Referat - Audit Sisteme Informatice

  • View
    326

  • Download
    23

Embed Size (px)

DESCRIPTION

audit

Text of Referat - Audit Sisteme Informatice

UNIVERSITATEA TIBISCUS

Auditorul de sisteme informatice rol i referine n regulamentele internaionale.

2011 Auditorul de sisteme informatice Auditul este descris ca examinarea independent a nregistrrilor i a altor informaii n scopul formrii unei opinii referitoare la integritatea sistemului controalelor i mbuntirea controalelor recomandate pentru limitarea riscurilor.

Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, mentine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale intreprinderii i utilizeaz eficient resursele informationale.Auditorul informatic este reprezentat de un informatician specializat n domeniul financiar-contabil ce este certificat ca auditor informatic (Certified Information Systems Auditor, CISA)de ctre ISACA. Jacques Renard spune c auditorul informatician nu este un auditor care a nvat informatic, ci reprezint neaprat un informatician format dup metodologia i instrumentele Auditului Intern. Acest auditor informatician i folosete talentul i competenele n cinci direcii fundamentale: auditul centrelor informatice, auditul biroticii, auditul reelelor informatice, auditul sistemelor n exploatare i al programelor informatice de aplicaie i auditul sistemelor n curs de dezvoltare. Desi exist o legtura metodologic destul de stans intre auditul financiar-contabil si auditul sistemelor informatice, cel din urma are la baz cunostinte din cel putin patru domenii, astfel: auditul traditional, sisteme informationale pentru management, stiinta comportamentului si informatica.

De asemenea Standardul IFAC- ISA 401 face referire la aptitudinile si competentele unui auditor financiar in conditiile auditului intr-un mediu informatizat, precum si ISA 620 face referiri la posibilitatea utilizarii unui expert(in Tehnologia Informatiei) in cadrul misiunii de audit financiar, daca necesitatea practica o impune.

Obiectivul Standardului de Audit 401 Auditul n mediul sistemelor informaionale computerizate (ISA 401 Auditing in a Computer Information Systems Environment) const n stabilirea normelor i recomandrilor privind procedurile ce trebuie urmate la exercitarea auditului ntr-un mediu de sisteme informaionale computerizate (SIC).

Coform acestui standard auditorul trebuie s ia n considerare modul n care un mediu SIC influeneaz asupra auditului. Obiectivul general i sfera de aplicare a auditului nu se schimb ntr-un mediu SIC. Cu toate acestea, utilizarea unui computer modific modul de prelucrare, stocare i comunicare al informaiei financiare i poate influena sistemele contabil i de control intern utilizate de agentul economic. Prin urmare, un mediu SIC poate influena: procedurile efectuate de auditor n scopul obinerii unei nelegeri suficiente a sistemelor contabil i de control intern;

considerarea riscului inerent i riscului legat de control, ceea ce influeneaz evaluarea riscului de ctre auditor;

elaborarea i efectuarea de auditor a procedurilor de testare a controlului intern i a procedurilor ce in de esen care snt potrivite atingerii unui anumit obiectiv al auditului. De asemenea acest standard impune anumite aptitudini si competente pentru a planifica, gestiona, supraveghea i controla lucrrile efectuate auditorul trebuie s posede cunotine suficiente n domeniul SIC. Auditorul trebuie s ia n considerare dac pentru exercitarea auditului sunt necesare aptitudini specializate de lucru cu SIC. Aceste aptitudini pot fi necesare pentru: obinerea nelegerii suficiente a sistemelor contabil i de control intern afectate de mediul SIC;

determinarea influenei mediului SIC asupra evalurii generale a riscului i evalurii riscului la nivelul soldurilor conturilor i a grupurilor de tranzacii;

elaborarea i efectuarea procedurilor potrivite de testare a controlului intern i a celor ce in de esen.

n cazul n care sunt necesare aptitudini specializate, auditorul urmeaz s se adreseze dup asisten unui specialist care posed astfel de aptitudini i care poate face parte din titularii organizaiei de audit sau poate fi angajat din afar acesteia. Dac este planificat implicarea unui astfel de specialist, auditorul trebuie s obin dovezi de audit suficiente i adecvate asupra faptului, c lucrrile unui astfel de specialist corespund obiectivelor auditului n conformitate cu SNA 620 Utilizarea lucrrilor expertului.Fcand o sinteza a cunostintelor pe care trebuie sa la aiba un auditor de sisteme informatice, pot fi enumerate urmatoarele:

cunostinte din domeniul auditului financiar;

cunostinte din domeniul managementului; cunostinte din domeniul contabilitatii; cunostinte din domeniul financiar; cunostinte privind evaluarea riscurilor; cunostinte privind controlul; cunostinte privind arhitectura fizica (hardware) a sistemelor informatice; cunostinte privind sistemele de operare si aplicatiile informatice; cunostinte privind telecominicatiile; cunostinte privind securitatea sistemelor informatice; cunostinte privind analiza si proiectarea sistemelor informatice; cunostinte privind programarea si limbajele de programare; cunostinte privind sistemele de gestiune a bazelor de date; cunostinte statistice

cunostinte privind legislatia.Auditul sistemului informatic poate fi organizat ata la nivelul intreprinderii, in cadrul functiei de audit intern, cat si sub forma auditului extern realizat de catre persoane din afara intreprinderii.

In cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt verificrile, evaluarile si testrile mijloacelor informationale, astfel:

Identificarea si evaluarea riscurilor din sistem;

Evaluarea si testarea controlului din sistem;

Verificarea si evaluarea fizic a mediului informational;

Verificarea si evaluarea administrrii sistemului informatic;

Verificarea si evaluarea aplicatiilor informatice;

Verificarea si evaluarea securittii retelelor de calculatoare;

Verificarea si evaluarea planurilor si procedurilor de recuperare in caz de dezastre si continuare a activitatii; Testarea integrittii datelor Realizarea auditului sistemului informatic contribuie la:

- mbuntirea sistemului i controalelor procesului;

- prevenirea i detectarea erorilor i a fraudelor;

- reducerea riscurilor i mbuntirea securitii sistemului;

- planificarea pentru refacere n caz de accidente i dezastre;

- managementul informaiilor i dezvoltrii sistemului;

- evaluarea utilizrii eficiente a resurselor.

Auditorul sistemelor informatice trebuie s aib capacitatea de a asista echipa managerial n stabilirea mrimii sistemului informatic i a numrului de personal necesar, domeniile de afaceri n care se utilizeaz eficient sistemele de calcul, natura afacerilor, pierderi poteniale n cazul cderii sistemului informatic, extinderea controalelor manuale i gradul de complexitate tehnic.

De asemenea auditorul sistemelor informatice trebuie sa realizeze o pregatire profesionala continua prin participarea la cursuri de specialitate.In ceea ce priveste aptitudinile auditorului de sisteme informatice, acesta trebuie:

s fie un bun membru intr-o echip de audit;

s fie un bun manager al activittilor de audit;

s aib un spirit de observatie bine dezvoltat;

s fie un bun colaborator; s dispun de abilitti de comunicare; s fie capabil s ia decizii obiective; s fie un bun analist. Sistemul informatic este o constructie complexa, care este realizata pe parcursul mai multor ani si are ca obiectiv crearea de interdependente ntre componente, acoperirea tuturor problemelor agentului economic, asa incat se suprapune o structura n plan informational structurii fizice agentului economic.

Pentru a realiza un proces de auditare eficient este necesar s se parcurg urmtorii pai:

- definirea obiectului auditrii sistemului informatic;

- construirea planului de auditare;

- atribuirea sarcinilor fiecrui membru din echipa de auditori;

- preluarea structurilor de tabele pentru nregistrarea rezultatelor auditrii;

- derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici i metode stabilite;

- nregistrarea rezultatelor i evaluarea fiecrei etape parcurse;

- regruparea documentaiei provenite din diferite stadi ale procesului de auditare i construirea raportului final. Principalele tipuri de audit informatic sunt:

- auditul sistemului operaional de calcul- auditul instalaiilor IT- auditul sistemelor aflate n dezvoltare- auditul managementului IT- auditul procesului IT- auditul managementului schimbrilor- auditul controlului i securitii informaiilor- auditul conformitii cu legalitatea- auditul accidentelor dezastruoase/planificrii continuitii afacerii/refacerii dup dezastre- auditul strategiei ITDezvoltarea sistemelor informatice presupune existenta unor activitati premargatoare, activitati care au menirea de a impune o echipa, o tehnologie unitara de analiza, design, dezvoltare, implementare, exploatare si mentenanta, aspecte care trebuie luate n considerare la efectuarea unui audit de sistem informatic.

Un sistem informatic necesita: stabilirea obiectivelor; definirea unei strategii de dezvoltare, exploatare si mentenanta; achizitionarea de echipamente, instrumente necesare realizarii de prelucrari, de conexiuni si dezvoltarii fluxurilor cu exteriorul; fonduri foarte mari n anumite cazuri.Dezvoltarea companiei prin achizitionarea de noi echipamente, reorganizarea fluxului de productie, trecerea la realizarea de noi produse, introducerea elementelor de management total al calitatii vin sa influenteze calitativ si cantitativ structura si functiunile sistemului informatic. Toate fluctuatiile se reflecta n sistemul de lucru, n calitatea comp