Ghid IT Ed II

MINISTERUL FINANELOR PUBLICE
UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN
GHID PRACTIC MISIUNEA DE AUDIT INTERN ACTIVITATEA IT

- ACTUALIZAT AVIZAT GHI MARCEL ef serviciu pentru Strategie i Metodologie General ACTUALIZAT CROITORU ION Auditor superior VOINEA DANIEL Auditor principal Ghidul practic privind realizarea unei misiuni de audit intern privind activitatea IT constituie un model pentru desfurarea misiunilor n baza Legii nr. 672/2002 privind auditul public intern i a Normelor generale pentru exercitarea auditului public intern aprobate prin OMFP nr. 38/2003, cu modificrile i completrile ulterioare. Ateptm sugestiile dumneavoastr pe adresa UCAAPI sau pe e-mail:
marcel.ghita@mfinante.ro ion.croitoru@mfinante.ro daniel.voinea@mfinante.ro
BUCURETI
2009
CUVNT NAINTE
Ghidul de audit intern privind auditarea activitii IT reprezint un model practic de desfurare a unei misiuni de audit intern, prin parcurgerea in detaliu, a fiecrui pas, ntr-o manier didactic. Ghidul poate fi utilizat de entitile din sectorul public i n acelai timp va reprezenta suportul pentru realizarea, de ctre fiecare structur de audit intern a propriului ghid practic specific activitii IT desfurate n cadrul entitii. Actualizarea ghidului are la baz prevederile art. 8 lit. c) din Legea nr. 672/2002 privind auditul public intern i punctul 4, Partea I din Normele generale de exercitare a auditului public intern, aprobate prin OMFP nr. 38/2003 referitoare la dezvoltarea i implementarea unor proceduri i metodologii uniforme, bazate pe standardele internaionale. n conformitate cu prevederile punctului 4, Partea I din Normele generale de exercitare a auditului public intern, aprobate prin OMFP nr. 38/2003 (Manualul de audit intern), misiunea de audit intern are drept scop evaluarea sistemelor de management i control intern ale entitii, urmrind transparena i conformitatea cu cadrul normativ. Actualizarea ghidului practic a presupus respectarea procedurilor i documentelor specifice structurate pe cele patru etape ale derulrii unei misiunii de audit public intern, prezentate prin normele generale, respectiv: n etapa de pregtire a misiunii de audit intern au fost elaborate i actualizate documentele prevzute de normele generale, fiind aduse clarificri, n special, cu privire la modul concret de dezvoltare a procedurii de Analiza riscurilor, succesiunea documentelor, structura acestora i modul de completare, nivelul de apreciere i mprire a riscurilor n mari, medii i mici, clasarea i ierarhizarea acestora n vederea finalizrii procedurii pe baza creia se va elabora Programul interveniei la faa locului i se va concentra munca pe teren. n etapa de intervenie la faa locului s-a realizat testarea pe teren a operaiilor auditabile, pe baza Programului interveniei la faa locului, prin utilizarea diferitelor tehnici i instrumente de audit, tehnici de eantionare, liste de verificare, teste, foi de lucru, interviuri sau note de relaii, elemente care s-au constituit n probe de audit i care au stat la baza ntocmirii FIAP-urilor i FCRI-urilor, documente avute n vedere la elaborarea raportului de audit intern. n etapa de elaborare a Raportului de audit intern s-a urmrit structurarea acestuia pe Tematica n detaliu a misiunii de audit obinut n procedura de Analiza riscurilor i ca acesta s comunice clar cititorului att obiectivele, perioada de timp acoperit de audit, aria de cuprindere, constatrile, concluziile auditului, recomandrile formulate, ct i nivelul de asigurare. Totodat s-a avut n vedere ca faptele prezentate s fie susinute cu dovezi de audit suficiente, iar recomandrile s abordeze chestiunea performanei, a eficacitii gestionrii i optimizrii utilizrii resurselor. n etapa de urmrire a recomandrilor s-a urmrit caracterul adecvat, eficacitatea i oportunitatea aciunilor ntreprinse pentru implementarea recomandrilor formulate i n afara documentelor stabilite de normele generale au fost propuse unele modele de documente pentru evaluarea intern i extern a activitii de audit intern.
3
Obiectivele misiunii de audit intern privind activitatea IT, stabilite prin planul de audit au fost urmtoarele: Strategia i planificarea sistemelor informatice; Organizarea i funcionarea departamentului IT; Operaii ale sistemului informatic; Securitatea informaiilor; Achiziionarea i testarea programelor i aplicaiilor; Elaborarea i implementarea proiectelor IT; Proiectarea i meninerea n funciune a unei reele. n continuare, prezentm desfurarea misiunii de audit intern pentru Activitatea IT, structurat pe etapele, procedurile i documentele care se elaboreaz pe baza acestora n conformitate cu Schema de derulare a misiunilor de audit intern.
PROCEDURA P01 ENTITATEA PUBLIC Serviciul Audit Intern Nr. 11/12.08.2009
INIIEREA AUDITULUI
ORDIN DE SERVICIU
n conformitate cu prevederile art. 8, litera c) din Legea nr. 672/2002 privind auditul public intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea activitii de audit intern, cu modificrile i completrile ulterioare i a Planului de audit intern pentru anul 2009, se va efectua o misiune de audit intern privind Activitatea IT, n perioada 01.09.2009 20.10.2009. Scopul misiunii de audit este de a da asigurri asupra modului de organizare i desfurare a activitii IT, n conformitate cu cadrul legislativ i normativ, iar obiectivele acestuia au n vedere: Strategia i planificarea sistemelor informatice; Organizarea i funcionarea departamentului IT; Operaii ale sistemului informatic; Securitatea informaiilor; Proiectarea i testarea programelor i aplicaiilor; Elaborarea i implementarea proiectelor IT; Proiectarea i meninerea n funciune a unei reele. Menionm c se va efectua un audit de conformitate privind modul de organizare i desfurare a activitii IT. Echipa de auditori interni este format din urmtorii auditori: Popescu Sorin, auditor superior, coordonator Radu George, auditor superior
ef Serviciu Audit Intern, Dumitru Daniel
Procedura - P02: ENTITATEA PUBLIC Serviciul Audit Intern
INIIEREA AUDITULUI
DECLARAIA DE INDEPENDEN
Nume i prenume: Popescu Sorin Misiunea de audit : Activitatea IT Incompatibiliti n legtur cu entitatea/structura auditat
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel? Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit? Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat? Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European? Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat? Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv? Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental? Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat? Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat? Putei s selectai responsabilitile i problemele, s stabilii riscurile specifice activitilor supuse auditri i s construii proceduri specifice de identificare a disfunciilor i abaterilor? Stpnii tehnicile i metodele de colectare, analiz i interpretare a datelor i informaiilor specifice unui audit al conformitii? Dac n timpul misiunii de audit apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea de a lucra i a face rapoartele de audit impariale, notificai eful Serviciului de audit intern de urgen?
Data: 14.08.2009 DA
X -
NU
X X X X
X X X X
X X X X -
Auditor, Popescu Sorin
ef serviciu Dumitru Daniel
1. Incompatibiliti personale: Cu aproximativ 2 ani n urma am a lucrat la compartimentul contabilitate i am realizat plata salariilor personalului IT. 2. Pot fi eliminate incompatibilitile: Da 3. Dac da, explicai cum anume: Misiunea planificata nu are nici o tangen cu activitatea de salarizare a personalului departamentului. Totodat prezenta misiune are ca obiective modul de funcionare a sistemelor IT. Data: 14.08.2009 Semntura: Dumitru Daniel
Procedura - P02:
INIIEREA AUDITULUI
ENTITATEA PUBLIC Serviciul Audit Intern DECLARAIA DE INDEPENDEN Nume i prenume: Radu George Misiunea de audit: Activitatea IT Incompatibiliti n legtur cu entitatea/structura auditat
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel? Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit? Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat? Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European? Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat? Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiva? Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental? Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat? Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat? Putei s selectai responsabilitile i problemele, s stabilii riscurile specifice activitilor supuse auditri i s construii proceduri specifice de identificare a disfunciilor i abaterilor? Stpnii tehnicile i metodele de colectare, analiz i interpretare a datelor i informaiilor specifice unui audit al conformitii? Dac n timpul misiunii de audit apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea de a lucra i a face rapoartele de audit impariale, notificai eful Serviciului de audit intern de urgen?
Data: 14.08.2009
DA
X X X
NU
X X X X X X X X X X -
Auditor, Radu George
ef serviciu Dumitru Daniel
1. Incompatibiliti personale: a) nu am cunotine solide privind managementul IT, astfel nct s pot face o analiz obiectiv a modului de funcionare a programelor i aplicaiilor. 2. Pot fi eliminate incompatibilitile: a) Da; 3. Dac da, explicai cum anume: a) pentru evaluarea sistemelor, aplicaiilor sau programelor echipa de audit se va suplimenta cu un auditor cu experien n acest domeniu, respectiv Ionescu Gabriel, acesta va avea ca responsabiliti s evalueze modul de funcionare a acestora n comparaie cu necesitile i s formuleze constatrile de audit. Data: 14.08.2009 Semntura: Dumitru Daniel
8
Procedura - P03: ENTITATEA PUBLIC Serviciul Audit Intern Nr. 3452 / 15.08.2009
INIIEREA AUDITULUI
NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN
Ctre: De la:
Departamentul Tehnologia Informaiei eful Serviciului Audit Intern
Referitor la misiunea de audit intern Activitatea IT Stimate domnule director Ptrulescu George n conformitate cu Planul de audit intern pe anul 2009, urmeaz ca n perioada 01.09.2009 30.09.2009 s efectum o misiune de audit intern avnd ca tem Activitatea IT. Echipa de auditori va examina responsabilitile asumate de ctre Departamentul IT cu privire la organizarea i realizarea activitilor i va determina dac acesta i ndeplinete obligaiile n mod efectiv i eficient. Perioada supus evalurii este 01.01.2008 30.06.2009; Obiectivele misiuni de audit intern vor fi reprezentate de: Strategia i planificarea sistemelor informatice; Organizarea i funcionarea departamentului IT; Operaii ale sistemului informatic; Securitatea informaiilor; Testarea programelor i aplicaiilor; Elaborarea i implementarea proiectelor IT; Proiectarea i meninerea n funciune a unei reele. V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea discutrii diverselor aspecte ale misiunii de audit intern, cuprinznd: - prezentarea auditorilor; - prezentarea si discutarea obiectivelor misiunii de audit intern; - scopul misiunii de audit intern; - programul interveniei la faa locului; - alte aspecte privind organizarea si desfurarea misiunii. Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie urmtoarea documentaie necesar: cadrul legal si de reglementare aplicabil entitii; organigrama departamentului; Regulamentul de organizare i funcionare; fiele posturilor;
9
procedurile scrise care descriu activitile ce se desfoar n cadrul compartimentului; rapoartele de audit intern anterioare; alte rapoarte, note, dosarele anterioare care se refer la aceasta tem. Dac avei unele ntrebri privind aceasta aciune, v rog s contactai pe domnul Popescu Sorin auditor intern, coordonatorul misiunii sau pe eful structurii de audit intern.
ef Serviciu Audit Intern, Dumitru Daniel Data: 15.08.2009
10
Procedura P04:
COLECTAREA I PRELUCRAREA INFORMAIILOR
ENTITATEA PUBLIC Serviciul Audit Public Intern
COLECTAREA INFORMAIILOR
Misiunea de audit: Activitatea IT Perioada auditat: 01.01. 2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel Colectarea informaiilor Nr. Departamentul IT crt.
1. 2. 3.
Data: 02.09.2009 Data: 02.09.2009
DA
NU
X
Observaii
Identificarea legilor i regulamentelor aplicabile X Departamentului IT; Obinerea organigramei departamentului IT; X Obinerea Regulamentului de organizare i funcionare aferent departamentului IT; X Obinerea fielor posturilor pentru personalul departamentului; Obinerea procedurilor de lucru elaborate la nivelul departamentului;
ROF-ul nu este actualizat n conformitate cu noua structur organizatoric a departamentului. Procedurile de lucru sunt elaborate doar pentru o parte din activitile desfurate la nivelul departamentului. Anterior nu au fost realizate misiuni de audit intern privind activitatea IT
4. 5.
X 6. 7. 8. 9. 10. 11. 12. 13. 14. 15 Obinerea fielor postului pentru personalul X departamentului; Obinerea Raportului de audit intern anterior; X Obinerea strategiei i politicilor de dezvoltare ale departamentului; Obinerea statului de funcii pentru personalul departamentului; Obinerea rapoartelor de evaluare pentru personalul departamentului; Obinerea planului de continuare a activitilor n caz de dezastre; Obinerea circuitului documentelor la nivelul departamentului; Identificarea obiectivelor generale i specifice definite la nivelul departamentului; Obinerea planului de recuperare a activitilor n caz de dezastre; Obinerea listei tuturor aplicaiilor, programelor, sistemelor achiziionate sau derulate n cadrul entitii X X X X X X X X
Nu exist stabilit un circuit al documentelor.
11
16 17
Obinerea listei privind fiecare post IT i numele X utilizatorilor Obinerea tuturor metodologiilor de lucru privind funcionarea aplicaiilor i programelor instalate n X cadrul organizaiei
Not: Colectarea i prelucrarea reprezint etapa de procurare a informaiilor n vederea efecturii analizei de risc i pentru identificarea informaiilor necesare, fiabile, pertinente i utile pentru a atinge obiectivele misiunii de audit intern. Activitile realizate n aceast faz contribuie substanial la cunoaterea domeniului auditabil care l ajut pe auditor s se familiarizeze cu entitatea auditat.
12
Procedura PO4 : COLECTAREA I PRELUCRAREA INFORMAIILOR Entitatea Public Serviciul de Audit Intern CHESTIONAR DE LUARE LA CUNOTIN Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel r. rt. NTREBAREA
1 2 3
Data: 02.09.2009 Data: 02.09.2009 A U BSERVAII
Cunoaterea contextului socio-economic de funcionare a departamentului IT Care este numrul salariailor departamentului? 25 salariai. Exist buget la nivel de Exist un buget al departamentului? organizaie, iar achiziiile IT u Care sunt atribuiile generale ale compartimentului?
sunt stabilite separat. Elaborarea strategiei de informatizare a organizaiei i realizarea sistemului informatic integrat
4 5
Atribuiile generale sunt acoperite n totalitate de sarcinile stabilite posturilor? Care este nivelul de competene al salariailor?
6 7 8 9 10 11 12 13 14 15 16 17 18
Care este nivelul de calificare al personalului? Tot personalul are calificare IT? Personalul este evaluat cel puin anual? Complexitatea obiectivele individuale este mbuntit anual, n corelaie de cunotinele acumulate? Aprecierea realizrii obiectivelor este realizat n funcie de nivelul de criteriile de performan? Posturile existente asigur realizarea activitilor? Exist un sistem de motivare al salariailor? Motivarea moral a salariailor exist n cadrul compartimentului? Exist un plan de carier definit pentru funcia de operator IT? Exist o politic elaborat la nivelul domeniului de activitate? Exist strategie elaborat privind dezvoltarea IT? Exist o evaluare a funcionalitii compartimentului IT? Abilitile de comunicare i profesionale ale personalului se urmresc a fi dezvoltate? Da Nu Nu Nu Da Nu Nu
Salariaii dein competene privind funcionarea echipamentelor, aplicaiilor i programelor, n a realiza testarea i implementarea noilor aplicaii, n soluionarea problemele aprute n funcionarea aplicaiilor. 8 salariai sunt asisteni, 9 sunt principali i 8 sunt superiori.
Sunt meninute anual la acelai nivel.
ns acestea au un grad de ocupare de 85%. Motivarea se face financiar
13
19 20 21 22 23 24 25 B 1 2 3 4
Relaiile de autoritate sunt definite i aplicate la nivelul Da departamentului IT? Relaiile ierarhice asigur o bun colaborare ntre posturile Da de conducere i cele de execuie? Sarcinile sunt astfel definite nct s asigure o bun cooperare ntre posturile de acelai nivel n vederea Da soluionrii problemelor? Relaiile de control stabilite personalului conduc la o evaluare adecvat a modului de utilizare a echipamentelor i Da aplicaiilor de ctre utilizatori? Capacitatea managerial a personalului asigur furnizarea Da adecvat a informaiilor ctre utilizatorii aplicaiilor? Structura organizatoric este capabil s rspund cerinelor Da organizaiei sau a mediului n care acioneaz? Exist o analiz SWOT la nivelul departamentului? Cunoaterea contextului organizaional al departamentului IT Care este subordonarea departamentului i compartimentelor componente? Cu cine are relaii de colaborare? Care sunt relaiile ierarhice? n cadrul compartimentului care sunt relaiile ierarhice?
Nu
n subordinea conductorului organizaiei. Cu toate celelalte compartimente. Subordonat conductorului instituiei, nu are compartimente n subordine. Directorul este subordonat conductorului entitii, efii de servicii sunt subordonai directorului, iar salariaii sunt subordonai sefului de serviciu.
5 6 7 8 9 10 11 12 13 14 15 16 17 18
Mai exist i alte funcii de conducere? Exist organigram la nivelul departamentului? Organigrama exprim corect relaiile ierarhice? Organigrama exprim relaiile cu celelalte compartimente? Exist obiective definite la nivelul departamentului i n cadrul serviciilor? Exist obiective individuale la nivelul posturilor de lucru? Exist fie ale posturilor pentru toate posturile existente n cadrul compartimentului? Fiele posturilor sunt ntocmite n funcie de complexitatea activitilor stabilite postului sau pregtirea persoanei care l ocup? Sarcinile sunt definite clar n cadrul postului? n cadrul fielor posturilor sunt definite responsabiliti? Atribuiile posturilor de conducere difer fa de cele ale posturilor de execuie? Exist asigurat continuitatea activitilor n cadrul compartimentului? Exist o diagram funcional la nivelul compartimentului? Nivelul de conducere are putere decizional?
Nu Da Da Da Da Da Da
n funcie de complexitatea activitilor
Da Da Da Da Nu
Doar n ce privete asigurarea funcionrii echipamentelor, aplicaiilor sau programelor
19 20 21 22
Exist un circuit al documentelor n cadrul departamentului? Toate documentele elaborate la nivelul departamentului sunt Da cuprinse n circuitul documentelor? Sarcinile sunt comunicate zilnic salariailor? Da Urmrirea realizrii sarcinilor de ctre salariai este realizat Da
Nu
14
zilnic? 23 Structura organizatoric rspunde necesitilor activitilor derulate?

Toi salariai sunt implicai n realizarea tuturor activitilor. Este necesar o compartimentare a activitilor i o specializare pe acestea a salariailor
24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39
tatul de funcii corespunde posturilor existente? Exist un sistem de promovare al salariailor?
Da
Promovare se face n condiiile stabilite de lege
Posturile de lucru asigur flexibilitate n realizarea Da activitilor alocate? Exist o situaie a raportrilor de efectuat? Da Pentru fiecare raportare exist o metodologie de colectare, prelucrare i transmitere a datelor? Structura organizatoric corespunde obiectivelor generale ale organizaiei? Nivelurile de conducere sunt reduse? Funciile compartimentelor sunt definite clar i concis n comparaie cu atribuiile alocate departamentului? Funciile managementului se regsesc n atribuiile personalului de conducere? Atribuiile stabilite departamentului IT asigur realizarea atribuiilor generale ale organizaiei? Activitile sunt identificate n totalitate la nivelul departamentului? Realizarea activitilor are la baz un set de indicatori stabilii? Activitile asigur conformitatea cu reglementrile i metodologiilor? Activitile asigur conformitatea cu procedurile elaborate? Este respectat principiul echilibrului dintre sarcini i competene? Concordana cerinelor postului cu caracteristicile titularului asigur corespondena dintre volumul, natura i complexitatea sarcinilor, competenelor i responsabilitilor postului cu aptitudinile, deprinderile i experiena acestuia? Elaborarea rapoartelor de activitate respect coninutul tematic? Lucrrile de sintez i raportare sunt aprobate de conducerea entitii? Cunoaterea funcionrii departamentului IT Fisa postului definete clar cerinele postului? Nivelul de cunotine al salariatului asigur realizarea sarcinilor postului pe care l ocup? n cadrul departamentului sunt elaborate procedurile de lucru? Procedurile de lucru acoper toate activitile? Procedurile de lucru descriu corect activitile ce trebuie desfurate? Procedurile de lucru definesc corect responsabilitile? Procedurile de lucru sunt cunoscute i aplicate de salariai? Procedurile de lucru asigur separarea sarcinilor? Exist regulament de organizare i funcionare? Regulamentul de organizare i funcionare definete corect Da scopurilor i Da
Datele sunt preluate din registrele de eviden i dosarele de instan
Exist dou conducere
nivele
de
Nu n totalitate
Da Da Nu Da Da Da Da Da Da Da Da Da Da Da Da Da Da Da Da 15
40 41 C 1 2 3 4 5 6 7 8 9 10
11 12
atribuiile compartimentului? Exist registru de coresponden la nivelul departamentului? Da Care sunt problemele la nivelul departamentului?
13 14 15 16 17 18
Care sunt reformele la nivelul departamentului? Exist a procedur de lucru prin care sunt stabilite sau reglementate raporturile de lucru ntre compartimentele din cadrul organizaiei? Exist realizat n cadrul departamentului IT o analiz a posturilor? Exist un program de pregtire a personalului? Programul de pregtire are la baz necesitile rezultate din evaluarea performanelor individuale i nevoile individuale? Documentele primite la nivelul departamentului nregistreaz i repartizeaz pentru soluionare? se Da Nu Nu Da
Lipsa de personal. Insuficiena bugetului pentru achiziionarea echipamentelor i integrarea datelor Tehnica nvechit, ceea ce creeaz a serie de probleme n exploatarea aplicaiilor Instruirea insuficient a utilizatorilor Nu exist elaborat nici o reform.
Programul este realizat pe baza solicitrilor formulate de salariai
Auditori interni, Popescu Sorin Radu George
16
Procedura PO5 :
Analiza riscului
Entitatea Public Serviciul de Audit Intern
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel
Nr. crt.
1.
Data: 04.09.2009 Data: 04.09.2009

Obiecte auditabile
1.1.1. Strategia IT definete necesitile i prioritile 1.1.2. Strategia IT face trimitere la nevoile viitoare ale organizaiei 1.1.3. Strategia definete direciile i obiectivele de dezvoltare a IT 1.2.1. Strategia IT este transpus n planuri IT 1.2.2. Planurile IT ajut la ndeplinirea misiunii organizaiei 1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu necesitile 1.3.1. Strategia IT este concordant cu scopurile organizaiei 1.3.2. Planurile IT se adreseaz ntregii organizaii 1.3.3. Obiectivele IT ndeplinesc obiectivele organizaiei 1.4.1. Strategia IT este stabilit de un comitet IT 1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu 1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitile realizate 1.5.1. Organizarea adecvat a funciei IT 1.5.2. Personalul IT are calificarea i competenele adecvate 1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente 1.6.1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT 1.6.2. Realizarea strategiei IT pe baza evalurii sistemelor existente 2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT 2.1.2. Atribuiile specifice departamentului sunt stabilite n cadrul atribuiilor generale ale entitii
Domeniul
Strategia planificarea sistemelor informatice i
Activiti/obiective
1.1. Strategia IT este concordant cu scopurile organizaiei 1.2. Planurile IT se adreseaz ntregii organizaii 1.3. Obiectivele IT ndeplinesc obiectivele organizaiei 1.4. Comitetul IT determin strategia IT 1.5. Organizarea IT corespunde necesitilor organizaiei 1.6. Elaborarea strategiei IT corespunde strategiei entitii 2.1. Definirea atribuiilor i activitilor
Observaii
2.
Organizarea i funcionarea departamentului IT
17
Nr. crt.
Domeniul
Activiti/obiective
Obiecte auditabile
2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii obiectivelor 2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor 2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului 2.1.6. Definirea activitilor n cadrul structurii organizatorice 2.2.1. Organizarea funcional a departamentului IT 2.2.2. Definirea relaiilor organizatorice ntre compartimente 2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT 2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt identificate i evaluate ct mai corect i complet 2.3.1. Definirea limitelor de competen 2.3.2. Definirea responsabilitilor n realizarea activitilor 2.3.3. Definirea sarcinilor prin fia postului 3.1.1. Existena listei operaiunilor zilnice de realizat 3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori 3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor 3.1.4. Elaborarea Planului anual de activitate 3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau prevenite n termen 3.2.2. Programele antivirus asigur protecia aplicaiilor 3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere 3.2.4. Implementarea subsistemelor IT 3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de utilizare 3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a departamentului 3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT 3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de calitate 3.3.4. Evidena datelor aflate pe mediile de stocare 3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare 3.3.6. Asigurarea caracterului secret al datelor
Observaii
2.2. Stabilirea organizatorice
structurii
2.3. responsabilitilor 3. Operaii sistemului informatic ale 3.1 operaiunilor
Stabilirea
Managementul
3.2. problemelor
Managementul
3.3. Funcionalitatea activitilor n cadrul departamentului IT
18
Nr. crt.
Domeniul
Activiti/obiective
Obiecte auditabile
3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea, planificarea, execuia, monitorizarea i analiza, ncheierea 3.4.1. Obinerea de rapoarte de activitate utile 3.4.2. ntreinerea calculatorului i a echipamentelor 3.4.3. Instalarea i configurarea calculatorului 3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile organizaiei 3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT 3.5.2. Identificarea i raportarea pericolelor 3.5.3. Administrarea eficient a aplicaiilor i programelor 3.5.4. Evaluarea problemelor i soluionarea acestora 3.5.5. Programele corespund cerinelor stabilite 3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare 4.1.1. Crearea politicii de securitate a informaiei 4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei 4.1.3. Stabilirea responsabilitilor privind securitatea informaiei 4.1.4. Elaborarea politicii privind securitatea informaiei 4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate 4.1.6. Securitatea informaiilor asigur integritatea acestora 4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori autorizai 4.2.1. Protejarea mpotriva atacurilor informatice 4.2.2. Protejarea datelor mpotriva viruilor 4.2.3. Asigurarea continuitii activitilor 4.2.4. Recuperarea datelor n caz de dezastru 4.2.5. Protejarea mpotriva asumrii unei identitii false 4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare 4.3.2. Existena licenelor pentru programele utilizate 4.3.3. Prelucrarea datelor 4.3.4. Asigurarea securitii datelor i informaiilor 4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului 4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz accesul la aplicaii
Observaii
3.4. echipamentelor
Mentenana
3.5. Utilizarea echipamentelor
4.
Securitatea informaiilor
4.1. Organizarea informaiilor
securitii
4.2. Disponibilitatea datelor
4.3. Asigurarea funcionrii programelor i aplicaiilor
4.4. Implementarea instrumentelor de control
19
Nr. crt.
Domeniul
Activiti/obiective
Obiecte auditabile
4.4.3. Introducerea instrumentelor de control fizic 4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie
Observaii
4.5. Securitatea reelei
4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea informaiilor n cadrul reelei 4.5.2. Monitorizarea securitii reelelor 4.6.1. Utilizatorii au parole de acces individuale 4.6.2. Schimbarea periodic a parolelor 4.6.3. Conturile i parolele generice sunt folosite pentru accesul la sisteme i aplicaii 4.6.4. Protejarea parolelor 4.6.5. Persoanele autorizate au acces la sistemul de operare
4.6. Gestionarea parolelor
4.7. Securitatea logic
4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor 4.7.2.Protejarea sistemelor informatice mpotriva factorilor de mediu !! 4.7.3. Protejarea informaiei din reea
Proiectarea testarea programelor aplicaiilor
i i
5.1. Proiectarea i elaborarea programelor i aplicaiilor
5.1.1. Proiectarea programului informatic 5.1.2. Elaborarea programului informatic 5.1.3. Proiectarea unui program sau aplicaie tine cont de necesitile organizaiei 5.1.4. Proiectarea unui program sau aplicaie pe baza existenei resurselor financiare 5.1.5. Respectarea cerinelor n achiziia unei aplicaii
5.2. Testarea i implementarea programelor i aplicaiilor
5.2.1. Utilizarea de date ipotetice n testarea unui program 5.2.2. Testarea programului i aplicaiei 5.2.3. Asigurarea corectitudinii rezultatelor 5.2.4. Implementarea unui program dup realizarea testrii acestuia
6.
Elaborarea implementarea proiectelor IT
6.1. Dezvoltarea proiectelor IT (programe i aplicaii)
6.1.1. Metodologia pentru dezvoltarea i achiziia aplicaiei 6.1.2. Iniierea i elaborarea proiectelor IT
20
Nr. crt.
Domeniul
Activiti/obiective
6.2. Implementarea i funcionarea programelor i aplicaiilor
Obiecte auditabile
6.1.3. Monitorizarea performanelor soluiilor IT implementate 6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii 6.2.2. Implementarea adecvat a aplicaiilor 6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
Observaii
7.
Proiectarea i meninerea n funciune a unei reele
7.1. Proiectarea, instalarea i administrarea reelei de calculatoare
7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare 7.1.2. Monitorizarea performanelor reelelor 7.1.3. Administrarea serverelor 7.1.4. Reeaua de calculatoare corespunde cerinelor funcionale
7.2. Interconectarea securitatea reelei
7.2.1. Interconectarea reelelor 7.2.2. Proiectarea i asigurarea securitii reelei 7.2.3. Urmrirea adecvrii performanelor unei reele
Auditori, Popescu Sorin Radu George
21
22
Procedura PO5 : Entitatea Public Serviciul de Audit Intern
ANALIZA RISCULUI
IDENTIFICAREA RISCURILOR
Misiunea de audit: Activitatea IT Perioada auditat: 01.01. 2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel Nr. crt.
1.
Data: 04.09.2009 Data: 04.09.2009 Riscuri semnificative

