Upload
eumaducacasa
View
223
Download
1
Embed Size (px)
DESCRIPTION
Managementul calității
Citation preview
AUDITOR IN DOMENIUL CALITATII
curs online
1
TEMA 10:
Managementul Sistemului
InformationalInformational
Domeniul de aplicabilitate
Documentele de referinta utilizate
Etapele de desfasurare ale auditului sistemelor IT
Criterii de evaluare generale
Cuprins curs:
Evaluarea riscurilor
Tehnici si metode de audit
Raportul de audit
Incepand cu anul 1978 Programul Certified Information Systems Auditor (CISA), sustinut de Information Systems Audit and Control Association ISACA , este considerat la nivelinternational, standardul profesional in privinta domeniului auditului si controlului sistemelorinformatice
Conform datelor ISACA, la nivel mondial sunt acreditati peste 75.000 de auditori CISA
Cu toate ca exista mai multe certificari la nivel mondial de auditori IT, in prezent certificare de auditor CISA este singura areditare recunoscuta in peste 140 de tari la nivel mondial
Auditul sistemelor sau serviciilor informatice IT este reprezentat de activitatea de evaluare a sistemelor informatice avand ca scop optimizarea gestiuniii resurselor informatice existente dintr-o
1. Domeniul de aplicabilitate
sistemelor informatice avand ca scop optimizarea gestiuniii resurselor informatice existente dintr-o organizatie ( baze de date, sisteme informationale, tehnologii, resursa umana specializata in domeniul IT)
Scopul auditarii sistemelor informatice este acela de a asigura anumite criterii specifice in asigurarea:
Confidentialitatii datelorIntegritatea si disponibilitatea datelor informaticeSiguranta in functionare a echipamentelor ITProcedurizarea gestionarii infrasrtucturii ITRespectarea legislatiei in vigoare
Evaluarea sistemelor informatice reprezinta o componenta importanta pentru toate actiunile audit intern si control desfasurate in cadrul unei organizatii ce are in dotare un sistem informatizat .
Prima etapa a desfasurarii auditului sistemelor IT este reprezentata de colectarea tututor informatiilorprivind controalele IT implementate in cadrul organizatiei prin completarea Chestionarului de Evaluare a sistemuluiIT( anexa 1 a acestui curs)
In cadrul actiunii de audit se vor efectua evaluari ale sistemelor informatice din dotarea organizatieiauditate in vederea pentru a determina daca sistemele si aplicatiile furnizeaza informatii de ncrederepentru activitatile departamentale desfasurare in organizatia respectiva
1. Domeniul de aplicabilitate
Rezultatele obtinute vor evidentia avantajele sau vulnerabilitatile sistemului informatic si vor marcapunctele ce trebuiesc perfectioante sau remediate.
Pe baza acestor constatari vor fi formulate din partea comisiei de auditare recomandari privindimbunatatirea structurii de procese si proceduri IT existente in organiatie la momentul actual
Principalele constatari, concluzii si recomandari formulate pe parcursul auditului vor fi sintetizate, iarconcluziile vor fi prezentate in raportului de audit va fi trimis conducerii organizatiei auditate
Modalitatea de implementare a recomandarilor si etapele implementarii acestora vor fi supervizate si ajustate periodic la termene precise stabilte organizatia auditata
Auditul sistemelor informatice este un audit de tip multidisciplinar cu caracter transversal si interdepartamental
Misiunea de auditului sistemelor IT este de a creea conditiile optime pentru derularea eficienta a celorlalte forme de control si audit si oferirea suportul tehnic pentru aceste misiuni.
