Auditul Si Controlul Sistemelor Informatice

8/15/2019 Auditul Si Controlul Sistemelor Informatice

1/21

AUDITUL SI CONTROLUL SISTEMELOR INFORMATICE

De cate tipuri este cerifcarea?

o certificarea Certified Information Security Manager (CISM ) - vizează

managementul securităţii informaţiilor şi este deţinută de către mai mult de22.500 de profesionişti;

o certificareaCertified in the Governance of Enterprise IT (CGEIT) – vizează

desemnarea şi promovarea de profesionişti care doresc să fie recunoscuţi pentruexperienţa lor în guvernarea !" fiind acreditaţi în prezent peste 5.#00 astfel de profesionişti;

o certificareaCertified in Risk and Information Systems Control (CRISC) – vizează identificarea şi gestionarea riscurilor pe care le presupune dezvoltareaimplementarea şi menţinerea controlului sistemelor informaţionale; existăaproximativ $#.%00 de profesionişti care deţin această certificare.

Care sunt principalele objecti e ale pro!ra"elor UE?

a# accelerarea i"ple"ent$rii structurilor %e ba&$ ale Societ$'iiIn(or"a'ionale)

b# in(or"ati&area a%"inistra'iilor publice *i interconectarea cu a%"inistra'iilepublice %in statele "e"bre ale Uniunii Europene+ pe o in(rastructur$ co"un$)

c# ser icii pentru clien'i *i oportunit$'i pentru per(ec'ionarea a%"inistra'iei)

%# asi!urarea securit$'ii re'elelor in(or"a'ionale *i a aplica'iilor so(t,are-

Care sunt %ocu"entele cu c.aracter strate!ic elaborate %e "inisterulco"unicatiilor si societati international?


2/21

o Strate!ia /u ernului Ro"0niei pentru %e& oltarea sectoruluite.nolo!iei in(or"a'iei)

o Strate!ia /u ernului Ro"0niei %e sti"ulare *i sus'inere a %e& olt$riisectorului %e co"unica'ii 1n perioa%a 233242352)

o Econo"ia ba&at$ pe cunoa*tere)o Strate!ia %e De& oltare Durabil$ a Ro"0niei ORI6ONT 7 2328)o Strate!ia Na'ional$ %e E9port

Corel0n% %o"eniile Societ$'ii In(or"a'ionale %in Uniunea European$ cu celee9istente 1n Ro"0nia+ au (ost i%entifcate ur"$toarele arii %e interes:

• e/o ern"ent ; e4!u ernare #)• Internet


3/21

in%use 1n acti itatea propriu4&is$ ;a(acerea# *i %in sc.i"b$rile %e natur$or!ani&a'ional$ (acilitate %e IT- n acest sens+ se constat$ c$ e9ist$ o 1n'ele!ere %ince 1n ce "ai lar! acceptat$ a (aptului c$ in(or"a'ia constituie un bun strate!ic ala(acerii iar IT a %e enit un (actor cu o contribu'ie i"portant$ la succesul acesteia-

O defniţie ba&at$ pe bune practici a !u ern$rii IT+ ca parte a !u ern$riicorpora'iei ;1ntreprin%erii# se poate (or"ula ast(el: guvernarea IT esteresponsabilitatea managementului executiv şi a comitetelor de direcţie şi constă în

actul de asumare a conducerii, precum şi în procese şi structuri organizaţionale

care asigură că funcţia IT a entităţii susţine şi extinde strategiile şi obiectivele

acesteia -

n "o% concret+ %efni'ia pre&entat$ situea&$ !u ernarea IT ca o co"ponent$

inte!ral$ a !u ern$rii 1ntreprin%erii ;a(acerii# *i nu ca pe o %isciplin$ i&olat$-

n ceea ce pri e*te li rabilele 1n plan practic+ !u ernarea IT ur"$re*te %ou$cate!orii %e re&ultate: li rarea %e aloare pentru a(acere *i atenuarea ;ani.ilarea#riscurilor IT- n acest sens+ !u ernarea IT se (ocali&ea&$ pe cinci &one principale:alinierea strate!ic$+ li rarea %e aloare+ "ana!e"entul riscurilor+ "ana!e"entulresurselor+ "$surarea per(or"an'ei-

/u ernarea IT (unc'ionea&$ ca un proces continuu+ ca o parte inte!rant$ a!u ern$rii 1ntreprin%erii *i se (ocali&ea&$ pe obiecti ele strate!ice-

. Stadiul actual privind cadrul de auditare a sistemelor in ormatice

pe plan internaţional şi intern

Abor%area au%itului siste"elor in(or"atice este anali&at$ %in trei perspecti e:

a# prin pris"a conte9tului %e 'ar$: "anualul inclu%e o anali&$ critic$ aabor%$rii %e tip conte9t %e 'ar$ + cu %etalieri pe coor%onatele naturale alespecifcului na'ional+ respecti "e%iul ;f&ic+ social+ econo"ic# *i in(rastructurile ;%epia'$+ politice+ le!islati e etc-#)


4/21


5/21

Care sunt institutiile international cu (unctii %eter"inante in nor"ali&area au%ituluiin !eneral si au%itului IT in particular?

