Sistemele informatice si auditarea acestora. caracteristici reprezentative

SISTEMELE INFORMATICE SI AUDITAREA ACESTORA. CARACTERISTICI REPREZENTATIVE

1.1.          Obiectul auditului pentru sistemele informatice

Auditul sistemelor informatice reprezinta activitatea de colectare si evaluare a unor probe pentru a determina daca sistemul informatic este securizat, mentine integritatea datelor prelucrate si stocate, permite atingerea obiectivelor strategice ale intreprinderii si utilizeaza eficient resursele informationale. In cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operatii sunt verificarile, evaluarile si testarile mijloacelor informationale, astfel:

- identificarea si evaluarea riscurilor din sistem;

- evaluarea si testarea controlului din sistem;

- verificarea si evaluarea fizica a mediului informational;

- verificarea si evaluarea administrarii sistemului informatic;

- verificarea si evaluarea aplicatilor informatice;

- verificarea si evaluarea securitatii retelelor de calculatoare;

- verificarea si evaluarea planurilor si procedurilor de recuperare in caz de dezastre si continuare a activitatii;

- testarea integritatii datelor.

Auditul informatic reprezinta o forma esentiala prin care se verifica daca un SI isi atinge obiectivul pentru care a fost elaborata. Standardele europene definesc clar domeniul, activitatile, etapele, continutul auditarii si formele de finalizare. Respectand cerintele standardelor, rezultatul procesului de auditare informatica este eliberat de riscurile contestarii. Auditul informatic reprezinta un domeniu cuprinzator in care sunt incluse toate activitatile de auditare pentru : specificatii, proiecte, software, baze de date, procesele specifice ciclului de viata ale unui program, ale unei aplicatii informatice, ale unui sistem informatic pentru management si ale unui portal de maxima complexitate, asociat unei organizatii virtuale. In domeniul informatic exista mai multe directii de dezvoltare a auditului.

Normele utilizate in acest sens si studiate pentru aceasta lucrare sunt: Legea Societatilor Comerciale nr. 31/1990 republicata, Legea Contabilitatii nr. 82/1991 republicata, Hotararea Guvernului privind prestarea serviciilor in domeniul contabilitatii verificarii si certificarii bilantului contabil nr. 483/1996, Normele de Audit si certificare a bilantului contabil, H.G. nr. 519/2000 privind auditul financiar, O.M.F. nr. 1752/2005 pentru aprobarea reglementarilor contabile conforme cu directivele europene completate si modificate cu O.M.F. nr. 2001/2006.

Auditarea software consta in activitati prin care se evidentiaza gradul de concordanta dintre specificatii si programul elaborat. Auditul software da masura sigurantei pe care trebuie sa o aiba utilizatorul de programe atunci cand obtine rezultate. Siguranta se refera la corectitudinea si completitudinea rezultatelor finale atunci cand datele de intrare sunt, de asemenea, corecte si complete. Auditul bazelor de date, este un domeniu de maxima complexitate avand in vedere ca, de regula, lucrul cu bazele de date presupune atat datele ca atare insotite de relatiile create intre ele, cat si programele cu care datele se gestioneaza. De aceea se impune efectuarea unei reparari. Auditul datelor vizeaza definirea acelor elemente prin care se stabileste masura in care datele stocate indeplinesc cerintele de calitate: corectitudine, completitudine, omogenitate, comprehensibilitate, temporalitate, reproductibilitate. Pentru fiecare caracteristica exista o metrica elaborata, iar auditorul de date trebuie sa evalueze nivelul atins de caracteristica, pentru setul de date supus auditarii. In final, auditorul de date certifica faptul ca datele stocate in baze de date constituie intrari valabile pentru a obtine rezultate corecte. In cazul auditarii riscului de gestiune a datelor stocate in baze de date se verifica daca: - programele refera corect campurile cu date stocate; - operatiile de prelucrare sunt cele din specificatii; - agregarile, sortarile, evaluarile de expresii de extragere a subseturilor de date sunt in concordanta cu specificatiile de obtinere a rezultatelor ca structura, dimensiune si continut. Auditul sistemelor informatice evalueaza riscurile unui mediu informatic sau ale unei aplicatii informatice, ca de exemplu calculul salariilor sau facturarea. Aceste misiuni se realizeaza alegand, impreuna cu clientul, procesul de evaluare. Auditul informatic se poate referi la evaluarea riscurilor informatice ale securitatii fizice, securitatea logica, managementul schimbarilor, planul de asistenta etc. In cazul general, auditul informatic se refera la un ansamblu de procese informatice pentru a raspunde la o cerere precisa a clientului. De exemplu, aprecierea disponibilitatii informatiilor si a sistemului. In acest caz se controleaza care dintre procesele informatice raspund cel mai eficient la o asemenea cerere. In cazul disponibilitatii, de exemplu, securitatea fizica si planul de continuitate.