Achiziia i implementarea programelor i aplicaiilor nu este corelat cu obiectivele propuse; Sistemele nu sunt dezvoltate ntr-o manier planificat i controlat Strategia IT nu are o viziune orientat spre viitor, fiind o extrapolare a tendinelor trecute Dezvoltarea IT nu acoper toate procesele; Planurile IT nu contribuie la realizarea scopului entitii n domeniul IT; Resursele IT nu sunt identificate pentru fiecare element al planului; Utilizatorii i IT nu au aceleai opinii cu privire la responsabilitile i autoritatea lor Planul IT nu acoper cerinele pe termen mediu; Obiectivele n domeniul IT nu deriv i nu contribuie la realizarea obiectivelor entitii; Strategia IT este definit de departamentul IT; Comitetul IT nu contribuie la dezvoltarea i implementarea strategiei n domeniu; Stabilirea dezvoltrii IT de ctre departamentul IT; Responsabilitile nu sunt definite clar n cadrul compartimentelor i posturilor;
Domeniul
Strategia planificarea sistemelor informatice i
Activiti/ obiective
1.1. Strategia IT este concordant cu scopurile organizaiei 1.2. Planurile IT se adreseaz ntregii organizaii
Obiecte auditabile
1.1.1. Strategia IT definete necesitile i prioritile 1.1.2. Strategia IT face trimitere la nevoile viitoare ale organizaiei 1.1.3. Strategia definete direciile i obiectivele de dezvoltare a IT 1.2.1. Strategia IT este transpus n planuri IT 1.2.2. Planurile IT ajut la ndeplinirea misiunii organizaiei 1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu necesitile 1.3.1. Strategia IT este concordant cu scopurile organizaiei 1.3.2. Planurile IT se adreseaz ntregii organizaii 1.3.3. Obiectivele IT ndeplinesc obiectivele organizaiei 1.4.1. Strategia IT este stabilit de un comitet IT 1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu 1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i operaiile realizate 1.5.1. Organizarea adecvat a funciei IT
Obs.
1.3. Obiectivele IT ndeplinesc obiectivele organizaiei 1.4. Comitetul IT determin strategia IT 1.5. Organizarea IT corespunde
23
Nr. crt.
Domeniul
Activiti/ obiective
necesitilor organizaiei 1.6. Elaborarea strategiei IT corespunde strategiei entitii 2.1. Definirea atribuiilor i activitilor
Obiecte auditabile
1.5.2. Personalul IT are calificarea i competenele adecvate 1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente 1.6.1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT 1.6.2. Realizarea strategiei IT pe baza evalurii sistemelor existente 2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT 2.1.2. Atribuiile specifice departamentului sunt stabilite n cadrul atribuiilor generale ale entitii 2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii obiectivelor 2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor 2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului 2.1.6. Definirea activitilor n cadrul structurii organizatorice 2.2.1. Organizarea funcional a departamentului IT 2.2.2. Definirea relaiilor organizatorice ntre compartimente 2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT 2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt identificate i evaluate ct mai corect i complet 2.3.1. Definirea limitelor de competen 2.3.2. Definirea responsabilitilor n realizarea activitilor 2.3.3. Definirea sarcinilor prin fia postului
Riscuri semnificative
Lipsa calificrilor necesare; Programele i aplicaiile nu sunt integrate i nu rspund cerinelor activitilor; Infrastructura IT existent nu asigur implementarea strategiei IT; Elaborarea strategiei nu are la baz i o evaluare i identificare a posibilitilor financiare; Lipsa ariei de competen pentru realizarea activitilor stabilite structurii funcionale Definirea de atribuii care nu se regsesc in ROF Definirea atribuiilor sub form de sarcini Activiti stabilite incorect pentru realizarea obiectivelor Stabilirea de sarcini diferite pentru aceleai funcii sau aceleai sarcini pentru funcii diferite Activitile realizate la nivelul structurii funcionale nu se regsesc n totalitate n cadrul sarcinilor stabilite posturilor Structura funcional nu este adaptat complexitii activitilor derulate Repartizarea activitilor i relaiilor organizatorice fr a se ine cont de natur organizrii compartimentului Riscurile nu sunt identificate i gestionate la nivelul structurii funcionale Gestionarea slab a riscurilor privind securitatea informaiilor Autoritatea formal n realizarea activitilor este insuficient stabilit postului Definirea doar a atribuiilor, nu i a limitei pn unde rspunde ocupantul postului n realizarea activitilor Sarcinile stabilite postului potrivit fiei postului nu corespund cu aciunile efectiv realizate de ocupantul postului Activitile se realizeaz fr o prioritizare a operaiilor
Obs.
Organizarea i funcionarea departamentului IT
2.2. Stabilirea structurii organizatorice
2.3. Stabilirea responsabilitilor
Operaii
ale
3.1
Managementul
3.1.1. Existena listei operaiunilor zilnice de realizat
24
Nr. crt.
3.
Domeniul
sistemului informatic
Activiti/ obiective
operaiunilor
Obiecte auditabile
3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori 3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor 3.1.4. Elaborarea Planului anual de activitate 3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau prevenite n termen 3.2.2. Programele antivirus asigur protecia aplicaiilor 3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere 3.2.4. Implementarea subsistemelor IT 3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de utilizare
Lipsa analizelor privind scopul i cerinele de realizare a activitilor i calitatea aplicaiilor sau programelor utilizate Responsabilitile operatorilor nu sunt delimitate i stabilite n funcie de specializarea fiecruia i tipurile de aplicaii i programe utilizate Activitile sunt derulate n cadrul departamentului fr a exista o planificare anual sau periodic Soluionarea cu ntrziere a problemelor aprute n utilizarea aplicaiilor i programelor Utilizarea neadecvat a programelor antivirus Soluionarea problemelor aprute nu este realizat potrivit gravitii i asigurnd eficiena realizrii activitilor entitii Programele i aplicaiile derulate la nivelul organizaiei nu sunt actualizate potrivit noilor necesiti ca urmare a modificrii aciunilor de realizare a activitilor Neconcordane ntre utilizarea unei aplicaii sau program i precizrile din caietul tehnic, privind execuia acelei operaii Lipsa revizuirii i urmrii contractelor la nivel de service i a celor la nivel operativ Activitile i aciunile necesare realizrii acestora nu sunt repartizate eficient i omogen pe compartimente n cadrul departamentului IT Activiti i aciuni neresponsabilizate Acces nerestricionat la date i informaii Dependena de tere pri n centralizarea informaiei i oferirea rapoartelor Accesul la datele i informaiile organizaiei nu este limitat doar pentru persoanele ndreptite Soluionarea unei probleme prin luarea n calcul doar a execuiei acesteia Rapoartele obinute nu ofer informaii suficiente pentru luarea deciziilor
Obs.
3.2. Managementul problemelor
3.3. Funcionalitatea activitilor n cadrul departamentului IT
3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a departamentului 3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT 3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de calitate 3.3.4. Evidena datelor aflate pe mediile de stocare 3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare 3.3.6. Asigurarea caracterului secret al datelor 3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea, planificarea, execuia, monitorizarea i analiza, ncheierea 3.4.1. Obinerea de rapoarte de activitate utile
3.4. Mentenana echipamentelor
25
Nr. crt.
Domeniul
Activiti/ obiective
Obiecte auditabile
3.4.2. ntreinerea calculatorului i a echipamentelor 3.4.3. Instalarea i configurarea calculatorului 3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile organizaiei 3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT 3.5.2. Identificarea i raportarea pericolelor 3.5.3. Administrarea eficient a aplicaiilor i programelor 3.5.4. Evaluarea problemelor i soluionarea acestora 3.5.5. Programele corespund cerinelor stabilite 3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare 4.1.1. Crearea politicii de securitate a informaiei 4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei 4.1.3. Stabilirea responsabilitilor privind securitatea informaiei 4.1.4. Elaborarea politicii privind securitatea informaiei 4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate 4.1.6. Securitatea informaiilor asigur integritatea acestora 4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori autorizai 4.2.1. Protejarea mpotriva atacurilor informatice 4.2.2. Protejarea datelor mpotriva viruilor 4.2.3. Asigurarea continuitii activitilor
Disfunciile identificate nu sunt analizate i nlturate n conformitate cu instruciunile i manualele de ntreinere Echipamentele periferice nu sunt instalate i conectate conform documentaiei ntreinerea sistemului doar la solicitrile utilizatorilor; Suportul tehnic cu privire la utilizarea programelor nu este furnizat n mod corespunztor utilizatorilor; Costuri ridicate cu remedierea defeciunilor, frecven mare a acestora, timpi mari pn la reluarea lucrului; Controlul intern asupra datelor de intrare nu este asigurat corespunztor; Lipsa revizuirii i urmrii msurilor privind corectarea erorilor conduce la persistena unora dintre acestea; Neadaptarea la schimbrile rapide ale tehnologiei informaiei; Lipsa cunotinelor privind exploatarea echipamentelor la potenialul maxim; Organizarea i responsabilitile privind securitatea informaiilor nu constituie o prioritate a politicii de securitate Standardele privind securitatea informaiei nu sunt definite formal Responsabilitile nu sunt separate clar ntre cele ale administratorilor i cele ale operatorilor; Datele i informaiile prelucrate i stocate nu sunt asigurate n condiii de confidenialitate, integritate i disponibilitate Politica de securitate nu definete responsabilitile cu privire la securitatea datelor i informaiilor Datele i informaiile nu sunt stocate n condiii de securitate; Accesul la informaii i pentru persoanele neautorizate; Lipsa programelor de protecie adecvate pentru aplicaii i programe; Vulnerabilitate sporit n faa viruilor; Planurile privind continuitatea activitilor nu stabilesc msuri concrete pentru reluarea activitii;
Obs.
4.
4.1. Organizarea securitii informaiilor
26
Nr. crt.
Domeniul
Activiti/ obiective
Obiecte auditabile
4.2.4. Recuperarea datelor n caz de dezastru 4.2.5. Protejarea mpotriva asumrii unei identitii false 4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare 4.3.2. Existena licenelor pentru programele utilizate 4.3.3. Prelucrarea datelor 4.3.4. Asigurarea securitii datelor i informaiilor
Lipsa planurilor de recuperare a datelor i informaiilor Sustragerea informaiilor sau echipamentelor, fr autorizare; Aplicaiile informatice nu sunt utilizate n conformitate cu instruciunile de exploatare Plata unor despgubiri urmare implementrii unor programe fr licen Introducerea incorect a datelor i informaiilor n cadrul programelor i aplicaiilor Accesul la datele i informaiile stocate nu este restricionat i autorizat pe niveluri ierarhice Accesul la program, aplicaie este oferit pentru ntregul personal ce posed o parol Pentru vulnerabilitile sistemelor nu sunt stabilite i implementate instrumente de control; Accesul fizic la echipamente i aplicaii este restricionat Posibilitatea de a obine i utiliza rezultate nesigure, neverificate; Metodele de criptare nu asigur protecia integritii i confidenialitii datelor sensibile Comunicarea n reea nu este monitorizat; Accesul la aplicaii se realizeaz direct, fr a fi permis doar pentru personalul ndreptit; Risc crescut de spargere a parolei; Conturile i parolele generice iniiale nu sunt personalizate, dup nceperea prelucrrilor de ctre utilizatori; Descrcarea ilegal a unor informaii; Accesul la servere este permis ntregului personal, nefiind nregistrat i monitorizat; Lipsa controalelor sau controale slabe de acces Lipsa controalelor de mediu, respectiv detectoare de foc, incendiu etc.
Obs.
4.5. reelei
Securitatea
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului 4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz accesul la aplicaii 4.4.3. Introducerea instrumentelor de control fizic asupra echipamentelor IT 4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie 4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea informaiilor n cadrul reelei 4.5.2. Monitorizarea securitii reelelor 4.6.1. Utilizatorii au parole de acces individuale 4.6.2. Schimbarea periodic a parolelor 4.6.3. Conturile i parolele generice sunt folosite pentru accesul la sisteme i aplicaii 4.6.4. Protejarea parolelor 4.6.5. Persoanele autorizate au acces la sistemul de operare 4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor 4.7.2.Protejarea sistemelor informatice mpotriva factorilor de mediu
4.7. logic
Securitatea
27
Nr. crt.
5
Domeniul
Activiti/ obiective
i i 5.1. Proiectarea elaborarea programelor aplicaiilor i i
Obiecte auditabile
4.7.3. Protejarea informaiei din reea
Funcii de siguran sau control nu sunt prevzute n cadrul sistemelor de aplicaii n proiectarea programului/aplicaiei, fluxul de date nu este stabilit adecvat rezultatelor ateptate Graficul de realizare a programului i bugetul aprobat nu sunt respectate Elaborarea de programe i aplicaii fr o analiz strategic la nivelul utilizatorilor Lipsa resurselor financiare n elaborarea i implementarea unui program sau aplicaie Costuri suplimentare n achiziia unui program sau aplicaie Efectuarea de prelucrri asupra datelor reale, n cadrul testrii programelor; Neconformitile i erorile constatate n cursul testrii unui program nu sunt analizate cu atenie Opiunile i parametrii de lucru ai programului/aplicaiei nu sunt stabilii conform specificaiilor din documentaiile tehnice Programele sau aplicaiile achiziionate sunt implementate fr a fi testate Lipsa proiectelor de dezvoltare a achiziiilor Obiectivele generale ale proiectului nu sunt stabilite cu respectarea strategiei generale a organizaiei Parametri de referin i valorile etalon ale programelor elaborate nu respect specificaiile i nu se ncadreaz n standarde Soluiile privind mbuntirea programelor i aplicaiilor nu in cont de punctele slabe i critice, precum i evoluiile tehnologice Rapoartele nu corespund cerinelor; Supravegherea proceselor aflate n execuie i a performanelor aplicaiilor, sistemelor sau programelor nu respect procedurile i instruciunile Subsistemele existente nu sunt configurate i supravegheate individual
Obs.
Proiectarea testarea programelor aplicaiilor
5.1.1. Proiectarea programului informatic 5.1.2. Elaborarea programului informatic 5.1.3. Proiectarea unui program sau aplicaie tine cont de necesitile organizaiei 5.1.4. Proiectarea unui program sau aplicaie pe baza existenei resurselor financiare 5.1.5. Respectarea cerinelor n achiziia unei aplicaii
5.2. Testarea implementarea programelor aplicaiilor
i i
5.2.1. Utilizarea de date ipotetice n testarea unui program 5.2.2. Testarea programului i aplicaiei 5.2.3. Asigurarea corectitudinii rezultatelor 5.2.4. Implementarea unui program dup realizarea testrii acestuia 6.1.1. Metodologia pentru dezvoltarea i achiziia aplicaiei 6.1.2. Iniierea i elaborarea proiectelor IT 6.1.3. Monitorizarea performanelor soluiilor IT implementate
6.
Elaborarea i implementarea proiectelor IT
6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii 6.2.2. Implementarea adecvat a aplicaiilor 6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
7.
Proiectarea i meninerea n funciune a unei
7.1. Proiectarea, instalarea i administrarea reelei
7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare
28
Nr. crt.
Domeniul
reele
Activiti/ obiective
de calculatoare
Obiecte auditabile
7.1.2. Monitorizarea performanelor reelelor. 7.1.3. Administrarea serverelor 7.1.4. Reeaua de calculatoare corespunde cerinelor funcionale 7.2.1. Interconectarea reelelor 7.2.2. Proiectarea i asigurarea securitii reelei 7.2.3. Urmrirea adecvrii performanelor unei reele de calculatoare
Scderea performanelor reelelor; Accesul i utilizarea datelor i informaiilor stocate pe server nu respect strategia de securitate a reelei Reeaua de calculatoare nu asigur integrarea informaiilor i elaborarea rapoartelor Conexiunile dintre reele nu sunt conforme cu arhitectura prevzut de instruciuni i nu respect standardele Vulnerabilitile i ameninrile nu sunt identificate i prioritizate Proiectarea reelei de calculatoare nu asigur integrarea programelor.
Obs.
7.2. Interconectarea i securitatea reelei

Not: Identificarea riscurilor asociate obiectelor auditabile presupune ataarea riscurilor semnificative la operaiile stabilite n Lista centralizatoare a obiectelor auditabile, n prima faz a procedurii Analiza riscurilor. Lista privind identificarea riscurilor reprezint documentul prin care pe baza obiectelor audiabile identificate, a funcionalitii controalelor interne stabilite i implementate de entitate sunt identificate i stabilite riscurile aferente pentru fiecare obiect audiabil. La un obiect auditabil se pot asocia unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate, dar si din propria experien. n situaia n care la operaiile audiabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte, pe grupe de riscuri sau pe total operaie/obiect audiabil.
29
30
ANALIZA RISCULUI
CHESTIONAR DE CONTROL INTERN

Misiunea de audit: Activitatea IT Perioada auditat: 01.01. 2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel A. INTREBRI GENERAL ADRESATE MANAGEMENTULUI
Data: 04.09.2009 Data: 04.09.2009 DA

X X X X Sunt realizate pe baz de contracte de prestri de servicii
NU
OBSERVAII
Exist un sistem de proceduri care sa reglementeze activitatea departamentului IT? Procedurile de lucru sunt scrise si formalizate? Exist proceduri scrise privind achiziionarea programelor i aplicaiilor informatice? Exist proceduri scrise privind ntreinerea aplicaiilor informatice? Exist o strategie clar i obiective stabilite pentru IT? Strategia IT are viziunea orientat spre viitor? Managementul este mulumit cu rolul sau valoarea IT n cadrul organizaiei? Sistemul IT este dezvoltat ntr-o manier planificat i controlat? Este supravegheat respectarea strategiei? Utilizatorii contribuie la prioritile i la dezvoltarea n domeniul IT?
X X X X X X Exist un sistem prin care utilizatorii pot formula propuneri si soluii, care apoi sunt analizate Numai n caz de necesitate Anual se realizeaz o evaluare a indicatorilor
Planurile IT sunt aplicate n practic? Rspunderea i responsabilitatea pentru sistemele de informaii aparine personalului de conducere? Utilizatorii au o bun percepie asupra capacitilor sau performanei departamentului IT? Rotaie personalului este redus n cadrul departamentului IT? Ocuparea posturilor este adecvat n cadrul departamentului? Managementul are cunotin asupra tehnologiilor prezente i viitoare necesare entitii pentru asigurarea realizrii activitilor i mandatului? Exist capacitate adecvat de a planifica i implementa resursele IT? Exist capacitate de a monitoriza performana IT? Exist o strategie adecvat de achiziii IT? Exist concordan ntre obiective i strategii de achiziii IT? Riscurile legate de achiziii IT sunt administrate att de entitate, ct i de furnizori?
X X X X
Grad de ocupare 95% X X X X X X Nu exist un proces de identificare i gestionare a riscurilor la nivelul entitii Auditorii Definete strategice obiectivele
B. INTREBARI ADRESATE MANAGEMENTULUI DE LINIE Strategia i planificarea sistemelor informatice Strategia definete principalele direcii n IT? Strategia definete principalele obiective ale entitii? Strategia IT este concordant cu strategia entitii? Exist planuri de dezvoltare IT?
DA X X X X
NU
Planuri de continuitate a activitii i planuri de recuperare a datelor
31
Planurile IT pe termen scurt sau mediu asigur dezvoltarea informaional la nivelul entitii? Obiectivele IT ndeplinesc planurile entitii? Competenele i funcionarea comitetului IT sunt definite clar?
X X X nu exist un regulament de organizare i funcionare al acestui comitat Realizeaz doar o evaluare a necesitilor de achiziii IT Realizeaz doar o evaluare a necesitilor de achiziii IT Realizeaz doar o evaluare a necesitilor de achiziii IT
Comitetul IT determin strategia IT? X Comitetul IT transpune strategia IT n planuri IT? X Comitetul IT stabilete prioritile proiectelor de dezvoltare? X Funcia IT este organizat adecvat n concordan cu strategia IT? Personalul IT asigur calitatea serviciilor IT? Personalul IT asigur competena necesar continuitii activitilor? Separarea sarcinilor exist ntre dezvoltarea sistemelor i deservirea acestora? Separarea sarcinilor exist ntre dezvoltarea sistemelor i operaii? Separarea sarcinilor exist ntre deservirea sistemelor i securitatea informaiei? Separarea sarcinilor exist ntre operaii i utilizatori? Personalul a luat la cunotin de sarcinile posturilor? Exist cooperare interdepartamental pentru dezvoltarea sistemelor integrate? Achiziiile electronice sunt legate cu profilurile performanei ateptate? Sistemele informatice achiziionate asigur calitatea informaiilor potrivit nevoilor? Planificarea continuitii activitilor Scopul planului de continuitate a activitii este de a limita pierderile? Toate activitile critice i resursele sunt incluse n planul de continuitate a activitilor? n cadrul planului de continuitate a activitilor sunt stabilite responsabiliti clare? Planurile de continuitate a activitilor sunt comunicate ? Eficiena planurilor de continuitate a activitilor a fost testat? Planul de continuitate a activitilor este testat regulat? Planul de continuitate a activitilor este aprobat de conducere? Planul de continuitate a activitilor a fost realizat urmare unei analize a riscurilor? Planul de continuitate a activitilor are la baz i o evaluare a impactului? Prioritile sunt stabilite corect n cadrul planului de continuitate a activitilor? Locaia de recuperare este disponibil? Infrastructura locaiei de recuperare permite recuperarea la timp a activitilor? Echipamentul necesar este instalat n cadrul locaiei de recuperare? Exist o bun relaie ntre utilizatori i personalul IT? Exist prghii de siguran sau control prevzute n funcionarea sistemelor? Cerinele de recuperare ale activitilor sunt revizuite periodic? Planul de continuitate cuprinde ntregul sistem informatic din entitate? Sunt realizate informrii periodice ale coninutului planului de continuitate? Exist o gestiune adecvat a riscurilor legate de departamentul IT? Impactul materializrii riscurilor legate de IT este cunoscut i evaluat? X Personalul entitii este pregtit i capabil s rspund Planurilor de continuitate? Implementarea software i hardware este conceput i realizat conform programelor? Implementarea software i hardware este realizat dup testarea corespunztoare? IT asigur continuitatea i eficiena operaiilor n derularea activitilor entitii? Planurile de rezerv sunt actuale, comprehensive i complet testate? Securitatea informaiilor X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Sunt legate doar de necesitile de mbuntire a activitilor
Sunt cunoscute doar de departamentul IT
nu exist o gestionare a riscurilor legate de IT nu sunt cunoscute consecinele materializrii riscurilor nu cunoate aceste planuri
32
Exist o politic de securitatea informaiei? Exist o practic privind securitatea informaiei? Exist proceduri privind securitatea informaiei? Politica de securitate este definit i aprobat de conducere? Securitatea informaiei este cunoscut i nsuit de conducere? Politica de securitate a informaiei este cunoscut de utilizatori? Descrierile i responsabilitile posturilor n raport cu securitatea informaiilor este clar definit i cunoscut? Exist disponibile descrieri clare ale sarcinilor? Responsabilitile sunt clar definite privind securitatea informaiei? Responsabilitile i sarcinile sunt comunicate corespunztor? Administrarea utilizatorilor este adecvat? Drepturile de acces sunt alocate corect? Drepturile de acces sunt alocate pe baza nevoii utilizatorului de a executa sarcinile atribuite? Drepturile de acces sunt alocate/schimbate corect i la timp? Drepturile de acces sunt verificate regulat? Utilizatorii au parole de autorizare individuale? Parolele au lungimea adecvat i sunt greu de aflat? Parolele sunt regulat schimbate? Parolele i profilurile utilizatorilor privilegiai sunt folosite la accesul la sisteme i aplicaii cu un grad nalt de securitate? Utilizarea parolelor i profilurilor utilizatorilor privilegiai este urmrita cu strictee? Mecanismele de securitate logic au fost implementate i configurate pentru a verifica i limita accesul la sistemul de operare? La sistemele de operare au acces doar persoanele autorizate? Accesul la funciile aplicaiei este permis pe baza necesitilor utilizatorului de a-i realiza sarcinile? Mecanismele de securitate logic verific i limiteaz accesul la aplicaie? Confidenialitatea i integritatea datelor este suficient de securizat? Mecanismele de securitate logic implementate i configurate asigur securitatea informaiilor din cadrul reelei? Informaia din reea este protejat de virui? Accesul neautorizat la reea este blocat suficient? Criptarea este folosit ca protecie necesar integritii i confidenialitii datelor? Sistemele informatice sunt adecvat protejate mpotriva factorilor de catastrof? Securitatea informaiei impune o analiz de risc n mod regulat? Securitatea informaiei asigur protejarea informaiei i raportarea deficienelor? Securitatea informaiei permite protejarea informaiei prin respectarea cerinelor de confidenialitate, integritate i disponibilitate? Politica de securitate a informaiei interzice utilizarea informaiilor i sistemelor fr autorizaie i pentru scopuri care nu au legtur cu munca? Politica de securitate interzice copierea sau scoaterea neautorizat din sediu a informaiei fr autorizare? Ieirea din sistem este realizat ori de cte ori un terminal este lsat nesupravegheat? Politica de securitate este comunicat i cunoscut de ntregul personal i prile externe cu acces la informaiile i sistemele entitii? Accesul fizic la sistemele de calculatoare este restricionat pentru personalul autorizat n afara programului de lucru? Mijloacele i documentaia critic este asigurat atunci cnd nu este n uz?
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Ieirea din sistem este realizat pentru fiecare terminal manual Raportarea deficienelor numai n caz de probleme la aplicaii, programe etc. Exist cazuri n care aceeai parol este meninut i chiar un an de zile Exist cazuri n care dreptul de acces este lsat i dup eliberarea postului Numai la solicitri Doar n legtur cu obligaiile cei revin postului respectiv
33
Echipamentele sunt protejate mpotriva furtului? Utilizatorii sistemului au acces numai pentru scopuri clare i autorizate? Utilizatorii sistemului sunt instruii cu privire la cerinele de siguran i sunt supravegheai permanent? Implementarea aplicaiilor i administrarea lor Metodologia de achiziionare sau dezvoltare a noilor aplicaii este conform cu scopurile entitii? Metodologia aplicat garanteaz c aplicaiile corespund nevoilor? Achiziia de noi aplicaii este aprobat de conducere? Aplicaiile sunt testate suficient i eficient? Testrile aplicaiei garanteaz c aceasta funcioneaz corect i corespunde cerinelor? Implementarea unei aplicaii asigur continuitatea activitilor? ntreinerea unei aplicaii garanteaz funcionalitatea proceselor? Modificrile aplicaiilor sunt autorizate? Exist metodologie pentru dezvoltarea sau achiziia unei aplicaii? Metodologia este asigurat de proceduri? Sunt respectate criteriile de licitaie la achiziia unei aplicaii? Exist o analiz funcional a cerinelor de lucru pentru dezvoltarea unei aplicaii? Utilizatorii sunt implicai n analiza funcional? Analiza funcional este confirmat printr-o analiz tehnic? Limbajele de programare sunt adecvate? Sunt stabilite planuri de testare a unei aplicaii? Utilizatorii sunt implicai n testarea aplicaiilor? Datele folosite pentru testare sunt protejate? Transferarea unei aplicaii din mediul de dezvoltare n mediul de producie este realizat de personalul responsabilizat? Programatorii au acces la mediul de producie? Exist analize de calitate privind dezvoltarea unei aplicaii? Rezultatele controalelor de calitate sunt documentate? Sunt comparate funcionalitile aplicaiei cu cerinele iniiale? Exist un control adecvat din punct de vedere temporal al tranzaciilor? Funciunile de introducere de date i de autorizare sunt restricionate i separate? Introducerea parametrilor i altor date ce urmeaz a fi procesate este strict controlat? Sunt efectuate verificri pentru detectarea posibilelor nregistrri duble? Procesarea datelor se realizeaz n mod planificat i este neleas de utilizatori i personalul operativ? Datele, inclusiv cele transferate din alte sisteme,sunt supuse validrii n timpul prelucrrii? Programele furnizeaz confirmri cu privire la finalizarea procesrii i exist proceduri de recuperare i de reintroducere n caz de anomalii n funcionare? nregistrrile sunt armonizate n cazurile n care sunt trecute dintr-un sistem n altul? Utilizatorii sunt responsabili de introducerea, modificarea sau tergerea operaiilor nregistrate n cadrul unui sistem? Fiierele sunt salvate la intervale regulate de timp n timpul prelucrrii pentru a permite recuperarea operaiunilor? Implementarea i gestionarea bazelor de date Achiziia unui program de baze de date este aprobat de conducere? Programul de baze de date este selectat conform nevoilor? Programul de baze de date este standardizat? Baza de date este testat nainte de implementare? Modificrile asigur un impact minim asupra proceselor? Performana unei baze de date este urmrit adecvat? Programele de baze de date posed licene? Integritatea bazelor de date sunt verificate periodic i se rein copii de siguran de
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Se afl n gestiunea utilizatorului Accesul le este permis doar dac sunt autorizai Informaiile critice sunt securizate suplimentar
Numai n implementarea aplicaiilor
X X X X X X X X
34
la o verificare la alta? Instruciunile operatorilor i utilizatorilor specific clar procedurile de urmat n cazul unei deficiene a aplicaiei n timpul prelucrrilor? Accesul la echipamente este protejat prin securitatea fizic i/sau supravegherea continu? Autorizarea fizic la echipamente este realizat n conformitate cu standardele sau proceduri? Msurile de control a accesului in seama de politica de securitate a informaiilor? Utilizatori sunt pregtii corespunztor cu privire la implementarea bazelor de date? Este acordat asisten utilizatorilor pe perioada implementrii bazei de date? Timpul de rspuns la un apel de la operatori este sczut? Msurile de control a accesului asigur rspunderea personal? Msurile de control a accesului asigur punerea n practic a unor instrumente suplimentare de control n cazul utilizatorilor cu acces special? Msurile de control intern privind utilizarea sistemelor asigur separarea sarcinilor? Operaiuni ale sistemelor informatice Organizarea operaiunilor de sistem sigur funcionarea eficient i eficace? Activitile operaionale sunt conforme cu instruciunile date de operatori? Problemele sunt identificate i rezolvate n termen? Problemele sunt administrate i urmrite adecvat? Problemele sunt prioritizate i planificate? Rezultatul procesului este stocat cu precizie? Rezultatul procesului este asigurat mpotriva accesului neautorizat? Mediile de stocare sunt pstrate adecvat? Integritatea datelor de pe mediile de stocare este asigurat? Procedurile de back-up i recuperare asigur disponibilitatea datelor i informaiilor importante? Recuperarea este testat regulat? Sarcinile realizate de operatori sunt monitorizate? Identitatea utilizatorilor este controlat? Exist procese prin care se asigur remedierea deficienelor de funcionare? Exist numit o persoan responsabil cu supervizarea noilor dezvoltri i cu ntreinerea i integrarea sistemelor n fiecare arie de activitate? Utilizatorii sunt instruii pentru fiecare aplicaie a sistemului? Departamentul msoar aspectele cheie ale performanei IT? Mecanismele de control sunt potrivite pentru minimizarea riscurilor? Administrarea reelelor software i hardware Achiziia hardware i software este aprobat de conducere? Hardware i software sunt selectate pe baza criteriilor stabilite n funcie de necesiti? Hardware i softul sunt standardizate? Hardware i softul sunt testate nainte de implementare? Modificrile asigur un impact minim asupra proceselor? Programele de reea au licene? Exist contracte la nivel de service privind ntreinerea sistemelor i aplicaiilor? Timpul mediu de intervenie i soluionare a defeciunii este redus? Controlul implementat funcioneaz asupra informaiilor la care accesul este limitat? Abuzul de informaii este gestionat corespunztor? Normele de siguran privind computerele sunt dezvoltate?
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
35
Not: Chestionarul de control intern este structurat pe obiectivele misiunii de audit intern i permit prin intermediul ntrebrilor formulate i rspunsurilor primite, identificarea controalelor interne instituite de management i aprecierea funcionalitii acestora, astfel nct riscurile s poat fi identificate n totalitate i apreciat corect nivelul acestora.
36
Procedura P05: Entitatea Public Serviciul de Audit Intern
ANALIZA RISCULUI
STABILIREA FACTORILOR DE RISC, A PONDERILOR ACESTORA I APRECIEREA NIVELURILOR RISCURILOR
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel Factori de risc (Fi) Ponderea factorilor risc (Pi)
P1 50%
Data: 04.09.2009 Data: 04.09.2009
de
Nivelul de apreciere al riscului (Ni) N1 N2

