8/15/2019 Auditul Si Controlul Sistemelor Informatice
1/21
AUDITUL SI CONTROLUL SISTEMELOR INFORMATICE
De cate tipuri este cerifcarea?
o certificarea Certified Information Security Manager (CISM ) - vizează
managementul securităţii informaţiilor şi este deţinută de către mai mult de22.500 de profesionişti;
o certificareaCertified in the Governance of Enterprise IT (CGEIT) – vizează
desemnarea şi promovarea de profesionişti care doresc să fie recunoscuţi pentruexperienţa lor în guvernarea !" fiind acreditaţi în prezent peste 5.#00 astfel de profesionişti;
o certificareaCertified in Risk and Information Systems Control (CRISC) – vizează identificarea şi gestionarea riscurilor pe care le presupune dezvoltareaimplementarea şi menţinerea controlului sistemelor informaţionale; existăaproximativ $#.%00 de profesionişti care deţin această certificare.
Care sunt principalele objecti e ale pro!ra"elor UE?
a# accelerarea i"ple"ent$rii structurilor %e ba&$ ale Societ$'iiIn(or"a'ionale)
b# in(or"ati&area a%"inistra'iilor publice *i interconectarea cu a%"inistra'iilepublice %in statele "e"bre ale Uniunii Europene+ pe o in(rastructur$ co"un$)
c# ser icii pentru clien'i *i oportunit$'i pentru per(ec'ionarea a%"inistra'iei)
%# asi!urarea securit$'ii re'elelor in(or"a'ionale *i a aplica'iilor so(t,are-
Care sunt %ocu"entele cu c.aracter strate!ic elaborate %e "inisterulco"unicatiilor si societati international?
8/15/2019 Auditul Si Controlul Sistemelor Informatice
2/21
o Strate!ia /u ernului Ro"0niei pentru %e& oltarea sectoruluite.nolo!iei in(or"a'iei)
o Strate!ia /u ernului Ro"0niei %e sti"ulare *i sus'inere a %e& olt$riisectorului %e co"unica'ii 1n perioa%a 233242352)
o Econo"ia ba&at$ pe cunoa*tere)o Strate!ia %e De& oltare Durabil$ a Ro"0niei ORI6ONT 7 2328)o Strate!ia Na'ional$ %e E9port
Corel0n% %o"eniile Societ$'ii In(or"a'ionale %in Uniunea European$ cu celee9istente 1n Ro"0nia+ au (ost i%entifcate ur"$toarele arii %e interes:
• e/o ern"ent ; e4!u ernare #)• Internet
8/15/2019 Auditul Si Controlul Sistemelor Informatice
3/21
in%use 1n acti itatea propriu4&is$ ;a(acerea# *i %in sc.i"b$rile %e natur$or!ani&a'ional$ (acilitate %e IT- n acest sens+ se constat$ c$ e9ist$ o 1n'ele!ere %ince 1n ce "ai lar! acceptat$ a (aptului c$ in(or"a'ia constituie un bun strate!ic ala(acerii iar IT a %e enit un (actor cu o contribu'ie i"portant$ la succesul acesteia-
O defniţie ba&at$ pe bune practici a !u ern$rii IT+ ca parte a !u ern$riicorpora'iei ;1ntreprin%erii# se poate (or"ula ast(el: guvernarea IT esteresponsabilitatea managementului executiv şi a comitetelor de direcţie şi constă în
actul de asumare a conducerii, precum şi în procese şi structuri organizaţionale
care asigură că funcţia IT a entităţii susţine şi extinde strategiile şi obiectivele
acesteia -
n "o% concret+ %efni'ia pre&entat$ situea&$ !u ernarea IT ca o co"ponent$
inte!ral$ a !u ern$rii 1ntreprin%erii ;a(acerii# *i nu ca pe o %isciplin$ i&olat$-
n ceea ce pri e*te li rabilele 1n plan practic+ !u ernarea IT ur"$re*te %ou$cate!orii %e re&ultate: li rarea %e aloare pentru a(acere *i atenuarea ;ani.ilarea#riscurilor IT- n acest sens+ !u ernarea IT se (ocali&ea&$ pe cinci &one principale:alinierea strate!ic$+ li rarea %e aloare+ "ana!e"entul riscurilor+ "ana!e"entulresurselor+ "$surarea per(or"an'ei-
/u ernarea IT (unc'ionea&$ ca un proces continuu+ ca o parte inte!rant$ a!u ern$rii 1ntreprin%erii *i se (ocali&ea&$ pe obiecti ele strate!ice-
. Stadiul actual privind cadrul de auditare a sistemelor in ormatice
pe plan internaţional şi intern
Abor%area au%itului siste"elor in(or"atice este anali&at$ %in trei perspecti e:
a# prin pris"a conte9tului %e 'ar$: "anualul inclu%e o anali&$ critic$ aabor%$rii %e tip conte9t %e 'ar$ + cu %etalieri pe coor%onatele naturale alespecifcului na'ional+ respecti "e%iul ;f&ic+ social+ econo"ic# *i in(rastructurile ;%epia'$+ politice+ le!islati e etc-#)
8/15/2019 Auditul Si Controlul Sistemelor Informatice
4/21
8/15/2019 Auditul Si Controlul Sistemelor Informatice
5/21
Care sunt institutiile international cu (unctii %eter"inante in nor"ali&area au%ituluiin !eneral si au%itului IT in particular?
