Dragă autoritate contractantă

/ 17 iunie 2014

Într-o țară în care toate lucrurile devin posibile, a scrie despre etică, standarde, moralitate, independență, profesionalism poate fi considerat un exercițiu de masochism intelectual.

O autoritate contractantă dorește ”Servicii de auditarea securității rețelei și aplicației informatice pentru proiectului (SIC) ”Sistem informatic integrat privind gospodăriile și exploatațiile agricole din județul X””. Cel care trebuie să realizeze/conducă auditul trebuie să fie: CISA+CRISC+CGEIT+pentest și o experiență de minim 4 ani. Va fi deci un profesionist care a semnat de cel puțin 3 ori Codul Etic.

Caietul de sarcini nu conține nici o descriere cu privire la arhitectura ”sistemului integrat”. Sînt menționate obiectivele proiectului și că este vorba despre ”un sistem informatic integrat, cu un integrator unic, sistem care va utiliza soluții tehnice deschise, scalabile, exploatabile în tehnologie Web, sistem care va permite implementarea rapidă, planificată pe etape și care urmărește ca aplicațiile dezvoltate să prezinte o interfață prietenoasă, în limba română, eficientă și ușor de manipulat (SIC!)

Raport 3(N.B.: Dacă nu ar fi apărut cerința de audit în Ghidul solicitantului oare mai era considerată o ”necesitate obiectivă”?)

Să analizăm mai detaliat cîteva aspecte.

Raport 4

Am citit cîteva contracte de finanțare și nu îmi aduc aminte să fi regăsit prevederi în acest sens.

Capitolul 3 din CISA Review Manual se intitulează : Information Systems Acquisition, Development and Implementation cu un subcapitol dedicat auditului:  3.14 Auditing Systems Development, Acquisition and Maintenance. Exemplific cîteva aspecte, minimale  ce ar trebui avute în vedere în acest caz.

1. Managementul proiectului

  • gradul de supervizare asigurat de către comitetul/funcția responsabilă de proiect
  • metodele de management al riscurilor folosite în cadrul proiectului
  • managementul problemelor
  • controlul schimbărilor în cadrul proiectului
  • raportarea către management
  • aprobări
  • documentația aferentă fiecărei faze a proiectului (livrabilele specifice fiecărei faze)

2. Studiul de fezabilitate (îl eliminăm deoarece proiectul este deja finanțat; se presupune deci că finanțatorul l-a considerat fezabil)

3. Definirea cerințelor

  • documentul în care sînt definite cerințele detaliate
  • specificațiile de proiectare conceptuală
  • dacă un număr sufcient de furnizori au primit propunerea
  • aprobări

4. Procesul de achiziție a aplicației

  • revizia cererilor de ofertă
  • evaluarea corespondenței dintre cererea de ofertă și ofertă
  • revizia clauzelor contractului cu furnizorul (nu este o revizie de conformitate juridică!)
  • aprobări

5. Proiectare și dezvoltare detaliată

  • revizia fluxurilor informaționale
  • revizia controalelor la nivelul datelor de intrare, prelucrărilor și datelor de ieșire
  • evaluarea trasabilității tranzacțiilor prin sistem
  • verificarea integrității/corectitudinii principalelor calcule matematice
  • identificarea erorilor de către sistem și eliminarea acestora de la procesare
  • aprobări

6. Testare

  • revizia planului de testare pentru completitudine
  • revizia rapoarteleor cu privire la erori
  • verificarea corectitudinii prelucrărilor ciclice
  • revizia documentației
  • verificarea funcționării securității sistemului așa după cum a fost proiectată
  • revizia acceptanței din partea utilizatorilor
  • aprobări
  • ….

7. Implementare

  • procedurile programate folosite și parametrii utilizați în mediul de producție
  • reviza documentației finale
  • acceptarea finală
  • aprobări

8. Revizia post implementare

  • dacă obiectivele și cerințele au fost atinse
  • controalele operează așa după cum au fost proiectate
  • revizia jurnalelor utilizatorilor finali
  • aprobări

9. Proceduri pentru schimbări și migrări în/de sistem (neavînd nici o informație cu privire la existența unui contract de mentenață cu furnizorul aplicației nu exemplific).

Ajungem și la auditul de securitate:

Raport 5Vă rog să remarcați că prin definiție s-a vizat identificarea conformității măsurilor de securitate implementate cu măsurile de securitate contractate și cu standardele internaționale în vigoare (cu cerințele legale aplicabile, nu – SIC!). În continuare caietul de sarcini detaliază ceea ce presupune auditul de securitate amestecînd cerințe ce țin de ”auditul tehnic” cu cele ce vizează ”securitatea” sub forma unei liste cu aspecte ce trebuie evaluate:

Raport 6Nici  raportul auditorului nu scapă:

Raport 7Ce ar mai fi de spus? Posibil să fiu eu prea cîrcotaș. Standardele S2 și S7 nu mai sînt aplicabile. S2 este acum1002-1003, S7 este 1401. Nici G20 nu mai este aplicabil. Acum este 2401. Din 2013 discutăm doar despre ITAF:

ITAF 2nd Edition incorporated ISACA IS audit and assurance standards and guidance effective 1 November 2013. ITAF 3rd Edition incorporates guidelines effective 1 September 2014. As new guidance is developed and issued, it will be indexed within the framework.

Atunci cînd se cere audit financiar (nu revizie, nu proceduri agreate/convenite) pentru situația financiară a unei companii, i se impune/explică/scrie auditorului ce să revizuiască și cum se scrie un raport? Nu ! Exact la fel se prezintă din punct de vedere procedural situația și în cazul auditului de sisteme informaționale.

AssuranceSursa: COBIT 5 for Assurance, pg. 15

Și dacă tot se cere ca auditul din acest articol să fie realizat în conformitate cu ITAF, citez cîteva obligații prevăzute de standarde:

1004.1 IS audit and assurance professionals shall have reasonable expectation that the engagement can be completed in accordance with the IS audit and assurance standards and, where required, other appropriate professional or industry standards” or applicable regulations and result in a professional opinion or conclusion.

1005.1  IS audit and assurance professionals shall exercise due professional care, including observance of applicable professional audit standards, in planning, performing and reporting on the results of engagements.

1006.1  IS audit and assurance professionals, collectively with others assisting with the assignment, shall possess adequate skills and proficiency in conducting IS audit and assurance engagements and be professionally competent to perform the work required.

1006.2  IS audit and assurance professionals, collectively with others assisting with the assignment, shall possess adequate knowledge of the subject matter.

1206.2  IS audit and assurance professionals shall assess and approve the adequacy of the  other experts’ professional qualifications, competencies, relevant experience, resources, independence and quality-control processes prior to the engagement

Probabil cererea de astfel de servicii se va întîlni  cu oferta fără modificări de substanță.

Spor în muncă!

Articole similare

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.