Exist proceduri, sunt cunoscute, dar nu se aplic
N3
Aprecierea controlului intern F1
Exist proceduri i se aplic
Nu exist proceduri
Aprecierea cantitativ F2
P2 30%
Impact sczut
financiar
Impact mediu
financiar
Impact financiar ridicat
Aprecierea calitativ F3
P3 20%
Vulnerabilitate mic
Vulnerabilitate medie
Vulnerabilitate mare
Auditori, Popescu Sorin Radu George Not: Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc, ponderile i nivelurile de apreciere ale riscurilor. Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns dac se dorete evidenierea i a altor factori de risc, cu nivelurile de apreciere corespunztoare, trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100%.
37
38
ANALIZA RISCULUI
STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCURILOR

Misiunea de audit: Activitatea IT Perioada auditat: 01.01. 2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel
Data: 04.09.2009 Data: 04.09.2009

Criterii de analiz a riscurilor Aprecierea Aprecierea Aprecierea controlului cantitativ calitativ intern P1 P2 P3 N1 N2 N3 50% 30% 20%
0,5 0,5 0,5 0,5 0,5 3 2 1 2 2 0,3 0,3 0,3 0,3 0,3 1 1 1 1 2 0,2 0,2 0,2 0,2 0,2 2 3 1 1 2
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
Punctaj total
1.
Strategia i planificarea sistemelor informatice
1.1. Strategia IT este concordant cu scopurile organizaiei
1.1.1. Strategia IT definete necesitile i prioritile 1.1.2. Strategia IT face trimitere la nevoile viitoare ale organizaiei 1.1.3. Strategia definete direciile i obiectivele de dezvoltare a IT 1.2.1. Strategia IT este transpus n planuri IT 1.2.2. Planurile IT ajut la ndeplinirea misiunii organizaiei 1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu necesitile
Achiziia i implementarea programelor i aplicaiilor nu este corelat cu obiectivele propuse; Sistemele nu sunt dezvoltate ntr-o manier planificat i controlat Strategia IT nu are o viziune orientat spre viitor, fiind o extrapolare a tendinelor trecute Dezvoltarea IT nu acoper toate procesele; Planurile IT nu contribuie la realizarea scopului entitii n domeniul IT; Resursele IT nu sunt identificate pentru fiecare element al planului;
2,20 1,90 1,00 1,50 2,00
1.2. Planurile IT se adreseaz ntregii organizaii
0,5
0,3
0,2
2,00
39
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 2 2 2 2 3 2 2 2 2 3 2 3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 3 1 1 2 2 3 2 1 3 3 1 1 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 1 1 2 2 3 3 2 2 3 3 1 3
Punctaj total
1.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1.3.1. Strategia IT este concordant cu scopurile organizaiei 1.3.2. Planurile IT se adreseaz ntregii organizaii 1.3.3. Obiectivele IT ndeplinesc obiectivele organizaiei 1.4.1. Strategia IT este stabilit de un comitet IT 1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu 1.4.3. Comitetul IT stabilete prioritile proiectelor de dezvoltare a sistemelor IT 1.5.1. Organizarea adecvat a funciei IT 1.5.2. Personalul IT are calificarea i competenele adecvate 1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente 1.6.1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT 1.6.2. Realizarea strategiei IT pe baza evalurii sistemelor existente 2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT
1.4. Comitetul IT determin strategia IT
Utilizatorii i IT nu au aceleai opinii cu privire la responsabilitile i autoritatea lor Planul IT nu acoper cerinele pe termen mediu; Obiectivele n domeniul IT nu deriv i nu contribuie la realizarea obiectivelor entitii; Strategia IT este definit de departamentul IT; Comitetul IT nu contribuie la dezvoltarea i implementarea strategiei n domeniu; Stabilirea dezvoltrii IT de ctre departamentul IT; Responsabilitile nu sunt definite clar n cadrul compartimentelor i posturilor; Lipsa calificrilor necesare; Programele i aplicaiile nu sunt integrate i nu rspund cerinelor activitilor; Infrastructura IT existent nu asigur implementarea strategiei IT; Elaborarea strategiei nu are la baz i o evaluare i identificare a posibilitilor financiare; Lipsa ariei de competen pentru realizarea activitilor stabilite structurii funcionale
2,10 1,50 1,70 2,00 2,70 2,50 2,00 1,70 2,50 3,00 1,50 2,40
1.5. Organizarea IT corespunde necesitilor organizaiei
0,5 0,5 0,5 0,5
1.6. Elaborarea strategiei IT corespunde strategiei entitii 2 Organizarea i funcionarea departamentul 2.1. Definirea atribuiilor i activitilor
40
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 2 3 1 0,2 1
Punctaj total
ui IT
2.1.2. Atribuiile specifice departamentului sunt stabilite n cadrul atribuiilor generale ale entitii 2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii obiectivelor 2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor 2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului 2.1.6. Definirea activitilor n cadrul structurii organizatorice 2.2. Stabilirea structurii organizatorice 2.2.1. Organizarea funcional a departamentului IT 2.2.2. Definirea relaiilor organizatorice ntre compartimente 2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT 2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt identificate i evaluate ct mai corect i complet 2.3.1. Definirea limitelor de competen
Definirea de atribuii care nu se regsesc in ROF Definirea atribuiilor sub form de sarcini Activiti stabilite incorect pentru realizarea obiectivelor Stabilirea de sarcini diferite pentru aceleai funcii sau aceleai sarcini pentru funcii diferite Activitile realizate la nivelul structurii funcionale nu se regsesc n totalitate n cadrul sarcinilor stabilite posturilor Structura funcional nu este adaptat complexitii activitilor derulate Repartizarea activitilor i relaiilor organizatorice fr a se ine cont de natura organizrii compartimentului Riscurile nu sunt identificate i gestionate la nivelul structurii funcionale Gestionarea slab a riscurilor privind securitatea informaiilor
1,50
0,5 0,5 0,5
2 2 2
0,3 0,3 0,3
2 2 1
0,2 0,2 0,2
1 1 1
1,80 1,80 1,50
0,5 0,5 0,5 0,5
3 2 2 2
0,3 0,3 0,3 0,3
1 1 1 3
0,2 0,2 0,2 0,2
3 3 1 3
2,40 1,90 1,50 2,50
0,5 Autoritatea formal n realizarea activitilor este insuficient stabilit postului
0,3
0,2
2,40
2.3. Stabilirea responsabilitilo r
0,5
0,3
0,2
1,60
41
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 1 0,3 3 0,2 2
Punctaj total
2.3.2. Definirea responsabilitilor n realizarea activitilor 2.3.3. Definirea sarcinilor prin fia postului Operaii ale sistemului informatic 3.1 Managementul operaiunilor 3.1.1. Existena listei operaiunilor zilnice de realizat 3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori 3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor 3.1.4. Elaborarea Planului anual de activitate 3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau prevenite n termen 3.2.2. Programele antivirus asigur protecia aplicaiilor 3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere 3.2.4. Implementarea subsistemelor IT
3.
Definirea doar a atribuiilor, nu i a limitei pn unde rspunde ocupantul postului n realizarea activitilor Sarcinile stabilite postului potrivit fiei postului nu corespund cu aciunile efectiv realizate de ocupantul postului Activitile se realizeaz fr o prioritizare a operaiilor Lipsa analizelor privind scopul i cerinele de realizare a activitilor i calitatea aplicaiilor sau programelor utilizate Responsabilitile operatorilor nu sunt delimitate i stabilite n funcie de specializarea fiecruia i tipurile de aplicaii i programe utilizate Activitile sunt derulate n cadrul departamentului fr a exista o planificare anual sau periodic Soluionarea cu ntrziere a problemelor aprute n utilizarea aplicaiilor i programelor Utilizarea neadecvat a programelor antivirus Soluionarea problemelor aprute nu este realizat potrivit gravitii i asigurnd eficiena realizrii activitilor entitii Programele i aplicaiile derulate la nivelul organizaiei nu sunt actualizate potrivit noilor necesiti ca urmare a modificrii aciunilor de realizare a activitilor
1,80
0,5 0,5 0,5
2 2 2
0,3 0,3 0,3
3 1 2
0,2 0,2 0,2
3 1 3
2,50 1,50 2.20
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,20
0,5 0,5 0,5
1 2 1
0,3 0,3 0,3
1 3 1
0,2 0,2 0,2
1 3 3
1,00 2,50 1,40
0,5
0,3
0,2
2,20
42
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 1 0,3 3 0,2 2
Punctaj total
3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de utilizare 3.3. Funcionalitatea activitilor n cadrul departamentului IT 3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a departamentului 3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT 3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de calitate 3.3.4. Evidena datelor aflate pe mediile de stocare 3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare 3.3.6. Asigurarea caracterului secret al datelor 3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea, planificarea, execuia, monitorizarea i analiza, ncheierea 3.4.1. Obinerea de rapoarte de activitate utile 3.4.2. ntreinerea calculatorului i a echipamentelor
Neconcordane ntre utilizarea unei aplicaii sau program i precizrile din caietul tehnic, privind execuia acelei operaii Lipsa revizuirii i urmrii contractelor la nivel de service i a celor la nivel operativ Activitile i aciunile necesare realizrii acestora nu sunt repartizate eficient i omogen pe compartimente n cadrul departamentului IT Activiti i aciuni neresponsabilizate Acces nerestricionat la date i informaii Dependena de tere pri n centralizarea informaiei i oferirea rapoartelor Accesul la datele i informaiile organizaiei nu este limitat doar pentru persoanele ndreptite Soluionarea unei probleme prin luarea n calcul doar a execuiei acesteia Rapoartele obinute nu ofer informaii suficiente pentru luarea deciziilor Disfunciile identificate nu sunt analizate i nlturate n conformitate cu instruciunile i manualele de ntreinere
1,80
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5 0,5 0,5 0,5
1 2 2 3
0,3 0,3 0,3 0,3
1 1 2 2
0,2 0,2 0,2 0,2
3 2 1 1
1,40 1,70 1,80 2,30
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,20
43
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 0,5 3 1 0,3 0,3 3 1 0,2 0,2 2 2
Punctaj total
3.4.3. Instalarea i configurarea calculatorului 3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile organizaiei 3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT 3.5.2. Identificarea i raportarea pericolelor 3.5.3. Administrarea eficient a aplicaiilor i programelor 3.5.4. Evaluarea problemelor i soluionarea acestora 3.5.5. Programele corespund cerinelor stabilite 3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare 4.1.1. Crearea politicii de securitate a informaiei 4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei 4.1.3. Stabilirea responsabilitilor privind securitatea informaiei
Echipamentele periferice nu sunt instalate i conectate conform documentaiei ntreinerea sistemului doar la solicitrile utilizatorilor Suportul tehnic cu privire la utilizarea programelor nu este furnizat n mod corespunztor utilizatorilor Costuri ridicate cu remedierea defeciunilor, frecven mare a acestora, timpi mari pn la reluarea lucrului Controlul intern asupra datelor de intrare nu este asigurat corespunztor Lipsa revizuirii i urmrii msurilor privind corectarea erorilor conduce la persistena unora dintre acestea Neadaptarea la schimbrile rapide ale tehnologiei informaiei Lipsa cunotinelor privind exploatarea echipamentelor la potenialul maxim Organizarea i responsabilitile privind securitatea informaiilor nu constituie o prioritate a politicii de securitate Standardele privind securitatea informaiei nu sunt definite formal Responsabilitile nu sunt separate clar ntre cele ale administratorilor i cele ale operatorilor;
2,80 1,20
0,5
0,3
0,2
2,30
0,5 0,5 0,5 0,5 0,5
1 3 2 1 1
0,3 0,3 0,3 0,3 0,3
1 2 1 1 2
0,2 0,2 0,2 0,2 0,2
3 3 3 3 2
1,40 2,70 1,90 1,40 1,50
4.
0,5
0,3
0,2
1,50
0,5 0,5
3 1
0,3 0,3
2 2
0,2 0,2
2 2
2,50 1,50
44
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 3 0,3 2 0,2 2
Punctaj total
4.1.4. Elaborarea politicii privind securitatea informaiei 4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate 4.1.6. Securitatea informaiilor asigur integritatea acestora 4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori autorizai 4.2.1. Protejarea mpotriva atacurilor informatice 4.2.2. Protejarea datelor mpotriva viruilor 4.2.3. Asigurarea continuitii activitilor 4.2.4. Recuperarea datelor n caz de dezastru 4.2.5. Protejarea mpotriva asumrii unei identitii false 4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare 4.3.2. Existena licenelor pentru programele utilizate 4.3.3. Prelucrarea datelor 4.3.4. Asigurarea securitii datelor i informaiilor
Datele i informaiile prelucrate i stocate nu sunt asigurate n condiii de confidenialitate, integritate i disponibilitate Politica de securitate nu definete responsabilitile cu privire la securitatea datelor i informaiilor Datele i informaiile nu sunt stocate n condiii de securitate Accesul la informaii i pentru persoanele neautorizate Lipsa programelor de protecie adecvate pentru aplicaii i programe Vulnerabilitate sporit n faa viruilor Planurile privind continuitatea activitilor nu stabilesc msuri concrete pentru reluarea activitii Lipsa planurilor de recuperare a datelor i informaiilor Sustragerea informaiilor sau a echipamentelor, fr autorizare; Aplicaiile informatice nu sunt utilizate n conformitate cu instruciunile de exploatare Plata unor despgubiri urmare implementrii unor programe fr licen Introducerea incorect a datelor i informaiilor n cadrul programelor i aplicaiilor Accesul la datele i informaiile stocate nu este restricionat i autorizat pe niveluri ierarhice
2,50
0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5
2 2 3 2 3 1 1 1 3 2 3 2
0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3
2 1 2 2 2 2 2 2 2 1 2 2
0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2
2 1 2 1 3 2 2 3 1 1 2 2
2,00 1,50 2,50 1,80 2,70 1,50 1,50 1,70 2,30 1,50 2,50 2,00 45
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 3 0,3 1 0,2 3
Punctaj total
4.5. Securitatea reelei
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului 4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz accesul la aplicaii 4.4.3. Introducerea instrumentelor de control fizic asupra echipamentelor IT 4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie 4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea informaiilor n cadrul reelei 4.5.2. Monitorizarea securitii reelelor 4.61. Utilizatorii au parole de acces individuale 4.6.2. Schimbarea periodic a parolelor 4.6.3. Conturile i parolele generice sunt folosite pentru accesul la sisteme i aplicaii 4.6.4. Protejarea parolelor 4.6.5. Persoanele autorizate au acces la sistemul de operare
Accesul la program, aplicaie este oferit pentru ntregul personal ce posed o parol Pentru vulnerabilitile sistemelor nu sunt stabilite i implementate instrumente de control Accesul fizic la echipamente i aplicaii este restricionat Posibilitatea de a obine i utiliza rezultate nesigure, neverificate Metodele de criptare nu asigur protecia integritii i confidenialitii datelor sensibile Comunicarea n reea nu este securizat Accesul la aplicaii se realizeaz direct, fr a fi permis doar pentru personalul ndreptit Risc crescut de spargere a parolei Conturile i parolele generice iniiale nu sunt personalizate dup nceperea prelucrrilor de ctre utilizatori Descrcarea ilegal a unor informaii Accesul la servere este permis ntregului personal, nefiind nregistrat i monitorizat Lipsa controalelor sau controale slabe de acces
2,40
0,5
0,3
0,2
1,50
0,5 0,5
3 1
0,3 0,3
2 3
0,2 0,2
2 2
2,50 1,20
0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5
2 2 2 2 1 3 3 3
0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3
1 2 2 3 2 2 2 2
0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2
1 1 2 1 2 1 2 2
1,50 1,80 2,00 2,10 1,50 2,30 2,50 2,50
4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor
46
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 2 2 2 3 2 2 1 3 2 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 1 2 2 2 2 2 1 2 2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 1 1 2 2 1 2 3 2 2
Punctaj total
4.7.2.Protejarea sistemelor informatice mpotriva factorilor de mediu 4.7.3. Protejarea informaiei din reea 5 Proiectarea i testarea programelor i aplicaiilor 5.1. Proiectarea i elaborarea programelor i aplicaiilor 5.1.1. Proiectarea programului informatic 5.1.2. Elaborarea programului informatic 5.1.3. Proiectarea unui program sau aplicaie tine cont de necesitile organizaiei 5.1.4. Proiectarea unui program sau aplicaie pe baza existenei resurselor financiare 5.1.5. Respectarea cerinelor n achiziia unei aplicaii 5.2.1. Utilizarea de date ipotetice n testarea unui program 5.2.2. Testarea programului i aplicaiei 5.2.3. Asigurarea corectitudinii rezultatelor 5.2.4. Implementarea unui program dup realizarea testrii acestuia 6.1.1. Metodologia pentru dezvoltarea i achiziia aplicaiei
5.2. Testarea i implementarea programelor i aplicaiilor
6.
Elaborarea i implementarea
6.1. Dezvoltarea proiectelor IT
Lipsa controalelor de mediu, respectiv detectoare de foc, incendiu etc. Funcii de siguran sau control nu sunt prevzute n cadrul sistemelor de aplicaii n proiectarea programului/aplicaiei, fluxul de date nu este stabilit adecvat rezultatelor ateptate Graficul de realizare a programului i bugetul aprobat nu sunt respectate Elaborarea de programe i aplicaii fr o analiz strategic la nivelul utilizatorilor Lipsa resurselor financiare n elaborarea i implementarea unui program sau aplicaie Costuri suplimentare n achiziia unui program sau aplicaie Efectuarea de prelucrri asupra datelor reale n cadrul testrii programelor Neconformitile i erorile constatate n cursul testrii unui program nu sunt analizate cu atenie Opiunile i parametrii de lucru ai programului/aplicaiei nu sunt stabilii conform specificaiilor din documentaiile tehnice Programele sau aplicaiile achiziionate sunt implementate fr a fi testate Lipsa proiectelor de dezvoltare a achiziiilor
1,50 1,80 2,00 2,50 1,80 1,80 1,40 2,50 2,00
0,5
0,3
0,2
2,20
0,5 0,5
2 1
0,3 0,3
1 2
0,2 0,2
1 2
1,50 1,50
47
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 3 0,3 2 0,2 2
Punctaj total
proiectelor IT
(programe aplicaii)
6.1.2. Iniierea i elaborarea proiectelor IT 6.1.3. performanelor implementate Monitorizarea soluiilor IT
6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii 6.2.2. Implementarea adecvat a aplicaiilor 6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi 7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare 7.1.2. Monitorizarea performanelor reelelor 7.1.3. Administrarea serverelor
Obiectivele generale ale proiectului nu sunt stabilite cu respectarea strategiei generale a organizaiei Parametri de referin i valorile etalon ale programelor elaborate nu respect specificaiile i nu se ncadreaz n standarde Soluiile privind mbuntirea programelor i aplicaiilor nu in cont de punctele slabe i critice, precum i evoluiile tehnologice Rapoartele nu corespund cerinelor Supravegherea proceselor aflate n execuie i a performanelor aplicaiilor, sistemelor sau programelor nu respect procedurile i instruciunile Subsistemele existente nu sunt configurate i supravegheate individual Scderea performanelor reelelor Accesul i utilizarea datelor i informaiilor stocate pe server nu respect strategia de securitate a reelei Reeaua de calculatoare nu asigur integrarea informaiilor i elaborarea rapoartelor Conexiunile dintre reele nu sunt conforme cu arhitectura prevzut de instruciuni i nu respect standardele
2,50
0,5
0,3
0,2
2,50
0,5 0,5
2 2
0,3 0,3
2 1
0,2 0,2
2 2
2,00 1,70
0,5
0,3
0,2
2,50
7.
0,5 0,5 0,5
3 1 2
0,3 0,3 0,3
2 2 2
0,2 0,2 0,2
2 2 2
2,50 1,50 2,00
7.2. Interconectarea i securitatea
7.1.4. Reeaua de calculatoare corespunde cerinelor funcionale 7.2.1. Interconectarea reelelor
0,5 0,5
2 3
0,3 0,3
1 1
0,2 0,2
1 3
1,50 2,40
48
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
0,5 0,5 2 2 0,3 0,3 2 1 0,2 0,2 2 2
Punctaj total
reelei
7.2.2. Proiectarea i asigurarea securitii reelei 7.2.3. Urmrirea adecvrii performanelor unei reele
Vulnerabilitile i ameninrile nu sunt identificate i prioritizate Conceperea unei reele nu asigur integrarea programelor
2,00 1,70

Not: Stabilirea nivelului riscului i determinarea punctajului total al riscurilor este documentul din procedura Analiza riscurilor n care auditorii apreciaz nivelul riscului pe factorii de risc i determin punctajul total al riscurilor pe baza documentelor n posesia crora au intrat pn n acel moment, dar i pe baza expertizei personale n domeniu. Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor riscurilor asociate operaiilor audiabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv: T= Pi x Ni
i=1
unde: Pi = ponderea riscului pentru fiecare criteriu Ni = nivelul riscurilor pentru fiecare criteriu utilizat
Evaluarea riscurilor asociate operaiilor audiabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele primite de la entitate i/sau din rapoarte anterioare, dar i din propria expertiza n domeniu are un oarecare grad de subiectivitate.
49
50
ANALIZA RISCULUI
CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCURILOR Misiunea de audit: Activitatea IT Perioada auditat: 01.01. 2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel
Nr crt
1.
Data: 07.09.2009 Data: 07.09.2009