• INTOSAI ;International Or!ani&ation o( Supre"e Au%it Institutions#)• IAASB ;International Au%it an% Assurance Stan%ar% =oar%# 4 Consiliul
pentru Stan%ar%e Interna'ionale %e Au%it *i Asi!urare+ 1nfin'at pentru a%e& olta *i e"ite stan%ar%e *i %eclara'ii pri in% au%itul+ asi!urarea *iser iciile cone9e 1n nu"ele Consiliului IFAC %in ca%rul Fe%era'ieiInterna'ionale a Contabililor IFAC ;International Fe%eration o( Accountants#)
• IIA ;T.e Institute o( Internal Au%itors# 4 Institutul Au%itorilor Interni)• COSO ;Co""ittee o( Sponsorin! Or!ani&ations o( t.e Trea%,a>
Co""ission#)• ISACA ;In(or"ation S>ste"s Au%it an% Control Association#-
Instituţiile supreme de audit SAI! sunt afliate la or!ani&a'ia pro(esional$INTOSAI *i+ i"plicit+ la !rupurile re!ionale ale acesteia- Ca%rul %e re!le"entare alSAI se ar"oni&ea&$ cu pre e%erile ca%rului INTOSAI %ar con'ine *i pre e%erispecifce+ potri it principiului in%epen%en'ei pro"o at %e INTOSAI-
Cadrul de auditare INTOSAI
Cea "ai i"portant$ constatare care se %e!aj$ %in in esti!area %ocu"entelor%e re(erin'$ 1n %o"eniul au%itului IT ;publicate %e INTOSAI+ EUROSAI sau pe site4urile ,eb ale SAI4urilor# este aceea c$+ 1n pre&ent+ la ni el interna'ional e9ist$ opreocupare continu$ pentru %e& oltarea unui ca%ru "eto%olo!ic *i proce%uralcoerent care s$ se i"pun$ ca stan%ar% %e au%itare a siste"elor in(or"atice+
1ncep0n% cu aplica'iile in%i i%uali&ate *i ajun!0n% la siste"e pe scar$ lar!$+ %e tip
e4!u ernare *i ser icii electronice- E9perien'ele actuale se ba&ea&$+ 1n !eneral+ pestan%ar%e *i linii %irectoare *i+ 1n ca&ul unor SAI4uri cu un ni el "ai sc$&ut %e%e& oltare+ pe utili&$ri a%4.oc ale unor te.nolo!ii tra%i'ionale care r$spun% 1ns$nu"ai par'ial proble"elor ri%icate %e %es($*urarea unui au%it IT-
8/15/2019 Auditul Si Controlul Sistemelor Informatice
6/21
Cu toate c$ la ni elul SAI4urilor au%itul siste"elor in(or"atice se (ace+ 1n!eneral+ 1ntr4o "anier$ uni%i"ensional$ + fin% (ocali&at nu"ai pe (a'ete particulareale siste"elor respecti e+ la ni elul INTOSAI se pro"o ea&$ 1n pre&ent abor%areaau%itului IT H IS ca proces inte!rat+ particularit$'ile %o"eniului antren0n% %eopotri $
ele"ente specifce au%itului fnanciar+ au%itului or!ani&a'ional+ au%itului te.nolo!ieiin(or"a'iei *i co"unica'iilor+ au%itului per(or"an'ei *i au%itului con(or"it$'ii-
Aceste (a'ete ale procesului trebuie s$ coe9iste 1ntr4o ar.itectur$ coerent$+ba&at$ pe siner!ie+ "o%elul %e au%itare fin% %i(erit %e cel clasic+ 1ntruc0t fecare tip%e au%it nu se %es($*oar$ in%epen%ent+ ci se reBect$ sub (or"a unor sec en'e %eproce%uri+ co"binate 1n ca%rul unor Bu9uri etero!ene+ orientate c$tre obiecti ul!eneral al au%itului *i nu c$tre obiecti ul in%i i%ual al fec$rui tip %e au%it- Cu at0t
"ai "ult+ "o%elul %e ine "ai co"plicat 1n con%i'iile unor siste"e interoperabile-n plan practic+ aceast$ abor%area constituie o abor%are siste"ic$ inte!rat$ *i
propune un "o%el nou %e au%itare ba&at pe e aluarea riscurilor *i un ca%ru"eto%olo!ic *i proce%ural asociat pentru au%it e9tern-
Sublinie" c$+ pe plan interna'ional e9ist$ un interes crescut pentruin entarierea bunelor practici 1n %o"eniu *i asi!urarea con er!en'ei acestora 1nr4o"anier$ stan%ar%i&at$-
n acest sens+ la ni elul INTOSAI este a%optat$ ca repre&entati $ ar.itectura%e au%itare ISACA *i reco"an%at$ 1n consecin'$- Aceasta se constituie ca unansa"blu ierar.i&at %e ele"ente %e !.i%are care inclu%e ur"$toarele ni eluri *ico"ponente: stan%ar%e+ !.i%uri %e aplicare+ proce%uri *i resursele CO=IT+ care suntconsi%erate ca fin% cele "ai bune practici 1n "aterie- Ansa"blul acestorco"ponente este ba&at pe un "o%el !eneral %e controale *i te.nici %e control%estinat unui "e%iu in(or"ati&at-
". O#iectul auditului Au%itarea se poate (ocali&a pe unul sau pe "ai "ulte %intre cele patru tipuri
%e obiecte !enerice: pro!ra" ;colec'ie %e proiecte#+ proiect+ siste" in(or"atic sauresurse in(or"atice- Cele trei ni ele %e controale asociate obiectelor !enerice sunt:
8/15/2019 Auditul Si Controlul Sistemelor Informatice
7/21
• ni elul strate!ic: efcien'a cu care este or!ani&at$+ planifcat$+ con%us$ *icontrolat$ %es($*urarea pro!ra"elor)
• ni elul opera'ional: %erularea proiectelor• ni elul aplica'iilor: utili&area unor siste"e in(or"atice sau a unor resurse
in(or"atice e9istente sau nou create-$. Tipuri de audit
Clasifc$rile stan%ar% recunosc ur"$toarele tipuri !enerale %e au%it:
• audit fnanciar 4 o au%itarea in esti'iilor *i a c.eltuielilor+ a contabilit$'ii(on%urilor+ a or!ani&$rii controlului intern *i a raport$rii efcien'eic.eltuielilor)