• INTOSAI ;International Or!ani&ation o( Supre"e Au%it Institutions#)• IAASB ;International Au%it an% Assurance Stan%ar% =oar%# 4 Consiliul

pentru Stan%ar%e Interna'ionale %e Au%it *i Asi!urare+ 1nfin'at pentru a%e& olta *i e"ite stan%ar%e *i %eclara'ii pri in% au%itul+ asi!urarea *iser iciile cone9e 1n nu"ele Consiliului IFAC %in ca%rul Fe%era'ieiInterna'ionale a Contabililor IFAC ;International Fe%eration o( Accountants#)

• IIA ;T.e Institute o( Internal Au%itors# 4 Institutul Au%itorilor Interni)• COSO ;Co""ittee o( Sponsorin! Or!ani&ations o( t.e Trea%,a>

Co""ission#)• ISACA ;In(or"ation S>ste"s Au%it an% Control Association#-

Instituţiile supreme de audit SAI! sunt afliate la or!ani&a'ia pro(esional$INTOSAI *i+ i"plicit+ la !rupurile re!ionale ale acesteia- Ca%rul %e re!le"entare alSAI se ar"oni&ea&$ cu pre e%erile ca%rului INTOSAI %ar con'ine *i pre e%erispecifce+ potri it principiului in%epen%en'ei pro"o at %e INTOSAI-

Cadrul de auditare INTOSAI

Cea "ai i"portant$ constatare care se %e!aj$ %in in esti!area %ocu"entelor%e re(erin'$ 1n %o"eniul au%itului IT ;publicate %e INTOSAI+ EUROSAI sau pe site4urile ,eb ale SAI4urilor# este aceea c$+ 1n pre&ent+ la ni el interna'ional e9ist$ opreocupare continu$ pentru %e& oltarea unui ca%ru "eto%olo!ic *i proce%uralcoerent care s$ se i"pun$ ca stan%ar% %e au%itare a siste"elor in(or"atice+

1ncep0n% cu aplica'iile in%i i%uali&ate *i ajun!0n% la siste"e pe scar$ lar!$+ %e tip

e4!u ernare *i ser icii electronice- E9perien'ele actuale se ba&ea&$+ 1n !eneral+ pestan%ar%e *i linii %irectoare *i+ 1n ca&ul unor SAI4uri cu un ni el "ai sc$&ut %e%e& oltare+ pe utili&$ri a%4.oc ale unor te.nolo!ii tra%i'ionale care r$spun% 1ns$nu"ai par'ial proble"elor ri%icate %e %es($*urarea unui au%it IT-


6/21

Cu toate c$ la ni elul SAI4urilor au%itul siste"elor in(or"atice se (ace+ 1n!eneral+ 1ntr4o "anier$ uni%i"ensional$ + fin% (ocali&at nu"ai pe (a'ete particulareale siste"elor respecti e+ la ni elul INTOSAI se pro"o ea&$ 1n pre&ent abor%areaau%itului IT H IS ca proces inte!rat+ particularit$'ile %o"eniului antren0n% %eopotri $

ele"ente specifce au%itului fnanciar+ au%itului or!ani&a'ional+ au%itului te.nolo!ieiin(or"a'iei *i co"unica'iilor+ au%itului per(or"an'ei *i au%itului con(or"it$'ii-

Aceste (a'ete ale procesului trebuie s$ coe9iste 1ntr4o ar.itectur$ coerent$+ba&at$ pe siner!ie+ "o%elul %e au%itare fin% %i(erit %e cel clasic+ 1ntruc0t fecare tip%e au%it nu se %es($*oar$ in%epen%ent+ ci se reBect$ sub (or"a unor sec en'e %eproce%uri+ co"binate 1n ca%rul unor Bu9uri etero!ene+ orientate c$tre obiecti ul!eneral al au%itului *i nu c$tre obiecti ul in%i i%ual al fec$rui tip %e au%it- Cu at0t

"ai "ult+ "o%elul %e ine "ai co"plicat 1n con%i'iile unor siste"e interoperabile-n plan practic+ aceast$ abor%area constituie o abor%are siste"ic$ inte!rat$ *i

propune un "o%el nou %e au%itare ba&at pe e aluarea riscurilor *i un ca%ru"eto%olo!ic *i proce%ural asociat pentru au%it e9tern-

Sublinie" c$+ pe plan interna'ional e9ist$ un interes crescut pentruin entarierea bunelor practici 1n %o"eniu *i asi!urarea con er!en'ei acestora 1nr4o"anier$ stan%ar%i&at$-

n acest sens+ la ni elul INTOSAI este a%optat$ ca repre&entati $ ar.itectura%e au%itare ISACA *i reco"an%at$ 1n consecin'$- Aceasta se constituie ca unansa"blu ierar.i&at %e ele"ente %e !.i%are care inclu%e ur"$toarele ni eluri *ico"ponente: stan%ar%e+ !.i%uri %e aplicare+ proce%uri *i resursele CO=IT+ care suntconsi%erate ca fin% cele "ai bune practici 1n "aterie- Ansa"blul acestorco"ponente este ba&at pe un "o%el !eneral %e controale *i te.nici %e control%estinat unui "e%iu in(or"ati&at-

". O#iectul auditului Au%itarea se poate (ocali&a pe unul sau pe "ai "ulte %intre cele patru tipuri

%e obiecte !enerice: pro!ra" ;colec'ie %e proiecte#+ proiect+ siste" in(or"atic sauresurse in(or"atice- Cele trei ni ele %e controale asociate obiectelor !enerice sunt:


7/21

• ni elul strate!ic: efcien'a cu care este or!ani&at$+ planifcat$+ con%us$ *icontrolat$ %es($*urarea pro!ra"elor)

• ni elul opera'ional: %erularea proiectelor• ni elul aplica'iilor: utili&area unor siste"e in(or"atice sau a unor resurse

in(or"atice e9istente sau nou create-$. Tipuri de audit

Clasifc$rile stan%ar% recunosc ur"$toarele tipuri !enerale %e au%it:

• audit fnanciar 4 o au%itarea in esti'iilor *i a c.eltuielilor+ a contabilit$'ii(on%urilor+ a or!ani&$rii controlului intern *i a raport$rii efcien'eic.eltuielilor)

• audit IT 4 o au%itarea !u ern$rii IT)• auditul per ormanţei 4 o e aluarea siste"elor %e control al calit$'ii+

e aluarea efcien'ei *i efcacit$'ii+ a efcien'ei procesului %eci&ional+ acalit$'ii ser iciilor+ a politicilor %e personal+ a aptitu%inilor *i cuno*tin'elorpersonalului-