Achiziia i implementarea programelor i aplicaiilor nu este corelat cu obiectivele propuse; Sistemele nu sunt dezvoltate ntr-o manier planificat i controlat Strategia IT nu are o viziune orientat spre viitor, fiind o extrapolare a tendinelor trecute Dezvoltarea IT nu acoper toate procesele; Planurile IT nu contribuie la realizarea scopului entitii n domeniul IT; Resursele IT nu sunt identificate pentru fiecare element al planului; Utilizatorii i IT nu au aceleai opinii cu privire la responsabilitile i autoritatea lor Planul IT nu acoper cerinele pe termen mediu; Obiectivele n domeniul IT nu deriv i nu contribuie la realizarea obiectivelor entitii; Strategia IT este definit de departamentul IT; Comitetul IT nu contribuie la dezvoltarea i implementarea strategiei n domeniu; Stabilirea dezvoltrii IT de ctre departamentul IT; Responsabilitile nu sunt definite clar n cadrul compartimentelor i posturilor;
Domeniul
Activiti/ obiective
1.1. Strategia IT este concordant cu scopurile organizaiei
Obiecte auditabile
1.1.1. Strategia IT definete necesitile i prioritile 1.1.2. Strategia IT face trimitere la nevoile viitoare ale organizaiei 1.1.3. Strategia definete direciile i obiectivele de dezvoltare a IT 1.2.1. Strategia IT este transpus n planuri IT 1.2.2. Planurile IT ajut la ndeplinirea misiunii organizaiei 1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu necesitile 1.3.1. Strategia IT este concordant cu scopurile organizaiei 1.3.2. Planurile IT se adreseaz ntregii organizaii 1.3.3. Obiectivele IT ndeplinesc obiectivele organizaiei 1.4.1. Strategia IT este stabilit de un comitet IT 1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu 1.4.3. Comitetul IT stabilete prioritile proiectelor de dezvoltare a sistemelor IT 1.5.1. Organizarea adecvat a funciei IT
Pct. total
2,20 1,90 1,00 1,50 2,00 2,00 2,10 1,50 1,70 2,00 2,70 2,50 2,00
Clasare
Mare Mediu Mic Mic Mediu Mediu Mare Mic Mic Mediu Mare Mare Mediu
Obs.
1.3. Obiectivele IT ndeplinesc obiectivele organizaiei 1.4. Comitetul IT determin strategia IT 1.5. Organizarea IT corespunde
51
Nr crt
Domeniul
Activiti/ obiective
necesitilor organizaiei 1.6. Elaborarea strategiei IT corespunde strategiei entitii 2.1. Definirea atribuiilor i activitilor
Obiecte auditabile
1.5.2. Personalul IT are calificarea i competenele adecvate 1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente 1.6.1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT 1.6.2. Realizarea strategiei IT pe baza evalurii sistemelor existente 2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT 2.1.2. Atribuiile specifice departamentului sunt stabilite n cadrul atribuiilor generale ale entitii 2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii obiectivelor 2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor 2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului 2.1.6. Definirea activitilor n cadrul structurii organizatorice 2.2.1. Organizarea funcional a departamentului IT 2.2.2. Definirea relaiilor organizatorice ntre compartimente 2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT 2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt identificate i evaluate ct mai corect i complet 2.3.1. Definirea limitelor de competen 2.3.2. Definirea responsabilitilor n realizarea activitilor 2.3.3. Definirea sarcinilor prin fia postului
Lipsa calificrilor necesare; Programele i aplicaiile nu sunt integrate i nu rspund cerinelor activitilor; Infrastructura IT existent nu asigur implementarea strategiei IT; Elaborarea strategiei nu are la baz i o evaluare i identificare a posibilitilor financiare; Lipsa ariei de competen pentru realizarea activitilor stabilite structurii funcionale Definirea de atribuii care nu se regsesc in ROF Definirea atribuiilor sub form de sarcini Activiti stabilite incorect pentru realizarea obiectivelor Stabilirea de sarcini diferite pentru aceleai funcii sau aceleai sarcini pentru funcii diferite Activitile realizate la nivelul structurii funcionale nu se regsesc n totalitate n cadrul sarcinilor stabilite posturilor Structura funcional nu este adaptat complexitii activitilor derulate Repartizarea activitilor i relaiilor organizatorice fr a se ine cont de natura organizrii compartimentului Riscurile nu sunt identificate i gestionate la nivelul structurii funcionale Gestionarea slab a riscurilor privind securitatea informaiilor Autoritatea formal n realizarea activitilor este insuficient stabilit postului Definirea doar a atribuiilor, nu i a limitei pn unde rspunde ocupantul postului n realizarea activitilor Sarcinile stabilite postului potrivit fiei postului nu corespund cu aciunile efectiv realizate de ocupantul postului
Pct. total
1,70 2,50 3,00 1,50 2,40 1,50 1,80 1,80 1,50 2,40 1,90 1,50 2,50 2,40 1,60 1,80 2,50
Clasare
Mic Mare Mare Mic Mare Mic Mic Mic Mic Mare Mediu Mic Mare Mare Mic Mic Mare
Obs.
Organizarea i funcionarea departamentul ui IT
52
Nr crt
3.
Domeniul
Operaii ale sistemului informatic
Activiti/ obiective
3.1 Managementul operaiunilor
Obiecte auditabile
3.1.1. Existena listei operaiunilor zilnice de realizat 3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori 3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor 3.1.4. Elaborarea Planului anual de activitate 3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau prevenite n termen 3.2.2. Programele antivirus asigur protecia aplicaiilor 3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere 3.2.4. Implementarea subsistemelor IT
Activitile se realizeaz fr o prioritizare a operaiilor Lipsa analizelor privind scopul i cerinele de realizare a activitilor i calitatea aplicaiilor sau programelor utilizate Responsabilitile operatorilor nu sunt delimitate i stabilite n funcie de specializarea fiecruia i tipurile de aplicaii i programe utilizate Activitile sunt derulate n cadrul departamentului fr a exista o planificare anual sau periodic Soluionarea cu ntrziere a problemelor aprute n utilizarea aplicaiilor i programelor Utilizarea neadecvat a programelor antivirus Soluionarea problemelor aprute nu este realizat potrivit gravitii i asigurnd eficiena realizrii activitilor entitii Programele i aplicaiile derulate la nivelul organizaiei nu sunt actualizate potrivit noilor necesiti ca urmare a modificrii aciunilor de realizare a activitilor Neconcordane ntre utilizarea unei aplicaii sau program i precizrile din caietul tehnic, privind execuia acelei operaii Lipsa revizuirii i urmrii contractelor la nivel de service i a celor la nivel operativ Activitile i aciunile necesare realizrii acestora nu sunt repartizate eficient i omogen pe compartimente n cadrul departamentului IT Activiti i aciuni neresponsabilizate Acces nerestricionat la date i informaii Dependena de tere pri n centralizarea informaiei i oferirea rapoartelor Accesul la datele i informaiile organizaiei nu este limitat doar pentru persoanele ndreptite
Pct. total
1,50 2.20 2,50 2,20 1,00 2,50 1,40
Clasare
Mic Mare Mare Mare Mic Mare Mic
Obs.
2,20
Mare
3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de utilizare 3.3. Funcionalitatea activitilor n cadrul departamentului IT 3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a departamentului 3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT 3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de calitate 3.3.4. Evidena datelor aflate pe mediile de stocare 3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare 3.3.6. Asigurarea caracterului secret al datelor
1,80 1,50 2,50 1,40 1,70 1,80 2,30
Mic Mic Mare Mic Mic Mic Mare
53
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea, planificarea, execuia, monitorizarea i analiza, ncheierea 3.4.1. Obinerea de rapoarte de activitate utile 3.4.2. ntreinerea echipamentelor calculatorului i a
Soluionarea unei probleme doar a execuiei acesteia prin luarea n calcul
Pct. total
1,50 2,00 2,20 2,80 1,20 2,30 1,40 2,70 1,90 1,40 1,50 1,50 2,50 1,50 2,50 2,00
Clasare
Mic Mediu Mare Mare Mic Mare Mic Mare Mediu Mic Mic Mic Mare Mic Mare Mediu
Obs.
3.4.3. Instalarea i configurarea calculatorului 3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile organizaiei 3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT 3.5.2. Identificarea i raportarea pericolelor 3.5.3. Administrarea eficient a aplicaiilor i programelor 3.5.4. Evaluarea problemelor i soluionarea acestora 3.5.5. Programele corespund cerinelor stabilite 3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare 4.1.1. Crearea politicii de securitate a informaiei 4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei 4.1.3. Stabilirea responsabilitilor privind securitatea informaiei 4.1.4. Elaborarea politicii privind securitatea informaiei 4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate
4.
Rapoartele obinute nu ofer informaii suficiente pentru luarea deciziilor Disfunciile identificate nu sunt analizate i nlturate n conformitate cu instruciunile i manualele de ntreinere Echipamentele periferice nu sunt instalate i conectate conform documentaiei ntreinerea sistemului doar la solicitrile utilizatorilor Suportul tehnic cu privire la utilizarea programului nu este acordat n mod corespunztor utilizatorilor Costuri ridicate cu remedierea defeciunilor, frecven mare a acestora, timpi mari pn la reluarea lucrului Controlul intern asupra datelor de intrare nu este asigurat corespunztor Lipsa revizuirii i urmrii msurilor privind corectarea erorilor conduce la persistena unora dintre acestea Neadaptarea la schimbrile rapide ale tehnologiei informaiei Lipsa cunotinelor privind exploatarea echipamentelor la potenialul maxim Organizarea i responsabilitile privind securitatea informaiilor nu constituie o prioritate a politicii de securitate Standardele privind securitatea informaiei nu sunt definite formal Responsabilitile nu sunt separate clar ntre cele ale administratorilor i cele ale operatorilor Datele i informaiile prelucrate i stocate nu sunt asigurate n condiii de confidenialitate, integritate i disponibilitate Politica de securitate nu definete responsabilitile cu privire la securitatea datelor i informaiilor
54
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
4.1.6. Securitatea informaiilor asigur integritatea acestora 4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori autorizai 4.2.1. Protejarea mpotriva atacurilor informatice 4.2.2. Protejarea datelor mpotriva viruilor 4.2.3. Asigurarea continuitii activitilor 4.2.4. Recuperarea datelor n caz de dezastru 4.2.5. Protejarea mpotriva asumrii unei identitii false 4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare 4.3.2. Existena licenelor pentru programele utilizate 4.3.3. Prelucrarea datelor 4.3.4. Asigurarea securitii datelor i informaiilor
Datele i informaiile nu sunt stocate n condiii de securitate Accesul la informaii i pentru persoanele neautorizate Lipsa programelor de protecie adecvate pentru aplicaii i programe; Vulnerabilitate sporit n faa viruilor Planurile privind continuitatea activitilor nu stabilesc msuri concrete pentru reluarea activitii Lipsa planurilor de recuperare a datelor i informaiilor Sustragerea informaiilor sau echipamentelor, fr autorizare Aplicaiile informatice nu sunt utilizate n conformitate cu instruciunile de exploatare Plata unor despgubiri urmare implementrii unor programe fr licen Introducerea incorect a datelor i informaiilor n cadrul programelor i aplicaiilor Accesul la datele i informaiile stocate nu este restricionat i autorizat pe niveluri ierarhice Accesul la program, aplicaie este oferit pentru ntregul personal ce posed o parol Pentru vulnerabilitile sistemelor nu sunt stabilite i implementate instrumente de control Accesul fizic la echipamente i aplicaii este restricionat Posibilitatea de a obine i utiliza rezultate nesigure, neverificate Metodele de criptare nu asigur protecia integritii i confidenialitii datelor sensibile Comunicarea n reea nu este monitorizat Accesul la aplicaii se realizeaz direct, fr a fi permis doar pentru personalul ndreptit Risc crescut de spargere a parolei
Pct. total
1,50 2,50 1,80 2,70 1,50 1,50 1,70 2,30 1,50 2,50 2,00 2,40 1,50 2,50 1,20 1,50 1,80 2,00 2,10
Clasare
Mic Mare Mic Mare Mic Mic Mic Mare Mic Mare Mediu Mare Mic Mare Mic Mic Mic Mediu Mare
Obs.
4.5. reelei
Securitatea
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului 4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz accesul la aplicaii 4.4.3. Introducerea instrumentelor de control fizic asupra echipamentelor IT 4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie 4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea informaiilor n cadrul reelei 4.5.2. Monitorizarea securitii reelelor 4.6.1. Utilizatorii au parole de acces individuale 4.6.2. Schimbarea periodic a parolelor
55
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
4.6.3. Conturile i parolele generice sunt folosite pentru accesul la sisteme i aplicaii 4.6.4. Protejarea parolelor 4.6.5. Persoanele autorizate au acces la sistemul de operare 4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor 4.7.2.Protejarea sistemelor informatice mpotriva factorilor de mediu 4.7.3. Protejarea informaiei din reea 5.1.1. Proiectarea programului informatic 5.1.2. Elaborarea programului informatic 5.1.3. Proiectarea unui program sau aplicaie tine cont de necesitile organizaiei 5.1.4. Proiectarea unui program sau aplicaie pe baza existenei resurselor financiare 5.1.5. Respectarea cerinelor i programelor n achiziia unei aplicaii 5.2.1. Utilizarea de date ipotetice n testarea unui program 5.2.2. Testarea programului i aplicaiei 5.2.3. Asigurarea corectitudinii rezultatelor 5.2.4. Implementarea unui program dup realizarea testrii acestuia 6.1.1. Metodologia pentru dezvoltarea i achiziia aplicaiei 6.1.2. Iniierea i elaborarea proiectelor IT 6.1.3. Monitorizarea performanelor soluiilor IT implementate
Conturile i parolele generice iniiale nu sunt personalizate dup nceperea prelucrrilor de ctre utilizatori Descrcarea ilegal a unor informaii Accesul la servere este permis ntregului personal, nefiind nregistrat i monitorizat Lipsa controalelor sau controale slabe de acces Lipsa controalelor de mediu, respectiv detectoare de foc, incendiu etc. Funcii de siguran sau control nu sunt prevzute n cadrul sistemelor de aplicaii n proiectarea programului/aplicaiei, fluxul de date nu este stabilit adecvat rezultatelor ateptate Graficul de realizare a programului i bugetul aprobat nu sunt respectate Elaborarea de programe i aplicaii fr o analiz strategic la nivelul utilizatorilor Lipsa resurselor financiare n elaborarea i implementarea unui program sau aplicaie Costuri suplimentare n achiziia unui program sau aplicaie Efectuarea de prelucrri asupra datelor reale n cadrul testrii programelor Neconformitile i erorile constatate n cursul testrii unui program nu sunt analizate cu atenie Opiunile i parametrii de lucru ai programului/aplicaiei nu sunt stabilii conform specificaiilor din documentaiile tehnice Programele sau aplicaiile achiziionate sunt implementate fr a fi testate Lipsa proiectelor de dezvoltare a achiziiilor Obiectivele generale ale proiectului nu sunt stabilite cu respectarea strategiei generale a organizaiei Parametri de referin i valorile etalon ale programelor elaborate nu respect specificaiile i nu se ncadreaz n standarde
Pct. total
1,50 2,50 2.30 2,50 1,50 1,80 2,00 2,50 1,80 1,80 1,40 2,50 2,00 2,20 1,50 1,50 2,50 2,50
Clasare
Mic Mare Mare Mare Mic Mic Mediu Mare Mic Mic Mic Mare Mediu Mare Mic Mic Mare Mare
Obs.
4.7. logic
Securitatea
Proiectarea i testarea programelor i aplicaiilor
5.1. Proiectarea elaborarea programelor aplicaiilor
i i
5.2. Testarea implementarea programelor aplicaiilor
i i
6.
Elaborarea i implementarea proiectelor IT
56
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii 6.2.2. Implementarea adecvat a aplicaiilor 6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
Soluiile privind mbuntirea programelor i aplicaiilor nu in cont de punctele slabe i critice, precum i evoluiile tehnologice Rapoartele nu corespund cerinelor Supravegherea proceselor aflate n execuie i a performanelor aplicaiilor, sistemelor sau programelor nu respect procedurile i instruciunile Subsistemele existente nu sunt configurate i supravegheate individual Scderea performanelor reelelor Accesul i utilizarea datelor i informaiilor stocate pe server nu respect strategia de securitate a reelei Reeaua de calculatoare nu asigur integrarea informaiilor i elaborarea rapoartelor Conexiunile dintre reele nu sunt conforme cu arhitectura prevzut de instruciuni i nu respect standardele Vulnerabilitile i ameninrile nu sunt identificate i prioritizate Proiectarea reelei de calculatoare nu asigur integrarea programelor
Pct. total
2,00 1,70 2,50 2,50 1,50 2,00 1,50 2,40 2,00 1,70
Clasare
Mediu Mic Mare Mare Mic Mediu Mic Mare Mediu Mic
Obs.
7.
7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare 7.1.2. Monitorizarea performanelor reelelor 7.1.3. Administrarea serverelor 7.1.4. Reeaua de calculatoare cerinelor funcionale 7.2.1. Interconectarea reelelor corespunde
7.2. Interconectarea i securitatea reelei
7.2.2. Proiectarea i asigurarea securitii reelei 7.2.2. Urmrirea adecvrii performanelor unei reele
57
Not: Clasarea activitilor sau operaiilor n funcie de punctajul riscurilor este a asea faz a procedurii Analiza riscurilor, n care riscurile se mpart n mari, medii i mici. mprirea riscurilor n cele trei categorii se realizeaz innd cont de importana riscurilor i de resursele de audit de care dispunem, respectiv numrul de auditori intern si numrul de ore efectuate pentru desfurarea misiunii de audit. n mod special, activitatea de mprire a riscurilor pe cele trei categorii trebuie s in cont de resursele alocate misiunii (numr de persoane, timpul aferent .a.), respectiv s aib n vedere volumul riscurilor pe care le poate auditat i s renune pentru moment la riscurile care pot fi neglijate. Numrul riscurilor medii se recomand s fie foarte redus ( 5-10%), pentru c acesta demonstreaz o nehotrre din partea auditorilor interni. n general, riscurile medii se acord pentru operaiile pe care auditorii interni nu le cunosc bine din practic i care vor fi cuprinse n auditare. Pentru continuarea analizei, auditorii interni au mprit in cele trei categorii (mari, medii si mici) riscurile din documentul Stabilirea nivelului riscului i a punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel: Riscuri mici 1,0 - 1,7 Riscuri medii 1,8 - 2,3 Riscuri mari 2,4 - 3,0 Pentru moment, riscurile mici vor fi ignorate, in sensul ca nu vor fi auditate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie cu care se va elabora documentul Tabelul puncte tari i puncte slabe.
58
Procedura PO5 :
ANALIZA RISCULUI
TABELUL PUNCTE TARI I PUNCTE SLABE

Nr crt 1. Domeniul Strategia planificarea sistemelor informatice Activiti/ obiective i 1.1. Strategia IT este concordant cu scopurile organizaiei 1.2. Planurile IT se adreseaz ntregii organizaii Obiecte auditabile Riscuri semnificative T/ S
Data: 07.09.2009 Data: 07.09.2009

Consecina funcionarii/ nefuncionrii controlului intern Grad ncredere Obs. in control intern Sczut
1.1.1. Strategia IT definete Achiziia i implementarea necesitile i prioritile programelor i aplicaiilor nu este corelat cu obiectivele propuse; 1.2.2. Planurile IT ajut la Planurile IT nu contribuie la ndeplinirea misiunii realizarea scopului entitii n organizaiei domeniul IT; IT nu sunt 1.2.3. Planurile IT ofer Resursele asigurare cu privire la faptul c identificate pentru fiecare resursele IT sunt alocate n element al planului; concordan cu necesitile 1.3. Obiectivele IT 1.3.1. Strategia IT este Utilizatorii i IT nu au ndeplinesc concordant cu scopurile aceleai opinii cu privire la obiectivele organizaiei responsabilitile i organizaiei autoritatea lor 1.4. Comitetul IT 1.4.1. Strategia IT este stabilit Strategia IT este definit de determin strategia de un comitet IT departamentul IT; IT 1.4.2. Comitetul IT transpune Comitetul IT nu contribuie la strategia n planuri pe termen dezvoltarea i implementarea scurt i pe termen mediu strategiei n domeniu;
Sczut
Sczut
S T S
Sczut Ridicat Sczut 59
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
T/ S
Consecina funcionarii/ nefuncionrii controlului intern
Grad ncredere Obs. in control intern Sczut
2.
1.4.3. Comitetul IT stabilete prioritile proiectelor de dezvoltare a sistemelor IT 1.5. Organizarea IT 1.5.1. Organizarea adecvat a corespunde funciei IT necesitilor organizaiei 1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente 1.6. Elaborarea 1.6.1. Dotarea actual cu strategiei IT tehnic de calcul a stat la baza corespunde elaborrii strategiei IT strategiei entitii Organizarea i 2.1. Definirea 2.1.1. Definirea atribuiilor i funcionarea atribuiilor i responsabilitilor n cadrul departamentulu activitilor departamentului IT i IT 2.1.6. Definirea activitilor n cadrul structurii organizatorice
Stabilirea dezvoltrii IT de ctre departamentul IT; S Responsabilitile nu sunt definite clar n cadrul S compartimentelor i posturilor; Programele i aplicaiile nu sunt integrate i nu rspund S cerinelor activitilor; Infrastructura IT existent nu asigur implementarea S strategiei IT; Lipsa ariei de competen pentru realizarea activitilor stabilite structurii funcionale Activitile realizate la nivelul structurii funcionale nu se regsesc n totalitate n cadrul sarcinilor stabilite posturilor Structura funcional nu este adaptat complexitii activitilor derulate Riscurile nu sunt identificate i gestionate la nivelul structurii funcionale Gestionarea slab a riscurilor privind securitatea informaiilor S
Sczut
Sczut
Sczut
Sczut
Sczut
2.2. Stabilirea 2.2.1. Organizarea funcional a structurii departamentului IT organizatorice 2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT 2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt identificate i evaluate ct mai corect i complet.
S S
Sczut Sczut
Ridicat
60
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
T/ S
3.
Operaii sistemului informatic
2.3. Stabilirea 2.3.3. Definirea sarcinilor prin Sarcinile stabilite postului responsabilitilor fia postului potrivit fiei postului nu corespund cu aciunile efectiv realizate de ocupantul postului ale 3.1 Managementul 3.1.2. Performana, capacitatea Lipsa analizelor privind operaiunilor si disponibilitatea sistemelor scopul i cerinele de realizare informatice este monitorizat de a activitilor i calitatea administratori aplicaiilor sau programelor utilizate 3.1.3. Responsabilitatea pentru Responsabilitile nu sunt supravegherea sarcinilor pe operatorilor seturi de programe revine delimitate i stabilite n funcie de specializarea administratorilor fiecruia i tipurile de aplicaii i programe utilizate 3.1.4. Elaborarea Planului anual Activitile sunt derulate n de activitate cadrul departamentului fr a exista o planificare anual sau periodic 3.2. Managementul 3.2.2. Programele antivirus Utilizarea neadecvat a problemelor asigur protecia aplicaiilor programelor antivirus 3.2.4. Implementarea Programele i aplicaiile subsistemelor IT derulate la nivelul organizaiei nu sunt actualizate potrivit noilor necesiti ca urmare a modificrii aciunilor de realizare a activitilor 3.3.2. Organizarea funcional a Activitile i aciunile 3.3. activitilor n cadrul necesare realizrii acestora nu Funcionalitatea sunt repartizate eficient i activitilor n departamentului IT omogen pe compartimente n cadrul cadrul departamentului IT departamentului IT
Sczut
Sczut
S S
Sczut Sczut
Sczut
Sczut
61
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
T/ S
4.
3.3.6. Asigurarea caracterului Accesul la datele i secret al datelor informaiile organizaiei nu este limitat doar pentru persoanele ndreptite 3.4. Mentenana 3.4.1. Obinerea de rapoarte de Rapoartele obinute nu ofer echipamentelor activitate utile informaii suficiente pentru luarea deciziilor 3.4.2. ntreinerea calculatorului Disfunciunile identificate nu i a echipamentelor sunt analizate i nlturate n conformitate cu instruciunile i manualele de ntreinere 3.4.3. Instalarea i configurarea Echipamentele periferice nu calculatorului sunt instalate i conectate conform documentaiei 3.5. Utilizarea 3.5.1. Realizarea eficient a Suportul tehnic cu privire la echipamentelor operaiilor n cadrul utilizarea programelor nu este departamentului IT furnizat n mod corespunztor utilizatorilor 3.5.3. Administrarea eficient a Controlul intern asupra aplicaiilor i programelor datelor de intrare nu este asigurat corespunztor 3.5.4. Evaluarea problemelor i Lipsa revizuirii i urmririi soluionarea acestora msurilor privind corectarea erorilor conduce la persistena unora dintre acestea 4.1. Organizarea 4.1.2. Crearea standardelor i Standardele privind securitii practicilor pentru securitatea securitatea informaiei nu informaiilor informaiei sunt definite formal 4.1.4. Elaborarea politicii Datele i informaiile privind securitatea informaiei prelucrate i stocate nu sunt asigurate n condiii de confidenialitate, integritate i disponibilitate;
Ridicat
Sczut
Sczut
Sczut
Sczut
Sczut
Ridicat
Sczut
62
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
T/ S
4.1.5. Stabilirea Politica de securitate nu responsabilitilor n cadrul definete responsabilitile cu S politicii de securitate privire la securitatea datelor i informaiilor 4.1.7. Securitatea datelor Accesul la informaii i asigur disponibilitatea acestora pentru persoanele S doar pentru utilizatori autorizai neautorizate 4.2.2. Protejarea datelor Vulnerabilitate sporit n faa S mpotriva viruilor viruilor 4.2.3. Asigurarea continuitii Planurile privind activitilor continuitatea activitilor nu stabilesc msuri concrete pentru reluarea activitii 4.2.4. Recuperarea datelor n Lipsa planurilor de recuperare caz de dezastru a datelor i informaiilor 4.3.1. Asigurarea introducerii Aplicaiile informatice nu corecte a datelor i informaiilor sunt utilizate n conformitate pentru prelucrare cu instruciunile de exploatare 4.3.3. Prelucrarea datelor Introducerea incorect a datelor i informaiilor n cadrul programelor i aplicaiilor 4.3.4. Asigurarea securitii Accesul la datele i datelor i documentelor informaiile stocate nu este restricionat i autorizat pe niveluri ierarhice 4.4.1. Accesul la aplicaie este Accesul la program, aplicaie oferit pe baza necesitilor este oferit pentru ntregul utilizatorului personal ce posed o parol 4.4.3. Introducerea Accesul fizic la echipamente instrumentelor de control fizic i aplicaii nu este asupra echipamentelor IT restricionat
Sczut Sczut
S S S
Sczut Sczut Sczut
Sczut
Sczut
S S
Sczut Sczut
63
Nr crt
Domeniul
Activiti/ obiective 4.5. reelei
Obiecte auditabile
T/ S
Securitatea 4.5.2. Monitorizarea securitii Comunicarea datelor n reea S reelelor nu este monitorizat
4.6. Gestionarea 4.61. Utilizatorii au parole de Accesul la aplicaii se parolelor acces individuale realizeaz direct, fr a fi permis doar pentru personalul ndreptit 4.6.2. Schimbarea periodic a Risc crescut de spargere a parolelor parolei 4.6.4. Protejarea parolelor Descrcarea ilegal a unor informaii 4.6.5. Persoanele autorizate au Accesul la servere este permis acces la sistemul de operare ntregului personal, nefiind nregistrat i monitorizat 4.7. Securitatea 4.7.1. Asigurarea securitii Lipsa controalelor sau logic funcionrii programelor i controale slabe de acces aplicaiilor Proiectarea i 5.1. Proiectarea i 5.1.1. Proiectarea programului n proiectarea programului/ testarea elaborarea informatic aplicaiei, fluxul de date nu programelor i programelor i este stabilit adecvat aplicaiilor aplicaiilor rezultatelor ateptate 5.1.2. Elaborarea programului Graficul de realizare a informatic programului i bugetul aprobat nu sunt respectate 5.2. Testarea i 5.2.1. Utilizarea de date Efectuarea de prelucrri implementarea ipotetice n testarea unui asupra datelor n cadrul programelor i program testrii programelor aplicaiilor 5.2.2. Testarea programului i Neconformitile i erorile aplicaiei constatate n cursul testrii unui program nu sunt analizate cu atenie
S S S S S
Sczut Sczut Sczut Sczut Sczut
Sczut
S T
Sczut Ridicat
Sczut
64
Nr crt
Domeniul
Activiti/ obiective
Obiecte auditabile
T/ S
Grad ncredere Obs. in control intern
6.
Elaborarea i 6.1. Dezvoltarea implementarea proiectelor IT proiectelor IT (programe i aplicaii)
7.
Proiectarea meninerea funciune unei reele
i 7.1. Proiectarea, n instalarea i a administrarea reelei de
5.2.3. Asigurarea corectitudinii Opiunile i parametrii de rezultatelor lucru ai programului/aplicaiei nu sunt stabilii conform specificaiilor din documentaiile tehnice 6.1.2. Iniierea i elaborarea Obiectivele generale ale proiectelor IT proiectului nu sunt stabilite cu respectarea strategiei generale a organizaiei 6.1.3. Monitorizarea Parametri de referin i performanelor soluiilor IT valorile etalon ale implementate programelor elaborate nu respect specificaiile i nu se ncadreaz n standarde 6.2.1. Reproiectarea soluiilor Soluiile privind IT pentru programe i aplicaii mbuntirea programelor i aplicaiilor nu in cont de punctele slabe i critice, precum i evoluiile tehnologice 6.2.3. ntreinerea aplicaiilor Supravegherea proceselor garanteaz funcionarea aflate n execuie i a proceselor la parametrii optimi performanelor aplicaiilor, sistemelor sau programelor nu respect procedurile i instruciunile 7.1.1. Asigurarea bunei Subsistemele existente nu funcionri a sistemelor bazate sunt configurate i pe existena i funcionarea supravegheate individual, reelei de calculatoare
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
65
Nr crt
Domeniul
Activiti/ obiective calculatoare
Obiecte auditabile 7.1.3. Administrarea serverelor
T/ S
Accesul i utilizarea datelor i informaiilor stocate pe server S nu respect strategia de securitate a reelei 7.2. Interconectarea 7.2.1. Interconectarea reelelor Conexiunile dintre reele nu i securitatea reelei sunt conforme cu arhitectura S prevzut de instruciuni i nu respect standardele; 7.2.2. Proiectarea i asigurarea Vulnerabilitile i securitii reelei ameninrile nu sunt S identificate i prioritizate
Sczut
Sczut