• audit IT 4 o au%itarea !u ern$rii IT)• auditul per ormanţei 4 o e aluarea siste"elor %e control al calit$'ii+
e aluarea efcien'ei *i efcacit$'ii+ a efcien'ei procesului %eci&ional+ acalit$'ii ser iciilor+ a politicilor %e personal+ a aptitu%inilor *i cuno*tin'elorpersonalului-
3. %erspectiva temporal&
n concor%an'$ cu practicile interna'ionale acceptate la ni elul institu'iilor %e
control fnanciar+ se pot %efni trei ca%re %e ti"p pentru %es($*urarea "isiunilor %eau%it IT:
• pre4i"ple"entare: controlul pe perioa%a procesului %e luare a %eci&iilorpri in% politica+ pri in% bu!etul sau alte &one %e control fnanciar)
• concurent: controlul aspectelor a%i'ionale pri in% e9ecu'ia bu!etar$ carepot s$ apar$ pe parcursul reali&$rii pro!ra"elor *i proiectelor)
• post4i"ple"entare: aprobarea rapoartelor pri in% e9ecu'ia bu!etar$ *i
pri in% e(ectele ;re&ultatele# pro!ra"elor *i proiectelor-i&iunea tri%i"ensional$ per"ite %efnirea unui spa'iu %e control 1n care
fec$rui obiect %e control 1i corespun%e un tip %e au%it *i o perspecti $ te"poral$+re&ult0n% o arietate %e co"bina'ii care !enerea&$ seturi %e "eto%e %e au%itasociate-
8/15/2019 Auditul Si Controlul Sistemelor Informatice
8/21
Meto%ele %e au%it pentru ni elele strate!ic+ opera'ional *i %e aplica'ie se pot"apa ;suprapune# pe ca%rul %e lucru CO=IT-
Clasifcarea tipurilor %e au%it 1n cate!orii separate are rolul %e a contribui la oclarifcare conceptual$- n practic$+ au%itul pro!ra"elor *i proiectelor co"bin$ 1n"o% tipic abor%$ri ale au%itului fnanciar+ au%itului ITHIS *i au%itului per(or"an'ei-
Aceast$ ten%in'$ %e e olu'ie+ confr"at$ *i %e e9perien'a altor institu'iisupre"e %e au%it+ a (ost pro"o at$ 1n ca%rul "isiunilor %e au%it ale Cur'ii %eConturi a Ro"0niei %es($*urate 1n %o"eniul siste"elor e4!u ernare *i al ser iciilorelectronice asociate-
• Au%itul tuturor aspectelor rele ante ale pro!ra"elor *i proiectelor nu este
posibil prin aplicarea "eto%elor clasice- Sunt necesare noi "eto%e+ iarnoile "eto%e trebuie s$ acopere subiecte+ cu" ar f:
• calitatea siste"elor fnanciar4contabile ale or!ani&a'iilor care suntresponsabile cu or!ani&area *i %erularea pro!ra"elor %in %o"eniul ITHISsau e4!u ernare)
• con(or"itatea proiectelor cu stan%ar%e (unc'ionale re(eritoare la"ana!e"entul in esti'iilor)
• con(or"itatea cu stan%ar%e pentru i"ple"entarea *i utili&area te.nolo!ieiin(or"a'iei ;CO=IT#)
• e9isten'a siste"elor %e control al calit$'ii certifcate pentru fecare sta%iual reali&$rii proiectului-
• n acest sens+ !rupul %e lucru EUROSAI 7 IT @/ *i4a propus s$ se(ocali&e&e pe ur"$toarele linii %e ac'iune principale+ pe care le re'ine" cafin% rele ante *i pentru situa'ia *i e olu'iile 1n planul au%it$rii %inRo"0nia:
• a# au%itarea (urni&$rii %e ser icii %e tip e4!u ernare+ e4licita'ie+ e4a%"inistra'ie *i altele)
• b# au%itarea in esti'iilor !u erna"entale 1n resurse .ar%,are+ so(t,are *iu"ane relati e la pro"o area *i utili&area efcient$ a te.nolo!iilorin(or"a'iei)
• c# %e& oltarea capabilit$'ii institu'iilor supre"e %e au%it %e a4*i atin!eobiecti ele strate!ice prin utili&area 1n "o% a%ec at a te.nolo!iilor
8/15/2019 Auditul Si Controlul Sistemelor Informatice
9/21
in(or"a'iei ;%e e9e"plu+ relati la "ana!e"entul intern: reali&area %eau%it$ri cu e(ecte "ult "ai efciente *i %e& oltarea abilit$'ilor necesare alepersonalului#-
'. Standardele internaţionale de audit ISA•
• Stan%ar%ele Interna'ionale %e Au%it ISA sunt elaborate+ aprobate *i e"ise%e IAAS=- E9per'ii INTOSAI particip$ 1n pre&ent la %e& oltarea stan%ar%elorISA+ care+ 1n con(or"itate cu abor%area %ual$ a INTOSAI+ sunt o parteinte!rat$ a liniilor %irectoare %e au%it fnanciar INTOSAI- Subco"isia %eau%it fnanciar %in ca%rul GSC elaborea&$ Notele Gractice+ cu scopul %e ao(eri orient$ri rele ante cu pri ire la aplicarea stan%ar%ului ISA 1n au%itulsitua'iilor fnanciare ale entit$'ilor %in sectorul public+ 1n plus (a'$ %e ceeace este pre $&ut 1n pre&ent 1n ISA- Stan%ar%ul ISA *i notele practicea(erente constituie 1"preun$ o linie %irectoare pentru au%it fnanciar-Acest lucru a (ost aprobat %e c$tre INCOSAI 1n 233J+ c0n% Con!resul aaprobat %ocu"entul ca%ru 1n ca&ul 1n care se pre e%e c$: O linie%irectoare INTOSAI pri in% au%itul fnanciar a consta 1ntr4un stan%ar% ISAe"is %e IAAS=+ 1"preun$ cu o not$ practic$ elaborat$ %e INTOSAIsubliniin%+ %e ase"enea+ "o%ifc$rile+ care trebuie s$ fe luate 1nconsi%erare %e au%itul public-
•
Care sunt institutiile cu rol %e nor"ali&are pri in% au%itul ?
