r3u15uz





Managementul riscurilor -; procesul pr in care se identifica si se cuantifica evenimentele ce pot genera pierder i unei organizatii.

Riscurile asociate auditului financiar -; Riscul de audit a) -; Riscul inerent general - riscul de management
- riscul contabil
- riscul de afaceri b) -; Riscul de control - o eroare sau un grup de erori cu impact semnificativ nu a fost prevenita, detectata sau corectata la timp de sistemul contabil sau auditul intern c) -; Riscul de nedectar e - procedur ile fundamentale de audit nu detecteaza o er oare semnificativa sau mai multe erori insumate cu efect cumulat semnificativ d) -; Riscul de esantionare

Auditorul financiar trebuie sa ia in considerare modul in car e un mediu CIS afecteaza auditul.
Riscul inerent si riscul de control intr-un mediu CIS poate avea particularitati :
- Riscur i generate de deficiente ale mediului CIS
- Crester ea potentialului de aparitie a erorilor si a activitatilor frauduloase specifice
- O eroare individuala in mediul CIS poate afecta intregul ansamblu informational al intreprinderii

a) Riscurile de mediu - hardware si retele de comunicatii
- sistem de operare
- softuri de aplicatie
- informatiile pr ocesate de sistem

b) Riscur i asociate mediului : - pericole naturale si dezastre
- alterarea sau furtul aplicatiilor, datelor
- erori umane sau tehnice
- incompetenta manageriala
- pierderi financiare pr evizibile

Riscur ile trebuie : - evaluate din punct de vedere al gravitatii efectelor lor
- evaluate din punct de vedere al probabilitatii procedurilor
- estimate financiar pentru fiecare aparitie a fenomenului si pe total

Particularitati ale sistemelor infor matice in evaluarea riscului :
A. Structura organizationala - Concentrar ea functiilor si a cunostintelor
- Concentrar ea programelor si a datelor

B. Natura procesar ii - Absenta documentelor de intrare
- Lipsa unei dovezi vizibile a tranzactiei
- Lipsa unor iesiri vizibile
- Usurinta de a accesa datele si softurile

C. Aspecte procedurale - consecventa executiei
- procedur i de control programate
- o tranzactie are efect in fisier e multiple
- vulnerabilitatea mediilor de stocare

Riscuri asociate unui sistem informatic : a) pierderea, deturnar ea, modificarea informatiilor b) accesul neautor izat la informatii c) intreruper ea procesarii






RISC





VULNERABILITATE COMPLEXITATE FINANCIAR


- ACCES FIZIC - COMPLEXI TATE ORGANI ZATIONALA
- ACCES RETEA - FUNCTI ILOR SISTEMULUI
- PERSONAL
- PERSONAL DE SPECIALITATE
- MANAGERI
- DOCUMENTATIE
- CICLU DE VIATA


RISCUL ASOCIAT ACCESULUI FI ZI C

NI VEL RI SC DESCRI ERE
MARE Resursele informationale sunt accesibile tuturor angajatilor
MEDIU Resursele informationale sunt in birouri organizate cu acces limitat de personal
SCAZUT Resursele informationale sunt in zona cu acces strict controlat


RISCUL ASOCIAT RETELEI DE COMUNI CATI I

NI VEL RI SC DESCRI ERE
MARE Sistem conectat la reteaua publica
MEDIU Sistem conectat la retea privata. Comunicarea cu exterior ul cu linii dedicate
SCAZUT Nici o conexiune cu mediul

Sursa : https://www.itandit.org/memberana/form/newitanditor/F213.na.htm



RI SCURI SI ACCI DENTE DECLANSATE

1. Eroare de oper ar e - Acest risc gener eaza 70-80 % din accidente
Cazuri = 1980 -; declansarea alertei nucleare in SUA 1992 -; suspendarea activitatii centralei nucleare in Pennsylvania.

2. Functionarea defectuoasa a hardware-ului
Cazuri = 1994 -; functionarea defectuoasa a microprocesorului
PENTIUM. Pierderea a 475 milioane USD.
1994 ( 1 august) -; NASDAQ nu a functionat 34 minute din cauza defectarii liniilor de comunicatie.
1993 -; 24 de cazuri de afectare a zborurilor aviatiei civile prin interferarea cu mijloacele electronice de la bord ale pasagerilor.
3. Functionarea defectuoasa a software-ului
Cazuri = problema anului 2000
1999 -; transfer uri gresite de sume -; BANK OF NW
5 milioane USD.
4. Date eronate nedectate de sistem
Cazuri = Controlul automat imposibil pentru situatia :
Varsta variaza intre 18 si 70 ani
Data reala 10/02/45
Data eronata 10/02/ 54
1993 -; indicele Down Jons a cazut cu 12 puncte din interpretarea gresita a unei comenzi de vanzare :
11 milioane USD 11 milioane actiuni.
5. Riscuri asociate componentelor nonelectronice
Cazuri = 1991 -; operatorul AT&T nu a precizat prioritatea comunicatiilor pentru liniile aeriene -; 102 minute nu au functionat r adar ele aer oporturilor din NW.
6. Riscuri asociate performantelor inadecvate ale sistemului
Cazuri = 1987 -; bursa din NW a calculat costul actiunilor in 2 ore (nu in timp real) deoarece volumul vanzarilor a fost de 500 de operatii -; de 3 ori mai mult decat normal.
7. Riscuri asociate responsabilitatilor legale
Cazuri = Romania. 87% din softuri sunt pir at.