Not: n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin preluarea operaiilor auditabile cu riscuri semnificative (mari i medii) din documentul Clasarea operaiilor, respectiv un numr de 70 obiecte audiabile i 70 de riscuri asociate acestora. Ierarhizarea obiectelor audiabile const n evaluarea funcionalitii sistemelor de control intern care limiteaz efectele riscurilor i care dau posibilitatea auditorilor interni s aprecieze acele obiecte audiabile ca fiind puncte tari, celelalte riscuri pentru care nu exista activiti de control sau acestea sunt nefuncionale sunt in continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 6 riscuri asociate obiectelor audiabile care au fost evaluate ca fiind puncte tari i care vor fi eliminate din auditare. Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai operaiile considerate ca fiind puncte slabe, ocazie cu care vor fi renumerotate si stabilita corespondenta cu paragrafele din Raportul de audit intern.. Un punct tare sau un punct slab trebuie s fie exprimat n funcie de un obiectiv de control intern sau de o caracteristic urmrit, pentru a asigura buna funcionare a structurii auditate. Documentul Tabelul puncte tari i puncte slabe conine att gradul de ncredere al auditorului intern n funcionarea controlului intern, ct i consecinele funcionrii/nefuncionrii acestuia, care va conduce la minimizarea riscului, atunci cnd gradul de ncredere este mare (punct tare), i la maximizarea apariiei riscului, atunci cnd gradul de ncredere este mic (punct slab).
66
Procedura PO5 :
ANALIZA RISCULUI
TEMATICA N DETALIU
Misiunea de audit: Activitatea IT Perioada auditat: 01.01. 2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel Nr crt
1.
Data: 07.09.2009 Data: 07.09.2009 Paragraful corespunzto r din RAI

II 1.1.1.
Domeniul
Activiti/ obiective
Strategia IT este concordant cu scopurile organizaiei Planurile IT se adreseaz ntregii organizaii Obiectivele IT ndeplinesc obiectivele organizaiei Comitetul IT determin strategia IT Organizarea IT corespunde necesitilor organizaiei Elaborarea strategiei IT corespunde strategiei entitii Definirea atribuiilor i activitilor Stabilirea structurii organizatorice Stabilirea responsabilitilor Managementul operaiunilor
Obiecte auditabile
Strategia IT definete necesitile i prioritile Planurile IT ajut la ndeplinirea misiunii organizaiei Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu necesitile Strategia IT este concordant cu scopurile organizaiei
II 1.2.1 II 1.2.2 II 1.3.1
Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitile realizate Organizarea adecvat a funciei IT Adecvarea practicilor i procedurilor IT la procesele existente Dotarea actual cu tehnic de calcul a stat la baza strategiei IT Definirea atribuiilor i responsabilitilor n cadrul departamentului IT Definirea activitilor n cadrul structurii organizatorice Organizarea funcional a departamentului IT Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT Definirea sarcinilor prin fia postului Performana, capacitatea si disponibilitatea sistemelor informatice este monitorizat de administratori Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor Elaborarea planului anual de activitate Programele antivirus asigur protecia aplicaiilor Implementarea subsistemelor IT Organizarea funcional a activitilor n cadrul departamentului IT Asigurarea caracterului secret al datelor ntreinerea calculatorului i a echipamentelor Instalarea i configurarea calculatorului
II 1.4.1. II 1.4.2. II 1.5.1. II 1.5.2. II 1.6.1. II 2.1.1. II 2.1.2. II 2.2.1. II 2.2.2. II 2.3.1. II 3.1.1. II 3.1.2. II 3.1.3. II 3.2.1. II 3.2.2. II 3.3.1. II 3.3.2.
Organizarea i funcionarea departament ului IT
3.
Operaii ale sistemului informatic
Managementul problemelor Funcionalitatea activitilor n cadrul departamentului IT Mentenana echipamentelor
II 3.4.21 II 3.4.2.
67
Nr crt
Domeniul
Activiti/ obiective
Utilizarea echipamentelor
Obiecte auditabile
Realizarea eficient a operaiilor n cadrul departamentului IT Administrarea eficient a aplicaiilor i programelor Evaluarea problemelor i soluionarea acestora Elaborarea politicii privind securitatea informaiei Stabilirea responsabilitilor n cadrul politicii de securitate Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori autorizai Protejarea datelor mpotriva viruilor Asigurarea continuitii activitilor Recuperarea datelor n caz de dezastru Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare Prelucrarea datelor Asigurarea securitii datelor i documentelor Accesul la aplicaie este oferit pe baza necesitilor utilizatorului Introducerea instrumentelor de control fizic asupra echipamentelor IT Monitorizarea securitii reelelor Utilizatorii au parole de acces individuale Schimbarea periodic a parolelor Protejarea parolelor Persoanele autorizate au acces la sistemul de operare Asigurarea securitii funcionrii programelor aplicaiilor Proiectarea programului informatic Elaborarea programului informatic Testarea programului i aplicaiei Asigurarea corectitudinii rezultatelor Iniierea i elaborarea proiectelor IT IT i i i Monitorizarea performanelor soluiilor IT implementate Reproiectarea soluiilor IT pentru programe i aplicaii ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare Administrarea serverelor Interconectarea reelelor Proiectarea i asigurarea securitii reelei
Paragraful corespunzto r din RAI

II 3.5.1. II 3.5.2. II 3.5.3. II 4.1.1. II 4.1.2. II 4.1.3. II 4.2.1. II 4.2.2. II 4.2.3. II 4.3.1. II 4.3.2. II 4.3.3. II 4.4.1. II 4.4.2. II 4.5.1. II 4.6.1. II 4.6.2. II 4.6.3. II 4.6.4. i II 4.7.1. II 5.1.1. II 5.1.2. II 5.2.1. II 5.2.2. II 6.1.1. II 6.1.22. II 6.2.1. II 6.2.2. II 7.1.1. II 7.1.2. II 7.2.1. II 7.2.2
4.
Organizarea securitii informaiilor
Disponibilitatea datelor Asigurarea funcionrii programelor aplicaiilor Implementarea instrumentelor control Securitatea reelei Gestionarea parolelor
de
Securitatea logic 5 Proiectarea i testarea programelor i aplicaiilor Proiectarea elaborarea programelor aplicaiilor Testarea implementarea programelor aplicaiilor Dezvoltarea proiectelor (programe aplicaii) Implementarea funcionarea programelor aplicaiilor i i i i
6.
Elaborarea i implementar ea proiectelor IT
7.
Proiectarea, instalarea i administrarea reelei de calculatoare Interconectarea i securitatea reelei
68
Not: Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a obiectelor audiabile i se finalizeaz cu Tematica n detaliu a misiunii de audit. Tematica n detaliu a misiunii de audit, este acea faz din procedura Analizei riscurilor, care se realizeaz prin selectarea obiectelor audiabile, pornind de la documentul Tabelul puncte tari i puncte slabe, care au fost evaluate ca fiind puncte slabe si care vor fi avute in vedere, in continuare, pentru auditare. Documentul, semnat de echipa de auditori i de supervizorul misiunii, respectiv de eful compartimentului de audit intern, va fi adus la cunotin principalilor responsabili ai entitii auditate n cadrul edinei de deschidere. n continuare, operaii/obiecte audiabile, vor fi avute n vedere n activitatea de auditare, deoarece reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza Programului interveniei la faa locului, care se vor materializa n FIAP-uri i FCRI-uri, acolo unde este cazul, i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a misiunii de audit.
69
70
Procedura PO6:
ELABORAREA PROGRAMULUI DE AUDIT
PROGRAMUL DE AUDIT
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel
OBIECTIVELE ACTIVITILE PROGRAMATE AUDITULUI Tema general: Activitatea IT
1. Pregtirea misiunii de audit
Data: 08.09.2009 Data: 08.09.2009

DURATA (H) 388
54 2 2 4 8 8 8 8 8 2 2 2 272 22 Dumitru Daniel Popescu Sorin Radu George Popescu Sorin Radu George Popescu Sorin Radu George Radu George Popescu Sorin Radu George Popescu Sorin Popescu Sorin Popescu Sorin Radu George Popescu Sorin SAI SAI SAI SAI AUDITAT SAI SAI SAI SAI SAI SAI AUDITAT AUDITAT
PERSOANELE IMPLICATE
LOCUL DESFURRII
1. Tiprirea i procesarea Ordinului de serviciu 2. Tiprirea i procesarea Declaraiei de independena 3. Pregtirea i transmiterea Notificrii privind declanarea misiunii de audit intern ctre prile interesate 4. Colectarea i prelucrarea informaiilor 5. ntocmirea Listei centralizatoare a obiectelor audiabile 6. Elaborarea Tabelului puncte tari i puncte slabe
7. ntocmirea Programului de audit intern 8. ntocmirea Notei i a Programului interveniei la faa locului 9. Obinerea aprobrii Notei i a anexelor acesteia: Colectarea i prelucrarea datelor, Tabelul - Puncte tari i puncte slabe i Programul interveniei la faa locului. 10. Planificarea i organizarea edinei de deschidere cu Departamentul IT 11. Redactarea Minutei edinei de deschidere. Obinerea numelui persoanelor de contact i stabilirea unui loc pentru desfurarea activitii de audit. 2. Intervenia la faa locului 1.1 Efectuarea testrilor Obiectivul I.
71
OBIECTIVELE AUDITULUI
ACTIVITILE PROGRAMATE
1.2 Discutarea constatrilor cu eful de serviciu 1.3 Elaborare FIAP - urilor 1.4 Colectarea dovezilor 1.5 Revizuirea documentelor de lucru din punct de vedere al coninutului i al formei i ntocmirea Notei centralizatoare a documentelor de lucru 2.1 Efectuarea testrilor 2.2 Discutarea constatrilor cu eful de serviciu 2.3 Elaborarea FIAP - urilor 2.4 Colectarea dovezilor 2.5 Revizuirea documentelor de lucru din punct de vedere coninutului i al formei i ntocmirea Notei centralizatoare documentelor de lucru 3.1 Efectuarea testrilor 3.2 Discutarea constatrilor cu eful de serviciu 3.3 Elaborarea FIAP - urilor 3.4 Colectarea dovezilor 3.5 Revizuirea documentelor de lucru din punct de vedere coninutului i al formei i ntocmirea Notei centralizatoare documentelor de lucru 4.1 Efectuarea testrilor 4.2 Discutarea constatrilor cu eful de serviciu 4.3 Elaborarea FIAP - urilor 4.4 Colectarea dovezilor 4.5 Revizuirea documentelor de lucru din punct de vedere coninutului i al formei i ntocmirea Notei centralizatoare documentelor de lucru 5.1 Efectuarea testrilor 5.2 Discutarea constatrilor cu eful de serviciu 5.3 Elaborarea FIAP - urilor 5.4 Colectarea dovezilor 5.5 Revizuirea documentelor de lucru din punct de vedere coninutului i al formei i ntocmirea Notei centralizatoare documentelor de lucru 6.1 Efectuarea testrilor 6.2 Discutarea constatrilor cu eful de serviciu 6.3 Elaborarea FIAP - urilor al a
DURATA (H)
2 8 4 4 22 2 8 4 4 22 2 8 4 al a 4 22 2 8 4 al a 4 20 2 8 4 al a 4 20 2 8
LOCUL DESFURRII
AUDITAT SAI
Obiectivul II. Organizarea funcionarea departamentului IT
Radu George
AUDITAT SAI
Obiectivul III. Operaii ale sistemului informatic
Popescu Sorin
AUDITAT SAI
Obiectivul IV. Securitatea informaiilor
Radu George
AUDITAT SAI
Obiectivul V. Achiziionarea testarea aplicaiilor
Popescu Sorin
AUDITAT SAI
Obiectivul VI. Elaborarea implementarea
Radu George AUDITAT
72
OBIECTIVELE AUDITULUI
proiectelor IT
ACTIVITILE PROGRAMATE
6.4 Colectarea dovezilor 6.5 Revizuirea documentelor de lucru din punct de vedere coninutului i al formei i ntocmirea Notei centralizatoare documentelor de lucru 6.1 Efectuarea testrilor 6.2 Discutarea constatrilor cu eful de serviciu 6.3 Elaborarea FIAP - urilor 6.4 Colectarea dovezilor 6.5 Revizuirea documentelor de lucru din punct de vedere coninutului i al formei i ntocmirea Notei centralizatoare documentelor de lucru 12. Planificarea si organizarea edinei de nchidere 13. Discutarea constatrilor cu Departamentul IT 14. Concluzii al a
DURATA (H)
4 4 18 2 8 4 al a 4
LOCUL DESFURRII
SAI
Obiectivul VII. Proiectarea i meninerea n funciune a unei reele
Popescu Sorin
4 4 58 16 8
Radu George Radu George Popescu Sorin Radu George Radu George Popescu Sorin Radu George Popescu Sorin Popescu Sorin Popescu Sorin Popescu Sorin Radu George Popescu Sorin Radu George Popescu Sorin Popescu Sorin Popescu Sorin Popescu Sorin
AUDITAT AUDITAT SAI SAI SAI SAI SAI AUDITAT SAI SAI SAI SAI SAI
III. Raportul de audit intern
15. Redactarea proiectului de Raport de audit intern 16. Revizuirea Raportului de audit intern 17. Obinerea proiectului de Raport de conducere 18. Transmiterea proiectului de Raport de solicitarea de rspuns n 15 zile 19. Planificarea i organizarea Reuniunii cazul 20. Includerea n Raportul de audit intern punct de vedere al auditatului 21. Finalizarea Raportului de audit intern audit intern aprobat de audit intern la auditat i de conciliere, dac este a aspectelor reinute din
8 2 4 4 4 8 4 4
IV. Urmrirea recomandrilor
22. Obinerea Raportului de audit intern aprobat de conducerea instituiei 23. Transmiterea recomandrilor aprobate ctre auditat 24. ntocmirea Fisei de urmrire a recomandrilor
Data: 08.09.2009
ef compartiment audit intern, Dumitru Daniel

73
Not: Programul de audit intern este documentul prin care repartizm resursele de audit n vederea realizrii misiunii de audit intern respectiv, stabilim ntre membri echipei de auditori activitile pe care le vor desfura n vederea atingerii obiectivelor stabilite si timpul necesar pentru parcurgerea etapelor si procedurilor specifice in vederea ncadrrii in perioadele afectate prin Planul de audit intern. Programul de audit este un document intern de lucru al compartimentului de audit intern, care se ntocmete pe baza Tematicii n detaliu a misiunii de audit prin care se realizeaz ordinea de parcurgere a procedurilor misiunii de audit pe timpul derulrii acesteia. De fapt, Programul de audit presupune un plan detaliat al activitii ce trebuie realizat n etapa de Intervenie la faa locului i care trebuie s cuprind procedurile necesare atingerii obiectivelor misiunii de audit.
74
Procedura PO6 :
ELABORAREA PROGRAMULUI DE AUDIT
PROGRAMUL INTERVENIEI LA FAA LOCULUI

Nr. crt. Obiecte audiabile Tipul testrii Locul testrii Durata testrii (h)
Data: 09.09.2009 Data: 09.09.2009

Nr. lista de Nr. verificare test Auditori
OBIECTIVUL NR. 1 STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE A 1.1. Strategia IT este concordant cu scopurile organizaiei
1 Structura Analiza sistemului de elaborarea a strategiei Compararea obiectivelor strategie ale IT cu cele ale auditat organizaiei Examinarea direciilor strategice n domeniul IT Analiza responsabilitilor n elaborarea strategiei Analiza politicilor privind implementarea strategiei Analiza obiectivelor IT strategice Analiza managementului IT 1.2. Planurile IT se adreseaz ntregii organizaii 1.1.1. Strategia IT definete necesitile i prioritile; 1.2.2. Planurile ndeplinirea organizaiei IT ajut misiunii Analiza planurilor de activitate Examinarea cunoaterii obiectivelor planului de activitate Analiza echilibrului ndeplinirii planului de activitate cu resursele alocate Analiza adaptabilitii planului la necesiti Analiza corelrii planului de activitate cu politica i strategia Analiza monitorizrii obiectivelor i direciilor de activitate Analiza implicaiei strategiei IT asupra organizaiei Structura auditat 6 I T1 Popescu Sorin
B 1
T2
Popescu Sorin
1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu necesitile
Structura auditat
T3
Popescu Sorin
75
Nr. crt.
C 1
Obiecte audiabile
Tipul testrii
Locul testrii
Structura auditat
Durata testrii (h)

4
Nr. lista de Nr. verificare test
Auditori
1.3. Obiectivele IT ndeplinesc obiectivele organizaiei 1.3.1. Strategia concordant cu organizaiei Observarea modului de cunoatere i implementare a strategiei Analiza organizrii funcionale a departamentului IT Analiza impactului obiectivelor strategice Examinarea misiunii organizaiei n comparaie cu scopurile strategice Analiza modalitilor de implementare a strategiei Analiza fundamentrii necesarului de resurse n fundamentarea strategiei 1.4. Comitetul IT determin strategia IT IT este scopurile I T4 Popescu Sorin
D 1
E 1
Examinarea constituirii Comitetului de dezvoltare IT Examinarea atribuiilor Comitetului IT Analiza responsabilitilor Comitetului IT Analiza activitilor realizate de Comitetul IT 1.4.3. Comitetul IT stabilete Examinarea programului de dezvoltare IT a organizaiei prioritile proiectelor ntre Analiza modului de fundamentare a programului de dezvoltarea sistemelor i dezvoltare IT a organizaiei Analiza calitativ a echipamentelor si aplicaiilor operaiile realizate achiziionate 1.5. Organizarea IT corespunde necesitilor organizaiei 1.5.1. Organizarea adecvat a funciei IT Examinarea deciziilor IT i transformrile mediului organizaional Analiza adecvrii i conformitii procedurilor Analiza performanelor activitii IT Analiza competenelor i responsabilitilor IT 1.5.3. Adecvarea practicilor i Examinarea modului de instruire a utilizatorilor procedurilor IT la procesele Analiza dac sistemele i aplicaiile IT acoper nevoile i existente necesitile organizaiei Examinarea adecvrii practicii IT la procesele din organizaie Examinarea suficienei procedurilor n domeniul IT 1.6. Elaborarea strategiei IT corespunde strategiei entitii Analiza existentei controlului asupra echipamentelor Examinarea realizrii achiziiilor n concordan cu
1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i mediu
Structura auditat Structura auditat
T5
Popescu Sorin Popescu Sorin
T6
Structura auditat
T7
Popescu Sorin
Popescu Sorin
F 1
1.6.1. Infrastructura IT a stat la baza elaborrii strategiei IT
Structura auditat
T8
Popescu Sorin
76
Nr. crt.
Obiecte audiabile
Tipul testrii
realizarea obiectivelor strategice
Locul testrii
Durata testrii (h)
Auditori
OBIECTIVUL NR. 2 ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT A 2.1. Definirea atribuiilor i activitilor 1 Analiza activitilor stabilite Analiza gradului de procedurare a activitilor Analiza atribuiilor stabilite Compararea atribuiilor cu aria de competen necesar pentru realizarea activitilor 2.1.6. Definirea activitilor n Examinarea stabilirii omogene a activitilor n cadrul cadrul structurii organizatorice compartimentelor funcionale ale departamentului IT Analiza aciunilor stabilite pentru realizarea activitilor Examinarea repartizrii activitilor pe compartimente n funcie de rolul acestora 2.2. Stabilirea structurii organizatorice 2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT Analiza organigramei departamentului Analiza ROF-ului departamentului Analiza ocuprii posturilor Analiza specializrii posturilor Analiza dotrii tehnice a posturilor Analiza limitelor decizionale la nivelul posturilor de conducere i execuie Analiza modului de proiectare a sistemului informaional 2.2.3. Examinarea sistemului Analiza politicii de gestionare a riscurilor de gestionare a riscurilor Analiza modului de control i gestiune a riscurilor generale la nivelul Analiza modului de conducere a Registrului riscurilor Analiza nivelului decizional privind implementarea Departamentului IT instrumentelor de control Analiza modului de identificare i gestionare a riscurilor pe activiti i obiective Analiza modului revizuire a riscurilor 2.3. Stabilirea responsabilitilor 2.3.3. Definirea sarcinilor prin fia postului Analiza elaborrii fiei postului in raport cu cerinele potului Analiza modului de delegare a activitilor Analiza capacitii titularului postului de a realiza 2.2.1. Organizarea funcional a departamentului IT Structura auditat 10 II T9 Radu George
Structura auditat
10
II
T10
Radu George
B 1
Structura auditat
II
T11
Radu George
Structura auditat
II
T12
Radu George
C 1
Structura auditat
10
II
T13
Radu George
77
Nr. crt.
Obiecte audiabile
Tipul testrii
Locul testrii
Durata testrii (h)
Auditori
atribuiile alocate Analiza stabilirii atribuiilor n raport cu nivelul postului OBIECTIVUL NR. 3 OPERAII ALE SISTEMULUI INFORMATIC A 3.1. Managementul operaiunilor 1 3.1.2. Performana, capacitatea si disponibilitatea sistemelor informatice este monitorizat de operatori Verificarea dac mesajele de eroare sunt abordate n conformitate cu manualele de operare Verificarea dac informatizarea organizaiei ia n considerare toate departamentele din cadrul acesteia Verificarea dac este estimat timpul maxim de nefuncionare care poate fi acceptat, i costurile asociate acestuia. 3.1.3. Responsabilitatea pentru Verificarea dac utilizatorii sunt instruii pentru nsuirea supravegherea sarcinilor pe modului de lucru cu aplicaiile noi seturi de programe revine Verificarea dac utilizatorii primesc asisten n rularea aplicaiilor operatorilor Verificarea dac responsabilitatea funcionrii fiecrui program este n sarcina unui administrator Verificarea dac exist o supraveghere permanent n cadrul sistemului asupra derulrii unui program sau aplicaie 3.1.4. Elaborarea planului Verificarea dac politica n domeniul IT se reflect n anual de activitate planul anual de activitate n domeniul IT Examinarea dac managerii cu responsabiliti n monitorizarea implementrii politicii IT, au fost consultai la elaborarea planului anual de activitate n domeniul IT Examinarea dac responsabilitile sunt clar definite pentru realizarea activitilor IT Identificarea deciziilor luate n vederea elaborrii i actualizrii planului i analiza dac acestea sunt n conformitate cu activitile stabilite 3.2. Managementul problemelor 3.2.2. Programele antivirus asigur protecia aplicaiilor Verificarea dac exist proceduri pentru protecia mpotriva viruilor, care s specifice modul de configurare al programului antivirus Verificarea dac sunt alese cele mai potrivite soluii antivirus; Verificarea dac se realizeaz scanarea antivirus pe Structura auditat 3 III T14 Popescu Sorin
Structura auditat
III
T15
Popescu Sorin
Structura auditat
III
T16
Popescu Sorin
B 1
Structura auditat
III
T17
Popescu Sorin
78
Nr. crt.
Obiecte audiabile
Tipul testrii
Locul testrii
Durata testrii (h)

