Auditul este, prin complexitatea sa, o activitate în care sunt luate în analiză legăturile, implicaţiile pe care le generează produsul software, aplicaţia informatică sau sistemul informatic între dezvoltator - compania de software şi utilizator. Raporturile trebuie privite din punct de vedere tehnic, financiar şi juridic.
Aspectul tehnic priveşte date de interior, algoritmi, rezultate, resurse folosite. Aspectul financiar vizează costul estimat al produsului software, aplicaţie, sistem informaticşi costul efectiv, modul în care s-au efectuat plăţile. Caracterul juridic al abordării vizează obligaţiile contractuale şi legislaţia din domeniul informatic.
Toate aceste elemente conduc la stabilirea unor proceduri preliminare prin care sunt definite direcţiile de analiză, gradul de semnificaţie pe care procesul de audit informatic îl oferă şi riscurile ca unele concluzii să fie infirmate de practica derulării proceselor de utilizare curentă a produsului software, a aplicaţiei informatice sau a sistemului informatic în integralitatea lui.
Pentru a realiza auditul informatic se defineşte planul de audit general şi programul de audit. Structura planului şi definirea programului sunt standard, presupunând parcurgerea unor paşi obligatorii. Specificitatea produsului software, a aplicaţiei informatice sau a sistemului informatic şi complexitatea acestora, determină efectuarea unor detalieri care diferă de la un plan general la altul, respectiv de la un program de audit informatic la altul. Sarcinile care se includ în plan, eşalonarea etapelor din program au elemente de variabilitate legate strict de structura şi de diversitatea produselor informatice analizate.
Obiectivul auditului pentru un sistem informatic ia în analiză totalitatea elementelor pentru a proba dacă produsul finit – sistemul informatic al companiei – răspunde cerinţelor formulate în contractul în baza căruia s-a efectuat investiţia.
Pentru a avea un audit de calitate trebuie îndeplinite următoarele condiţii:
- echipa de auditare trebuie să primească totalitatea informaţiilor care să constituie intrări ale procesului de auditare;
- tehnicile şi metodele de auditare trebuie să fie utilizate corect, folosind tot ceea ce este necesar pentru a obţine rezultate reale, neafectate de factorii perturbatori sau de abordări parţiale;
- să existe clar delimitat ceea ce trebuie să realizeze sistemul informaticşi ceea ce realizează efectiv; auditarea scoate în evidenţă diferenţele, efectuândşi unele cuantificări, pentru a reieşi mai precis pentru fiecare cerinţă în parte, ponderea a ceea ce lipseşte sau ponderea a ceea ce este în plus.
Pornind de la obiectivul auditării, de la importanţa pe care o prezintă rezultatul auditării, echipa de specialişti dimensionează efortul care trebuie depus de la întocmirea planului de auditare, ca atare,şi până la elaborarea raportului de auditare.
La desfăşurarea obiectivului auditării trebuie să fie introduse acele elemente care subliniază încrederea pe care utilizatorul sistemului informatic trebuie să o aibă pe durata exploatării. Raportul de auditare trebuie să facă dovada în mod convingător că achiziţionând un produs sau utilizând un sistem informatic rezultat al unui proces investiţional, utilizatorul va beneficia de servicii de calitatea dorită.
Auditul informatic reprezintă o ramură distinctă a auditului. Aici se includ tehnici şi metode de auditare a software, a aplicaţiilor informatice, a sistemelor informatice tradiţionale, a sistemelor informatice moderne, a aplicaţiilor mobile şi a tuturor aplicaţiilor informatice care utilizează resurse Internet.
Pe măsura creşterii complexităţii proceselor din societatea informaţională, cerinţele sistemelor informatice impun un nivel de credibilitate deosebit de ridicat pe care numai auditul informatic îl susţine cu succes.
Pe timpul planificării auditului informatic există factori care se iau, în mod obligatoriu, în considerare; aceşti factori determină modul în care auditorul abordează procesul de auditare. Auditorul va lua în considerare nivelul riscurilor generate de utilizarea sistemului informatic.
Auditul sistemelor informatice devine un punct forte al auditului independent, auditul conformităţii şi auditul operaţional.
Realizarea auditului sistemului informatic contribuie la:
- îmbunătăţirea sistemului şi controalelor procesului;
- prevenirea şi detectarea erorilor şi a fraudelor;
- reducerea riscurilor şi îmbunătăţirea securităţii sistemului;
- planificarea pentru refacere în caz de accidente şi dezastre;
- managementul informaţiilor şi dezvoltării sistemului;
- evaluarea utilizării eficiente a resurselor.
