Metodologia de audit a sistemelor informatice Având în vedere recomandările standardelelor IFAC – ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale.
Download
Report
Transcript Metodologia de audit a sistemelor informatice Având în vedere recomandările standardelelor IFAC – ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale.
Metodologia de audit a sistemelor
informatice
Având în vedere recomandările standardelelor
IFAC – ISA şi ghidul ISACA pentru auditul
sistemului informaţional, etapele generale ale
unei unei misiuni de audit IT pot fi:
Planificarea.
Evaluarea riscurilor şi controlului intern.
Elaborarea programului de audit.
Culegerea probelor.
Formularea concluziilor şi elaborarea raportului.
Urmărirea (monitorizarea) implementării
recomandărilor din raportul de audit.
Planificarea
să se documenteze cu privire la structura sistemului informaţional.
Auditorul trebuie să analizeze structura organizatorică (organigrama),
organigrama sistemului informatic şi flowchart-urile din sistem;
să determine complexitatea sistemului informatic;
să se documenteze cu privire la aplicaţiile informatice utilizate;
se documenteze cu privire la infrastructura reţelei de calculatoare;
să se documenteze cu privire la politicile şi procedurile de securitate,
respectiv procedurile de operare din sistemul informatic;
să identifice contractele de outsourcing (externalizare) din sistemul
informaţional;
să se documenteze cu privire la controlul intern şi mai cu seamă a
controalelor ce privesc procesele ce vor fi auditate;
să stabilească nivelul pragului de materialitate;
să stabilească şi să documenteze foile de lucru necesare pentru
misiunea de audit.
Evaluarea riscurilor şi controlului intern
să identifice vulnerabilităţile şi ameninţările la
care este expusă aria de audit;
să evalueze prin tehnici adecvate (metoda
scorurilor sau judecata liberă) nivelurile de risc
din cadrul ariei de audit;
să stabilească riscul inerent şi de control;
să evalueze controlul intern din aria de audit;
Elaborarea programului de audit
În general programul de audit trebuie să fie
documentat în cadrul foilor de lucru şi cuprinde
următoarele:
Scopul auditului.
Obiectivele auditului.
Procedurile şi tehnicile de audit ce vor fi utilizate.
Planificarea şi programarea sarcinilor şi
responsabilităţilor membrilor echipei.
Bugetul misiunii de audit.
Program pentru evaluarea generală a sistemului informatic
Responsabilitatea administrării s.i.
Determinarea entităţilor responsabile.
Analiza contractelor pentru administrarea s.i.
Informaţii tehnice
Identificarea numărului de calculatoare (staţii sau servere), a
perifericelor şi modul de repartizare al acestora în cadrul
funcţiunilor intreprinderii.
Identificarea topologiei de reţea.
Identificarea sistemelor de operare utilizate.
Identificarea aplicaţiilor economice utilizate, inclusiv dacă
acestea au fost realizate în intreprindere sau au fost
achiziţionate.
Identificarea gradului de licenţiere a software-ului utilizat.
Identificarea documentaţiei sistemului şi aplicaţiilor.
Determinarea stadiului implementării sistemului.
Identificarea sistemelor de gestiune a bazelor de date.
Determinarea tipului de prelucrări (on-line sau pe loturi).
Determinarea modului de protecţie a sistemului împotriva
întreruperilor de energie electrică.
Determinarea procedurilor de salvare şi recuperare a datelor.
Utilizarea sistemului
Determinarea numărului de utilizatori din sistem şi gruparea lor pe
aplicaţii sau funcţiuni.
Intervievarea utilizatorilor aplicaţiilor pentru determinarea:
calităţii aplicaţiilor;
riscurilor în utilizarea aplicaţiilor.
Determinarea training-urilor pentru utilizarea aplicaţiilor.
Recuperarea datelor
Determinarea aplicaţiilor şi bazelor de date critice.
Identificarea procedurilor de salvare şi recuperare a datelor critice.