4
Auditori
C 1
servere, staii de lucru sau pota electronic Verificarea configurrii programului antivirus 3.2.4. Implementarea Analiza criteriilor avute n vedere la elaborarea subsistemelor IT subsistemelor IT pentru funciile principale Verificarea dac departamentele nou nfiinate au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme IT specifice activitii lor Verificarea stabilirii de responsabiliti personalului de specialitate, pe linia implementrii sistemului IT Examinarea cunoaterii reglementrilor specifice privind implementarea sistemului IT de ctre responsabilii cu realizarea acestei activiti Examinarea modului de alocare a resurselor necesare realizrii subsistemelor IT Verificarea activitii de monitorizare a implementrii subsistemelor IT 3.3. Funcionalitatea activitilor n cadrul departamentului IT 3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT Analiza dac departamentul IT este subordonat unui nivel managerial corespunztor Verificarea dac organigrama departamentului IT corespunde organizrii actuale a departamentului; Verificarea dac numrul de posturi existent n cadrul departamentului IT asigur realizarea activitilor i atribuiilor Analiza dac atribuiile departamentului sunt definite corect i n totalitate n cadrul ROF-ului Analiza modului de asigurare a continuitii activitilor n funcie de pregtirea salariailor i vechimea n munc Analizai dac pregtirea i calificarea salariailor departamentului IT asigur utilizarea optim a programelor, aplicaiilor, echipamentelor i dezvoltarea informaional a entitii Verificarea dac aplicaiile respect schemele privind nivele de secretizare n conformitate cu standardele organizaiei; Verificarea dac secretizarea informaiilor ia n considerare impactul pierderii confidenialitii, integritii sau disponibilitilor informaiei asupra activitii
Structura auditat
III
T18
Popescu Sorin
Structura auditat
III
T19
Popescu Sorin
3.3.6. Asigurarea caracterului secret al datelor
Structura auditat
III
T20
Popescu Sorin
79
Nr. crt.
Obiecte audiabile
Tipul testrii
Verificarea dac monitorizarea sistemelor se concentreaz pe punctele vulnerabile Verificarea dac sunt nregistrate toate evenimentele cheie n cadrul unui sistem
Locul testrii
Durata testrii (h)
Auditori
D 1
3.4. Mentenana echipamentelor 3.4.2. calculatorului echipamentelor ntreinerea i a Verificarea dac operaiunile de mentenan se efectueaz conform planificrii, folosindu-se procedurile standard de testare Verificarea dac disfuncionalitile hardware sunt identificate corect i n timp util i sunt nlturate n conformitate cu instruciunile i manualele de ntreinere Verificarea dac produsele software sunt instalate i configurate conform documentaiilor i indicaiilor furnizorilor Verificai dac corecia erorilor se realizeaz n limita competenelor Verificarea dac sursele de alimentare sunt alese i verificate n conformitate cu cerinele tehnice; Verificarea dac sistemul de operare, componentele software, componentele de acces n reea sunt instalate i configurate corect; Verificarea dac partajarea resurselor se face verificnd tipul de acces permis utilizatorilor; Verificarea dac este analizat impactul produs de funcionarea incorect a unei operaii asupra ntregului sistem; Verificarea dac operaiile IT sunt realizate ntr-o manier eficient, n timp util i la intervale bine stabilite Identificarea proceselor care utilizeaz o cantitate mai mare de resurse i alocarea optim a acestora. Verificarea dac se utilizeaz funcii de verificare prin totaluri, chei i algoritmi; Verificarea dac utilizatorii finali pot obine rapoarte diverse fr a afecta tranzaciile curente; Verificai dac utilizatorilor li se acord suport tehnic corespunztor pentru aplicaiile existente; Structura auditat 4 III T21 Popescu Sorin
3.4.3. Instalarea i configurarea calculatorului
Structura auditat
III
T22
Popescu Sorin
E 1
3.5. Utilizarea echipamentelor 3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT Structura auditat 3 III T23 Popescu Sorin
3.5.3. Administrarea eficient a aplicaiilor i programelor
Structura auditat
III
T24
Popescu Sorin
80
Nr. crt.
Obiecte audiabile
Tipul testrii
Locul testrii
Durata testrii (h)
Auditori
Verificai dac administrarea aplicaiilor se realizeaz de ctre administratori autorizai, care au ca atribuii protejarea aplicaiilor mpotriva distrugerilor, a accesului neautorizat sau utilizrii incorecte. 3 3.5.4. Evaluarea problemelor Verificarea modului de prevenire i rezolvare a i soluionarea acestora incidentelor care afecteaz funcionarea normal a serviciilor IT; Verificarea dac msurile de corectare a erorilor asigur prevenirea reapariiei acestora; Verificarea respectrii etapelor n soluionarea unei probleme. OBIECTIVUL NR. 4 SECURITATEA INFORMAIILOR A 1 4.1. Organizarea securitii informaiilor 4.1.4. Elaborarea politicii privind securitatea informaiei Verificarea dac politica privind securitatea informaiei stabilete responsabilitile asociate i principiile de securitate care trebuie urmate de ctre personal; Verificarea dac politica de securitate a informaiei supune informaiile i sistemele importante unei analize de risc n mod regulat; Verificarea dac politica de securitate este revizuit periodic i dac este concordant cu cultura organizaiei. Verificarea dac exist un comitet nsrcinat cu coordonarea activitii de securitate a informaiei; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei este responsabil pentru integrarea informaiei pentru toate sectoarele organizaiei; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei asigur coordonarea implementrii instrumentelor de control aferente securitii informaiei. Verificarea dac dispozitivele de stocare sunt pstrate n condiii de securitate pentru a evita distrugerea fizic, pierderea sau modificarea coninutului; Verificarea dac salvrile de date sunt efectuate cu periodicitatea impus de importana datelor i de regulile prestabilite;
Structura auditat
III
T25
Popescu Sorin
Structura auditat
IV
T26
Radu George
4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate
Structura auditat
IV
T27
Radu George
4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori autorizai
Structura auditat
IV
T28
Radu George
81
Nr. crt.
Obiecte audiabile
Tipul testrii
Verificarea dac permisiunile curente de acces la resursele partajate sunt verificate, n vederea conformitii cu regulile de securitate impuse.
Locul testrii
Durata testrii (h)
Auditori
B 1
4.2. Disponibilitatea datelor 4.2.2. Protejarea mpotriva viruilor Verificarea dac actualizarea produselor antivirus se realizeaz cu regularitate; Verificarea dac programele anti-virus sunt adecvate necesitilor utilizatorilor staiilor de lucru Verificai dac este realizat o monitorizarea sistematic a funcionalitii programelor anti-virus. 4.2.3. Asigurarea continuitii Verificarea dac resursele umane, precum i cele activitilor hardware/software implicate n procesul de aplicare a planului de asigurare a continuitii sunt prestabilite i sunt disponibile; Verificarea dac planul privind asigurarea continuitii activitilor stabilete criteriile i procedurile de recunoatere a unei crize; Verificarea dac planul definete procedurile tehnice de reluare sau continuare a proceselor critice; Verificarea dac echipa de intervenie n caz de dezastru este implicat n conceperea planului privind continuitatea activitilor; Verificarea dac planurile privind continuitatea activitilor sunt conforme cu obiectivele generale i cu strategia de administrare a riscurilor. 4.2.4. Recuperarea datelor n Verificarea modului de elaborare a planului de recuperare caz de dezastru a datelor n caz de dezastru; Verificarea responsabilitilor echipa nsrcinate cu implementarea planului; Analiza modului de testare i modificare periodic a planului; Verificarea modului de creare a salvrilor de siguran; Stabilirea dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat. 4.3. Asigurarea funcionrii programelor i aplicaiilor 4.3.1. Asigurarea introducerii corecte a datelor i Verificarea procedurilor de introducere a datelor; Verificarea monitorizrii prelucrrii electronice a datelor; datelor Structura auditat 2 IV T29 Radu George
Structura auditat
IV
T30
Radu George
Structura auditat
IV
T30
Radu George
C 1
Structura auditat
IV
T31
Radu George
82
Nr. crt.
Obiecte audiabile
informaiilor pentru prelucrare
Tipul testrii
Locul testrii
Durata testrii (h)
Auditori
D 1
Verificarea rapoartelor de erori nregistrate de sistemul informatic i a modului de efectuare a testelor pentru identificarea cauzelor apariiei acestora; Verificarea modului de ntocmire a jurnalului interveniilor operatorilor, jurnalul utilizrii bibliotecii de programe i a arhivelor de date i aplicaii; Verificarea conformitii datelor introduse cu documentele primare. 4.3.3. Prelucrarea datelor Verificarea modului de depistare i corectare a erorilor aprute n timpul rulrilor aplicaiilor informatice; Verificarea modului de funcionare a programelor, folosind ca date de test fie nregistrri originale, fie nregistrri mostr i corectarea eventualelor erori aprute n procesul de introducere a datelor; Verificarea n mod regulat a drepturilor de acces 4.3.4. Asigurarea securitii Verificarea modului de realizare a copiilor de siguran pe datelor i documentelor suporturi de stocare adecvate; Verificarea condiiilor de pstrare a datelor i documentelor; Verificarea dac accesul utilizatorilor la echipamente i la suporturi de date este realizat numai n limita permisiunilor cerute de efectuarea sarcinilor curente; Verificarea dac regulile de securitate referitoare la accesul la echipamente sunt respectate; Definirea i comunicarea corespunztoare a descrierilor i responsabilitilor posturilor n raport cu securitatea informaiei. 4.4. Implementarea instrumentelor de control 4.4.1. Accesul la aplicaie este Verificarea dac drepturile de acces sunt acordate conform oferit pe baza necesitilor regulilor specifice; utilizatorului Verificarea dac responsabilitatea pentru administrarea i operarea aplicaiei este definit clar; Verificarea dac utilizatorii sunt instruii cu privire la utilizarea reelei i securitatea acesteia; Verificarea dac activitatea n reea este monitorizat, asigurndu-se c securitatea acesteia este adecvat; Verificarea proiectrii reelelor astfel nct s asigure eficiena traficului de date. 4.4.3. Introducerea Verificarea restriciilor asupra accesului fizic la sistemele
Structura auditat
IV
T32
Radu George
Structura auditat
IV
T33
Radu George
Structura auditat
IV
T34
Radu George
Structura
IV
T35
Radu
83
Nr. crt.
Obiecte audiabile
instrumentelor de control fizic asupra echipamentelor IT
Tipul testrii
de calculatoare; Verificarea dac echipamentele i documentaia de importan critic sunt asigurate suplimentar; Verificarea modului de supraveghere a camerelor n care sunt adpostite echipamente i faciliti critice; Verificai dac msurile de protecie sunt n acord cu politica de securitate a organizaiei. Verificarea existenei unui program de management al vulnerabilitilor reelei; Verificarea gruprii i clasificrii dispozitivelor din reea n funcie de prioriti, de la sisteme de importan redus la sisteme de importan vital; Verificarea dac expunerea la risc este monitorizat prin reprezentarea strii de ansamblu a reelei; Verificarea dac panoul de afiare privind expunerea la risc este actualizat permanent; Verificarea dac este urmrit permanent reducerea timpilor necesari pentru identificarea, remedierea i validarea soluiilor aplicate. Verificarea dac programele i aplicaiile au nivele de acces n funcie de nivelul postului; Verificai dac parolele sunt schimbate periodic, respectnd regulile de complexitate impuse. Verificarea dac permisiunile sau drepturile utilizatorilor sunt verificate periodic, pentru a corespunde strict sarcinilor acestora; Verificarea dac administratorul sistemului creeaz i configureaz corespunztor conturile fiecrui utilizator; Verificarea dac parolele generice iniiale sunt schimbate de ctre fiecare utilizator n parte. Verificarea dac accesul la sistem se realizeaz numai pe baza conturilor de utilizatori n funcie de tipurile specifice i de atribuiile specifice fiecrui angajat; Verificarea modului de instruire a utilizatorilor n legtur cu regulile de securitate logic.
Locul testrii
auditat
Durata testrii (h)
Auditori
George
E 1
4.5. Securitatea reelei 4.5.2. Monitorizarea securitii reelelor
Structura auditat
IV
T36
Radu George
F 1
4.6. Gestionarea parolelor 4.61. Utilizatorii au parole de acces individuale 4.6.2. Schimbarea periodic a parolelor
Structura auditat Structura auditat
IV
T37
Radu George Radu George
IV
T38
4.6.4. Persoanele autorizate au acces la sistemul de operare
Structura auditat
IV
T39
Radu George
84
Nr. crt.
1
Obiecte audiabile
4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor
Tipul testrii
Locul testrii
Structura auditat
Durata testrii (h)

2

IV T40
Auditori
Radu George
Verificarea modului de identificare a ameninrilor aferente sistemelor informatice; Verificarea proteciilor n cazul accesului de la distan; Verificarea modului de utilizare a algoritmilor de criptare a datelor; Verificarea modului de administrare a securitii sistemelor de ctre persoane specializate; OBIECTIVUL NR. 5 PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR A 5.1. Proiectarea i elaborarea programelor i aplicaiilor 1 5.1.1. Proiectarea programului Verificarea procedurilor utilizate n proiectarea informatic programelor, din punct de vedere al corectitudinii i completitudinii prelucrrile care se vor efectua asupra datelor; Verificarea dac instrumentele de dezvoltare a programului/aplicaiei sunt stabilite cu respectarea specificaiilor; Verificarea dac pentru fiecare aplicaie n parte sunt stabilite urmtoarele: numrul de utilizatori, rolurile acestora, privilegiile i restriciile aplicabile fiecrui rol in parte, accesul restricionat; Verificarea dac proiectarea aplicaiei este monitorizat; Verificarea dac versiunile aplicaiilor instalate ulterior sunt compatibile i utilizeaz toate resursele versiunilor anterioare; Verificarea dac comunicarea cu echipa de specialiti este permanent pe timpul proiectrii i utilizrii aplicaiei. 2 5.1.2. Elaborarea programului Verificarea algoritmului programului/aplicaiei din punct informatic de vedere al conformitii cu logica operaiilor; Verificarea dac algoritmul respect cerinele de integrare ale aplicaiei; Verificarea performanei soluiilor de programare; Verificarea integrrii componentelor unui program n funcie de cerinele utilizatorilor. B 5.2. Testarea i implementarea programelor i aplicaiilor 1 5.2.2. Testarea programului i aplicaiei Verificarea dac datele de test sunt definite corespunztor prelucrrilor programului pe toate ramurile acestuia; Evaluarea rezultatelor testrii n funcie de documentaia programului/aplicaiei;
Structura auditat
10
T41
Popescu Sorin
Structura auditat
10
T42
Popescu Sorin
Structura auditat
10
T43
Popescu Sorin
85
Nr. crt.
Obiecte audiabile
Tipul testrii
Locul testrii
Durata testrii (h)
Auditori
Verificarea conformitii datelor de testare cu manualele de operare i utilizare; Verificarea dac simulrile se realizeaz conform manualului de utilizare. 2 5.2.3. Asigurarea Verificarea dac opiunile i parametrii de lucru ai corectitudinii rezultatelor programului/aplicaiei sunt stabilii conform specificaiilor din documentaii; Verificarea condiiilor de funcionare a programului/aplicaiei, n funcie de solicitrile utilizatorului; Verificarea opiunilor i a parametrilor de operare ai programului/aplicaiei, n funcie de specificaiilor din documentaii; Analiza modului de nsuire de ctre utilizatori a specificaiilor programului/aplicaiei. OBIECTIV NR. 6 ELABORAREA I IMPLEMENTAREA PROIECTELOR IT A 1 6.1. Dezvoltarea proiectelor IT (programe i aplicaii) 6.1.2. Iniierea i elaborarea Verificarea oportunitii soluiile propuse pentru proiectelor IT implementarea proiectelor IT; Verificarea compatibilitii proiectului cu proiectele aflate n derulare; Verificarea necesitii asistenei tehnice; Verificarea competitivitii proiectelor. 6.1.3. Monitorizarea Verificarea parametrilor de referin i a valorilor etalon performanelor soluiilor IT ale programelor elaborate; Verificarea regulilor i procedurilor stabilite pentru implementate supravegherea i colectarea valorilor parametrilor de referin; Analiza rapoartelor privind implementarea proiectelor IT propuse din punct de vedere al rigurozitii. 6.2. Implementarea i funcionarea programelor i aplicaiilor 6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii Verificarea modului de identificare a punctelor slabe i a limitrilor unui program/aplicaie; Verificarea dac documentaia cu fluxul de date i prelucrrile necesare este elaborat adecvat situaiei reale; Verificarea dac soluiile IT sunt proiectate pornind de la punctele slabe, critice detectate, de la evoluiile tehnologice
Structura auditat
10
T44
Popescu Sorin
Structura auditat
10
VI
T45
Radu George
Structura auditat
10
VI
T46
Radu George
B 1
Structura auditat
10
VI
T47
Radu George
86
Nr. crt.
2
Obiecte audiabile
6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
Tipul testrii
Locul testrii
Structura auditat
Durata testrii (h)

10

VI T48
Auditori
Radu George
existente i cele prefigurate de dezvoltare a entitii. Verificarea monitorizrii mesajelor de eroare; Verificarea dac sistemele de operare i aplicaiile sunt instalate, actualizate sau configurate corespunztor, folosind proceduri standardizate; Verificarea dac utilizatorii beneficiaz permanent de asisten tehnic; Verificarea modului de ntreinere a aplicaiilor i dac asigur funcionarea proceselor. OBIECTIV NR. 7 PROIECTAREA I MENINEREA N FUNCIUNE A UNEI REELE A 1 7.1. Proiectarea, instalarea i administrarea reelei de calculatoare 7.1.1. Asigurarea bunei Verificarea dac echipamentele din reea sunt administrate funcionri a sistemelor bazate centralizat; pe existena i funcionarea Verificarea dac configurarea reelei, conectarea componentelor n reea, distribuirea serviciilor contribuie reelei de calculatoare la creterea productivitii muncii n organizaie; Verificarea dac serverele i staiile client sunt amplasate n reea i configurate conform regulilor impuse prin strategia de securitate; Verificarea dac regulile stabilite i implementate asigur accesul controlat i sigur al utilizatorilor numai la acele resurse de care au nevoie pentru ndeplinirea sarcinilor de serviciu conform fiei postului. 7.1.3. Administrarea Verificarea dac accesul i utilizarea resurselor serverului serverelor respect strategia de securitate a reelei; Verificarea dac permisiunea de administrare a unui program este acordat numai personalului calificat; Verificai dac jurnalele identific utilizatorii care au avut acces la program, n limita permisiunilor ce le-au fost acordate. 7.2. Interconectarea i securitatea reelei 7.2.1. Interconectarea reelelor Verificarea dac conexiunile dintre reele sunt conforme cu arhitectura general i respect standardele de interconectare; Verificarea dac componentele hardware i software ale echipamentelor de legtur sunt configurate respectnd regulile de securitate a transmisiilor de date din strategia de securitate a organizaiei;
Structura auditat
10
VII
T49
Radu George
Structura auditat
10
VII
T50
Radu George
B 1
Structura auditat
10
VII
T51
Radu George
87
Nr. crt.
Obiecte audiabile
Tipul testrii
Verificarea dac tabelele de rutare sunt corect configurate i indic adresele reelelor accesibile.
Locul testrii
Durata testrii (h)
Auditori
7.2.2. Proiectarea i asigurarea securitii reelei
Verificarea dac vulnerabilitile i ameninrile sunt corect identificate i prioritizate; Verificarea dac procedurile de securitate ce trebuie implementate sunt aduse operativ la cunotina personalului; Analiza siguranei accesului la reea i a comunicrii datelor n reea. Analiza rapoartelor de monitorizare a traficului datelor n reea.
Structura auditat
10
VII
T52
Radu George
Data: 09.09.2009
Not: Programul de intervenie la faa locului sau Programul preliminar se elaboreaz pe baza Programului de audit i prezint detaliat lucrrile pe care auditorii interni i propun s le efectueze, tipurile de teste i eantioanele pe baza crora se vor realiza acestea, locul i durata testrii. n practica, se recomand realizarea unui grad mai mare de detaliere a testrilor, care se vor efectua n etapa de Intervenie la faa locului, prin completarea Programului preliminar cu modalitile concrete de determinare a eantioanelor, n conformitate cu regulile statisticii, dar i prin diversificarea tipurilor testrilor ce se vor realiza de ctre auditorii interni.
88
Procedura PO7 :
ENTITATEA PUBLICA Serviciul Audit Intern
EDINA DE DESCHIDERE
MINUTA EDINEI DE DESCHIDERE
Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel A. Lista participanilor: Numele
Dumitru Daniel Popescu Sorin Radu George Ptrulescu George Voiculescu Alin Boerescu Ilie Teodorescu Rodica Eleodor Darius Iordache Camelia Pun Elena Badea tefan
Data: 10.09.2009 Data: 10.09.2009 Nr. telefon
Funcia
Coordonator Auditor Auditor Director Sef Sef Sef Sef Sef Sef Sef
Direcia/ Serviciul
CAPI SAPI SAPI DIT STDAM SCD SEE SAPP SRC SSD SAT
E-mail
Semntura
B. Stenograma edinei n cadrul edinei de deschidere s-a procedat la: - prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit; - prezentarea funciei de audit intern de ctre eful Serviciului Audit Public Intern, n special a obiectivelor generale ale auditului intern i semnificaia auditului intern; - Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se intenioneaz a fi realizate, dup analizele de risc efectuate. A fost cerut prerea audiailor cu privire la aceste obiective, unde sau fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la complexitatea activitii Direciei IT; resursele umane insuficiente i neatractivitatea nivelului salariului pentru atragerea unor specialiti; fluctuaia mare a personalului implicat in activitatea IT. De asemenea, s-au stabilit: - persoanele pe care auditorii le pot contacta n vederea colectrii informaiilor, modul de efectuare a testelor, chestionarelor i interviurilor, programul ntlnirilor i timpul necesar pentru realizarea acestor proceduri; - condiiile minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu de lucru, calculatoare, posibilitate de editare etc.) 89
- aspectele procedurale, respectiv eventualitatea unor edine intermediare n cursul misiunii, informarea sistematic asupra constatrilor; - data edinei de nchidere, inclusiv a participanilor; - convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul auditului, informarea sistematic asupra constatrilor. - stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va fi distribuit). Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea recomandrilor.
90
Procedura P10
INTERVENIA LA FAA LOCULUI
ENTITATEA PUBLIC Serviciul Audit Intern
LISTA DE VERIFICARE nr. 1

Misiunea de audit: Activitatea IT Perioada auditat: 01.01. 2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel
Data: 13.09.2009 Data: 13.09.2009
Obiectivul I.
STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
Nr. crt.
1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. A 1. 1.1 1.2. 1.3 1.4. 1.5. 1.6.
Activitatea de audit
Examinarea procedurilor privind planul strategic Examinarea procedurilor privind definirea i elaborarea strategiei Verificai dac procedurile sunt aprobate de ctre persoanele competente; Verificai dac sunt stabilite posturile de lucru responsabile de elaborarea strategiei; Verificai dac sunt stabilite competentele n elaborarea procedurilor; Verificai dac se realizeaz actualizarea sistematic a procedurilor; Verificai dac sunt nglobate activiti de control intern n punctele cheie ale proceselor; Verificai dac se respect principiul dublei semnturi; Verificai dac procedurile sunt cunoscute i aplicate; Strategia IT este concordant cu scopurile organizaiei Strategia IT definete necesitile i prioritile Examinarea dac exist strategie elaborat la nivelul structurii funcionale; Analiza sistemului de fundamentare a strategiei Analiza corelrii strategiei cu planurile anuale Examinarea prioritilor strategice in domeniul IT n corelare cu direciile de dezvoltare; Verificarea dac strategia elaborat la nivelul structurii funcionale este n concordan cu strategia organizaiei; Verificarea dac strategia elaborat la nivelul structurii funcionale a avut n vedere: a. evaluarea situaiei actuale pe baza analizei diagnostic; b. identificarea punctelor tari i a punctelor slabe ale entitii; c. formularea misiunii structurii organizatorice; d. fundamentarea variantelor strategice; e. identificarea i proveniena resurselor; f. implementarea strategiei ; Analiza dac identificarea punctelor tari i a punctelor slabe s-a realizat pe baza analizei ameninrilor i oportunitilor; Verificarea dac strategia definit la nivelul structurii funcionale definete clar obiectivele; Analizai dac direciile de activitate din cadrul strategiei sunt monitorizate i evaluate, respectiv: a) exist concordan cu strategia elaborat la nivelul entitii;
Da
X X X X X X X X
Nu
Observaii
X X X X X
Test nr. 1.2. Nota de relaii 1.1. Interviu nr. 1.1. FIAP nr. 1.2.
1.7. 1.8. 1.9.
X X X
91
1.10.
1.11.
b) responsabilitile stabilite Comisiei de dezvoltare IT conduc la implementarea IT i asigur o decizie eficient c) analiza proceselor verbale ale Comisiei numit la nivelul entitii n domeniul dezvoltrii IT i urmrirea dac politica de dezvoltare IT are ca obiectiv implementarea strategiei entitii cu privire la domeniul IT; d) urmrirea dac toate activitile de implementare a strategiei sunt monitorizate i evaluate; Stabilirea obiectivelor strategice a inut cont de mediul intern i de mediul extern Obiectivele definite n cadrul strategiei asigur: a) definirea realist a acestora; b) asigurarea factorului de mobilizare c) definirea lor astfel nct s fie nelese de ctre salariai d) definirea lor n form stimulatoare e) asigurarea necesarului de resurse n vederea implementrii obiectivelor Obiectivele generale sunt definite n termeni de impact Obiectivele generale deriv din obiectivele strategice Obiectivele generale acoper strategia definit n cadrul domeniului de activitate Obiectivele generale n domeniul resurselor umane ofer direcia i inta final ce urmeaz a fi atins Obiectivele sunt formulate de o manier precis, riguroas fr interpretri Verificarea dac strategia dezvolt funciile eseniale ale structurii funcionale; Verificarea dac exist persoan responsabil cu actualizarea strategiei; Analiza dac la elaborarea strategiei s-a urmrit: a. definirea obiectivelor strategice n consens cu direciile de aciune ale organizaiei b. dezvoltarea strategiei este asigurat pe baza unui management funcional c. analiza domeniului de activitate i definirea mandatului i misiunii structurii organizaionale d. definirea i analiza tuturor domeniilor i activitilor specifice Verificarea dac exist planul de activitate pentru implementarea strategiei; Analiza politicilor entitii publice n domeniul IT i stabilirea dac asigur atingerea obiectivelor entitii publice Verificarea dac politicile entitii publice n domeniul IT se reflect n planul strategic i n planurile anuale Examinarea dac managerii cu responsabiliti n monitorizarea implementrii politicilor IT, au fost consultai la elaborarea planului strategic Analiza activitii de actualizare a planului strategic Planurile IT se adreseaz ntregii organizaii Planurile IT ajut la ndeplinirea misiunii organizaiei Verificarea dac exista planuri de activitate elaborate la nivelul departamentului IT Examinarea dac planurile de activitate sunt elaborate anual Verificarea dac obiectivele sunt clar definite n cadrul planurilor Verificarea dac planul de activitate anual este comunicat i cunoscut de personalul implicat n realizarea acestuia; Analiza dac planul este fundamentat, iar resursele necesare implementrii acestuia sunt dimensionate corect; Examinarea dac la realizarea activitilor planificate sunt asigurate competenele necesare; Verificarea dac salariaii cunosc metodologia de realizare i de implementare a activitilor planificate; X
Test nr. 1.1 FIAP nr. 1.1
Test nr.. 1.3. Interviu nr. 1.2. Not de relaii nr. 1.2. FIAP nr. 1.3.
1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19.
X X
1.20. 1.21. 1.22. 1.23. 1.24. B. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7.
X X X X X
X X X X X X X Test nr. 1.4. Interviu nr. 1.3. FIAP nr. 1.4.
92
1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15 1.16. 1.17.
1.18 1.19. 1.20. 1.21. 1.22. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10.
Verificarea dac planul de activitate este alctuit n concordan cu bugetul anual de venituri i cheltuieli; Analiza dac pentru realizarea planului anual de activitate managementul a luat n considerare i cunoaterea nevoilor salariailor; Verificarea dac planul anual de activitate coreleaz obiectivele individuale cu cele organizaionale; Examinarea dac planul anual de activitate permite ncadrarea n resursele financiare planificate; Examinarea dac managementul organizaiei acioneaz consecvent pentru implementarea planului de activitate; Analiza dac managementul a elaborat strategii, politici, programe etc. pentru orientarea unitar a activitii organizaiei n vederea realizrii scopurilor fundamentale; Verificarea dac planurile de activitate sunt adaptate la condiiile externe organizaiei; Identificarea proiectelor n derulare i examinarea planurilor de proiecte n raport cu Standardele IT aprobate pentru gestionarea proiectului. Analizai dac planul aprobat este n conformitate cu politicile entitii publice n domeniul IT; Analiza dac elaborarea planurilor de activitate au avut n vedere: a) cunoaterea de ctre salariai; b) motivarea salariailor i cointeresarea lor n realizarea obiectivelor; c) necesarul de resurse este fundamentat i dimensionat potrivit necesitilor; d) realizarea obiectivelor planurilor sunt asigurate competenele necesare; e) metodologia de implementare este cunoscut; f) bugetele de venituri i cheltuieli; Verificarea dac planul anual de activitate ia n considerare necesitile salariailor; Evaluarea dac planul anual de activitate coreleaz obiectivele departamentului IT cu obiectivele individuale ale salariailor; Examinarea dac realizarea planului se ncadreaz n limitele resurselor financiare alocate; Analiza dac tendinele viitoare de dezvoltare sunt luate n calcul la elaborarea planurilor de activitate Analizai realizarea subsistemelor IT pentru funciile principale din cadrul entitii publice; Planurile IT ofer asigurare cu privire la faptul c resursele IT necesitile Examinarea dac proiectele sunt monitorizate permanent, urmrindu-se dac sunt realizate n termen, n vederea sincronizrii realizrii obiectivelor strategice; Examinarea procesului-verbal al grupului de strategie pentru a se garanta examinarea i luarea de msuri cu privire la ndeplinirea obiectivelor; Obinerea de exemplare ale unor analize referitoare la proiectele IT care au fost realizate, pentru a se garanta c sunt luate n considerare de grupul de strategie i de conducerea superioar. Obinerea unui exemplar al documentului de politic strategic i identificarea principalelor obiective; Verificarea dac strategia IT ia n considerare obiectivele de afaceri n totalitate i sprijin atingerea acestora. Verificarea dac strategia IT ia n considerare organigrama organizaiei, pentru a se asigura c toate departamentele au fost luate n considerare la elaborarea strategiei; Examinarea dac subsistemele IT acoper n totalitate nevoile pentru funciile principale ale entitii Analiza dac nevoile de subsisteme IT pentru funciile principale nou create au fost acoperite Verificarea dac departamentele nfiinate ca urmare a funciilor principale nou create au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme IT proprii activitii lor Analiza procedurilor pe baza crora se realizeaz subsistemele IT i
X X X X X X X X X
Test nr. 1.4. Interviu nr. 1.3. FIAP nr. 1.4.
X sunt alocate n concordan cu X X X X X X
Test nr. 1.5. Interviu nr. 1.4. FIAP nr. 1.5.
93
2.11. 2.12. C. 1. 1.1. 1.2. 1.3. 1.4. 1.5 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12.
D. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11.
stabilirea dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime Verificai dac strategia IT este distribuit tuturor prilor interesate. X Examinai dac angajaii i conducerea superioar au cunotin de coninutul strategiei i de implicaiile acesteia pentru dezvoltarea IT n X domeniul lor de activitate. Obiectivele IT ndeplinesc obiectivele organizaiei Strategia IT este concordant cu scopurile organizaiei Analiza Planului strategic n domeniul IT n raport cu obiectivele X strategice stabilite pentru domeniul IT; Verificai dac planului strategic i documentele de politic strategic sunt cunoscute de ctre prile interesate i implicate n implementarea X lui; Examinai dac dezvoltarea IT este asigurat prin obiectivele strategice; X Examinarea concordanei dintre direciile de dezvoltare stabilite prin Planul strategic n domeniul IT i organizarea funcional actual a X departamentului IT. Analizai dac la stabilirea obiectivelor strategice s-a inut cont de mediul X intern i de mediul extern; Analizai dac obiectivele definite reprezint o component important n X cadrul sistemului de management al organizaiei. Examinai dac strategia acoper mandatul cu care a fost investit X structura funcional; Verificai dac exist o fundamentare detaliat a strategiei; X Verificai dac planul de aciune pentru implementarea strategiei este X dezvoltat suficient; Verificai dac exist persoan responsabil cu actualizarea strategiei; X Examinai dac definirea prioritilor strategice este realizat n X concordan cu scopul entitii, n cadrul domeniului de activitate Analizai dac strategia elaborat definete X a) misiunea structurii organizaionale X b) stabilirea scopurilor fundamentale X c) precizarea modalitilor de aciune X d) fundamentarea necesarului de resurse X e) ealonarea termenelor X Comitetul IT determin strategia IT Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu Verificai dac Comitetul de dezvoltare IT este constituit n mod adecvat; X Analizai dac planul este examinat periodic pentru a se verifica X ndeplinirea acestuia. Examinai procesul-verbal al grupului de strategie i urmrii dac garanteaz examinarea i luarea de msuri cu privire la ndeplinirea X obiectivelor strategice. Obinerea de exemplare ale unor analize referitoare la proiectele de suport IT care au fost realizate, pentru a se garanta c sunt luate n X considerare de grupul de strategie i de conducerea superioar. Verificai dac sunt definite termenele i etapele de realizare a X activitilor; Verificai dac planul este alctuit n concordan cu bugetul anual de X venituri i cheltuieli; Analizai dac prioritile sunt judicios ierarhizate n cadrul planului; X Analizai dac gradul de adecvare al prioritilor este raportat la misiunea X organizaiei; Analizai dac indicatorii ataai obiectivelor converg spre economicitate, X eficien i eficacitate; Analizai dac planurile sunt adaptate la condiiile externe organizaiei; X Verificai dac resursele sunt delimitate pentru implementarea planurilor de activitate; a) cunoaterea de ctre toi salariaii a panului anual de activitate; b) interesul salariailor n realizarea obiectivelor planului anual; c) asigurarea competenelor necesare pentru realizarea activitilor; d) cunoaterea metodologiei de realizare i implementare a activitilor n
94
1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. E. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12.
rndul salariailor; e) cunoaterea nevoilor salariailor; X f) corelarea obiectivelor individuale cu obiectivele organizaiei; g) ncadrarea n resursele financiare planificate; Analizai dac impactul planurilor este raportat la performana X organizaiei; Analizai dac nivelul cunotinelor personalului asigur realizarea X programelor; Analizai dac instrumentele de implementare a programelor sunt bine X definite; Verificai dac posturile care vor aprea sau se vor schimba sunt luate n X calcul la definirea strategiei; Analizai dac competenele necesare n viitor sunt definite n cadrul X strategiei; Verificai dac posibilitatea reorientrii i recalificrii profesionale este X luat n calcul la stabilirea resurselor necesare implementrii strategiei; Verificai dac strategia ine cont de schimbrile la nivel managerial; X Verificai dac nevoile de instruire sunt definite n cadrul strategiei; X 1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitile realizate Verificai dac exist un program de dezvoltare IT X Verificai dac programul de dezvoltare IT conine achiziii de aplicaii i X echipamente; Verificai dac exist o fundamentare a necesitii achiziiilor de X echipamente; Verificai dac exist o fundamentare a necesitii achiziiilor de aplicaii X i programe; Verificai dac achiziiile de echipamente sunt prioritizate n funcie de X necesiti Verificai dac achiziiile de programe i aplicaii sunt prioritizate n funcie de necesiti i de dezvoltarea strategic a organizaiei n X domeniul IT; Verificai dac programele de achiziii de echipamente i aplicaii sunt X evaluate de ctre Comitetul IT; Verificai dac Comitetul IT a realizat i o evaluare calitativ i tehnic a X echipamentelor i aplicaiilor planificate a fi achiziionate Verificai dac achiziiile de echipamente i aplicaii sunt realizate cu X respectarea criteriilor planificate; Verificai dac procesul de achiziii IT este monitorizat de Comitetul IT; X Verificai dac Comitetul IT raporteaz periodic managementului X necesitile aprute i stadiul derulrii programelor n domeniul IT. Organizarea IT corespunde necesitilor organizaiei Organizarea adecvat a funciei IT Verificai dac deciziile sunt n corelaie cu transformrile din mediul X organizaional; Verificai dac persoana care emite decizia deine sarcinile, competenele X i responsabilitile necesare; Examinarea dac subsistemele IT acoper nevoile pentru funciile X principale ale entitii; Test nr. 1.5 Analiza dac nevoile pentru funciile principale nou-create sunt X Interviu nr. 1.5 acoperite; FIAP nr. 1.5 Analiza dac structurile din cadrul IT si-au definit clar propriile activiti; X Examinarea dac procedurile elaborate acoper toate activitile derulate; X Verificai dac responsabilitile sunt stabilite clar i precis n sarcina X utilizatorilor; Verificai dac competenele asigur realizarea activitilor; X Verificai dac este realizat evaluarea performanelor actuale ale X activitilor desfurate; Verificai dac este realizat analiza sistemului actual de organizare i X conducere a activitii; Verificai dac mediul i factorii externi de influen sunt examinai i X analizai la stabilirea proceselor organizaionale; Verificai dac mediul intern i factorii interni de influen sunt analizai X
95
1.13. 1.14. 1.15 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. F. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7 1.8. 1.9. 1.10.
i evaluai la stabilirea proceselor organizaionale; Verificai dac au fost elaborate instrumentele i procedurile de implementare a strategiei; Analizai dac s-a determinat volumul i structura resurselor necesare pentru realizarea obiectivelor; Analizai dac au fost elaborate instrumentele i procedurile de control; Adecvarea practicii i procedurilor IT la procesele existente Analizai sistemul de elaborare a subsistemelor IT pentru funciile principale. Existena programului pentru instruirea utilizatorilor subsistemului IT
X X X X
X Examinai dac subsistemele IT acoper n totalitate nevoile pentru X funciile principale ale entitii publice Analizai dac nevoile de subsisteme IT pentru funciile principale nouX create au fost acoperite. Verificai dac departamentele nfiinate ca urmare a funciilor principale nou-create au fost solicitate s-i exprime cerinele specifice privind X realizarea unor subsisteme IT proprii activitii lor Analizai existena corelrii ntre termenele de realizare a subsistemelor. X Analizai procedurile pe baza crora se realizeaz subsistemele IT i stabilii dac acestea sunt suficiente pentru implementarea acestor X subsisteme n condiii optime. Stabilii dac exist studii de fezabilitate pentru subsistemele IT X planificate. Verificai dac exist proceduri pentru toate aplicaiile derulate n cadrul X organizaiei; Verificai dac aplicaiile derulate n cadrul posturilor de lucru sunt X suficiente, necesare i asigur eficientizarea activitilor; Verificai dac aplicaiile derulate sunt adecvate proceselor organizaiei; X Verificai dac aplicaiile sunt cunoscute i aplicate de utilizatori. X Elaborarea strategiei IT corespunde strategiei organizaiei Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT Verificarea dac exist un control asupra strii echipamentelor; X Verificarea dac obiectivele strategice n domeniul IT sunt stabilite pe X baza unei analize a strii actuale; Verificarea dac achiziia aplicaiilor i programelor are n vederea X dezvoltarea strategic a organizaiei; Verificarea dac achiziia echipamentelor i tehnicii de calcul ine cont X de dotarea existent; Verificarea dac achiziiile de echipamente in cont de caracteristicile X calitative i de performante acestora; Verificarea dac achiziiile de echipamente sunt adaptate nevoilor i X necesitilor organizaiei; Verificarea dac aplicaiile i programele de achiziionat sunt adecvate X proceselor organizaiei; Verificarea dac aplicaiile i programele achiziionate conduc la X integrarea datelor i informaiilor; Verificarea dac strategia IT conduce la informatizarea n totalitate a X organizaiei; Verificarea dac strategia asigur pregtirea personalului n concordan X cu programele de dezvoltare IT.
96
Procedura P08: Colectarea dovezilor

