Auditul Sistemelor Informatice

CAPITOLUL I

AUDITUL SISTEMELOR INFORMATICE

Auditul sistemelor informatice reprezintă activitatea de colectare şi

evaluare a unor probe pentru a determina dacă sistemul informatic este

securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea

obiectivelor strategice ale întreprinderii şi utilizează eficient resursele

informaţionale.

În cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaţii sunt verificările, evaluările şi testările mijloacelor

informaţionale, astfel:

- identificarea şi evaluarea riscurilor din sistem;

- evaluarea şi testarea controlului din sistem;

- verificarea şi evaluarea fizică a mediului informaţional;

- verificarea şi evaluarea administrării sistemului informatic;

- verificarea şi evaluarea aplicaţilor informatice;

- verificarea şi evaluarea securităţii reţelelor de calculatoare;

- verificarea şi evaluarea planurilor şi procedurilor de recuperare în

caz de dezastre şi continuare a activităţii;

- testarea integrităţii datelor.

Ca orice demers de planificare şi în domeniul sistemelor informatice, acesta se întemeiază pe un proces de anticipare având ca scop definirea obiectivelor fundamentale, care trebuie atinse prin dezvoltarea viitoarelor sisteme, precum şi a acţiunilor necesare.

În vederea stabilirii unei coerente manageriale la nivelul organizaţiei, procesul de planificare referitor la dezvoltarea sistemelor informatice vizează doua obiective fundamentale:

- Realizarea unei coordonări intre obiectivele strategice de ansamblu ale organizaţiei şi cerinţele satisfăcute prin sistemele informatice.

- Asigurarea compatibilităţii intre definirea globala a sistemelor informatice şi realizarea lor progresivă.

Auditul informatic reprezintă o formă esenţială prin care se verifică

dacă un SI îşi atinge obiectivul pentru care a fost elaborată. Standardele

definesc clar domeniul, activităţile, etapele, conţinutul auditării şi formele

de finalizare. Respectând cerinţele standardelor, rezultatul procesului de

auditare informatică este eliberat de riscurile contestării. Auditul informatic

reprezintă un domeniu cuprinzător în care sunt incluse toate activităţile de

auditare pentru : specificaţii, proiecte, software, baze de date, procesele

specifice ciclului de viaţă ale unui program, ale unei aplicaţii informatice,

ale unui sistem informatic pentru management şi ale unui portal de maximă

complexitate, asociat unei organizaţii virtuale.

În domeniul informatic există mai multe direcţii de dezvoltare a

Auditului:

Auditarea software constă în activităţi prin care se evidenţiază gradul

de concordanţă dintre specificaţii şi programul elaborat. Auditul software dă

măsura siguranţei pe care trebuie să o aibă utilizatorul de programe atunci

când obţine rezultate

Auditul bazelor de date, este un domeniu de maximă complexitate

având în vedere că, de regulă, lucrul cu bazele de date presupune atât datele

ca atare însoţite de relaţiile create între ele, cât şi programele cu care datele

se gestionează.

În cazul auditării riscului de gestiune a datelor stocate în baze de

date se verifică dacă:

- programele referă corect câmpurile cu date stocate;

- operaţiile de prelucrare sunt cele din specificaţii;

- agregările, sortările, evaluările de expresii de extragere a subseturilor de date sunt în concordanţă cu specificaţiile de obţinere a rezultatelor ca structură, dimensiune şi conţinut.

Auditul sistemelor informatice evaluează riscurile unui mediu

informatic sau ale unei aplicaţii informatice, ca de exemplu calculul

salariilor sau facturarea. Aceste misiuni se realizează alegând, împreună cu

clientul, procesul de evaluare.

Auditul informatic poate să evalueze aspecte strategice sau referitoare la calitatea sistemelor informatice. De exemplu, să verifice dacă sistemul informatic al întreprinderii răspunde în mod eficient la nevoile funcţiilor serviciului.

Auditul mediului informatic se execută pentru a evalua riscurile sistemelor informatice necesare funcţionării aplicaţiilor. De exemplu: securitatea fizică, securitatea logică, securitatea reţelelor, plan de salvare. În urma auditării, se întocmeşte un raport în care sunt prezentate punctele slabe, nivelul de risc al acestora şi măsurile corective propuse.

Analistul informatic are la dispoziţie numeroase tehnici şi metode pe care le adaptează contextului. De aceea, în cadrul procesului de audit informatic, planificarea şi definirea metodei de audit este esenţială. Alegerea unei metode neadecvate conduce la utilizarea de instrumente neadecvate, iar rezultatele auditului au caracter speculativ.

Auditul propriu-zis include proceduri analitice, teste, prin care se evidenţiază diferenţele dintre ceea ce s-a planificat a se realiza şi ceea ce s-a

realizat.

Procedurile analitice au la bază contractele încheiate între părţi, minutele care detaliază obiective, sarcinile ce revin partenerilor, specificaţiile. Auditorul tehnic trebuie să ierarhizeze informaţiile astfel încât să identifice punctele cheie care definesc procesul de analiză, proiectare, dezvoltare, testare, implementare a produsului informatic, fie că este vorba de un simplu program, fie că este vorba de o aplicaţie informatică desktop sau în reţea, fie că este vorba de un sistem informatic care vizează întreaga activitate a unei organizaţii.