'. Standardele internaţionale de audit ISA
Stan%ar%ele Interna'ionale %e Au%it ISA sunt elaborate+ aprobate *i e"ise %eIAAS=- E9per'ii INTOSAI particip$ 1n pre&ent la %e& oltarea stan%ar%elor ISA+ care+ 1ncon(or"itate cu abor%area %ual$ a INTOSAI+ sunt o parte inte!rat$ a liniilor%irectoare %e au%it fnanciar INTOSAI- Subco"isia %e au%it fnanciar %in ca%rul GSCelaborea&$ Notele Gractice+ cu scopul %e a o(eri orient$ri rele ante cu pri ire laaplicarea stan%ar%ului ISA 1n au%itul situa'iilor fnanciare ale entit$'ilor %in sectorul
8/15/2019 Auditul Si Controlul Sistemelor Informatice
10/21
public+ 1n plus (a'$ %e ceea ce este pre $&ut 1n pre&ent 1n ISA- Stan%ar%ul ISA *inotele practice a(erente constituie 1"preun$ o linie %irectoare pentru au%it fnanciar-Acest lucru a (ost aprobat %e c$tre INCOSAI 1n 233J+ c0n% Con!resul a aprobat%ocu"entul ca%ru 1n ca&ul 1n care se pre e%e c$: O linie %irectoare INTOSAI pri in%
au%itul fnanciar a consta 1ntr4un stan%ar% ISA e"is %e IAAS=+ 1"preun$ cu o not$practic$ elaborat$ %e INTOSAI subliniin%+ %e ase"enea+ "o%ifc$rile+ care trebuies$ fe luate 1n consi%erare %e au%itul public-
In ceea ce pri e*te stan%ar%ele interna'ionale %e au%it ISA *i %eclara'iile %e practic$IASG+
Care sunt co"ponentele %e au%itare ISACA ?
Co"ponentele ar.itecturii %e au%itare ISACA sunt:
• Stan%ar%e 4 Defnesc cerin'ele obli!atorii pentru au%itarea *i raportareaau%it$rii siste"elor in(or"atice-
• /.i%uri %e aplicare 4 Furni&ea&$ !.i%uri practice pentru aplicareastan%ar%elor %e au%itare a siste"elor in(or"atice-
• Groce%uri 4 Furni&ea&$ e9e"ple %e proce%uri pe care un au%itor %e siste"ein(or"atice ar trebui s$ le ur"e&e ;le4ar putea utili&a# 1n ca%rul unuian!aja"ent %e au%it-
• Cel %e4al patrulea ele"ent al ansa"blului "en'ionat+ resursele CO=IT+(unc'ionea&$ ca o surs$ %e !.i%are pentru cele "ai bune practici 1n"aterie-
Unul %intre obiecti ele asocia'iei ISACA este acela %e a a ansa ;%e a %e& olta*i %ise"ina# stan%ar%e !lobal aplicabile pentru atin!erea i&iunii proprii 1n "aterie%e au%itare ITHIS-
ISACA a elaborat+ %e& olt$ *i 1ntre'ine un set cuprin&$tor %e linii %irectoare;!.i%uri# pentru au%it *i asi!urare IT+ %intre care "en'ion$" ;selecti #:
• Utili&area te.nicilor %e au%it asistat %e calculator)• Concepte %e "aterialitate pentru au%itarea siste"elor in(or"atice)• E(ectele e9tin%eriiH!enerali&$rii controalelor pentru siste"ele in(or"atice)
8/15/2019 Auditul Si Controlul Sistemelor Informatice
11/21
• Utili&area e alu$rii riscurilor 1n planifcarea au%itului)• Re i&uirea siste"elor %e aplica'ie)• /u ernarea IT
Care sunt liniile %irectoare ;!.i%uri# pentru au%it si asi!urare IT?
Liniile %irectoare sunt structurate pe ur"$toarele cate!orii %e proble"e:
• /TA/ G/458: Securitatea in(or"a'iei• /TA/ G/45K: Au%itul aplica'iilor %e& oltate %e utili&atori• /TA/ G/45 : Gre enirea *i %etectarea (rau%ei 1ntr4un "e%iu in(or"ati&at•
/TA/ G/452: Au%itul proiectelor IT• /TA/ G/455: Elaborarea Glanului %e Au%it IT• /TA/ G/453: Mana!e"entul continuit$'ii• G/ /TA/4 : Mana!e"entul i%entit$'ii *i al accesului• G/ /TA/4 : Au%itarea controalelor %e aplica'ie• G/ /TA/4J: E9ternali&area te.nolo!iei in(or"a'iei• G/ /TA/4 : Mana!e"entul *i au%itul ulnerabilit$'ilor IT• /TA/ G/48: Mana!e"entul *i au%itul riscurilor pri in% conf%en'ialitatea• G/ /TA/4K: Mana!e"entul au%itului IT• G/ /TA/4 : Au%it continuu: I"plica'ii pentru asi!urare+ "onitori&are *i
e aluare a riscurilor• G/ /TA/42: Controale pri in% "ana!e"entul sc.i"b$rii• G/ /TA/45: Controale IT
Care este %efnitia ca%rului %e lucru CO=IT?