TEST nr. 1.1

Obiectul testului Obiectivele testului Descrierea testului
Data: 13.09.2009 Data: 13.09.2009
Strategia IT definete necesitile i prioritile Analiza direciilor de aciune stabilite n cadrul strategiei IT i urmrirea dac acestea contribuie la realizarea mandatului i scopului entitii i dac acestea au fost implementate, conform programelor aprobate. 1. Populaia avut n vedere pentru constituirea eantionului este format din: - strategia elaborat n domeniul IT, direciile de aciune definite i obiectivele strategice stabilite cu privire la dezvoltarea entitii n domeniul IT; - procesele verbale ale comisiei numite la nivelul entitii cu responsabiliti n domeniul planificrii, elaborrii i urmririi implementrii strategiei; - programele i aplicaiile informatice, aprobate la nivelul entitii, n perioada analizat, care corespund direciilor de implementare a strategiei. 2. Eantionul a fost constituit astfel: - strategia entitii n domeniul IT a fost analizat i evaluat n totalitatea ei i comparat cu strategia entitii; - n perioada suspus auditrii, au fost aprobate n vederea implementrii patru proiecte informatice, n acest sens toate acestea fiind evaluate cu privire condiiile de implementare, termenele de implementate i concordana cu direciile strategice aprobate. - n perioada supus auditrii, Comisia numit la nivelul entitii cu responsabiliti n domeniul dezvoltrii IT s-a ntrunit trimestrial, n acest sens au fost analizate i evaluate toate procesele verbale ntocmite dup fiecare edin de lucru organizat; 3. Prin testarea ce se va realiza se va urmri, dac activitile desfurate n realizarea direciilor de aciune stabilite n cadrul Strategiei sunt monitorizate i evaluate cu privire la modul de implementare, respectiv: - concordana strategiei elaborate n domeniul IT cu strategia entitii; - responsabilitile stabilite Comisiei numit la nivelul entitii cu atribuii n domeniul dezvoltrii IT, contribuie la asigurarea unei decizii eficiente la nivelul entitii. - analiza proceselor verbale ale Comisiei numit la nivelul entitii cu atribuii n domeniul dezvoltrii IT - urmrirea dac toate activitile de implementare a strategiei sunt monitorizate i evaluate; Potrivit deciziei de numire, Comisia de planificare strategic nfiinat la nivelul entitii are rolul de a stabili obiectivele strategice, relaiile cu celelalte componente structurale din cadrul entitii, fundamentarea modalitilor de realizare a proiectelor, dimensionarea resurselor ce urmeaz a fi angajate, stabilirea termenelor intermediare i finale de realizare a proiectelor, monitorizarea implementrii proiectelor aprobate. 1. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem informatic integrat, care s asigure 97
Constatri
corelarea tuturor informaiilor i datelor la nivelul entitii, respectiv juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale. 2. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza realizrii acestor activiti este rezumat doar la analiza raportrilor periodice realizate de departamentul IT, cu privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente, care au influen n decizia managerial i dezvoltarea strategic. 3. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT, derulate n cadrul entitii, nu au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea resursele financiare, au fost legate doar de acestea. n urma examinrii i analizelor efectuate, s-a constatat c anumite proiecte nu au fost implementate sau sunt ntrzieri n implementarea acestora, respectiv: a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv asigurarea resurselor financiare, nc din cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilirea condiiilor tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau procedurilor privind achiziia, cu toate c n buget au fost alocate fondurile necesare. Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n testarea i implementarea lui, iar fondurile aprobate permiteau doar achiziia aplicaiei. n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a proiectelor, greutile ntmpinate se puteau cunoate i gsi soluiile necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n vederea utilizrii acestui program informatic. b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma evalurii, s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care depind de acesta, n acest sens va trebui amnat termenul de ncepere a procedurilor privind implementarea proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite. ntrzierea implementrii acestui program a determinat nerealizarea n termenul planificat a obiectivului strategic Modernizarea infrastructurii IT din cadrul entitii. Neatribuirea Comisiei numit la nivelul entitii de responsabiliti n domeniul 98
Concluzii
dezvoltrii IT, a unor atribuii de urmrire fizic a modului de implementare a direciilor strategice, respectiv a proiectelor informatice de dezvoltare i informatizare a entitii, a condus la ntrzieri n achiziia, testarea i implementarea programelor, nenceperea procedurilor de achiziie i implementare a altor programe sau aplicaii informatice. Obiectivele strategice stabilite n domeniul IT nu au fost ndeplinite n termenele stabilite.
Auditor intern, Popescu Sorin
Supervizor, Dumitru Daniel
99

FI DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 1.1

Problema Constatarea
Data: 13.09.2009 Data: 13.09.2009
Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor informatice. 1. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale. 2. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente, care au influen n decizia managerial i dezvoltarea strategic. 3. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea resursele financiare, au fost legate doar de aceste aspecte. n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt ntrzieri n implementarea acestora, respectiv: a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare a achiziiei, cu toate c prin buget au fost alocate fondurile necesare. Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei. 100
Cauza
Consecina
Recomandri
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic. b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite. ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic Modernizarea infrastructurii IT din cadrul entitii. Neatribuirea Comisiei numit la nivelul entitii de responsabiliti n domeniul dezvoltrii IT, a unor atribuii de urmrire fizic a modului de implementare a direciilor strategice, respectiv a proiectelor informatice de dezvoltare i informatizare a entitii. Potrivit deciziei de numire, Comisia de planificare strategic nfiinat la nivelul entitii are rolul de a stabili obiectivele strategice, relaiile cu celelalte componente structurale din cadrul entitii, fundamentarea modalitilor de realizare a proiectelor, dimensionarea resurselor ce urmeaz a fi angajate, stabilirea termenelor intermediare i finale de realizare a proiectelor, monitorizarea implementrii proiectelor aprobate. ntrzieri n achiziia, testarea i implementarea programelor. Totodat, unele programe preconizate a fi achiziionate ulterior i care urmau a fi implementate dup punerea n funciune a acestora nu s-au mai achiziionat. Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora. Analiza proiectelor informatice aprobate a fi implementate i pentru care au fost alocate i resursele financiare, stabilirea de termene de implementare i respectarea acestora. Supervizor, Dumitru Daniel Pentru conformitate, Structura auditat
101
TEST nr. 1.2

Data: 13.09.2009 Data: 13.09.2009
Strategia IT definete necesitile i prioritile Analiza sistemului de fundamentare a necesarului de resurse pentru realizarea strategiei n domeniul IT. Evaluarea condiiilor privind elaborarea strategiei va urmri analiza modului n care au fost respectate i analizate urmtoarele activiti cuprinse n procedura de realizare a strategiei din Lista de verificare nr. 1, poziia 1.2. Strategia elaborat la nivelul structurii funcionale a avut n vedere urmtoarele: a) evaluarea situaiei actuale pe baza analizei diagnostic; b) identificarea punctelor tari i a punctelor slabe ale entitii; c) formularea misiunii organizaiei; d) fundamentarea variantelor strategice; e) identificarea i proveniena resurselor; f) implementarea strategiei . Testarea s-a realizat prin evaluarea sistemului de elaborare a strategiei i a documentelor rezultate, dar i n baza Notei de relaii nr. 1 privind modul de elaborare i fundamentare a strategiei, adresat domnului Georgescu Mihai ef serviciu. Din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat urmtoarele etape: a) definirea rolului IT n cadrul organizaiei, fiind identificat i definit importana departamentului IT; b) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de aciune stabilite la nivelul organizaiei; c) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i implementrii strategiei; d) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere urmtoarele etape: a) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei. Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat; b) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii ameninrilor i oportunitilor cu care se confrunt entitatea; c) Fundamentarea variantelor strategice obiectivele strategice stabilite nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor, precum i 102
Constatri
Concluzii
concentrarea eforturilor umane i materiale. Totodat, trebuie avut n vedere compatibilitatea variantei strategice elaborat teoretic cu realitatea i modul n care s-a reuit surprinderea aciunii factorilor de influen. Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare. Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii ameninrilor i oportunitilor cu care se confrunt entitatea. De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. n activitatea de fundamentare a strategiei nu s-a respectat procedura operaional de lucru aprobat de conducerea entitii, astfel: a) Nerealizarea, pe baza analizei diagnostic, a evalurii situaiei actuale n vederea elaborrii strategiei. b) neidentificarea punctelor tari i a punctelor slabe n vederea determinrii ameninrilor i oportunitilor. c) obiectivele strategice definite n cadrul strategiei nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi.
Auditor intern, Radu George
103
Procedura P08:
Colectarea dovezilor

NOT DE RELAII nr. 1.1 privind elaborarea i fundamentarea strategiei adresat Domnului Georgescu Mihai, ef serviciu
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009

ntrebarea nr. 1. Cine rspunde de elaborarea strategiei n domeniul IT?
Rspuns nr. 1. Compartimentul metodologie i dezvoltare IT. ntrebarea nr. 2. Cum au fost determinate necesitile de achiziii IT i cuprinse n cadrul strategiei? Rspuns nr. 2. Pe baza analizei importanei activitilor pe care le desfoar organizaia i a modului de satisfacere a cerinelor colaboratorilor. ntrebarea nr. 3. Definirea misiunii departamentului pe ce a fost fundamentat? Rspuns nr. 3. Pe baza mandatului stabilit de Consiliul de Administraie. ntrebarea nr. 4. Strategia elaborat a fost implementat? Rspuns nr. 4. Pe baza strategiei au fost elaborate politici pentru fiecare domeniu de activitate al departamentului, politici pe baza crora au fost stabilite activitile i aciunile necesare. ntrebarea nr. 5. La elaborarea strategiei, evaluarea situaiei actuale s-a realizat pe baza unei analize diagnostic? Rspuns nr. 5. Nu. ntrebarea nr. 6. Cum au fost analizate i interpretate, la elaborarea strategiei punctele tari i punctele slabe? Rspuns nr. 6. Nu a fost realizat o analiza a punctelor tari i punctelor slabe la elaborarea strategiei. ntrebarea nr. 7. Fundamentarea strategiei s-a bazat pe elaborarea mai multor variante? Rspuns nr. 7. Nu. ntrebarea nr. 6. Mai avei ceva de adugat? Rspuns nr. 6. Nu.
Data: 13.09.2009 Dat n faa noastr: Auditori Popescu Sorin Radu George ef serviciu, Georgescu Mihai
104
Procedura P08:

INTERVIU nr. 1.1 privind elaborarea i fundamentarea planului strategic, adresat domnului Ionescu Adrian, director general DGTI

Nr. crt. 1. 2. 3.
ntrebri
Da
Nu
Observaii
Exist un sistem de fundamentare a planului X strategic? Planul strategic este corelat cu planurile anuale?
X
Exist un sistem de prioritizare a activitilor X cuprinse n plan?
Planul strategic este defalcat n planurile anuale. Prin planul strategic aprobat se urmrete atingerea obiectivelor strategice stabilite prin politicile entitii publice n domeniul IT.
4. 5. 6.
7. 8. 9. 10. 11. 12. 13.
Strategia definit la nivelul entitii publice definete clar obiectivele? Obiectivele strategice sunt n concordan cu direciile de aciune ale entitii publice? La elaborarea planului strategic ai avut n vedere definirea mandatului i a misiunii structurii organizaionale? Planul strategic are n vedere principalele domenii de interes n domeniul IT? Planul strategic stabilete politica n domeniul IT? Planul strategic precizeaz modalitile de aciune? Planul strategic conine o ealonare a termenelor de realizare a obiectivelor? Au fost previzionate resursele necesare pentru ndeplinirea planului strategic? Necesitile de actualizare a planului strategic sunt analizate periodic? Ai desemnat persoane responsabile cu centralizarea noutilor n vederea actualizrii planului strategic?
X X X X X X X X
Data: 13.09.2009 Formulat n prezena noastr: Auditori Popescu Sorin Radu George Intervievat, Director general, Ionescu Adrian
105

Data: 13.09.2009 Data: 13.09.2009
Nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de dezvoltare. Din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat urmtoarele etape: a) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia; b) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de aciune stabilite la nivelul organizaiei; c) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i implementrii strategiei; d) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere urmtoarelor etape: a) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei. Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat; b) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii ameninrilor i oportunitilor cu care se confrunt entitatea; c) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a reuit surprinderea aciunii factorilor de influenta. Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare. Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii ameninrilor i oportunitilor cu care se confrunt entitatea. De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei implica fixarea i respectarea 106
Cauza
Consecina
Recomandri
termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Personalul responsabil de elaborarea strategiei nu a avut pregtirea necesara n vederea realizrii unei analize de ansamblu a organizaiei i a unei analize a domeniului de activitate, a identificrii factorilor interni i a factorilor externi care influeneaz realizarea activitilor specifice, ct i a ameninrilor i oportunitilor n ndeplinirea obiectivelor. Implementarea strategiei nu contribuie la realizarea mandatului cu care a fost investit organizaia, la atingerea obiectivelor generale definite i la realizarea direciilor de aciune cu privire la dezvoltarea domeniului de activitate. Pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n conformitate cu procedura operaional aprobat. Actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor strategice ale organizaiei. mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei.
Pentru conformitate, Structur auditat
107
TEST nr. 1.3

Data: 13.09.2009 Data: 13.09.2009
Strategia IT definete necesitile i prioritile Definirea obiectivelor generale derivate din obiectivele strategice. Evaluarea condiiilor privind elaborarea strategiei va urmri analiza modului n care au fost definite obiectivele generale, derivate din obiectivele strategice, n conformitate cu Lista de verificare nr. 1, poziia 1.3 respectiv: - Stabilirea obiectivelor strategice a inut cont de mediul intern i de mediul extern; - Obiectivele definite n cadrul strategiei asigur: a. definirea realist a acestora; b. asigurarea factorului de mobilizare; c. definirea lor astfel nct s fie nelese de ctre salariai; d. definirea lor n form stimulatoare; e. asigurarea necesarului de resurse n vederea implementrii obiectivelor - Obiectivele generale sunt definite n termeni de impact; - Obiectivele generale deriv din obiectivele strategice; - Obiectivele generale acoper strategia definit n cadrul domeniului de activitate; - Obiectivele generale n domeniul resurselor umane ofer direcia i inta final ce urmeaz a fi atins; - Obiectivele sunt formulate de o manier precis, riguroas fr interpretri. Testarea a fost completat cu elaborarea unui Interviu privind definirea n termeni de impact a obiectivelor strategice, adresat domnului Stnescu Cristian - ef serviciu. Obiectivele strategice reprezint exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia. Din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c acestea nu ntrunesc urmtoarele caracteristici definitorii: - nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care dispune organizaia n condiiile actuale; - nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor; - nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea coninutului lor de ctre salariai; - nu sunt stimulatoare i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe termen mediu i lung. Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei. Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul economic 108
Constatri
Concluzii
i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare. La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici, cantitativi i calitativi. De asemenea, personalului nu i-au fost asigurate n toate situaiile, condiiile de instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale, pentru a contribui astfel, n condiii de performan, la obinerea impactului definit de obiectivele strategice. Obiectivele strategice nu sunt definite, in toate cazurile, n mod realist, respectiv nu deriv din atribuiile generale ce revin structurii funcionale, ceea ce creeaz confuzii privind modul practic de realizare a acestora i implicit de asigurare a impactului stabilit i de asigurare a definirii corespunztoare a obiectivelor specifice.
109
Interviu nr. 1.2 privind definirea n termeni de impact a obiectivelor strategice, adresat domnului Stnescu Cristian - ef serviciu
Misiunea de audit: Audit IT Perioada auditat: 01.01.2006 - 31.12.2008

Nr. crt. NTREBRI DA NU OBSERVAII
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
Exist un responsabil cu elaborarea strategiei? La definirea obiectivelor strategice a existat o analiz a domeniilor pentru care acestea au fost definite? La definirea obiectivelor strategice au fost luate n calcul capacitile i posibilitile efective ale organizaiei privind implementarea acestora? Obiectivele strategice sunt definite pentru nivelul de nelegere al salariailor? La stabilirea obiectivelor au fost dimensionate resursele pe baza unor indicatori calitativi i cantitativi? La definirea obiectivelor strategice s-a urmrit ca termenul de implementare al acestora s fie multianual? Salariaii au fost pregtii i instruii astfel nct s asigure implementarea obiectivelor? Obiectivele strategice sunt definite cu respectarea atribuiilor i funciilor generale ale organizaiei? Obiectivele generale sunt definite n cadrul strategiei elaborate la nivelul organizaiei? Obiectivele generale ofer pentru domeniile pe care sunt definite, direcia i inta final ce urmeaz a fi atinse? Obiectivele generale sunt definite ntr-o form riguroas, fr interpretri i ntr-o manier precis?
X X X X X X X X X X X
Obiectivele generale definite nu sunt antrenante pentru salariai Obiectivele strategice nu sunt realiste Obiectivele strategice nu sunt mobilizatoare pentru salariai Obiectivele strategice nu sunt nelese de salariai
Data: 13.09.2009 Elaborat n prezena noastr: Auditori Popescu Sorin Radu George
ef Serviciu, Stnescu Cristian
110
Not de relaii nr. 1.2

privind elaborarea planului strategic i a planurilor anuale, adresat domnului ef serviciu Dezvoltare aplicaii
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntrebarea nr. 1: Au fost elaborate planuri strategice i planuri anuale? Rspuns nr. 1: Planul strategic a fost elaborat pentru o perioad de 5 ani n urm cu doi ani. Planul strategic iniial este defalcat n planuri anuale pentru a se asigura coordonarea implementrii subsistemelor IT. ntrebarea nr. 2: Elaborarea acestor planuri s-a realizat ntr-un cadru formalizat? Rspuns nr. 2: Prin decizia managerului general a fost numit o comisie format din conductorii principalelor departamente din cadrul entitii publice avnd responsabilitatea elaborrii planului strategic i a planurilor anuale. n calitate de conductor al departamentului IT fac parte din aceast comisie. ntrebarea nr. 3: Exist un sistem de fundamentare a planului strategic? Rspuns nr. 3: Fundamentarea planului strategic s-a realizat pe baza analizei nevoilor de informatizare formulate de ctre departamentele ce asigur realizarea funciilor principale ale entitii publice, pornindu-se de la sistemul IT existent i urmrindu-se realizarea msurilor necesare n vederea atingerii parametrilor stabilii prin politica IT. ntrebarea nr. 4: Exist un sistem de prioritizare a activitilor cuprinse n plan? Rspuns nr. 4: Da. Implementarea subsistemelor IT se va realiza conform planificrii, pornind de la importana acestora pentru entitatea public i inndu-se cont de resursele de care dispune organizaia. ntrebarea nr. 5: Mai avei ceva de adugat? Rspuns nr. 5: Nu. Data: 13.09.2009 Intervievat, Adrian Ionescu Dat n faa noastr: Auditori Popescu Sorin Radu George
111
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Intern
FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 1.3
Data: 13.09.2009 Data: 13.09.2009
Cauza
Consecina
Recomandarea
Obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei. Obiectivele strategice reprezint exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia. Din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c acestea nu ntrunesc urmtoarele caracteristici definitorii: - nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care dispune organizaia n condiiile actuale; - nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor; - nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea coninutului lor de ctre salariai; - nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe termen mediu i lung. Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei. Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare. La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici, cantitativi i calitativi. De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n condiii de performan, la obinerea impactului definit de obiectivele strategice. Personalul implicat n elaborarea strategiei nu a fost pregtit n cadrul organizaiei i nu a reuit s neleag obiectivele strategice i s stabileasc corect obiectivele generale, care vor sta la baza stabilirii obiectivelor specifice ale acesteia. n forma n care au fost identificate i stabilite obiectivele strategice i generale, departamentul nu poate pune la dispoziia organizaiei o strategie care s asigure posibilitatea de a-i dezvolta un management eficient i eficace al domeniului de activitate n consens cu mandatul su. Evaluarea performanelor actuale ale sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. 112
Implicarea managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie. Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare (materiale, financiare i umane) implementrii lor.
113
TEST nr. 1.4