3. %erspectiva temporal&

n concor%an'$ cu practicile interna'ionale acceptate la ni elul institu'iilor %e

control fnanciar+ se pot %efni trei ca%re %e ti"p pentru %es($*urarea "isiunilor %eau%it IT:

• pre4i"ple"entare: controlul pe perioa%a procesului %e luare a %eci&iilorpri in% politica+ pri in% bu!etul sau alte &one %e control fnanciar)

• concurent: controlul aspectelor a%i'ionale pri in% e9ecu'ia bu!etar$ carepot s$ apar$ pe parcursul reali&$rii pro!ra"elor *i proiectelor)

• post4i"ple"entare: aprobarea rapoartelor pri in% e9ecu'ia bu!etar$ *i

pri in% e(ectele ;re&ultatele# pro!ra"elor *i proiectelor-i&iunea tri%i"ensional$ per"ite %efnirea unui spa'iu %e control 1n care

fec$rui obiect %e control 1i corespun%e un tip %e au%it *i o perspecti $ te"poral$+re&ult0n% o arietate %e co"bina'ii care !enerea&$ seturi %e "eto%e %e au%itasociate-


8/21

Meto%ele %e au%it pentru ni elele strate!ic+ opera'ional *i %e aplica'ie se pot"apa ;suprapune# pe ca%rul %e lucru CO=IT-

Clasifcarea tipurilor %e au%it 1n cate!orii separate are rolul %e a contribui la oclarifcare conceptual$- n practic$+ au%itul pro!ra"elor *i proiectelor co"bin$ 1n"o% tipic abor%$ri ale au%itului fnanciar+ au%itului ITHIS *i au%itului per(or"an'ei-

Aceast$ ten%in'$ %e e olu'ie+ confr"at$ *i %e e9perien'a altor institu'iisupre"e %e au%it+ a (ost pro"o at$ 1n ca%rul "isiunilor %e au%it ale Cur'ii %eConturi a Ro"0niei %es($*urate 1n %o"eniul siste"elor e4!u ernare *i al ser iciilorelectronice asociate-

• Au%itul tuturor aspectelor rele ante ale pro!ra"elor *i proiectelor nu este

posibil prin aplicarea "eto%elor clasice- Sunt necesare noi "eto%e+ iarnoile "eto%e trebuie s$ acopere subiecte+ cu" ar f:

• calitatea siste"elor fnanciar4contabile ale or!ani&a'iilor care suntresponsabile cu or!ani&area *i %erularea pro!ra"elor %in %o"eniul ITHISsau e4!u ernare)

• con(or"itatea proiectelor cu stan%ar%e (unc'ionale re(eritoare la"ana!e"entul in esti'iilor)

• con(or"itatea cu stan%ar%e pentru i"ple"entarea *i utili&area te.nolo!ieiin(or"a'iei ;CO=IT#)

• e9isten'a siste"elor %e control al calit$'ii certifcate pentru fecare sta%iual reali&$rii proiectului-

• n acest sens+ !rupul %e lucru EUROSAI 7 IT @/ *i4a propus s$ se(ocali&e&e pe ur"$toarele linii %e ac'iune principale+ pe care le re'ine" cafin% rele ante *i pentru situa'ia *i e olu'iile 1n planul au%it$rii %inRo"0nia:

• a# au%itarea (urni&$rii %e ser icii %e tip e4!u ernare+ e4licita'ie+ e4a%"inistra'ie *i altele)

• b# au%itarea in esti'iilor !u erna"entale 1n resurse .ar%,are+ so(t,are *iu"ane relati e la pro"o area *i utili&area efcient$ a te.nolo!iilorin(or"a'iei)

• c# %e& oltarea capabilit$'ii institu'iilor supre"e %e au%it %e a4*i atin!eobiecti ele strate!ice prin utili&area 1n "o% a%ec at a te.nolo!iilor


9/21

in(or"a'iei ;%e e9e"plu+ relati la "ana!e"entul intern: reali&area %eau%it$ri cu e(ecte "ult "ai efciente *i %e& oltarea abilit$'ilor necesare alepersonalului#-

'. Standardele internaţionale de audit ISA•

• Stan%ar%ele Interna'ionale %e Au%it ISA sunt elaborate+ aprobate *i e"ise%e IAAS=- E9per'ii INTOSAI particip$ 1n pre&ent la %e& oltarea stan%ar%elorISA+ care+ 1n con(or"itate cu abor%area %ual$ a INTOSAI+ sunt o parteinte!rat$ a liniilor %irectoare %e au%it fnanciar INTOSAI- Subco"isia %eau%it fnanciar %in ca%rul GSC elaborea&$ Notele Gractice+ cu scopul %e ao(eri orient$ri rele ante cu pri ire la aplicarea stan%ar%ului ISA 1n au%itulsitua'iilor fnanciare ale entit$'ilor %in sectorul public+ 1n plus (a'$ %e ceeace este pre $&ut 1n pre&ent 1n ISA- Stan%ar%ul ISA *i notele practicea(erente constituie 1"preun$ o linie %irectoare pentru au%it fnanciar-Acest lucru a (ost aprobat %e c$tre INCOSAI 1n 233J+ c0n% Con!resul aaprobat %ocu"entul ca%ru 1n ca&ul 1n care se pre e%e c$: O linie%irectoare INTOSAI pri in% au%itul fnanciar a consta 1ntr4un stan%ar% ISAe"is %e IAAS=+ 1"preun$ cu o not$ practic$ elaborat$ %e INTOSAIsubliniin%+ %e ase"enea+ "o%ifc$rile+ care trebuie s$ fe luate 1nconsi%erare %e au%itul public-

•

Care sunt institutiile cu rol %e nor"ali&are pri in% au%itul ?