Ca%rul %e lucru CO=IT a (ost asi"ilat la ni el INTOSAI H EUROSAI %rept ca%ru%e re(erin'$ pentru au%iturile %es($*urate %e SAI4uri-
8/15/2019 Auditul Si Controlul Sistemelor Informatice
12/21
8/15/2019 Auditul Si Controlul Sistemelor Informatice
13/21
opti"i&area in es4ti'iilor IT+ or asi!ura li rarea ser iciilor *i or (urni&a unre(eren'ial pe ba&a c$ruia se a ju%eca atunci c0n% lucrurile nu "er! bine- n acestconte9t+ CO=IT constituie un instru"ent %eosebit %e util *i pentru au%itori-
Misiunea CO=IT const$ 1n cercetarea+ %e& oltarea+ publicarea *i pro"o areaunui ca%ru %e re(erin'$ pentru !u ernarea IT+ autori&at+ actuali&at+ acceptat la ni elinterna'ional pentru a f a%optat %e c$tre or!ani&a'ii *i utili&at 1n acti itateacoti%ian$ a "ana!erilor+ pro(esioni*tilor IT *i au%itorilor+ a 0n% 1n e%ere i"pactulse"nifcati pe care in(or"a'iile il pot a ea asupra succesului or!ani&a'iilor-
Orientarea spre partea econo"ic$ a CO=IT const$ 1n le!$tura %intreobiecti ele a(acerii *i obiecti ele IT+ (urni&area %e "etriciHin%icatori *i %e "o%ele %e"aturitate pentru a cuantifca reali&area acestora+ precu" *i i%entifcarea
responsabilit$'ilor le!ate %e a(acere *i a responsabililor %e procese IT-
Care sunt principalele caracteristici ale ca%rului CO=IT?
Cadrul de re erinţ& COBIT a ost creat av(nd ca principale
caracteristici)
5- Concentrarea pe co"ponenta econo"ic$)
2- Orientarea pe procese)
- =a&at pe controale)
K- Con%ucerea prin in%icatori-
Care sunt criteriile CO=IT pentru in(or"ati e?
n conclu&ie+ CO=IT o(er$ un ca%ru %e re(erin'$ care asi!ur$ c$:
P Te.nolo!iile sunt aliniate cu a(acerea)
P Te.nolo!iile u*urea&$ procesele econo"ice *i "a9i"i&ea&$ benefciile)
P Resursele sunt utili&ate cu responsabilitate)
8/15/2019 Auditul Si Controlul Sistemelor Informatice
14/21
P Riscurile IT sunt !estionate 1n "o% corespun&$tor-
Care sunt resursele IT in%entifcate in CO=IT?
*. Criteriile COBIT pentru in ormaţie
Gentru a satis(ace obiecti ele a(acerii+ in(or"a'ia trebuie s$ se con(or"e&eanu"itor criterii %e control pe care CO=IT le e i%en'ia&$ sub (or"a %e cerin'e alea(acerii pentru in(or"a'ie- Ge ba&a cerin'elor !enerale %e calitate+ %e 1ncre%ere *i %esecuritate+ au (ost %efnite *apte criterii %istincte pentru in(or"a'ii+ %up$ cu"ur"ea&$:
• *fcacitatea : i"pune ca in(or"a'iile s$ fe rele ante *i pertinente pentruprocesul econo"ic+ precu" *i s$ fe li rate 1ntr4un ti"p util *i %e o "anier$corect$+ coerent$ *i u*or %e utili&at-
• *fcienţa : se re(er$ la (urni&area %e in(or"a'ii prin utili&area opti"a aresurselor ;raport0n%u4ne la pro%ucti itate *i econo"icitate#-
• Confdenţialitatea : se re(er$ la protejarea in(or"a'iilor sensibilei"potri a %i ul!$rii neautori&ate-
• Inte+ritatea : se re(er$ la acurate'ea *i e9.austi itatea in(or"a'iilor+
precu" *i la alabilitatea acestora+ 1n con(or"itate cu alorile *iastept$rile or!ani&a'iei-
• ,isponi#ilitatea : i"pune ca in(or"a'iile s$ fe %isponibile atunci c0n%procesul econo"ic o cere+ la "o"entul actual sau 1n iitor- De ase"enea+se re(er$ la protejarea resurselor necesare *i a capacit$'ilor asociate-
• Con ormitatea : se re(er$ la con(or"itatea cu ca%rul le!islati *i %ere!le"entare+ cu acor%urile contractuale la care este supus procesulecono"ic-
• -ia#ilitatea : se re(er$ la (urni&area %e in(or"a'ii a%ec ate"ana!e"entului pentru a opera entitatea *i pentru a4*i e9ercitaresponsabilit$'ile %e !u ernare-
-. esursele IT identifcate /n COBIT
8/15/2019 Auditul Si Controlul Sistemelor Informatice
15/21
Func'ia IT 1*i atin!e scopurile printr4o serie bine %efnit$ %e procese carei"plic$ aptitu%inile personalului *i in(rastructura te.nolo!ic$ pentru a e9ecutaaplica'ii auto"ati&ate ce %eser esc %erularea a(acerii+ (olosin% p0r!.iiin(or"a'ionale specifce a(acerii-
Resursele IT i%entifcate 1n CO=IT pot f %efnite %up$ cu" ur"ea&$:
• Aplicaţiile : sunt siste"ele utili&ator auto"ati&ate *i proce%urile "anualecare prelucrea&$ in(or"a'iile-
• In ormaţiile : repre&int$ %atele+ %e toate tipurile+ intrate+ procesate *ire&ultate %in siste"ele in(or"a'ionale+ in%i(erent %e (or"a sub care suntutili&ate 1n %erularea a(acerii-
• In rastructura : este (or"at$ %in te.nica *i te.nolo!iile care per"itprocesarea *i rularea aplica'iilor ;%e e9e"plu: ec.ipa"ente+ .ar%,are+siste"e %e operare+ siste"e %e "ana!e"ent al ba&elor %e %ate+ re'ele+"ulti"e%ia *i 1ntre! "e%iul %e tip suport 1n care se !$sesc#-
• esursele umane : repre&int$ 1ntre! personalul necesar pentru aplanifca+ or!ani&a+ ac.i&i'iona+ i"ple"enta+ (urni&a+ sus'ine+ "onitori&a *ie alua siste"ele in(or"a'ionale *i ser iciile- Ace*tia pot f an!aja'iper"anen'i ai fr"ei+ an!aja'i te"porar pe ba&$ %e contract sau (unc'iile
lor pot f 1nc.iriate %e pe pia'a ser iciilor e9ternali&ate+ %up$ cerin'e-
Care sunt %o"eniile CO=IT?