Auditul informatic poate, de asemenea, sa evalueze aspecte strategice sau referitoare la calitatea sistemelor informatice. De exemplu, sa verifice daca sistemul informatic al intreprinderii raspunde in mod eficient la nevoile functiilor serviciului. Auditul mediului informatic se executa pentru a evalua riscurile sistemelor informatice necesare functionarii aplicatiilor. De exemplu: securitatea fizica, securitatea logica, securitatea retelelor, plan de salvare. In urma auditarii, se intocmeste un raport in care sunt prezentate punctele slabe, nivelul de risc al acestora si masurile corective propuse. Analistul informatic are la dispozitie numeroase tehnici si metode pe care le adapteaza contextului. Intr-un fel este auditat un program de calcul statistic sau de optimizare si altfel este auditata o aplicatie care utilizeaza o baza de date. Pentru un sistem informatic complex exista metode adecvate de auditare, iar pentru aplicatiile web accentul auditarii este pus pe gradul de satisfactie a grupului tinta. Aplicatiile mobile au fundamente de auditare in care accentul este pus pe asigurarea continuitatii, compatibilitatii, accesibilitatii rapide la resurse si, mai ales, asupra nivelului atins de asigurarea securitatii fluxurilor din intregul sistem. De aceea, in cadrul procesului de audit informatic, planificarea si definirea metodei de audit este esentiala. Alegerea unei metode neadecvate conduce la utilizarea de instrumente neadecvate, iar rezultatele auditului au caracter speculativ. Alegerea metodei presupune obtinerea unor informatii privind contextul in care se deruleaza procesele legate de produsul software, de aplicatia informatica sau de sistemul informatic, obiecte ale auditarii. Auditul este, prin complexitatea sa, o activitate in care sunt luate in analiza legaturile, implicatiile pe care le genereaza produsul software, aplicatia informatica sau sistemul informatic intre dezvoltator - compania de software si utilizator. Raporturile trebuie privite din punct de vedere tehnic, financiar si juridic. Aspectul tehnic priveste date de interior, algoritmi, rezultate, resurse folosite. Aspectul financiar vizeaza costul estimat al produsului software, aplicatie, sistem informatic si costul efectiv, modul in care s-au efectuat platile. Caracterul juridic al abordarii vizeaza obligatiile contractuale si legislatia din domeniul informatic. Toate aceste elemente conduc la stabilirea unor proceduri preliminare prin care sunt definite directiile de analiza, gradul de semnificatie pe care procesul de audit informatic il ofera si riscurile ca unele concluzii sa fie infirmate de practica derularii proceselor de utilizare curenta a produsului software, a aplicatiei informatice sau a sistemului informatic in integralitatea lui. Pentru a realiza auditul informatic se defineste planul de audit general si programul de audit. Structura planului si definirea programului sunt standard, presupunand parcurgerea unor pasi obligatorii. Specificitatea produsului software, a aplicatiei informatice sau a sistemului informatic si complexitatea acestora, determina efectuarea unor detalieri care difera de la un plan general la altul, respectiv de la un program de audit informatic la altul. Sarcinile care se includ in plan, esalonarea etapelor din program au elemente de variabilitate legate strict de structura si de diversitatea produselor informatice analizate. Standardele de auditare includ suficiente elemente astfel incat planul general si programul de audit sa fie riguroase, fara ambiguitati si, mai ales, operationale. Inainte de a se trece la auditul informatic propriu-zis, datorita eforturilor ridicate de derulare si, mai ales, datorita riscurilor ca reproductibilitatea procesului de audit sa fie afectata chiar de schimbarile care au loc in produsele informatice auditate, trebuie efectuate teste asupra mecanismelor de control si a mecanismelor de testare pe teste sursa, pe specificatii, pe diagrame, pe documentatii, pe structuri de rezultate. Pentru a obtine o reducere a nivelului estimat pentru riscul erorilor de analiza/control a produsului informatic in procesul de audit, printr-un proces iterativ se procedeaza la efectuarea de corectii asupra modalitatilor in care se includ procedee tehnice, metode, modele de analiza/control a produselor informatice. Procesul iterativ se intrerupe atunci cand estimarea probabilitatii ca rezultatele auditarii informatice sa fie afectate de erori a atins un prag acceptabil. Auditul propriu-zis include proceduri analitice, teste, prin care se evidentiaza diferentele dintre ceea ce s-a planificat a se realiza si ceea ce s-a realizat. Procedurile analitice au la baza contractele incheiate intre parti, minutele care detaliaza obiective, sarcinile ce revin partenerilor, specificatiile. Auditorul tehnic trebuie sa ierarhizeze informatiile astfel incat sa identifice punctele cheie care definesc procesul de analiza, proiectare, dezvoltare, testare, implementare a produsului informatic, fie ca este vorba de un simplu program, fie ca este vorba de o aplicatie informatica desktop sau in retea, fie ca este vorba de un sistem informatic care vizeaza intreaga activitate a unei organizatii.