'. Standardele internaţionale de audit ISA

Stan%ar%ele Interna'ionale %e Au%it ISA sunt elaborate+ aprobate *i e"ise %eIAAS=- E9per'ii INTOSAI particip$ 1n pre&ent la %e& oltarea stan%ar%elor ISA+ care+ 1ncon(or"itate cu abor%area %ual$ a INTOSAI+ sunt o parte inte!rat$ a liniilor%irectoare %e au%it fnanciar INTOSAI- Subco"isia %e au%it fnanciar %in ca%rul GSCelaborea&$ Notele Gractice+ cu scopul %e a o(eri orient$ri rele ante cu pri ire laaplicarea stan%ar%ului ISA 1n au%itul situa'iilor fnanciare ale entit$'ilor %in sectorul


10/21

public+ 1n plus (a'$ %e ceea ce este pre $&ut 1n pre&ent 1n ISA- Stan%ar%ul ISA *inotele practice a(erente constituie 1"preun$ o linie %irectoare pentru au%it fnanciar-Acest lucru a (ost aprobat %e c$tre INCOSAI 1n 233J+ c0n% Con!resul a aprobat%ocu"entul ca%ru 1n ca&ul 1n care se pre e%e c$: O linie %irectoare INTOSAI pri in%

au%itul fnanciar a consta 1ntr4un stan%ar% ISA e"is %e IAAS=+ 1"preun$ cu o not$practic$ elaborat$ %e INTOSAI subliniin%+ %e ase"enea+ "o%ifc$rile+ care trebuies$ fe luate 1n consi%erare %e au%itul public-

In ceea ce pri e*te stan%ar%ele interna'ionale %e au%it ISA *i %eclara'iile %e practic$IASG+

Care sunt co"ponentele %e au%itare ISACA ?

Co"ponentele ar.itecturii %e au%itare ISACA sunt:

• Stan%ar%e 4 Defnesc cerin'ele obli!atorii pentru au%itarea *i raportareaau%it$rii siste"elor in(or"atice-

• /.i%uri %e aplicare 4 Furni&ea&$ !.i%uri practice pentru aplicareastan%ar%elor %e au%itare a siste"elor in(or"atice-

• Groce%uri 4 Furni&ea&$ e9e"ple %e proce%uri pe care un au%itor %e siste"ein(or"atice ar trebui s$ le ur"e&e ;le4ar putea utili&a# 1n ca%rul unuian!aja"ent %e au%it-

• Cel %e4al patrulea ele"ent al ansa"blului "en'ionat+ resursele CO=IT+(unc'ionea&$ ca o surs$ %e !.i%are pentru cele "ai bune practici 1n"aterie-

Unul %intre obiecti ele asocia'iei ISACA este acela %e a a ansa ;%e a %e& olta*i %ise"ina# stan%ar%e !lobal aplicabile pentru atin!erea i&iunii proprii 1n "aterie%e au%itare ITHIS-

ISACA a elaborat+ %e& olt$ *i 1ntre'ine un set cuprin&$tor %e linii %irectoare;!.i%uri# pentru au%it *i asi!urare IT+ %intre care "en'ion$" ;selecti #:

• Utili&area te.nicilor %e au%it asistat %e calculator)• Concepte %e "aterialitate pentru au%itarea siste"elor in(or"atice)• E(ectele e9tin%eriiH!enerali&$rii controalelor pentru siste"ele in(or"atice)


11/21

• Utili&area e alu$rii riscurilor 1n planifcarea au%itului)• Re i&uirea siste"elor %e aplica'ie)• /u ernarea IT

Care sunt liniile %irectoare ;!.i%uri# pentru au%it si asi!urare IT?

Liniile %irectoare sunt structurate pe ur"$toarele cate!orii %e proble"e:

• /TA/ G/458: Securitatea in(or"a'iei• /TA/ G/45K: Au%itul aplica'iilor %e& oltate %e utili&atori• /TA/ G/45 : Gre enirea *i %etectarea (rau%ei 1ntr4un "e%iu in(or"ati&at•

/TA/ G/452: Au%itul proiectelor IT• /TA/ G/455: Elaborarea Glanului %e Au%it IT• /TA/ G/453: Mana!e"entul continuit$'ii• G/ /TA/4 : Mana!e"entul i%entit$'ii *i al accesului• G/ /TA/4 : Au%itarea controalelor %e aplica'ie• G/ /TA/4J: E9ternali&area te.nolo!iei in(or"a'iei• G/ /TA/4 : Mana!e"entul *i au%itul ulnerabilit$'ilor IT• /TA/ G/48: Mana!e"entul *i au%itul riscurilor pri in% conf%en'ialitatea• G/ /TA/4K: Mana!e"entul au%itului IT• G/ /TA/4 : Au%it continuu: I"plica'ii pentru asi!urare+ "onitori&are *i

e aluare a riscurilor• G/ /TA/42: Controale pri in% "ana!e"entul sc.i"b$rii• G/ /TA/45: Controale IT

Care este %efnitia ca%rului %e lucru CO=IT?