Auditorul sistemelor informatice trebuie să aibă capacitatea de a asista echipa managerială în stabilirea mărimii sistemului informatic şi a numărului de personal necesar, domeniile de afaceri în care se utilizează eficient sistemele de calcul, natura afacerilor, pierderi potenţiale în cazul căderii sistemului informatic, extinderea controalelor manuale şi gradul de complexitate tehnică.
Auditul sistemelor informatice este o activitate complexă. Unei activităţi de echipă – realizarea sistemului informatic – îi corespunde, de asemenea, tot o activitate de echipă – auditarea.
Pentru a realiza un proces de auditare eficient este necesar să se parcurgă următorii paşi:
- definirea obiectului auditării sistemului informatic;
- construirea planului de auditare;
- atribuirea sarcinilor fiecărui membru din echipa de auditori;
- preluarea structurilor de tabele pentru înregistrarea rezultatelor auditării;
- derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici şi
metode stabilite; - înregistrarea rezultatelor şi evaluarea fiecărei etape parcurse;
- regruparea documentaţiei provenite din diferite stadi ale procesului de
- auditare şi construirea raportului final.
Dezvoltarea directă de sisteme informatice se dovedeşte o întreprindere riscantă dacă nu este precedată de activităţi care au menirea de a impune o echipă, o tehnologie unitară de analiză, design, dezvoltare, implementare, exploatare şi mentenanţă, aspecte care trebuie luate în considerare la efectuarea unui audit de sistem informatic.
Sistemele informatice sunt construcţii complexe, realizate pe parcursul mai multor ani, necesitând:
- fonduri foarte mari, uriaşe în anumite cazuri;
- echipe complexe şi stabile de analişti, designeri, programatori şi personal care se ocupă de testare, implementare şi mentenanţă;
- stabilirea obiectivelor;
- definirea unei strategii de dezvoltare, exploatare şi mentenanţă;
- achiziţionarea de echipamente, instrumente necesare realizării de prelucrări, de conexiuni şi dezvoltării fluxurilor cu exteriorul;
- calificarea personalului pentru utilizarea corectă şi eficientă a sistemului.
Complexitatea sistemelor informatice şi durata, relativ mare, de realizare a acestora generează o serie de probleme care trebuie luate în considerare şi soluţionate astfel încât, în final, să se obţină rezultatele scontate.
În realizarea proceselor de auditarea dezvoltării SI este necesar să se ia în considerare caracteristicile organizaţiei pentru care se proiectează sistemul şi, în primul rând, stabilitatea organiţzaţiei. Dezvoltarea SI se face în contextul evoluţiei mediului economico-social. Dinamismul schimbărilor în cadrul organizaţiilor, indiferent de dimensiunea acestora, impune adaptarea metodelor de dezvoltare a SI la noile condiţii sau apariţia unor concepte şi metode noi de dezvoltare a SI.
Organizaţiile în dezvoltare, denumite în limba engleză, organizaţii emergente, sunt organizaţiile a căror constantă o constituie încercarea continuă de adaptare la mediile în schimbare, dar care nu ating niciodată stabilitatea pentru care acţionează.
Acest tip de organizaţii este foarte diferit de cele stabile. Din cauza ipotezelor fundamental diferite privind realitatea şi dezvoltarea SI, procesele de proiectare a SI pentru organizaţii stabile, respectiv emergente, sunt diferite. De fapt obiectivele celor două procese sunt contradictorii.
Dezvoltarea SI pentru organizaţii stabile are în vedere următoarele obiective:
- avantajele economice ale unei analize amănunţite;
- satisfacţia utilizatorilor;
- cerinţe abstracte;
- specificaţii complete şi lipsite de ambiguităţi.
Obiectivele propuse pentru dezvoltarea SI destinate organizaţiilor emergente sunt următoarele:
- analiza dinamică;
- negocierea cerinţelor dinamice;
- specificaţii utile ambigue şi incomplete;
- redezvoltare continuă.
Auditarea este solicitată de elaborator sau de beneficiar pentru a obţine acele informaţii care dau încredere în utilizare, certitudinea că rezultatele aşteptate sunt corecte, complete, exact în structura solicitată şi se obţin în timp real. Auditarea are menirea de a transfera certitudine şi încredere în sistemul informatic prin rezultatul pozitiv stabilit de către o echipă de auditori, aparţinând unei firme de consultanţă cu autoritatea dată de auditări anterioare.
Managementul auditării are particularităţi specifice legate în principal de capacitatea auditorilor de a învăţa proceduri şi, mai ales, de a aplica aceste proceduri în mod unitar.
Orice manifestare spontană sau de orgoliu aduce diferenţieri de abordare care se concretizează prin discrepanţe în a alege modele, în a culege date. Se reduce în acest fel comparabilitatea datelor, iar agregarea datelor se reduce până la imposibilitatea de a opera cu seturi de date care privesc componentele aparţinând aceleiaşi clase.