G. ,omeniile COBIT
Ca%rul %e lucru CO=IT %efne*te acti it$'ile le!ate %e IT 1ntr4un "o%el !eneralal proceselor cu patru %o"enii:
• %O 0 %lanifcare şi Or+ani1are %lan and Or+ani1e! : %irec'ionea&$(urni&area solu'iilor *i a ser iciilor)
• AI 0 Ac2i1iţie şi Implementare Ac uire and Implement!) o(er$solu'iile *i le trans"ite "ai %eparte spre a f trans(or"ate 1n ser icii)
• ,S 0 -urni1are şi Suport ,eliver and Support!) pri"e*te solu'iile *ile (ace utili&abile pentru utili&atorii fnali)
8/15/2019 Auditul Si Controlul Sistemelor Informatice
16/21
• 4* 0 4onitori1are şi *valuare 4onitor and *valuate! : super i&ea&$toate procesele pentru a f asi!urat (aptul c$ %irec'iile *i "$surile %ecisesunt ur"ate 1ntoc"ai spre a f 1n%eplinite#-
,. Controale +enerale IT şi controale de aplicaţii
Controalele !enerale sunt incorporate 1n procesele *i ser iciile IT *i inclu%:%e& oltarea siste"elor+ "ana!e"entul sc.i"b$rii+ securitatea+ operarea siste"ului-
Controalele incorporate 1n aplica'iile proceselor econo"ice sunt cunoscute%rept controale ale aplica'iilor care inclu%: co"pletitu%inea+ acurate'ea+ ali%itatea+
autori&area+ separarea sarcinilor %e ser iciu-
CO=IT a%"ite c$ proiectarea *i i"ple"entarea controalelor auto"ati&ate aleaplica'iilor ca%e 1n 1n%atoririle (unc'iei IT+ 1n ba&a ne oilorHcerin'elor a(acerii %efnite(olosin% criteriile CO=IT pentru in(or"a'ii- Mana!e"entul opera'ional *iresponsabilitatea asupra !estiunii controalelor aplica'iei apar'in respon4sabilului %eproces ;nu (unc'iei IT#-
Responsabilitatea pentru controalele aplica'iilor este o responsabilitate
co"un$ at0t %o"eniului econo"ic+ c0t *i (unc'iei IT+ %ar natura acestorresponsabilit$'i se sc.i"b$ %up$ cu" ur"ea&$:
a# %o"eniul econo"ic este responsabil pentru:
4 %efnirea corespun&$toare a cerin'elor (unc'ionale *i %e control
4 utili&area ser iciilor auto"ati&ate 1n "o% a%ec at
b# %o"eniul IT este responsabil pentru:
4 auto"ati&area *i i"ple"entarea cerin'elor (unc'ionale *i %e control
4 stabilirea ele"entelor %e !estiune pentru a "en'ine inte!ritateacontroalelor aplica'iilor
8/15/2019 Auditul Si Controlul Sistemelor Informatice
17/21
Lista %e "ai jos con'ine o serie reco"an%at$ %e obiecti e %e control aleaplica'iilor
• Gre!$tirea *i autori&area surselor %e %ate: Asi!ur$ (aptul c$ %ocu"entele
surs$ sunt pre!$tite %e personal autori&at *i califcat+ (olosin% proce%urianterior stabilite+ %e"onstr0n% o separare a%ec4 at$ a 1n%atoririlor cupri ire la !enerarea *i aprobarea acestor %ocu"ente- Erorile *i o"isiunilepot f "ini"i&ate printr4o bun$ proiectare a intr$rilor- Detectea&$ erorile *inere!ulile spre a f raportate *i corectate-
• Colectarea surselor %e %ate si intro%ucerea 1n siste": Stabile*te (aptul c$intr$rile ;%atele %e intrare# au loc la ti"p+ fin% ($cute %e c$tre personalautori&at *i califcat- Corectarea *i retri"iterea %atelor care au intrat 1n
siste" 1n "o% eronat trebuie s$ aib$ loc ($r$ a co"pro"ite ni elurileini'iale %e autori&are pri in% tran&ac'iile ;intr$rile#- C0n% este ne oie s$ sereconstituie intrarea+ trebuie re'inut$ sursa ini'ial$ pentru o perioa%$sufcient$ %e ti"p-
• erifc$ri pri in%: acurate'ea+ co"pletitu%inea *i autenticitatea: Asi!ur$(aptul c$ tran&ac'iile sunt precise ;e9acte#+ co"plete *i ali%e- ali%ea&$%atele intro%use *i le e%itea&$ sau le tri"ite 1napoi spre a f corectate c0t"ai aproape posibil %e punctul %e pro enien'$-
• Inte!ritatea *i ali%itatea procesului: Men'ine inte!ritatea *i ali%itatea%atelor %e4a lun!ul ciclului %e procesare- Detectarea tran&ac'iilorco"pro"ise %in punct %e e%ere al erorilor nu 1ntrerupe procesarea celorali%e-
• Re i&uirea re&ultatelor+ reconcilierea *i tratarea erorilor: Stabile*teproce%urile *i responsabilit$'ile asociate pentru a asi!ura c$ re&ultatuleste utili&at 1ntr4o "anier$ autori&at$+ %istribuit %esti4natarului potri it *iprotejat 1n ti"pul trans"iterii sale+ c$ se e(ectuea&$: erifcarea+%etectarea *i corectarea e9actit$'ii re&ultatului *i c$ in(or"a'ia o(erit$ 1nre&ultatul proces$rii este utili&at$-
• Autentifcarea *i inte!ritatea tran&ac'iilor: nainte %e a trans"ite %ateletran&ac'iei %e la aplica'iile interne c$tre (unc'iile opera'ionale ale a(acerii
8/15/2019 Auditul Si Controlul Sistemelor Informatice
18/21
