Auditul Sistemelor Informatice

INTRODUCERE

Societatea informationala determina o crestere dramatica a dependentei tuturor domeniilor vietii economico-sociale de tehnnologiile informationale. Sistemele informatice sunt constructii complexe care vizeaza mai multe probleme diferite ale unei companii. Având în vedere consumul de resurse umane si financiare la dezvoltarea unui sistem informatic, este necesar sa se desfasoare anumite activitati care sa conduca la atingerea obiectivului propus, la timp, cu nivelul de calitate stabilit si în limita bugetului alocat.

Una dintre aceste activitati, deosebit de importanta, atât pentru realizatori, cât, mai ales, pentru utilizatori, este auditul sistemelor informatice (SI).

Auditul SI este o ramura a auditului general care se ocupa cu controlul tehnologiilor informatiilor si comunicatiilor. Auditul SI studiaza, în primul rând, sistemele si retelele de calcul din punct de vedere al examinarii eficientei controlului tehnic si procedural pentru a minimiza riscurile si presupune discutii cu personalul care stabileste specificatiile, dezvolta, testeaza, conduce, administreaza si utilizeaza sistemele de calcul.

Se obtine astfel garantia ca SI realizeaza corect si complet prelucrarile pentru care a fost proiectat, iar orice combinatie de date, alta decât cea corecta si completa, este semnalata si nu este generatoare de efecte colaterale pe termen mediu si lung. În realizarea proceselor de auditarea dezvoltarii SI este necesar sa se ia în considerare caracteristicile organizatiei pentru care se proiecteaza sistemul si, în primul rând, stabilitatea organitzatiei. Dinamismul schimbarilor în cadrul organizatiilor, indiferent de dimensiunea acestora, impune adaptarea metodelor de dezvoltare a SI la noile conditii sau aparitia unor concepte si metode noi de dezvoltare a SI.

1.OBIECTUL AUDITULUI PENTRU SISTEMELE INFORMATICE

Auditul sistemelor informatice reprezinta activitatea de colectare si evaluare a unor probe pentru a determina daca sistemul informatic este securizat, mentine integritatea datelor prelucrate si stocate, permite atingerea obiectivelor strategice ale întreprinderii si utilizeaza eficient resursele informationale.

În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt verificarile, evaluarile si testarile mijloacelor informationale, astfel:

- identificarea si evaluarea riscurilor din sistem;

- evaluarea si testarea controlului din sistem;

- verificarea si evaluarea fizica a mediului informational;

- verificarea si evaluarea administrarii sistemului informatic;

- verificarea si evaluarea aplicatilor informatice;

- verificarea si evaluarea securitatii retelelor de calculatoare;

- verificarea si evaluarea planurilor si procedurilor de recuperare în caz de dezastre si continuare a activitatii;

- testarea integritatii datelor.

Auditul sistemelor informatice nu este un audit financiar si nici o activitate de expertizare.

Principalele tipuri de audit informatic sunt:

- auditul sistemului operational de calcul; revizia controalelor sistemelor operationale de calcul si retelelor, la diferite niveluri; de exemplu, retea, sistem de operare, software de aplicatie, baze de date, controale logice/procedurale, controale preventive/detective/corective etc;

- auditul instalatiilor IT; include aspecte cum sunt securitatea fizica, controalele mediului de lucru, sistemele de management si echipamentele IT;

- auditul sistemelor aflate în dezvoltare; acopera unul sau ambele aspecte: (1) controalele managementului proiectului si (2) specificatiile, dezvoltarea, testarea, implementarea si operarea controalelor tehnice si procedurale, incluzând controalele securitatii tehnice si controalele referitoare la procesul afacerii;

- auditul managementului IT; include: revizia organizatiei, structurii, strategiei, planificarii muncii, planificarii resurselor, stabilirii bugetului, controlul costurilor etc.; în unele cazuri, aceste aspecte pot fi auditate de catre auditorii financiari si operationali, lasând auditorilor informaticieni mai mult aspectele tehnologice;

- auditul procesului IT; revederea proceselor care au loc în cadrul IT cum sunt dezvoltarea aplicatiei, testarea, implementarea, operatiile, mentenanta, gestionarea incidentelor;

- auditul managementului schimbarilor; revizia planificarii si controlului schimbarilor la sisteme, retele, aplicatii, procese, facilitati etc., incluzând managementul configuratiei, controlul codului de la dezvoltare, prin testare, la productie si managementul schimbarilor produse în organizatie;

- auditul controlului si securitatii informatiilor; revizia controalelor referitoare la confidentialitatea, integritatea si disponibilitatea sistemelor si datelor;

- auditul conformitatii cu legalitatea; copyright, conformitate cu legislatia, protectia datelor personale;