NI VEL DE VULNERABI LI TATE

RI SCUL ACCESI BI LI TATI I Numar ut ilizatori aut orizati
MARE MEDI U SCAZUT
Maj oritatea utilizatori autorizati MARE MARE MEDIU
50 % utilizatori autorizati MARE MEDIU SCAZUT
Numar limitat de utilizatori autor izati MEDIU SCAZUT SCAZUT

Riscul co mplexitat ii organizat ionale
MARE -- Erorile din sistem afecteaza intreaga organizatie
MEDIU -; Erorile din sistem afecteaza anumite compartimente
SCAZUT -; Erorile din sistem afecteaza un compartiment

Riscul f unct iilor sist emului
MARE -; Functii multiple ce se intersecteaza
MEDIU -; Functii multiple independente
SCAZUT -; Sistemul realizeaza o singura functie

Riscul asociat personalului
MARE -; Personalul nu a fost verificat inainte de angaj ar e si nici in prezent
MEDIU -; Personalul este verificat imediat dupa angajare
SCAZUT -; Personalul este verificat inainte de angaj are


Riscul asociat personalului de sp ecialit ate
MARE -; O singura persoana se ocupa de tot sistemul
MEDIU -; Exista 2-3 persoane ce asigura functionarea si intretinerea sistemului
SCAZUT -; Exista mai mult de 3 persoane implicate in functionarea sistemului


Riscul asociat managerilor
MARE -; Nici o preocupar e a managerilor
MEDIU -; Manageri preocupati numai de securitatea sistemelor
SCAZUT -; Manageri implicati activ si constant in asigurarea securitatii ca urmare a evenimentelor produse in trecut


Riscul asociat ciclului d e viat a
MARE -; Sistem implementat de cel mult un an si durata de viata este de cel putin 20 ani
MEDIU -; Sistem cu durata de viata mai mare de 4 ani
SCAZUT -; Sistem cu durata de viata intre 1- 4 ani


Riscul asociat document atiei
MARE -; Nu exista documentatie
MEDIU -; Documentatia exista, dar nu reflecta r ealitatea din sistem
SCAZUT -; Documentatia este actualizata si este disponibila
Exist a soft uri sp ecializate in evaluarea riscu rilor :


RI SK -; Simularea riscurilor
BUDDY SYSTEM -; Analiza secur itatii si managementul riscurilor
RI SK PAC -; Sistem exper t pe baza de chestionar.
Surse : www.palisade.com
www.buddysystem.net/html/product.shtml https://computers.software-directory.com






A. FACTORII DE RI SC

- AMENINTARI (A) -; evenimente exterioare sistemului
- VULNERABILITATI (V) -; puncte slabe ale sistemului
- IMPACT (I) -; consecinte

RI SC = A x V x I

Clasificar e calitativa - RI SC MARE 3
- RI SC MEDIU 2
- RI SC REDUS 1
- RI SC INEXISTENT 0 ia
RI SCUL GENERAL = valori int re 0 si 27

B. FACTORII DE RI SC SI ELEMENTE COLATERALE

- pier derea anticipata anualizata PAA
- rata aparitiei RA
- factor ul de vulnerabilitate FV
- pier derea potentiala PP
- riscul unei singure pierderi RSP

PAA = RA x PP x FV
Calculat pen tru fiecare pereche act iv -; amenint are

Tipuri de pier deri :
• Fraude realizate prin intermediul sistemului
• Divulgarea neautor izata de informatii
• Furturi de echipamente
• Distrugerea fizica a echipamentelor



METODE DE M I NI M I ZARE A RI SCULUI

I MPERATIVE :

- Creeaza din start un sistem informatic corect
- Pregateste utilizatorii pentru procedurile de securitate
- Odata sistemul pornit, mentine securitatea sa fizica
- Securitatea fizica asigurata, pr evine accesul neautor izat
- Avand controlul accesului, se asigura ca reluarile de proceduri sa fie corecte
- Chiar daca exista proceduri de contr ol, cauta cai de a-l perfectiona
- Chiar daca sistemul pare sigur, auditeaza-l si identifica noi probleme de securitate

- Chiar daca este foarte vigilent, pregateste-te de dezastre

CAI :
1. Dezvoltarea si modificarea sistemului de control
- Orice modificare de soft trebuie verificata
- Asigurarea documentatiei la zi
- Asigurarea cu softuri specializate antivirus la zi


1. Soft de
Biblioteca

Controlul verificat softului



Soft

Istoric sistem
2.

Modif icare si testarea softului



Soft si documentatie



3.

Cont rolul softului
Soft si 4. documentatie Inlocuire modif icat si docu ment atiei


2. Pregatirea personalului pentru reducerea riscului
- periodicitate
- selectie

3. Mentinerea securitatii fizice
- acces fizic restrans

4. Controlul accesului la date, hardware si r etele
- controlul operatiunilor vamale
- definirea exacta a accesului privilegiat
- eliminarea intruziunilor
- parole
- carduri ID
- chei hardware
- control -; retinei, amprentei digitale palmare etc.

- criptar e si decr iptare date.

Controlul accesului pe baza : - a ce stii
- a ce ai
- a ce esti
- locului in care te afli.

5. Controlul tranzactiilor
- segregarea indator irilor
- validarea datelor
- corectarea erorilor
- Backup