Toate procedurile analitice si textele de detaliere aplicate modulelor, programelor si sistemelor de programe, au menirea de a evidentia comportamentul, pas cu pas, a secventelor de program. In cazul in care auditorul informatic are la baza pregatire de programator, stie sa aleaga din multitudinea de proceduri si texte cu caracter analitic, pe acelea care ofera informatia reprezentativa privind produsul software auditat, fie ca este vorba de un modul, fie ca este vorba de un sistem complex. Efortul de auditare este ridicat indiferent de complexitatea produsului auditat. Auditul se incheie cu raport care are la baza o serie de verificari ale interconditionarilor dintre module, dintre programe, respectiv dintre subsistemele sistemului informatic, pentru momentul t, considerat baza. Se verifica modul de producere a evenimentelor care sunt concretizate prin succesiuni de prelucrari, corespunzatoare momentului t + 1. In acest fel, produsul informatic, proiectat pentru derularea unor seturi de prelucrari, este analizat tinand cont tocmai de succesiunea prelucrarilor. Auditul informatic are la baza inregistrari privind structura software, structura bazei de date, inregistrari ale lungimilor, volumului, complexitatii si inregistrari complete asupra comportamentului in timpul executiei. In cazul in care exista seturi de date cu care au fost testate produse informatice din aceeasi clasa cu produsul auditat acum, se colecteaza serii de date privind comportamentul produsului pentru a fi comparat cu produsele deja existente. Cand nu exista date, sunt generate si testarea produsului se realizeaza simultan cu produse din aceeasi clasa, tocmai pentru a efectua analize si pentru a compara produsele informatice. Seriile de date se constituie in baze de redactare a raportului de auditare. De cele mai multe ori, auditul informatic este cerut ca solutie finala, impartiala, pentru a justifica ipotezele unei parti contractante, fie ca este vorba de cumparator de software, fie ca este vorba de beneficiar, cand acestia cred in dreptatea lor absoluta. In general, auditul este descris ca Examinarea independenta a inregistrarilor si a altor informatii in scopul formarii unei opinii referitoare la integritatea sistemului controalelor si imbunatatirea controalelor recomandate pentru limitarea riscurilor.

Definitia contine termeni semnificativi ca:

examinare;

auditarea implica culegerea si evaluarea informatiilor factuale din surse variate; este important ca rezultatele procesului de auditare (raportul primar de audit care contine recomandari pentru imbunatatirea controalelor) sa fie urmarit pana la sursele de informatii valide;

independent; auditorii nu sunt implicati direct in operatii sau in managementul functiei care se auditeaza; subordonarea lor trebuie sa le asigure exprimarea libera a opiniilor;

inregistrari si alte informatii; termenii includ ceea ce adeseori sunt numite “inregistrari de audit”; auditorii trebuie sa se refere la informatii privind procesul afacerii si sistemele aflate in revizii asa cum sunt formele complete de intrari de date, rapoarte generate de sistem si, bineinteles, personalul implicat in desfasurarea sau conducerea proceselor afacerii auditate;

opinie; auditorii furnizeaza atat fapte obiective cat si opinii subiective pe o situatie data; desi subiective, opiniile lor sunt bazate pe interpretarea faptelor si sunt deschise discutiilor; se poate sa nu se fie de accord cu aceste opinii, dar trebuie purtata o discutie completa si sincera; - integritate; termenul integritate include completitudine, acuratete si credibilitate; un control al unui sistem care este numai partial efectiv poate fi mai bun decat nimic, sau poate da un sens fals de securitate; auditorul va lua in considerare ambele cai;

recomandare; auditorii genereaza recomandari, dar nu au autoritatea nici sa implementeze schimbarile sugerate, nici sa impuna managementului sa faca schimbari; imbunatatirile se obtin numai printr-un proces de explicare, justificare si persuasiune, explicand riscurile reprezentate de punctele slabe constatate in SI in urma auditarii, justificand nevoia de schimbare in cadrul procesului si/sau sistemului si sugerand managementului necesitatea alocarii unor resurse si luarea de masuri pentru gestionarea riscurilor;

imbunatatirea controalelor; imbunatatirea sistemului de control inseamna, in general, adaugarea controalelor care lipsesc; sunt foarte rare cazurile in care auditorii pot recomanda eliminarea unor controale, in general, din cauza ca ele sunt ineficiente, distrugatoare sau costisitoare;

limite; ricurile si erorile pot fi reduse, dar nu pot fi complet eliminate; o buna activitate implica minimizarea riscurilor cu cheltuieli eficiente si pregatirea pentru actiune in cel mai rau caz posibil care s-ar putea produce (planificare pentru actiuni in caz de dezastre);

risc; posibilitatea ca ceva sa se desfasoare intr-o directie nefavorabila; formal, riscul este posibilitatea combinarii amenintarilor cauzate fie de cineva cu intentii rele, fie din neglijenta sau incompetenta, actionand asupra vulnerabilitatilor sistemului; vulnerabilitatile sunt punctele slabe ale sistemului care apar, in general, din cauza lipsei controalelor in sisteme de calcul si in proceduri de operare; manifestarea riscurilor poate genera, in anumite SI, rezultate catastrofale.

