite, ntre sistreal i sistemul virtual-ideal; nu sunt incluse soluii, dei auditorii prin competenalor deosebit au capacitatea de a le oferi; auditul sistemelor informatice pentrumanangement consemneaz numai diferenele; caracterul sistematic al procesului de auditare ofer o grupare ascendent n raport cu profunzimea efectelor de antrenare, a diferenelor; n cazul n care sunt identificate erori, toate erorile sunt tratate distinct i contribuia lor n diminuarea nivelului de credibilitate a sistemului informatic pentru management este amplificat prin utilizarea de coeficieni de importan cunocui att de auditori, ct mai ales de cei care au dezvoltat sistemul informatic. Activitatea de audit pentru sisteme informatice se bazeaz pe agregarea unor indicatori i pe obinerea de valori care s fundamenteze apartenena sistemului informatic la casa de sisteme credibile n care se garanteaz calitatea soluiilor ateptate de benefiiar sau, din contr, sistemul nu e credibil i trebuie s fie supus unor corecii i di

ou unui proces de auditare. Dac tehnica de auditare i procedurile de msurare a diferenelor sunt clar definite, procesul de audit pentru sisteme informatice este reproductibil n proporie de 100%. Asociaiile care au preocupri n a elabora tehnici ide de auditare sau de a certifica speculaii n auditul sistemelor informatice pentru41


42/153

management i-au concentrat atenia asupra algoritmizrii proceselor de auditare, n vitor trebuind s defineasc metrici pentru a asigura caracter obiectiv auditului, prin transferul din zona interpretrilor, n zona certitudinilor. Particularitile auditsistemelor informatice, comparative cu alte produse, i necesitatea unei pregtiricorespunztoare a auditorilor, necesit existena unor standarde corespunztoare acestu. n anexa 9 sunt prezentate oganizaii specializate care elaboreaz standarde destinate auditrii sistemelor informatice, recomandri i ghiduri necesare activittii de audt pentru sistemele informatice. Obiectivele acestor standarde sunt de a informa:- auditorii de sisteme informatice privind nivelul minim de pregtire; - managerii i alte personae interesate privind ateptrile unei activiti de auditare. Standarddefinesc cerinele obligatorii pentru desfurarea auditului i pentru modul de ntocm

a rapoartelor de audit.42


43/153

5. CONSTRUIREA DE LISTEO list este o construcie liniar, format din elemente dispuse unul dup altul. O lisesupune parcurgerea secvenial, de la primul element, elementul din capul listei, pnla ultimul element. Construirea unei liste se realizeaz pentru a obine: - enumerarea elementelor unei colectiviti ntr-o ordine stabilit, ca de exemplu, n ordinea soii ntr-un fir de ateptare, n ordinea servirii, n ordinea importanei sau ntr-o ordpreferinelor; - stabilirea etapelor unui proces, n ordinea derulrii lor; - setul de documente necesar pentru a obine calitatea de eligibilitate n vederea acordrii unor fonduri pe baz de proiect; - o ierarhizare a elementelor unei colectiviti n funcde un criteriu de performan stabilit i acceptat de participani; - un inventar al cmponentelor care alctuiesc un subansamblu sau un produs finit; se specific denumir

ea reperelor i numrul de repere de acelai fel care intr n alctuirea subansambluluun ir de valori care corespund unor momente de timp; irul include elemente omogene, care se supun acelorai prelucrri. n procesul de auditare, rigurozitatea i profesinalismul impun elaborarea de liste complete, structurate strict pe importan sau peordinea de execuie. Planul de auditare se constituie ca list de activiti care trebie executate. Derularea activitii n sine este descris ca o list a activitilor. Rde

Documents

55131081-Auditul-sistemelor-informatice