Introducerea datelor
Identificarea modului de introducere a datelor în sistem.
Determinarea procedurilor de control şi validare a datelor introduse
în sistem.
Prelucrarea datelor
Analiza rapoartelor de erori ale funcţionării aplicaţiilor.
Ieşirea datelor (Raportarea)
Identificarea ieşirilor (listelor, rapoartelor sau fişierelor) critice.
Determinarea modului de distribuţie a ieşirilor critice (liste sau
rapoarte).
Securitatea sistemului
Determinarea procedurilor de acces în sistem.
Determinarea procedurilor de protecţie împotriva viruşilor.
Culegerea probelor
Probele pe care auditorul IT le culege într-o misiune sunt diverse. În
general acestea pot fi:
documente privind politicile şi procedurile de securitate din sistemul
informaţional al clientului;
documente privind procedurile de lucru din sistemul informatic;
documente sau observaţii privind infrastructura fizică (hardware) şi logică
(software) a sistemului auditat.
interviurile şi chestionarele aplicate;
flowchart-uri de sistem şi/sau de aplicaţii;
observaţii personale în cadrul foilor de lucru;
fişiere cu datele extrase din aria de auditat;
fişiere cu tranzacţiile de date necesare auditului;
fişiere jurnal pentru intrări, prelucrări, tranzacţii de date şi tratare a
erorilor;
situaţii listate din aplicaţiile sistemului;
fişierele cu datele de test;
fişiere cu erori;
conţinutul şi rezultatul testelor controlului din sistem;
liste cu surse ale programelor utilizate în procesele auditate;
conţinutul şi rezultatul testelor securităţii sistemului.
Formularea concluziilor şi
elaborarea raportului
În general un raport de audit IT trebuie să conţină
următoarele:
Denumirea organizaţiei auditate.
Titlul, data şi semnătura.
Descrierea obiectivelor auditului.
Scopul auditului.
Perioada acoperită prin audit.
Standardele şi criteriile sub care a fost desfăşurat
auditul.
Descrierea detaliată a rezultatelor pentru obiectivele
auditului.
Concluziile şi opiniile auditorului.
Recomandările şi măsurile corective.
Urmărirea (monitorizarea) implementării
recomandărilor din raportul de audit
constă în stabilirea de comun acord cu clientul
a unor date în care auditorul să revină şi să
verifice dacă recomandările şi măsurile
corective propuse de el au fost implementate.
Tehnici de audit a sistemelor
informatice
Tehnici de investigare a sistemului auditat
(interviul, chestionarul şi flowchart-ul).
Tehnici de identificare şi evaluare a riscurilor
(judecata liberă sau intuiţia, tehnica scorurilor,
metoda cantitativă).
Tehnici de testare a controlului din cadrul
sistemului auditat (teste de concordanţă, teste
de integritate, tehnica datelor de test, tehnica
testului integrat, simularea paralelă).
Tehnici de audit asistate de
calculator (CAATs)
Instrumente pentru creşterea productivităţii muncii de audit.
Planificarea şi urmărirea automată a misiunii de audit:
aplicaţiile pentru managementul proiectelor (MS Project,
Primavera Project Planner etc.); aplicaţiile pentru calcul
tabelar (MS Excel, Lotus 1-2-3, Quattro Pro etc.);
Editarea şi managementul automat al foilor de lucru
(electronic workingpapers): Microsoft Office, Lotus Smart
Suite, Intacct Audit (produs de către Intacct Corporation şi
Deloitte & Touche), Working Papers (produs de către
CaseWare International), TeamMate (produs de
PriceWaterhouseCoopers) ş.a.;
Comunicarea şi transferul automat al datelor: aplicaţii pentru
e-mail (Microsoft Outlook), instrumente groupware (Lotus
Notes Domino Server); forumuri intranet ş.a.
Aplicaţii generale de audit (GAS - Generalized Audit Software).
Aplicaţii informatice (utilitare) pentru testarea şi verificarea
sistemului.