Auditul Sistemelor Informatice

Cursul prezintă procesul de audit, standardele și metodologiile de lucru, modul de elaborare a unui plan de audit, exemple practice pentru efectuarea testelor de audit și colectarea dovezilor relevante, documentarea raportului de audit și prezentarea opiniei. Auditul sistemelor informatice are la bază analiza riscurilor inerente, riscurile de control și riscurile de detecție pentru a garanta exprimarea unei opinii corecte. Pentru fiecare studiu de caz prezentat în cadrul cursului este elaborat un plan de audit specific care ține cont de riscurile specifice, arătând modalitatea de a proiecta testele de audit.

Auditul poate fi efectuat de personal din interiorul organizației, sau de personal extern care are cunoștințele și abilitățile necesare, urmează p educație profesională continuă, este familiar cu instrumentele, metodologiile, planuri de audit. Auditorii IT trebuie totodată să cunoască arhitectura sistemului informatic, tehnologiile folosite, precum și tendințele de dezvoltare viitoare ale organizației, înțelegerea afacerii și a activităților auditate.

Tematica:

• Procesul de audit: definirea cerințelor de documentare a funcției de audit, a scopului, a rolului și responsabilităților; planificarea angajamentului pentru a adresa obiectivele auditului, pentru respectarea standardelor profesionale, evaluarea aspectelor specifice, documentarea și raportarea cerințelor.
• Definirea planului de audit: revizuirea afirmațiilor ce fac obiectul evaluării; selectarea criteriilor pe baza cărora subiectul va fi evaluat, pentru a fi obiective, complete, relevante, măsurabile, general recunoscute și pe înțelesul tuturor celor cărora le este destinat raportul de audit.
• Colectarea dovezilor și documentarea testelor: considerarea lipsei unor controale în planificarea auditului, în determinarea naturii, momentului și complexității procedurilor de audit, obținerea unui număr suficient de dovezi, adecvate pentru a trage concluziile rezonabile.
• Redactarea raportului de audit: documentarea și comunicarea oricăror acte ilegale sau încălcări ale reglementărilor; raportarea rezultatelor angajamentului; monitorizarea activităților relevante pentru a concluziona dacă au fost întreprinse acțiuni pentru a adresa constatările și recomandările de audit.
• Analiza de risc, ca parte a planificării auditului și identificării vulnerabilităților astfel încât auditorul SI să determine măsurile necesare reducerii acestor riscuri, proiectarea testelor și a metodelor de verificare
• Tehnici de audit asistate de calculator, tehnici de audit online continuu.

Aplicații practice prezentate în cadrul cursului, concepute special pentru a înțelege noțiunile teoretice și pentru a răspunde unor cerințe de audit concrete:

• Auditarea aplicațiilor mobile: riscuri specifice aplicațiilor mobile, controale organizatorice, mecanisme de protecția datelor, algoritmi de criptare, teste de securitate, mecanisme de securitate specifice aplicațiilor mobile.
• Auditarea sistemelor de plată: arhitectura, infrastructura de securitate, procesarea tranzacțiilor, vulnerabilități specifice aplicațiilor web, cerințe legale și reglementări, riscurile utilizării serviciilor de Internet Banking.
• Sistemului Electronic de Plăţi (ReGIS/SaFIR, SENT): evaluarea cerințelor tehnice impuse participanților la Sistemul Electronic de Plăți, cerințe pentru certificarea tehnică a participanților la SEP, plan de audit stații de lucru.
• Auditarea guvernanței IT: alinierea strategică, valoarea adăugată, managementul resurselor, managementul riscului, managementul performanței.

Cursul se desfășoară pe durata a trei zile la sediul companiei, este conceput, dezvoltat și susținut de ing. Florin-Miahi Iliescu,CISA,CISSP,CEH, licențiat în știința sistemelor de calcul, deținătorul unui master în arhitecturii IT, cu peste 20 de ani de experiență în audit, consultanță și securitate IT.