Ca%rul %e lucru CO=IT a (ost asi"ilat la ni el INTOSAI H EUROSAI %rept ca%ru%e re(erin'$ pentru au%iturile %es($*urate %e SAI4uri-


12/21


13/21

opti"i&area in es4ti'iilor IT+ or asi!ura li rarea ser iciilor *i or (urni&a unre(eren'ial pe ba&a c$ruia se a ju%eca atunci c0n% lucrurile nu "er! bine- n acestconte9t+ CO=IT constituie un instru"ent %eosebit %e util *i pentru au%itori-

Misiunea CO=IT const$ 1n cercetarea+ %e& oltarea+ publicarea *i pro"o areaunui ca%ru %e re(erin'$ pentru !u ernarea IT+ autori&at+ actuali&at+ acceptat la ni elinterna'ional pentru a f a%optat %e c$tre or!ani&a'ii *i utili&at 1n acti itateacoti%ian$ a "ana!erilor+ pro(esioni*tilor IT *i au%itorilor+ a 0n% 1n e%ere i"pactulse"nifcati pe care in(or"a'iile il pot a ea asupra succesului or!ani&a'iilor-

Orientarea spre partea econo"ic$ a CO=IT const$ 1n le!$tura %intreobiecti ele a(acerii *i obiecti ele IT+ (urni&area %e "etriciHin%icatori *i %e "o%ele %e"aturitate pentru a cuantifca reali&area acestora+ precu" *i i%entifcarea

responsabilit$'ilor le!ate %e a(acere *i a responsabililor %e procese IT-

Care sunt principalele caracteristici ale ca%rului CO=IT?

Cadrul de re erinţ& COBIT a ost creat av(nd ca principale

caracteristici)

5- Concentrarea pe co"ponenta econo"ic$)

2- Orientarea pe procese)

- =a&at pe controale)

K- Con%ucerea prin in%icatori-

Care sunt criteriile CO=IT pentru in(or"ati e?

n conclu&ie+ CO=IT o(er$ un ca%ru %e re(erin'$ care asi!ur$ c$:

P Te.nolo!iile sunt aliniate cu a(acerea)

P Te.nolo!iile u*urea&$ procesele econo"ice *i "a9i"i&ea&$ benefciile)

P Resursele sunt utili&ate cu responsabilitate)


14/21

P Riscurile IT sunt !estionate 1n "o% corespun&$tor-

Care sunt resursele IT in%entifcate in CO=IT?

*. Criteriile COBIT pentru in ormaţie

Gentru a satis(ace obiecti ele a(acerii+ in(or"a'ia trebuie s$ se con(or"e&eanu"itor criterii %e control pe care CO=IT le e i%en'ia&$ sub (or"a %e cerin'e alea(acerii pentru in(or"a'ie- Ge ba&a cerin'elor !enerale %e calitate+ %e 1ncre%ere *i %esecuritate+ au (ost %efnite *apte criterii %istincte pentru in(or"a'ii+ %up$ cu"ur"ea&$:

• *fcacitatea : i"pune ca in(or"a'iile s$ fe rele ante *i pertinente pentruprocesul econo"ic+ precu" *i s$ fe li rate 1ntr4un ti"p util *i %e o "anier$corect$+ coerent$ *i u*or %e utili&at-

• *fcienţa : se re(er$ la (urni&area %e in(or"a'ii prin utili&area opti"a aresurselor ;raport0n%u4ne la pro%ucti itate *i econo"icitate#-

• Confdenţialitatea : se re(er$ la protejarea in(or"a'iilor sensibilei"potri a %i ul!$rii neautori&ate-

• Inte+ritatea : se re(er$ la acurate'ea *i e9.austi itatea in(or"a'iilor+

precu" *i la alabilitatea acestora+ 1n con(or"itate cu alorile *iastept$rile or!ani&a'iei-

• ,isponi#ilitatea : i"pune ca in(or"a'iile s$ fe %isponibile atunci c0n%procesul econo"ic o cere+ la "o"entul actual sau 1n iitor- De ase"enea+se re(er$ la protejarea resurselor necesare *i a capacit$'ilor asociate-

• Con ormitatea : se re(er$ la con(or"itatea cu ca%rul le!islati *i %ere!le"entare+ cu acor%urile contractuale la care este supus procesulecono"ic-

• -ia#ilitatea : se re(er$ la (urni&area %e in(or"a'ii a%ec ate"ana!e"entului pentru a opera entitatea *i pentru a4*i e9ercitaresponsabilit$'ile %e !u ernare-

-. esursele IT identifcate /n COBIT


15/21

Func'ia IT 1*i atin!e scopurile printr4o serie bine %efnit$ %e procese carei"plic$ aptitu%inile personalului *i in(rastructura te.nolo!ic$ pentru a e9ecutaaplica'ii auto"ati&ate ce %eser esc %erularea a(acerii+ (olosin% p0r!.iiin(or"a'ionale specifce a(acerii-

Resursele IT i%entifcate 1n CO=IT pot f %efnite %up$ cu" ur"ea&$:

• Aplicaţiile : sunt siste"ele utili&ator auto"ati&ate *i proce%urile "anualecare prelucrea&$ in(or"a'iile-

• In ormaţiile : repre&int$ %atele+ %e toate tipurile+ intrate+ procesate *ire&ultate %in siste"ele in(or"a'ionale+ in%i(erent %e (or"a sub care suntutili&ate 1n %erularea a(acerii-

• In rastructura : este (or"at$ %in te.nica *i te.nolo!iile care per"itprocesarea *i rularea aplica'iilor ;%e e9e"plu: ec.ipa"ente+ .ar%,are+siste"e %e operare+ siste"e %e "ana!e"ent al ba&elor %e %ate+ re'ele+"ulti"e%ia *i 1ntre! "e%iul %e tip suport 1n care se !$sesc#-

• esursele umane : repre&int$ 1ntre! personalul necesar pentru aplanifca+ or!ani&a+ ac.i&i'iona+ i"ple"enta+ (urni&a+ sus'ine+ "onitori&a *ie alua siste"ele in(or"a'ionale *i ser iciile- Ace*tia pot f an!aja'iper"anen'i ai fr"ei+ an!aja'i te"porar pe ba&$ %e contract sau (unc'iile

lor pot f 1nc.iriate %e pe pia'a ser iciilor e9ternali&ate+ %up$ cerin'e-

Care sunt %o"eniile CO=IT?