1.2.          Integrarea printr-un sistem ERP

Prin integrare, aplicatiile si datele trebuie combinate intr-o abordare care sa asigure mai mult decat accesul la informatii si procese economice.

ERP promite solutii efective, eficiente si ofera companiei oportunitatea de a implementa o interfata comuna, care sa permita integrarea informationala a tuturor departamentelor si gestiunea fluxurilor de date, stabilind un mediu in care sa poata fi adoptate viitoarele initiative tehnologice, in conditiile remodelarii proceselor economice sau a definirii unora noi.

Dincolo de promisiuni presupune, in primul rand, elaborarea de planuri si stabilirea de metode si instrumente adecvate pentru trecerea de la aplicatii disparate la o platforma unica.

Integrarea informationala trebuie privita ca un proces continuu si ominvestitie strategica pe termen lung, deoarece beneficiile sale nu se arata imediat, ci in timp.

Poate fi considerat ca o „asigurare de viata” pentru sistemul informational al intreprinderii.

Abordarea integrarii trebuie sa fie realista si sa tina cont de doua mari alternative:

integrarea interna - vizeaza procesele economice intra-organizationale, acoperite

prin suite ERP;

integrarea externa - combina servicii de la mai multi furnizori pentru a sustine

gestiunea tranzactiilor extinse, schimbul de informatii, coordonarea si colaborarea de-a lungul lantului valoric extins (extinderea aplicatiilor traditionale ERP cu mai „noile” aplicatii Customer Relationship Management, Supply Chain Management).

1.3.          Necesitatea auditarii unui sistem integrat

Aplicatiile ERP formeaza coloana vertebrala a unei organizatii si sunt 'responsabile' de datele, informatiile si cunostintele interne organizationale, Nucleul acestui pachet de aplicatii are misiunea de a gestiona datele interne. Acestea sunt organizate in cadrul depozitelor de date, de unde sunt extrase si analizate prin intermediul sistemelor suport pentru decizii (Decision Support System), utilizand instrumente de tip OLAP (On-Line Analytical Processing) sau OLTP (On-Line Transaction Processing). In ansamblu, depozitele de date furnizeaza arhitecturi si instrumente utile conducerii la varf prin organizarea sistematica, intelegerea si utilizarea datelor in adoptarea deciziilor strategice; in particular, sprijina procesarea informatiilor furnizand o platforma solida de consolidare a datelor istorice pentru analiza.

Operational, sistemele integrate au caracteristici distincte si partajeaza cinci atribute esentiale :

asigura compatibilitatea tehnica si functionala a departamentelor;

tehnologiile implicate in procesarea datelor sunt relativ transparente pentru utilizatori.

Integrarea poate fi realizata la orice nivel de desfasurare a afacerii si cu orice tip de tehnologie. Cheia succesului consta in alegerea celei mai bune tehnologii care onoreaza cu performanta urmatoarele criterii: suportul oferit utilizatorilor, longevitatea tehnologica, adaptabilitatea, scalabilitatea si rapiditatea in livrarea solutiei:

sistemele de aplicatii, datele, caile de acces la date si interfata grafica utilizator

sunt armonizate si standardizate pentru utilizatori;

rationalitatea datelor intreprinderii - datele au acelasi statut in sisteme si module

diferite, sunt definite coerent la nivel organizational;

toate aplicatiile de gestiune si mediile informatizate sunt scalabile, portabile si

acopera multiple functiuni.

Din punct de vedere tehnologic, aplicatiile pot fi reconfigurate rapid in functie de modificarea proceselor de afaceri si dovedesc flexibilitate. Codul si structura datelor suporta modificari si reproduceri.

Cele mai importante riscuri pe care si le asuma organizatia sunt:

volumul foarte mare al investitiilor initiale;

costuri ascunse semnificative;

incertitudini legate de software si evolutia viitoare a tehnologiilor informationale;

responsabilitatile sporite incredintate personalului.

Dintre riscurile enuntate cel mai greu de cuantificat sunt costurile ascunse, in principal, acestea “cheltuindu-se” cu pregatirea profesionala si trainning-ul angajatilor pe platforme.

O alta pondere importanta este detinuta de costurile personalizarii aplicatiilor.