;sau c$tre e9teriorul 1ntreprin%erii#+ trebuie erifcate: %estina'ia+autenticitatea sursei *i inte!ritatea trans"iterii sau ale transportului-
• Care sunt principiile CO=IT?• Care este obiecti ul !u ernarii4 crearea alorii•
Succesiunea obiecti elor CO=IT• Care sunt principiile CO=IT 8 ?• re&u"at e9ecuti• In orma5ia este o resurs& de #a1& pentru toate or+ani1aţiile6 iar %in
"o"entul cre$ri Qi p0n$ c0n% este %istrus$+• te.nolo!ia joac$ un rol i"portant- Te.nolo!ia in(or"a iilor este 1ntr4o
%e& oltare continu$ Qi a %e enit uni ersal$ la ni el• social Qi econo"ic-• Drept re&ultat+ ast$&i "ai "ult ca nicio%at$+ co"paniile Qi con%ucerile lor
caut$ s$:• P Men in$ in(or"a ii %e cea "ai bun$ calitate pentru a sprijini %eci&iile
econo"ice-• P /enere&e aloare econo"ic$ %in in esti iile IT %e e9- s$ atin!$ obiecti elestrate!ice Qi s$ reali&e&e benefcii prin
• (olosirea ino ati $ Qi efcient$ a IT-• P Atin!$ e9celen a opera ional$ prin utili&area efcient$ Qi cu 1ncre%ere a
te.nolo!iei-• P Men in$ riscurile %in %o"eniul IT la un ni el acceptabil-• P Opti"i&e&e costurile ser iciilor IT Qi ale te.nolo!iilor-• P Se con(or"e&e le!ilor+ re!le"ent$rilor+ clau&elor contractuale Qi politicile
aBate 1n continu$ %e& oltare-• n ulti"ul %eceniu+ ter"enul !u ernare a ajuns 1n pri" planul !0n%irii
econo"ice ca r$spuns la e9e"plele ce• %e"onstrea&$ i"portan'a sa *i pe %e alt$ parte ca e(ect al 1nt0"pl$rilor
ne(ericite care au a ut loc la scar$ !lobal$-• Co"paniile %e succes au recunoscut c$ %irectorii *i consiliile %irectoare
trebuie s$ trate&e IT4ul ca orice alt$ co"ponent$• i"portant$ a a(acerii- Consiliile %irectoare *i "ana!e"entul 4 at0t %in &ona
econo"ic$ c0t *i %e la ni elul (unc'iilor IT 4• trebuie s$ colabore&e *i s$ lucre&e 1"preun$ ast(el 1nc0t IT4ul s$ fe inclus 1n
abor%$rile "ana!e"entului *i ale !u ern$rii-• n plus+ cresc cerin'ele le!islati e *i re!le"ent$rile care acoper$ aceste ne oi-• CO=IT 8 o(er$ un ca%ru %e re(erin'$ cuprin&$tor+ care asist$ or!ani&a'iile 1n
atin!erea obiecti elor cu pri ire la• "ana!e"entul *i !u ernarea IT- Mai si"plu spus+ ajut$ or!ani&a'iile s$ cree&e
aloarea opti"$ %in IT reali&0n% un• ec.ilibru 1ntre ob'inerea benefciilor *i opti"i&area riscurilor *i resurselor
(olosite- CO=IT 8 per"ite ca IT4ul s$ fe• !estionat *i !u ernat %e o "anier$ .olistic$ 1n ca%rul 1ntre!ii or!ani&a'ii+
lu0n% 1n consi%erare responsabilitatea co"plet$• a &onelor econo"ice %ar *i a celor (unc'ionale %in IT+ 'in0n% cont %e interesele
IT ale benefciarilor interni *i e9terni-
8/15/2019 Auditul Si Controlul Sistemelor Informatice
19/21
• CO=IT 8 este !eneric *i util+ in%i(erent %e "$ri"ea or!ani&a'iei sau tipulacesteia: co"ercial$+ public$ sau non!u erna"ental$-
CO=IT 8 este (un%a"entat pe cinci principii %e ba&$ ;pre&entate 1n f+ura $ # pentru"ana!e"entul *i !u ernarea IT %inca%rul or!ani&a'iei:&P rincipiul ") Satis acerea nevoilor #enefciarilor ' Co"paniile e9ist$ cu scopul %ea crea aloare pentru benefciariilor prin asi!urarea unui ec.ilibru 1ntre reali&area benefciilor *i opti"i&area riscurilor *i aresurselor utili&ate- CO=IT8 o(er$ toate procesele necesare precu" *i alte ele"ente practice ce sprijin$ creareaalorii prin utili&area IT- Deoarececo"paniile au obiecti e %i(erite+ acestea pot a%apta CO=IT 8 cu ajutorul succesiuniiobiecti elor+ ast(el 1nc0t acesteas$ corespun%$ conte9tului propriu+ transpun0n% obiecti ele %e ni el 1nalt aleor!ani&a'iei 1n obiecti e IT precu" *i prinalinierea acestora %in ur"$ cu procesele *i practicile specifce-• %rincipiul $) Acoperirea total& a or+ani1aţei ' CO=IT 8 inte!rea&$ !u ernarea IT 1n
conte9tul !eneral al !u ern$riior!ani&a'iei:7 Acoper$ toate (unc'iile *i procesele %in ca%rul or!ani&a'iei- CO=IT 8 nu seconcentrea&$ %oar asupra (unc iei IT + ciabor%ea&$ in(or"a ia Qi te.nolo!iile asociate ca fin% acti e ce trebuie tratate ca oricealt acti + %e c$tre oricine %inor!ani&a ie-7 Consi%er$ c$ toate ele"entele practice ale "ana!e"entului Qi !u ern$rii IT trebuie s$fe !eneral aplicabile Qicuprin&$toate pentru 1ntrea!a or!ani&a ie+ %e e9e"plu oricine Qi orice 4 intern saue9tern4 este rele ant pentru"ana!e"entul Qi !u ernarea in(or"a iilor or!ani&a iei Qi a te.nolo!iei asociate-&Principiul 3: Aplicarea unui cadru de re erin5& inte+rator '(xist $ o multitudine destandardeQi bune practici"fiecare dintre acestea oferind instruciuni pentru un su)set de activit$ i !. CO=IT 8 se alinia&$ la ni el