G. ,omeniile COBIT

Ca%rul %e lucru CO=IT %efne*te acti it$'ile le!ate %e IT 1ntr4un "o%el !eneralal proceselor cu patru %o"enii:

• %O 0 %lanifcare şi Or+ani1are %lan and Or+ani1e! : %irec'ionea&$(urni&area solu'iilor *i a ser iciilor)

• AI 0 Ac2i1iţie şi Implementare Ac uire and Implement!) o(er$solu'iile *i le trans"ite "ai %eparte spre a f trans(or"ate 1n ser icii)

• ,S 0 -urni1are şi Suport ,eliver and Support!) pri"e*te solu'iile *ile (ace utili&abile pentru utili&atorii fnali)


16/21

• 4* 0 4onitori1are şi *valuare 4onitor and *valuate! : super i&ea&$toate procesele pentru a f asi!urat (aptul c$ %irec'iile *i "$surile %ecisesunt ur"ate 1ntoc"ai spre a f 1n%eplinite#-

,. Controale +enerale IT şi controale de aplicaţii

Controalele !enerale sunt incorporate 1n procesele *i ser iciile IT *i inclu%:%e& oltarea siste"elor+ "ana!e"entul sc.i"b$rii+ securitatea+ operarea siste"ului-

Controalele incorporate 1n aplica'iile proceselor econo"ice sunt cunoscute%rept controale ale aplica'iilor care inclu%: co"pletitu%inea+ acurate'ea+ ali%itatea+

autori&area+ separarea sarcinilor %e ser iciu-

CO=IT a%"ite c$ proiectarea *i i"ple"entarea controalelor auto"ati&ate aleaplica'iilor ca%e 1n 1n%atoririle (unc'iei IT+ 1n ba&a ne oilorHcerin'elor a(acerii %efnite(olosin% criteriile CO=IT pentru in(or"a'ii- Mana!e"entul opera'ional *iresponsabilitatea asupra !estiunii controalelor aplica'iei apar'in respon4sabilului %eproces ;nu (unc'iei IT#-

Responsabilitatea pentru controalele aplica'iilor este o responsabilitate

co"un$ at0t %o"eniului econo"ic+ c0t *i (unc'iei IT+ %ar natura acestorresponsabilit$'i se sc.i"b$ %up$ cu" ur"ea&$:

a# %o"eniul econo"ic este responsabil pentru:

4 %efnirea corespun&$toare a cerin'elor (unc'ionale *i %e control

4 utili&area ser iciilor auto"ati&ate 1n "o% a%ec at

b# %o"eniul IT este responsabil pentru:

4 auto"ati&area *i i"ple"entarea cerin'elor (unc'ionale *i %e control

4 stabilirea ele"entelor %e !estiune pentru a "en'ine inte!ritateacontroalelor aplica'iilor


17/21

Lista %e "ai jos con'ine o serie reco"an%at$ %e obiecti e %e control aleaplica'iilor

• Gre!$tirea *i autori&area surselor %e %ate: Asi!ur$ (aptul c$ %ocu"entele

surs$ sunt pre!$tite %e personal autori&at *i califcat+ (olosin% proce%urianterior stabilite+ %e"onstr0n% o separare a%ec4 at$ a 1n%atoririlor cupri ire la !enerarea *i aprobarea acestor %ocu"ente- Erorile *i o"isiunilepot f "ini"i&ate printr4o bun$ proiectare a intr$rilor- Detectea&$ erorile *inere!ulile spre a f raportate *i corectate-

• Colectarea surselor %e %ate si intro%ucerea 1n siste": Stabile*te (aptul c$intr$rile ;%atele %e intrare# au loc la ti"p+ fin% ($cute %e c$tre personalautori&at *i califcat- Corectarea *i retri"iterea %atelor care au intrat 1n

siste" 1n "o% eronat trebuie s$ aib$ loc ($r$ a co"pro"ite ni elurileini'iale %e autori&are pri in% tran&ac'iile ;intr$rile#- C0n% este ne oie s$ sereconstituie intrarea+ trebuie re'inut$ sursa ini'ial$ pentru o perioa%$sufcient$ %e ti"p-

• erifc$ri pri in%: acurate'ea+ co"pletitu%inea *i autenticitatea: Asi!ur$(aptul c$ tran&ac'iile sunt precise ;e9acte#+ co"plete *i ali%e- ali%ea&$%atele intro%use *i le e%itea&$ sau le tri"ite 1napoi spre a f corectate c0t"ai aproape posibil %e punctul %e pro enien'$-

• Inte!ritatea *i ali%itatea procesului: Men'ine inte!ritatea *i ali%itatea%atelor %e4a lun!ul ciclului %e procesare- Detectarea tran&ac'iilorco"pro"ise %in punct %e e%ere al erorilor nu 1ntrerupe procesarea celorali%e-

• Re i&uirea re&ultatelor+ reconcilierea *i tratarea erorilor: Stabile*teproce%urile *i responsabilit$'ile asociate pentru a asi!ura c$ re&ultatuleste utili&at 1ntr4o "anier$ autori&at$+ %istribuit %esti4natarului potri it *iprotejat 1n ti"pul trans"iterii sale+ c$ se e(ectuea&$: erifcarea+%etectarea *i corectarea e9actit$'ii re&ultatului *i c$ in(or"a'ia o(erit$ 1nre&ultatul proces$rii este utili&at$-

• Autentifcarea *i inte!ritatea tran&ac'iilor: nainte %e a trans"ite %ateletran&ac'iei %e la aplica'iile interne c$tre (unc'iile opera'ionale ale a(acerii


18/21

;sau c$tre e9teriorul 1ntreprin%erii#+ trebuie erifcate: %estina'ia+autenticitatea sursei *i inte!ritatea trans"iterii sau ale transportului-