Pentru proiecte ce sunt finantate din fonduri publice ce au ca scop investitii in echipamente IT a instituriilor sunt necesare modele de auditare mai complexe fata de modelelor traditionale de auditare
Scopul general al misiunilor de audit al sistemelor informatice reprezinta obtinerea unei asigurari
1. Domeniul de aplicabilitate
Scopul general al misiunilor de audit al sistemelor informatice reprezinta obtinerea unei asigurarirezonabile asupra integrarii si functionarii sistemului n conformitate cu: legislatia in vigoare cu reglementarile din domeniu IT cu standardele internationale si ghidurile de bune practiciReglemtarile privind servicii informatice de calitate regelmentarile privind modernizarea institutiilor
Documente de referinta utilizate in domeniul auditului sistemelor IT
Constitutia Romaniei; Manualul de audit al sistemelor informatice, Manualul de auditul performantei
Etapele auditului sistemelor informatice sunt:
2. Documentele de referinta utilizate
Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea revizuirea auditului
Obiective generale si specifice ale auditului sistemelor IT
Obiectivul misiunii de audit este acela de a stabili nevoile si limitarile atribuite activitatilor n toateetapele misiunii de audit: planificarea auditului, efectuarea auditului raportare i revizuire.
Abordarea generala a auditului sistemelor IT are la baza evaluarea riscurilor. Auditul performantei are la baza abordarea si intepretarea rezultatelor
Auditul se poate efectua pentru ntreg ciclul de viata al sistemelor si aplicatiilor IT
3. Etapele de desfasurareale auditului sistemelor IT
Obiective generale ale auditului: compararea rezultatelor organizatiei cu documente de referinta existente revine in sarccinaauditorului
evaluarea eficacitatii proceselor si procedurilor interne si compararea cu acestora cu indeplinireaobiectivelor organizatiei I
Obiectivul general este imparti in obiective specifice ce vor determina deciziile ulterioare ce urmeazaa fi luate de managementul organizatiei in vederea indeplinirii eficiente a procesului de audit.
Criteriile ce stau la baza evaluarilor sunt:
Obiective specifice sa fie clare si communicate departamentelor responsabile Evaluarea arhitecturii sistemelor IT si optimizarea acesteia Evaluarea infrastructurii hardware i software, evaluarea echipamente si a sistemelor aplicatii Implicarea topmanagementului in perfectionarea procedurizarii utilizarii sistemelor IT
3. Etapele de desfasurareale auditului sistemelor IT
Evaluarea calitatii resursei umane implicata in utilizarea sistemelor si aplicatiilor IT Evaluarea securitatii sistemului informatic Evaluarea utilizarii si accesibilitatii informatiilor prin itermediul sistemului IT Evaluarea sistemului de management al documentelor si a procedurilor de arhivare Evaluarea utilizarii serviciilor electronice disponibile Evaluarea schimbului de informatii i a comunicarii cu alte organizatii Respectarea legislatiei in vigoare aferenta dreptruilor de autor Identificarea si previnerea aparitiei riscurilor sau a vulnerabilitatilor din sistemele IT Evaluarea efectelor implementarii si utilizarii infrastructurii IT n modernizarea activitatiiorganizatiei
Criterii de evaluare a auditului
Daca sistemul informatic poate asigura un cadru adecvat de desfasurare al organizatiei prin adoptarea de noi tehnologii IT
Daca activitatile desfa urate pe parcursul derularii proiectelor IT sunt in conformitate cu obiectiveleaprobate
Daca pe parcursul proiectelor s-au nregistrat dificultati tehnice de implementare
4. Criterii de evaluare generale
Daca implementarea proiectelor conduce la modernizarea activitatii organizatiei
Daca este asigurata continuitatea sistemului
Daca sistemul informatic functioneaza n conformitate cu cerintele programelor si cu standardelede securitate; Daca solutia tehnica este eficienta si asigura functionalitatea necesara n vederea cresteriicalitatii activitatii organizatiei Daca pregatirea utilizatorilor este optim si atinge nivelul performantelor cerute Daca exista i au fost respectate standarde privind calitatea suportului tehnic
Criteriile de audit pot fi diferite de la un audit la altul n functie de obiectivele specifice alemisiunii de audit.
Obiectivele de control sunt structurate pe criterii functionale prin urmatoarele actiuni de control
Managementul sistemelor IT Securitatea fizica si controalele de mediu; Securitatea informatiei si a sistemelor Continuitatea sistemelor; Managementul schimbarii si al dezvoltarii sistemului;
4. Criterii de evaluare generale
Auditul intern.
