Metodologia de audit a sistemelor informatice Având în vedere recomandările standardelelor IFAC – ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale.
Download ReportTranscript Metodologia de audit a sistemelor informatice Având în vedere recomandările standardelelor IFAC – ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale.
Metodologia de audit a sistemelor informatice Având în vedere recomandările standardelelor IFAC – ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale ale unei unei misiuni de audit IT pot fi: Planificarea. Evaluarea riscurilor şi controlului intern. Elaborarea programului de audit. Culegerea probelor. Formularea concluziilor şi elaborarea raportului. Urmărirea (monitorizarea) implementării recomandărilor din raportul de audit. Planificarea să se documenteze cu privire la structura sistemului informaţional. Auditorul trebuie să analizeze structura organizatorică (organigrama), organigrama sistemului informatic şi flowchart-urile din sistem; să determine complexitatea sistemului informatic; să se documenteze cu privire la aplicaţiile informatice utilizate; se documenteze cu privire la infrastructura reţelei de calculatoare; să se documenteze cu privire la politicile şi procedurile de securitate, respectiv procedurile de operare din sistemul informatic; să identifice contractele de outsourcing (externalizare) din sistemul informaţional; să se documenteze cu privire la controlul intern şi mai cu seamă a controalelor ce privesc procesele ce vor fi auditate; să stabilească nivelul pragului de materialitate; să stabilească şi să documenteze foile de lucru necesare pentru misiunea de audit. Evaluarea riscurilor şi controlului intern să identifice vulnerabilităţile şi ameninţările la care este expusă aria de audit; să evalueze prin tehnici adecvate (metoda scorurilor sau judecata liberă) nivelurile de risc din cadrul ariei de audit; să stabilească riscul inerent şi de control; să evalueze controlul intern din aria de audit; Elaborarea programului de audit În general programul de audit trebuie să fie documentat în cadrul foilor de lucru şi cuprinde următoarele: Scopul auditului. Obiectivele auditului. Procedurile şi tehnicile de audit ce vor fi utilizate. Planificarea şi programarea sarcinilor şi responsabilităţilor membrilor echipei. Bugetul misiunii de audit. Program pentru evaluarea generală a sistemului informatic Responsabilitatea administrării s.i. Determinarea entităţilor responsabile. Analiza contractelor pentru administrarea s.i. Informaţii tehnice Identificarea numărului de calculatoare (staţii sau servere), a perifericelor şi modul de repartizare al acestora în cadrul funcţiunilor intreprinderii. Identificarea topologiei de reţea. Identificarea sistemelor de operare utilizate. Identificarea aplicaţiilor economice utilizate, inclusiv dacă acestea au fost realizate în intreprindere sau au fost achiziţionate. Identificarea gradului de licenţiere a software-ului utilizat. Identificarea documentaţiei sistemului şi aplicaţiilor. Determinarea stadiului implementării sistemului. Identificarea sistemelor de gestiune a bazelor de date. Determinarea tipului de prelucrări (on-line sau pe loturi). Determinarea modului de protecţie a sistemului împotriva întreruperilor de energie electrică. Determinarea procedurilor de salvare şi recuperare a datelor. Utilizarea sistemului Determinarea numărului de utilizatori din sistem şi gruparea lor pe aplicaţii sau funcţiuni. Intervievarea utilizatorilor aplicaţiilor pentru determinarea: calităţii aplicaţiilor; riscurilor în utilizarea aplicaţiilor. Determinarea training-urilor pentru utilizarea aplicaţiilor. Recuperarea datelor Determinarea aplicaţiilor şi bazelor de date critice. Identificarea procedurilor de salvare şi recuperare a datelor critice. Introducerea datelor Identificarea modului de introducere a datelor în sistem. Determinarea procedurilor de control şi validare a datelor introduse în sistem. Prelucrarea datelor Analiza rapoartelor de erori ale funcţionării aplicaţiilor. Ieşirea datelor (Raportarea) Identificarea ieşirilor (listelor, rapoartelor sau fişierelor) critice. Determinarea modului de distribuţie a ieşirilor critice (liste sau rapoarte). Securitatea sistemului Determinarea procedurilor de acces în sistem. Determinarea procedurilor de protecţie împotriva viruşilor. Culegerea probelor Probele pe care auditorul IT le culege într-o misiune sunt diverse. În general acestea pot fi: documente privind politicile şi procedurile de securitate din sistemul informaţional al clientului; documente privind procedurile de lucru din sistemul informatic; documente sau observaţii privind infrastructura fizică (hardware) şi logică (software) a sistemului auditat. interviurile şi chestionarele aplicate; flowchart-uri de sistem şi/sau de aplicaţii; observaţii personale în cadrul foilor de lucru; fişiere cu datele extrase din aria de auditat; fişiere cu tranzacţiile de date necesare auditului; fişiere jurnal pentru intrări, prelucrări, tranzacţii de date şi tratare a erorilor; situaţii listate din aplicaţiile sistemului; fişierele cu datele de test; fişiere cu erori; conţinutul şi rezultatul testelor controlului din sistem; liste cu surse ale programelor utilizate în procesele auditate; conţinutul şi rezultatul testelor securităţii sistemului. Formularea concluziilor şi elaborarea raportului În general un raport de audit IT trebuie să conţină următoarele: Denumirea organizaţiei auditate. Titlul, data şi semnătura. Descrierea obiectivelor auditului. Scopul auditului. Perioada acoperită prin audit. Standardele şi criteriile sub care a fost desfăşurat auditul. Descrierea detaliată a rezultatelor pentru obiectivele auditului. Concluziile şi opiniile auditorului. Recomandările şi măsurile corective. Urmărirea (monitorizarea) implementării recomandărilor din raportul de audit constă în stabilirea de comun acord cu clientul a unor date în care auditorul să revină şi să verifice dacă recomandările şi măsurile corective propuse de el au fost implementate. Tehnici de audit a sistemelor informatice Tehnici de investigare a sistemului auditat (interviul, chestionarul şi flowchart-ul). Tehnici de identificare şi evaluare a riscurilor (judecata liberă sau intuiţia, tehnica scorurilor, metoda cantitativă). Tehnici de testare a controlului din cadrul sistemului auditat (teste de concordanţă, teste de integritate, tehnica datelor de test, tehnica testului integrat, simularea paralelă). Tehnici de audit asistate de calculator (CAATs) Instrumente pentru creşterea productivităţii muncii de audit. Planificarea şi urmărirea automată a misiunii de audit: aplicaţiile pentru managementul proiectelor (MS Project, Primavera Project Planner etc.); aplicaţiile pentru calcul tabelar (MS Excel, Lotus 1-2-3, Quattro Pro etc.); Editarea şi managementul automat al foilor de lucru (electronic workingpapers): Microsoft Office, Lotus Smart Suite, Intacct Audit (produs de către Intacct Corporation şi Deloitte & Touche), Working Papers (produs de către CaseWare International), TeamMate (produs de PriceWaterhouseCoopers) ş.a.; Comunicarea şi transferul automat al datelor: aplicaţii pentru e-mail (Microsoft Outlook), instrumente groupware (Lotus Notes Domino Server); forumuri intranet ş.a. Aplicaţii generale de audit (GAS - Generalized Audit Software). Aplicaţii informatice (utilitare) pentru testarea şi verificarea sistemului.