• Care sunt principiile CO=IT?• Care este obiecti ul !u ernarii4 crearea alorii•

Succesiunea obiecti elor CO=IT• Care sunt principiile CO=IT 8 ?• re&u"at e9ecuti• In orma5ia este o resurs& de #a1& pentru toate or+ani1aţiile6 iar %in

"o"entul cre$ri Qi p0n$ c0n% este %istrus$+• te.nolo!ia joac$ un rol i"portant- Te.nolo!ia in(or"a iilor este 1ntr4o

%e& oltare continu$ Qi a %e enit uni ersal$ la ni el• social Qi econo"ic-• Drept re&ultat+ ast$&i "ai "ult ca nicio%at$+ co"paniile Qi con%ucerile lor

caut$ s$:• P Men in$ in(or"a ii %e cea "ai bun$ calitate pentru a sprijini %eci&iile

econo"ice-• P /enere&e aloare econo"ic$ %in in esti iile IT %e e9- s$ atin!$ obiecti elestrate!ice Qi s$ reali&e&e benefcii prin

• (olosirea ino ati $ Qi efcient$ a IT-• P Atin!$ e9celen a opera ional$ prin utili&area efcient$ Qi cu 1ncre%ere a

te.nolo!iei-• P Men in$ riscurile %in %o"eniul IT la un ni el acceptabil-• P Opti"i&e&e costurile ser iciilor IT Qi ale te.nolo!iilor-• P Se con(or"e&e le!ilor+ re!le"ent$rilor+ clau&elor contractuale Qi politicile

aBate 1n continu$ %e& oltare-• n ulti"ul %eceniu+ ter"enul !u ernare a ajuns 1n pri" planul !0n%irii

econo"ice ca r$spuns la e9e"plele ce• %e"onstrea&$ i"portan'a sa *i pe %e alt$ parte ca e(ect al 1nt0"pl$rilor

ne(ericite care au a ut loc la scar$ !lobal$-• Co"paniile %e succes au recunoscut c$ %irectorii *i consiliile %irectoare

trebuie s$ trate&e IT4ul ca orice alt$ co"ponent$• i"portant$ a a(acerii- Consiliile %irectoare *i "ana!e"entul 4 at0t %in &ona

econo"ic$ c0t *i %e la ni elul (unc'iilor IT 4• trebuie s$ colabore&e *i s$ lucre&e 1"preun$ ast(el 1nc0t IT4ul s$ fe inclus 1n

abor%$rile "ana!e"entului *i ale !u ern$rii-• n plus+ cresc cerin'ele le!islati e *i re!le"ent$rile care acoper$ aceste ne oi-• CO=IT 8 o(er$ un ca%ru %e re(erin'$ cuprin&$tor+ care asist$ or!ani&a'iile 1n

atin!erea obiecti elor cu pri ire la• "ana!e"entul *i !u ernarea IT- Mai si"plu spus+ ajut$ or!ani&a'iile s$ cree&e

aloarea opti"$ %in IT reali&0n% un• ec.ilibru 1ntre ob'inerea benefciilor *i opti"i&area riscurilor *i resurselor

(olosite- CO=IT 8 per"ite ca IT4ul s$ fe• !estionat *i !u ernat %e o "anier$ .olistic$ 1n ca%rul 1ntre!ii or!ani&a'ii+

lu0n% 1n consi%erare responsabilitatea co"plet$• a &onelor econo"ice %ar *i a celor (unc'ionale %in IT+ 'in0n% cont %e interesele

IT ale benefciarilor interni *i e9terni-


19/21

• CO=IT 8 este !eneric *i util+ in%i(erent %e "$ri"ea or!ani&a'iei sau tipulacesteia: co"ercial$+ public$ sau non!u erna"ental$-

CO=IT 8 este (un%a"entat pe cinci principii %e ba&$ ;pre&entate 1n f+ura $ # pentru"ana!e"entul *i !u ernarea IT %inca%rul or!ani&a'iei:&P rincipiul ") Satis acerea nevoilor #enefciarilor ' Co"paniile e9ist$ cu scopul %ea crea aloare pentru benefciariilor prin asi!urarea unui ec.ilibru 1ntre reali&area benefciilor *i opti"i&area riscurilor *i aresurselor utili&ate- CO=IT8 o(er$ toate procesele necesare precu" *i alte ele"ente practice ce sprijin$ creareaalorii prin utili&area IT- Deoarececo"paniile au obiecti e %i(erite+ acestea pot a%apta CO=IT 8 cu ajutorul succesiuniiobiecti elor+ ast(el 1nc0t acesteas$ corespun%$ conte9tului propriu+ transpun0n% obiecti ele %e ni el 1nalt aleor!ani&a'iei 1n obiecti e IT precu" *i prinalinierea acestora %in ur"$ cu procesele *i practicile specifce-• %rincipiul $) Acoperirea total& a or+ani1aţei ' CO=IT 8 inte!rea&$ !u ernarea IT 1n

conte9tul !eneral al !u ern$riior!ani&a'iei:7 Acoper$ toate (unc'iile *i procesele %in ca%rul or!ani&a'iei- CO=IT 8 nu seconcentrea&$ %oar asupra (unc iei IT + ciabor%ea&$ in(or"a ia Qi te.nolo!iile asociate ca fin% acti e ce trebuie tratate ca oricealt acti + %e c$tre oricine %inor!ani&a ie-7 Consi%er$ c$ toate ele"entele practice ale "ana!e"entului Qi !u ern$rii IT trebuie s$fe !eneral aplicabile Qicuprin&$toate pentru 1ntrea!a or!ani&a ie+ %e e9e"plu oricine Qi orice 4 intern saue9tern4 este rele ant pentru"ana!e"entul Qi !u ernarea in(or"a iilor or!ani&a iei Qi a te.nolo!iei asociate-&Principiul 3: Aplicarea unui cadru de re erin5& inte+rator '(xist $ o multitudine destandardeQi bune practici"fiecare dintre acestea oferind instruciuni pentru un su)set de activit$ i !. CO=IT 8 se alinia&$ la ni el