Daca din evaluarea controalelor sistemelor IT rezulta ca sistemul nu este performant , este necesarca auditorul sa evalueze riscul functionarii necorespunzatoare a sistemului asupra obiectivelororganizatiei
Riscurile specifice auditului sistemelor IT sunt in concordanta directa cu:
functionarea echipamentelor si a programelor IT rezultatele modului de audit restrangerea implicarii factorului uman erori sistematice erori accidentale datorate accesul neautorizat, pierderea datelor,
5. Evaluarea riscurilor
externalizarea serviciilor si a echipamentelor IT lipsa autorizatiilor lipsa de experientei in domeniul IT
Riscurile sunt cauzate de:
Implicarea moderata a top a managementului; Obiective partial atinse sau neindeplinite Informatii inexacte Sisteme interne de control organizate necorespunzator Calamitati naturale, furturi, distrugeri etc Lipsa metodelor de back-ul infomatic Calitatea necorespunzatoare a serviciilor furnizate utilizatorilor sistemului
Tehnici si metode de audit
Discutii de validare cu managerii de departamente de IT Completarea de chestionare, liste de verificare, tabele etc ; Examinarea unor documentatii tehnice economice de monitorizare Trainninguri privind utilizarea sistemului informatic Folosirea tehnicilor de audit asistat de calculator ( IDEA )
6. Tehnici si metode de audit
Inspectii la spatiile de lucru ale serverelor si a statiilor de lucru Inspectii n spatiile de lucru ale back-up-ului de siguranta
Inventarierea probelor de audit reprezinta strangerea informatiilor din chestionarele si listele de verificare a sistemului informatic si intocmirea unei bazei de date in format electronic in scopulstocarii acestei informatii
Tipul probelor de audit este depinde de scopul auditului si de modelul de auditare utilizat
Desi modelele de auditare pot avea caracteristici si tipologii diferite scopul acestora este de furnizaauditorului asigurarea ca obiectivele si criteriile auditulul sunt repectate.
Procedurile de obtinere a probelor de audit sunt: Interogarea elementelor
6. Tehnici si metode de audit
Interogarea elementelorObservarea desfasurarii procedurilor de controlInspectiaConfirmareaTeconstituirea traseului tranzactionalElaborarea fluxului informational Prelucrarea datelor Monitorizarea actiunilor
Documentarea activitatii de audit are asigura organizatiei urmatoarele beneficii:
Confirma observatiile auditorilor prezentate n raportul de audit;
Imbunatateste calitatea auditului
reprezinta baza de informatii in solicitate de organizatia audiata
Contribuie la respectarea de catre auditor a standardelor mentionate in manualul de audit
6. Tehnici si metode de audit
Contribuie la respectarea de catre auditor a standardelor mentionate in manualul de audit
Faciliteaza monitorizarea auditului
Furnizeaza informatii privind expertiza n audit
Elaborarea raportului de audit
Scop: evidentierea punctelor slabe si realizare de recomandari in vederea efieintizatii sistemului IT al organizatie
Cuprins: Domeniul, Obiectivele, Grila de planificare in timp, Istoricul activitatilor de audit
Echipa de elaborare: auditori publici externi si reprezentantii organizatiei
Principii: obiectivitate, precizie, claritate in elaborare, consistenta, raportarea la realizatile interne si
7. Elaborarea raportului de audit
Principii: obiectivitate, precizie, claritate in elaborare, consistenta, raportarea la realizatile interne siexterne ale organizatiei
Atentie!
In situatia n care pe parcursul misiunii de audit se constata erori / abateri legislative sau existaindicii ca au fost savarsite cu ncalcarea legii penale sau nerealizarea obiectivelor propuse de organizatiei se ntocmeste un proces verbal de constatare precum si celelalte tipuri de acte ceconstituie anexe la raportul de audit al sistemelor informatice.
Detaliile referitoare la aspectele metodologice privind raportul de audit se gasesc in Manualul de audit al sistemelor informatice
7. Elaborarea raportului de audit