1nalt cu altestan%ar%e Qi ca%re %e re(erin $ Qi poate ser i ca un ca%ru %e re(erin $ !eneral pentru"ana!e"entul Qi !u ernarea IT %inca%rul or!ani&a iei-&%rincipiul 7) -acilitarea unei a#ord&ri 2olistice '*anagementul Qi guvernarea eficient$ Qiefectiv$ a ! necesit$o a)ordare +olistic$ care s$ in$ cont de mai multe componente ce interacioneaz$ între ele- CO=IT 8%efneQte un set%e catali&atori ce sprijin$ o i"ple"entare cuprin&$toare a siste"elor pentru"ana!e"entul Qi !u ernarea IT %in ca%rulor!ani&a iilor- Catali&atorii sunt 1n !eneral %efni i ca fin% orice poate ajuta or!ani&a ia 1n atin!erea obiecti elor- Ca%rul%e re(erin $ CO=IT 8 %efneQte J cate!orii %e catali&atori: – Grincipii+ politici Qi ca%re %e lucru7 Grocese7 Structuri or!ani&atorice7 Cultura+ etica Qi co"porta"entul7 In(or"a ii7 Ser icii+ in(rastructur$ Qi aplica ii
8/15/2019 Auditul Si Controlul Sistemelor Informatice
20/21
7 Resurse u"ane+ abilit$ i Qi co"peten e&%rincipiul 8) Separarea +uvern&rii de mana+ement ' Ca%rul %e re(erin $ CO=IT 8(ace o %istinc ie clar$ 1ntre"ana!e"ent Qi !u ernare- Aceste %ou$ %iscipline i"plic$ tipuri %i(erite %e acti it$ i+necesit$ structuri or!ani&atorice%i(erite Qi ser esc scopuri %i(erite- Gunctul %e e%ere pre&entat %e CO=IT 8 cu pri ire laaceast$ %i(eren iere esen ial$este: – /u ernareGuvernarea asi+ur& c& sunt evaluate nevoile #enefciarilor6 condi5iile 9iop5iunile6 cu scopul de a identifcao#iective ec2ili#rate6 asumate 9i care pot f atinse: sta#ilirea priorit&5ilor 9iluarea deci1iilor: monitori1areaper orman5ei 9i con ormitatea cu direc5iile 9i o#iectivele asumate.n "ajoritatea or!ani&a iilor+ !u ernarea este responsabilitatea consiliului %irector subcon%ucerea preQe%inteluiacestuia- n ca&ul or!ani&a iilor "ari+ co"ple9e+ responsabilit$ ile specifce !u ern$riipot f %ele!ate unor structurior!ani&atorice speciale- – Mana!e"ent4ana+ementul planifc&6 creea1&6 administrea1& 9i monitori1ea1& activit&5ile
/n con ormitate cu direc5iilesta#ilite de or+anismul de +uvernare6 cu scopul de a atin+e o#iectiveleor+ani1a5iei.,n ma oritatea organizaiilor" managementul este responsa)ilitatea nivelului executiv" su) conducereadirectoruluiexecutiv CEO#-Luate 1"preun$+ aceste cinci principii per"it or!ani&a iei construirea unui ca%ru %ere(erin $ e(ecti pentru "ana!e"ent Qi
• !u ernare+ ca%ru care a opti"i&a in esti iile 1n IT Qi (olosirea acestora 1nbenefciul tuturor-
Catalizatorii guvernării Catali&atorii !u ern$rii repre&int$ resursele or!ani&a ionale (olosite 1n scopul !u ern$rii:ca%re %e re(erin $+ principii+structuri+ procese Qi practici- Grin inter"e%iul acestora sau c$tre acestea este con%us$acti itatea or!ani&a iei Qi obiecti elepot f atinse- Catali&atorii inclu% %e ase"enea resursele 4 %e e9- capabilit$ ile ser iciilor;in(rastructura IT+ aplica iile etc-#+resursa u"an$ Qi in(or"a iile- Lipsa resurselor sau catali&atorilor poate a(ecta abilitateaor!ani&a iei %e a crea aloare-/at $ find importana catalizatorilor" 1 ! 5 include o modalitate simpl$ de a)ordare a acestora vezicapitolul 53.Scopul Guvernării /u ernarea poate f aplicat$ la ni elul 1ntre!ii or!ani&a ii+ la ni el %e entitate(unc ional$+ acti tan!ibil sau intan!ibil etc-Alt(el spus+ este posibil s$ %efni" puncte %e e%ere %i(erite cu pri ire la aplicabilitatea!u ern$rii 1n ca%rul or!ani&a iei Qieste (oarte i"portant s$ %efni" scopul !u ern$rii- Scopul CO=IT 8 1l repre&int$or!ani&a ia 1n ansa"blul s$u+ %ar esen aCO=IT poate f oricare %in punctele %e e%ere "en ionate-Roluri, activități și relații
8/15/2019 Auditul Si Controlul Sistemelor Informatice
21/21
Ulti"ul ele"ent %iscutat 1l repre&int$ rolurile+ acti it$ ile Qi rela iile %in ca%rul !u ern$rii-Se %efnesc persoanelei"plicate 1n !u ernare+ "o%ul %e i"plicare+ ce trebuie s$ (ac$ Qi cu" interac ionea&$ 1nca%rul scopului oric$rui siste"%e !u ernare- n CO=IT 8 se (ace o %istin ie clar$ 1ntre acti it$ ile !u ern$rii Qi cele ale"ana!e"entului+ 1ntre %o"eniul
• !u ern$rii Qi cel al "ana!e"entului+ precu" Qi inter(a area %intre acestea Qi juc$torii
Top Related