1nalt cu altestan%ar%e Qi ca%re %e re(erin $ Qi poate ser i ca un ca%ru %e re(erin $ !eneral pentru"ana!e"entul Qi !u ernarea IT %inca%rul or!ani&a iei-&%rincipiul 7) -acilitarea unei a#ord&ri 2olistice '*anagementul Qi guvernarea eficient$ Qiefectiv$ a ! necesit$o a)ordare +olistic$ care s$ in$ cont de mai multe componente ce interacioneaz$ între ele- CO=IT 8%efneQte un set%e catali&atori ce sprijin$ o i"ple"entare cuprin&$toare a siste"elor pentru"ana!e"entul Qi !u ernarea IT %in ca%rulor!ani&a iilor- Catali&atorii sunt 1n !eneral %efni i ca fin% orice poate ajuta or!ani&a ia 1n atin!erea obiecti elor- Ca%rul%e re(erin $ CO=IT 8 %efneQte J cate!orii %e catali&atori: – Grincipii+ politici Qi ca%re %e lucru7 Grocese7 Structuri or!ani&atorice7 Cultura+ etica Qi co"porta"entul7 In(or"a ii7 Ser icii+ in(rastructur$ Qi aplica ii


20/21

7 Resurse u"ane+ abilit$ i Qi co"peten e&%rincipiul 8) Separarea +uvern&rii de mana+ement ' Ca%rul %e re(erin $ CO=IT 8(ace o %istinc ie clar$ 1ntre"ana!e"ent Qi !u ernare- Aceste %ou$ %iscipline i"plic$ tipuri %i(erite %e acti it$ i+necesit$ structuri or!ani&atorice%i(erite Qi ser esc scopuri %i(erite- Gunctul %e e%ere pre&entat %e CO=IT 8 cu pri ire laaceast$ %i(eren iere esen ial$este: – /u ernareGuvernarea asi+ur& c& sunt evaluate nevoile #enefciarilor6 condi5iile 9iop5iunile6 cu scopul de a identifcao#iective ec2ili#rate6 asumate 9i care pot f atinse: sta#ilirea priorit&5ilor 9iluarea deci1iilor: monitori1areaper orman5ei 9i con ormitatea cu direc5iile 9i o#iectivele asumate.n "ajoritatea or!ani&a iilor+ !u ernarea este responsabilitatea consiliului %irector subcon%ucerea preQe%inteluiacestuia- n ca&ul or!ani&a iilor "ari+ co"ple9e+ responsabilit$ ile specifce !u ern$riipot f %ele!ate unor structurior!ani&atorice speciale- – Mana!e"ent4ana+ementul planifc&6 creea1&6 administrea1& 9i monitori1ea1& activit&5ile

/n con ormitate cu direc5iilesta#ilite de or+anismul de +uvernare6 cu scopul de a atin+e o#iectiveleor+ani1a5iei.,n ma oritatea organizaiilor" managementul este responsa)ilitatea nivelului executiv" su) conducereadirectoruluiexecutiv CEO#-Luate 1"preun$+ aceste cinci principii per"it or!ani&a iei construirea unui ca%ru %ere(erin $ e(ecti pentru "ana!e"ent Qi

• !u ernare+ ca%ru care a opti"i&a in esti iile 1n IT Qi (olosirea acestora 1nbenefciul tuturor-

Catalizatorii guvernării Catali&atorii !u ern$rii repre&int$ resursele or!ani&a ionale (olosite 1n scopul !u ern$rii:ca%re %e re(erin $+ principii+structuri+ procese Qi practici- Grin inter"e%iul acestora sau c$tre acestea este con%us$acti itatea or!ani&a iei Qi obiecti elepot f atinse- Catali&atorii inclu% %e ase"enea resursele 4 %e e9- capabilit$ ile ser iciilor;in(rastructura IT+ aplica iile etc-#+resursa u"an$ Qi in(or"a iile- Lipsa resurselor sau catali&atorilor poate a(ecta abilitateaor!ani&a iei %e a crea aloare-/at $ find importana catalizatorilor" 1 ! 5 include o modalitate simpl$ de a)ordare a acestora vezicapitolul 53.Scopul Guvernării /u ernarea poate f aplicat$ la ni elul 1ntre!ii or!ani&a ii+ la ni el %e entitate(unc ional$+ acti tan!ibil sau intan!ibil etc-Alt(el spus+ este posibil s$ %efni" puncte %e e%ere %i(erite cu pri ire la aplicabilitatea!u ern$rii 1n ca%rul or!ani&a iei Qieste (oarte i"portant s$ %efni" scopul !u ern$rii- Scopul CO=IT 8 1l repre&int$or!ani&a ia 1n ansa"blul s$u+ %ar esen aCO=IT poate f oricare %in punctele %e e%ere "en ionate-Roluri, activități și relații


21/21

Ulti"ul ele"ent %iscutat 1l repre&int$ rolurile+ acti it$ ile Qi rela iile %in ca%rul !u ern$rii-Se %efnesc persoanelei"plicate 1n !u ernare+ "o%ul %e i"plicare+ ce trebuie s$ (ac$ Qi cu" interac ionea&$ 1nca%rul scopului oric$rui siste"%e !u ernare- n CO=IT 8 se (ace o %istin ie clar$ 1ntre acti it$ ile !u ern$rii Qi cele ale"ana!e"entului+ 1ntre %o"eniul

• !u ern$rii Qi cel al "ana!e"entului+ precu" Qi inter(a area %intre acestea Qi juc$torii

Date post:	05-Jul-2018
Category:	Documents
Upload:	sorlescu-ionela
View:	253 times
Download:	1 times

Auditul Si Controlul Sistemelor Informatice

Documents