Data: 13.09.2009 Data: 13.09.2009
Planurile IT ajut la ndeplinirea misiunii organizaiei Fundamentarea resurselor n vederea elaborrii planului anual de activitate. Evaluarea resurselor n vederea elaborrii planului anual de activitate a pornit de la analiza fundamentrii planului, pe baza elementelor prezentate n Lista de verificare elaborat. La elaborarea planului de activitate au fost avute n vedere urmtoarele: - planul de activitate anual a fost comunicat i este cunoscut de personalul implicat n realizarea acestuia; - salariaii sunt motivai i cointeresai n realizarea obiectivelor planului de activitate; - este fundamentat i dimensionat necesarul de resurse; - pentru realizarea activitilor planificate sunt asigurate competenele necesare; - salariaii cunosc metodologia de realizare i implementare a activitilor planificate; - planul este alctuit n concordan cu bugetul anual de venituri i cheltuieli; - pentru realizarea planului anual de activitate, managementul a luat n considerare i cunoaterea nevoilor salariailor; - planul anual de activitate coreleaz obiectivele individuale cu cele organizaionale; - stabilirea planului anual de activitate permite ncadrarea n resursele financiare planificate. - sunt anticipate condiiile viitoare n care va funciona organizaia. Testarea a fost completat cu un Interviu privind fundamentarea resurselor pentru asigurarea implementrii planului de activitate, adresat domnului Popescu Valentin ef serviciu Dezvoltare Aplicaii. Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea de costuri i resurse ridicate din partea organizaiei, care, n cele mai multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia. n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n mod corespunztor, deoarece nu au fost repartizate atribuiile n cadrul compartimentelor n corelaie cu noile obiective stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri, obiectivele i activitile, dei erau cunoscute de personal, acesta nu avea competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea activitilor. n alte cazuri, activitile de realizat nu au fost comunicate obiectiv salariailor, respectiv obiectivele individuale au rmas aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor obiective ale planului. Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico114
Constatri
Concluzii
informaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului anual, a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului. n cadrul planului, reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au pierdut o serie de competene care, din motive financiare, nu au mai putut fi nlocuite, ceea ce a condus la realizarea activitilor, fr a fi ndeplinite condiiile de performan stabilite. Monitorizarea resurselor financiare utilizate n derularea obiectivelor planului anual a fost de multe ori deficitar, ceea ce a contribuit la majorarea costurilor . n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor generale i a obiectivelor strategice. Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate corespunztor, deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului. De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care s derive din noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului funcional. n cadrul planului anual nu au fost definite obiective i activiti care s asigure nevoia de mbuntire a nivelului de competen n raport cu progresele tehnicoinformaionale i organizatorice, creterea eficienei i reducerea costurilor, prin corelarea necesarului de echipamente cu necesitile de atingere a obiectivelor planului. S-a constatat monitorizarea deficitar a resurselor financiare utilizate n derularea obiectivelor planului anual, ceea ce a dus la costuri suplimentare fa de cele planificate pentru implementarea obiectivelor stabilite. Necorelarea atribuiilor compartimentelor n vederea organizrii i asigurrii competenelor necesare realizrii noilor obiective i activiti stabilite. Necunoaterea de ctre toi salariaii a structurii planului anual de activitate, ceea ce nu a asigurat implicarea acestora n implementarea obiectivelor. Neasigurarea n totalitate a necesarului de mijloace pentru realizarea planului, respectiv nu a existat un echilibru ntre necesitile de realizare a planului i necesarul de echipamente. Depirea costurilor planificate n realizarea i implementarea obiectivelor. Performanele stabilite n realizarea activitilor nu au fost atinse n toate cazurile.
115
ENTITATEA PUBLIC Serviciul Audit Intern INTERVIU nr. 1.3 privind fundamentarea resurselor pentru asigurarea implementrii planului de activitate, adresat Domnului Popescu Valentin ef serviciu Dezvoltare Aplicaii Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009
Nr. crt.
1. 2. 3. 4. 5. 6.
NTREBRI
Exist un plan de activitate elaborat? Planul de activitate este elaborat pe domenii de activitate? La elaborarea planului de activitate s-a realizat o analiz SWOT a domeniilor de activitate? Planul de activitate este corelat cu posibilitile materiale, financiare i umane existente n cadrul organizaiei?
DA
NU
OBSERVAII
X X X X
Planul de activitate a fost adus la cunotina i este cunoscut de X salariaii implicai n realizarea lui? Politicile i strategiile elaborate n cadrul organizaiei i care asigur implementarea i realizarea planului de activitate, inclusiv metodologiile interne de lucru sunt cunoscute de X salariai? Atribuiile definite compartimentelor s-a realizat n corelaie cu activitile i sarcinile repartizate acestora? Pentru realizarea activitilor n cadrul compartimentelor au X existat competenele necesare? Activitile au fost comunicate corespunztor salariailor prin atribuirea de obiective individuale corespunztoare? Monitorizarea realizrii activitilor planificate s-a realizat X corespunztor, pe niveluri de responsabiliti? Personalul implicat n realizarea obiectivelor i activitile planificate a deinut cunotinele necesare realizrii acestora ? Pentru realizarea activitilor au fost asigurate echipamentele i tehnologiile necesare ? Data: 13.09.2009 Elaborat n prezena noastr: Auditori Popescu Sorin Radu George
X x X
Nu este realizat o analiz a comportamentului salariailor cu privire la intele i indicatorii planului Unele activiti nu au fost implementate corespunztor
7. 8. 9. 10. 11. 12.
Realizarea cu ntrziere a activitilor
X X
Depirea costurilor planificate n realizarea obiectivelor Nu a existat echilibru ntre necesitile planului i necesarul de echipamente
ef serviciu Dezvoltare aplicaii, Popescu Valentin
116

Data: 13.09.2009 Data: 13.09.2009
Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate; Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia. n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea activitilor. n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor obiective ale planului. Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnicoinformaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului. n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite. Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru implementarea obiectivelor stabilite. n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei, importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii i resursele interacioneaz continuu. Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului. De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din noile obiective stabilite n cadrul planului de activitate i care se aflau n 117
Cauza
Consecina
Recomandarea
competena compartimentului funcional. Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de mbuntire a nivelului de competen n raport cu progresele tehnicoinformaionale i organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile de atingere a obiectivelor planului. Inexistena unui sistem de reglementare i monitorizare a instruirii personalului, la nivelul structurilor funcionale, prin care s se asigure comunicarea clar a sarcinilor de realizat, a instrumentelor de aplicat i urmrirea utilizrii acestora. Inexistena programelor de formare care se bazeaz pe dezvoltarea aptitudinilor de cercetare-analiz-diagnoz, pe cultivarea capacitii de asumare a responsabilitilor de a decide sau de a conduce activitatea unui grup. Atitudinea fa de sarcini i responsabiliti nu este ntotdeauna pozitiv, iar politica de cointeresare este slab. Planurile anuale de activitate nu sunt ndeplinite n condiii de performan, iar indicatorii de impact sau rezultat ataai obiectivelor nu sunt realizai n condiii de eficien, economicitate i eficacitate. Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul compartimentelor. Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii economice n condiiile n care au loc reduceri de personal. Evaluarea cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite.
118
TEST nr. 1.5

Data: 13.09.2009 Data: 13.09.2009
Planurile IT ofer asigurare cu privire la faptul c nevoile IT sunt alocate n concordan cu necesitile Implementarea subsistemele IT pentru funcii principale stabilite urmare direciilor de dezvoltare ale organizaiei. Populaia statistic a fost constituit din cele trei de funcii principale nou-create la nivelul entitii publice n baza recomandrilor Comisiei Europene, identificate ca urmare a analizei modificrilor operate n organigram la data elaborrii planului strategic. Eantionul pentru realizarea testrii situaiei subsistemelor IT pentru funciile principale a fost constituit din cele trei funcii identificate. Testarea a constat n examinarea urmtoarelor elemente: - examinarea dac subsistemele IT acoper n totalitate nevoile pentru funciile principale ale entitii publice - analiza dac nevoile de subsisteme IT pentru funciile principale nou-create au fost acoperite - verificarea dac departamentele nfiinate ca urmare a funciilor principale noucreate au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme IT proprii activitii lor - analiza procedurile pe baza crora se realizeaz subsistemele IT i stabilirea dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime Testarea s-a concretizat n elaborarea unei Liste de control privind analiza subsistemelor IT pentru funciile principale nou-create. Din analiza efectuat s-a constatat c n cadrul entitii publice exist structuri nounfiinate, ca urmare a schimbrilor legislative aprute, pentru care nu s-au realizat aplicaii informatice specifice, respectiv Autoritatea de Management a Fondurilor Structurale, Autoritatea de Management a Fondurilor de Coeziune, Autoritatea competent pentru acreditarea ageniilor de plat. n acelai timp, exist i o structur nou nfiinat Autoritatea de Management a Fondurilor de Coeziune care a notificat departamentul IT, dar implementarea nu s-a realizat n termen. Nu exist aplicaii informatice implementate la nivelul tuturor structurilor funcionale din cadrul entitii Supervizor, Dumitru Daniel
Constatri
Concluzii
119
INTERVIU nr. 1.4 privind subsistemele IT pentru funciile principale adresat domnului Ionescu Adrian, Director General
Nr. crt. 1. 2. 3. 4.
ntrebri
Planul strategic prevede elaborarea de subsisteme IT pentru funciile principale? Au fost elaborate subsisteme IT pentru toate funciile principale? Procesul de elaborare a subsistemelor IT pentru funciile principale este procedurat? Au fost elaborate subsisteme IT pentru funcii principale aprute la solicitarea Comisiei Europene sau ca urmare a schimbrilor legislative aprute n Romnia? A fost efectuat periodic (trimestrial, anual) o analiz a nevoilor de subsisteme IT la nivelul funciilor principale noucreate? Sunt corelate termenelor de realizare a subsistemelor IT? Au fost realizate subsistemele IT la termenele prevzute? Au fost previzionate resursele necesare pentru elaborarea subsistemelor IT?
Da X
Nu
Observaii
X X
Procesul de elaborare a subsistemelor IT este nc n derulare. Prin planul strategic au fost stabilite termene de realizare a subsistemelor IT. Resursele umane de care dispunem sunt implicate n elaborarea subsistemelor IT prevzute prin planul strategic defalcat n planuri anuale. Pn n prezent planul strategic iniial nu a fost modificat. Realizarea acestei analize nu este n sfera de competene a conductorului departamentului IT
5.
X X X X
6. 7. 8.
Da, prin planul strategic. S-au nregistrat ntrzieri n realizarea subsistemelor IT Departamentul IT asigur resursele umane necesare pentru elaborarea subsistemelor IT.
Data: 13.09.2009 Intervievat, Director general, Ionescu Adrian Elaborat n prezena noastr: Auditori Popescu Sorin Radu George
120

Problema
Data: 13.09.2009 Data: 13.09.2009
Constatarea
Cauza
Consecina
Recomandarea
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se desfoar n cadrul acestora. Din analiz s-a constatat c n cadrul entitii publice exist structuri nounfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor. Inexistena la nivelul entitii publice a unor proceduri complete de elaborare a strategiei IT care s permit actualizarea sistematica, funcie de schimbrile legislative; Insuficiena personalului de specialitate. Domenii importante de activitate ale entitii publice pentru care nu s-a realizat implementarea subsistemelor IT necesare pentru desfurarea activitii au randamente sczute, ceea ce afecteaz pe ansamblul realizarea activitilor entitii publice Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor; Inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.
121
122
Procedura P10 ENTITATEA PUBLIC Serviciul Audit Intern
LISTA DE VERIFICARE nr. 2
Data: 15.09.2009 Data: 15.09.2009
Obiectivul I. ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT

Nr. crt. A 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15. 1.16. 2. 2.1. 2.2. 2.3. 2.4. Activitatea de audit Da Nu Observaii
Definirea atribuiilor i activitilor Definirea atribuiilor i responsabilitilor n cadrul departamentului IT Funcionalitatea procedurilor de lucru n corelaie cu activitile X derulate Verificarea gradului de acoperire prin procedur a activitilor privind X organizarea i definirea structurilor organizatorice. Verificarea concordanei atribuiilor stabilite Departamentului IT cu cele ale organizaiei Verificarea definirii clare a atribuiilor pe compartimentele funcionale ale Departamentului IT Verificarea definirii activitilor ce trebuie realizate n cadrul Departamentului IT Examinarea constituirii structurii funcionale de IT Analiza criteriilor avute n vedere la crearea compartimentelor funcionale ale structurii organizatorice; nglobarea activitilor de control intern n punctele cheie de realizare a activitilor Atribuiile sunt stabilite urmare a evalurii posturilor; Verificai dac definirea atribuiilor ine cont de reglementrile legale aplicabile; Verificai dac atribuiile executate n cadrul compartimentului IT sunt n responsabilitatea acestui compartiment; Verificai dac responsabilitile sunt delimitate clar de atribuii i competene; Verificai dac sunt definite atribuiile i aria de competen Verificai dac aria de competen asigur realizarea activitilor i aciunilor stabilite Verificai dac relaiile cu celelalte posturi din cadrul compartimentului cu care ar trebui s aib relaii funcionale sunt clar definite Verificai dac definirea atribuiilor ine cont de obiectivele generale i specifice; Definirea activitilor n cadrul structurii organizatorice Verificai dac activitile sunt identificate la nivelul departamentului X IT; Verificai dac activitile sunt definite omogen n cadrul structurii X funcionale Verificai dac atribuiile specifice care asigur realizarea activitilor X sunt definite n cadrul atribuiilor generale ale organizaiei; Verificai dac activitile repartizate n cadrul compartimentelor
123
2.5. 2.6. 2.7. 2.8. 2.9. 2,10. 2.11. 2.12. 2.13. 2.14.
2.15. B. 1. 1.1.
1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8.
1.9.
1.10.
respect criteriile avute n vedere la nfiinarea acestora, respectiv exist atribuii definite pentru realizarea lor; Analizai dac aciunile efectuate pentru realizarea activitilor se regsesc n sarcinile definite la nivelul posturilor; Verificai dac la realizarea unei activiti contribuie un singur compartiment; Verificai dac la repartizarea activitilor pe compartimente se ine seama de rolul acestora; Verificai dac atribuiile stabilite pentru realizarea activitii asigur competena necesar pentru realizarea acesteia; Verificai dac pentru fiecare activitate sunt stabilite aciunile necesare; Verificate dac pentru fiecare aciune stabilit exist sarcin definit n fia postului; Verificai dac personalul are calificarea necesar pentru realizarea activitilor; Verificai dac pentru activitile identificate exist competena alocat n vederea realizrii lor; Verificai dac activitile identificate i alocate obiectivelor asigur realizarea acestora i obinerea rezultatelor ateptate; Verificai dac activitile repartizate n cadrul compartimentelor respect criteriile avute n vedere la nfiinarea acestora; a) definirea omogen a activitilor b) activitile repartizate n cadrul compartimentelor respect criteriile avute n vedere la nfiinarea acestora c) atribuiile stabilite pentru realizarea activitilor definesc aria necesar realizrii activitilor d) aciunile stabilite n realizarea activitilor se regsesc n sarcinile definite la nivelul posturilor; Verificai dac personalul are calificarea adecvat pentru realizarea activitilor; Stabilirea structurii organizatorice Organizarea funcional a departamentului IT Verificai modul de elaborare i funcionalitatea organigramei departamentului IT; a) stabilirea structurii funcionale a departamentului, pe baza organigramei b) organigrama permite vizualizarea de ansamblu a organizrii departamentului c) definirea n termen a relaiilor din cadrul departamentului d) definirea raporturilor de subordonare n cadrul organigramei e) definirea numrului de posturi prin intermediul organigramei Elaborarea organigramei n consens cu structura organizatoric; Constituirea compartimentelor a avut n vedere natura activitilor; Verificarea aprobrii organigramei de ctre persoanele competente; Examinarea organigramei departamentului IT; Evaluai demersurile realizate de departamentul IT pentru ocuparea posturilor de conducere; Analizai consecinele funcionrii departamentului IT prin delegarea persoanelor de conducere; Verificai dac organigrama departamentului IT asigur: a) numrul total de posturi de conducere b) numrul total de posturi de conducere ocupate cu delegaie c) numrul de posturi de execuie d) numrul de posturi de execuie neocupate Verificai dac demersurile efectuate pentru ocuparea posturilor de conducere: a) numrul de concursuri organizate b) numrul de solicitri ctre departamentul de resurse umane n vederea organizrii concursurilor Verificai dac conducerea a avut preocupri pentru ocuparea posturilor de execuie a) numrul de concursuri organizate
Test nr. 2.2. Interviu nr. 2.1. Not de relaii nr. 2.1. FIAP nr. 2.2.
X X X X Test nr. 2.4 Lista de control 2.1 FIAP nr. 2.4
124
1.11. 1.8. 1.9. 1.10.
1.11. 1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19. 1.20. 1.21.
1.22. 1.23. 1.24. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8.
b) numrul de solicitri ctre departamentul de resurse umane n vederea organizrii concursurilor Verificai existena un ui plan de implementare a msurilor necesare, menit s asigure buna desfurare a activitii n cazul existenei unui numr mare de posturi vacante Evaluai preocuparea conducerii pentru ocuparea posturilor de X execuie; Existena unui plan de implementare a msurilor necesare menite s asigure buna desfurare a activitii n cazul existenei unui numr X mare de posturi vacante; Analizai dotarea departamentului cu echipamente hard i soft adecvate pentru desfurarea activitilor specifice, astfel: a) numr suficient de calculatoare dotate corespunztor; X b) numr suficient de servere; c) numr suficient de echipamente auxiliare (imprimante, xerox-uri, scanere, conexiuni la intranet/Internet); - programe IT adecvate. Verificai dac exista responsabil monitorizarea stadiului i modului de X realizare a obiectivelor generale i specifice ale departamentului; Verificarea limitelor decizionale stabilite n derularea i realizarea X activitilor; Examinarea modului de analiz a posturilor i de definire a sarcinilor X pe posturi; Analiza modului de specializarea a posturilor n corelaie cu tipul de X activiti ce sunt realizate Verificai dac elaborarea organigramei este realizat n consens cu X structura organizatoric; Verificai dac posturile atribuite compartimentelor asigur realizarea X activitilor repartizate; Verificai dac sistemul informaional este proiectat n conformitate cu X strategia; Verificai dac sunt stabilite circuitele informaionale; X Analizai dac mijloacele de realizare a circuitelor informaionale sunt X definite i cunoscute; Verificai dac sistemul informaional este operaional i este folosit X eficient i eficace; Verificai dac tehnologiile informaionale sunt folosite i exploatate: Internetul X E-mail-ul Intranetul Verificai dac oportunitatea, calitatea i cantitatea informaiilor este X bine precizat; Verificai dac organigrama stabilete responsabilii structurilor X funcionale corespunztor fiecrui nivel ierarhic; Analizai dac organigrama stabilete autoritatea de care responsabili X structurilor funcionale dispun. Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT Verificarea existenei politicii unitare privind gestionarea riscurilor X Verificarea existenei sistemului de evaluare a riscurilor X Verificai dac pentru riscurile identificate sunt stabilite i funcioneaz Test nr. 2.5 controale interne Interviu 2.2 FIAP nr. 2.5 Verificai modalitatea de stabilire i introducere a instrumentelor de control pentru meninerea lor n limita de acceptare i dac acestea menin riscurile la niveluri inferioare Analizai dac exist un responsabil cu gestionarea riscurilor la nivelul X departamentului IT Verificarea existenei Registrului riscurilor la nivelul Departamentului X IT Verificai dac actualizarea Registrului riscurilor se realizeaz X sistematic Verificai dac riscurile majore prezentate n Registrul riscurilor X elaborat la nivelul Direciei IT se regsesc n Registrul riscurilor
125
2.9.
2.10. 2.11.
2.12. 2.13. 2.14. 2.15. 2.16. 2.17. 2.18. 2.19. 2.20 C. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15.
elaborat la nivelul ntregii entiti publice; Verificai dac exist un proces formal de analiz a riscurilor, utilizat nainte de introducerea i ameliorarea noilor sisteme i pregtirea unor planuri realiste de meninere a serviciilor n cazul n care operaiunile nu decurg aa cum au fost proiectate. Examinai dac se realizeaz monitorizarea i administrarea riguroas a riscurilor care privesc implementarea aplicaiilor Analizai dac implementarea controlului intern a urmrit dac acesta este proiectat, implementat i meninut pentru a aborda riscurile care amenin atingerea oricruia dintre obiectivele departamentului cu privire la: a) credibilitatea raportrii financiare b) eficiena i eficacitatea operaiilor sale c) respectarea legilor i reglementrilor aplicabile Verificai dac riscurile sunt clar identificate i delimitate pe programe; Verificai dac riscurile sunt tratate ca responsabilitate a conducerii superioare, dat fiind impactul potenial al acestora asupra proiectului i utilizrii resurselor; Evaluai dac probabilitatea i impactul riscurilor sunt analizate separat i sunt numite persoane care rspund de reducerea acestora; Verificai dac revizuirea planurilor de diminuare i de gestionare a riscurilor se realizeaz n mod regulat; Examinai dac un risc identificat este raportat conducerii superioare i sunt dispuse msuri de control intern pentru meninerea acestuia n limite acceptabile; Verificai dac criteriile de performan sunt utilizate corect n procesele informaionale; Analizai dac aprecierea criteriilor de performan are la baz capacitile i abilitile demonstrate de salariai; Verificai dac procesul decizional este implementat la toate nivelurile ierarhice; Analizai dac structura compartimentala este corect stabilit n funcie de natura i omogenitatea activitilor; Stabilirea responsabilitilor Definirea sarcinilor prin fia postului Verificai dac elaborarea fiei postului este realizat n corelaie cu cerinele postului; Verificai dac sunt definite responsabiliti n realizarea sarcinilor din fia postului; Verificai dac fia postului definete corect cunotinele IT necesare ocuprii postului; Verificai dac este asigurat continuitatea realizrii activitilor la eliberarea postului; Abilitile, cunotinele i aptitudinile definite posturilor asigur realizarea activitilor repartizate i a celor stabilite departamentului; Verificai dac la definirea obiectivelor i sarcinilor se urmrete i dezvoltarea capacitii profesionale a salariatului; Verificai dac stabilirea obiectivelor individuale este realizat n corelaie cu obiectivele departamentului; Verificai dac persoana care ocup postul are capacitatea de a asigura ndeplinirea atribuiilor i sarcinilor stabilite; Verificai dac atribuiile definite n fia postului au caracter individual Verificai dac stabilirea sarcinilor din fia postului este realizat n concordan cu atribuiile din ROF; Analizai modul de definire a competenelor manageriale; Examinarea stabilirii sarcinilor n corelaie cu gradul profesional pe care l definete postul; Verificai dac atribuiile definite n fia postului sunt n concordan cu activitile efectiv realizate de persoana ocupant a postului; Urmrirea alocrii sarcinilor n fia postului n concordan cu competenele manageriale: a) modul de definire pentru funciile de execuie;
X X Test. nr. 2.6 FIAP nr. 2.6 X
X X X X X X X X X
X X X X X X X X X X X X X X X
126
1.16.
1.17. 1.18.
b) modul de definire pentru funciile de conducere; Analizai dac fia postului definete: a) condiiile privind studiile de specialitate b) condiiile privind specializrile necesare pentru ocuparea postului c) condiiile privind cunotinele informatice d) definirea sarcinilor n funcie de nivelul postului e) alocarea sarcinilor n concordan cu competenele manageriale necesare postului Verificarea definirii sarcinilor n conformitate cu activitile derulate; Verificai dac atribuiile sunt definite astfel nct s asigure aria de competen necesar realizrii activitilor, respectiv: a) analiza atribuiilor stabilite compartimentului i stabilirea dac aria de competen a acestora ajut la realizarea activitilor b) urmrirea ca aria de competen s asigure realizarea activitilor i aciunilor stabilite compartimentului funcional c) analiza relaiilor cu celelalte structuri funcionale din cadrul organizaiei cu care are sau ar trebui s aib relaii funcionale pentru realizarea atribuiilor i activitilor
X Test nr. 2.7 Interviu 2.3 Not de relaii nr. 2.1 FIAP nr. 2.7
X Test nr. 2.8 FIAP nr. 2.8 X
127
TEST nr. 2.1.

Data: 15.09.2009 Data: 15.09.2009
Constatri
Concluzii
Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT Evaluarea i urmrirea dac atribuiile stabilite personalului definesc aria de competen necesar realizrii activitilor i aciunilor; Eantionul s-a constituit prin selectarea a cte dou posturi din cadrul fiecrui compartiment funcional al Departamentului IT, respectiv un numr de 6 posturi. In cazul acestora se vor evalua atribuiile i relaiile funcionale definite cu privire la: - definirea atribuiilor i a ariei de competen a acestora; - urmrirea dac aria de competen asigur realizarea activitilor i aciunilor stabilite; - analiza relaiilor cu celelalte posturi din cadrul compartimentului cu care ar trebui s aib relaii funcionale. Atribuiile definite n sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate. Atribuiile stabilite salariailor nu asigur ntotdeauna aria de competen necesar pentru realizarea activitilor.
128
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 2.1.
Problema
Data: 13.09.2009 Data: 13.09.2009
Constatarea
Cauza
Consecina Recomandarea
Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de competen privind realizarea activitilor i aciunilor repartizate. Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate. Definirea atribuiilor specifice postului s-a realizat de ctre fiecare ef de compartiment, fr a mai fi analizate i evaluate de ctre persoanele responsabile de la nivelul departamentului. Persoanele din cadrul compartimentelor funcionale nu au dispus de cunotinele necesare astfel nct s poat defini corect o atribuie i n acelai timp s urmreasc daca acestea asigur aria de competen a realizrii activitilor repartizate postului. Nu se asigur o arie de competen necesar i suficient pentru realizarea activitilor i aciunilor. Contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor.
129
Procedura P08: ENTITATEA PUBLIC Serviciul Audit Intern
TEST nr. 2.2.

Data: 15.09.2009 Data: 15.09.2009
Definirea activitilor n cadrul structurii organizatorice. Delimitarea activitilor compartimentului pe posturi. Populaia eantionat o reprezint activitile i atribuiile alocate i stabilite pentru dou servicii din cadrul departamentului IT, respectiv serviciul responsabil de ntreinerea i implementarea aplicaiilor i serviciul responsabil cu programarea n cadrul organizaiei. Criteriile avute n vedere la analiza i evaluarea activitilor sunt reprezentate de cele definite n Lista de verificare, i anume: definirea omogen a activitilor; activitile repartizate n cadrul compartimentelor respect criteriile avute n vedere la nfiinarea acestora; atribuiile stabilite pentru realizarea activitilor definesc aria necesar; aciunile necesare realizrii activitilor se regsesc n sarcinile definite n fia postului. Pentru realizarea testului a fost realizat un interviu privind modul de stabilire a activitilor n cadrul compartimentului, cu domnul Ionescu Adrian director general Departament IT i a fost luat o not de relaii domnului Popescu Marin, ef serviciu ntreinere i Implementare Aplicaii.
Constatri
La proiectarea structurii organizatorice se pleac de la inventarierea activitilor existente sau necesare pentru realizarea obiectivelor i se efectueaz o analiz critic pentru a se putea constata n ce msur acestea sunt adecvate realizrii funciunii. La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri) i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri ierarhice de-a lungul crora se exercit autoritatea n organizaie. Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv specific a pus n eviden urmtoarele: unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni concrete de realizare a acestora, fie indic o aciune comun de realizare; altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite; nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care asigur conformitatea cu reglementrilor legale. Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i probleme semnificative de 130
suprapunere i coordonare. De asemenea, pentru realizarea unor activiti nu se respect principiul convergenei n definirea i stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv.
Concluzii
Activitile nu sunt corect identificate i definite n cadrul compartimentelor, astfel nct s contribuie la realizarea i implementarea obiectivelor.
131
INTERVIU NR. 2.1 privind definirea activitilor i responsabilitilor n cadrul departamentului IT, adresat domnului Adrian Ionescu, director general DGTI
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 Nr. crt. 1. 2. 3. 4. 5. 6. ntrebri Avei o strategie de dezvoltare la nivelul structurii funcionale? Exist un responsabil cu actualizarea strategiei n cadrul compartimentului IT? Strategia de dezvoltare a compartimentului IT este n concordan cu strategia general a organizaiei? Ai aprobat un plan de activitate anual pentru compartimentul IT? Ai dezvoltat politici publice n domeniul IT pentru asigurarea atingerii obiectivelor stabilite prin plan? Exist proceduri operaionale de lucru pentru toate activitile care se desfoar n cadrul compartimentului? Exist responsabili desemnai pentru elaborarea i actualizarea sistematic a procedurilor operaionale? Ai aprobat procedurile operaionale de lucru? Pn n prezent s-a realizat vreo revizie pentru actualizarea procedurilor operaionale de lucru? Considerai c procedurile operaionale sunt complete, funcionale i asigur desfurarea corespunztoare a activitilor din cadrul compartimentului IT? Mai avei ceva de adugat referitor la cele de mai sus?
Data: 15.09.2009
Da X X X X X X X X X X
Nu
Observaii
Da, au fost elaborate proceduri operaionale de lucru, sunt cunoscute i nsuite de ctre salariai
7. 8. 9. 10.
Da, anumite proceduri au fost actualizate de 2 ori. Da, dup efectuarea mai multor revizii. X
11.
Intervievat, Director General Adrian Ionescu
Elaborat n faa noastr; Auditori Popescu Sorin Radu George
132
NOT DE RELAII nr. 2.1 privind modul de stabilire a activitilor n cadrul compartimentului adresat domnului Popescu Marin ef serviciu ntreinere i Implementare Aplicaii.
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntrebarea nr. 1: Ai participat la stabilirea atribuiilor i activitilor compartimentului? Rspuns nr. 1: Activitile n cadrul compartimentului au fost stabilite pe baza atribuiilor definite. ntrebarea nr. 2: Ai fost implicat n elaborarea atribuiilor compartimentului? Rspuns nr. 2: n anul 2007 a fost elaborat Regulamentul de organizare i funcionare unde am participat efectiv pentru departamentul pe care l coordonez. De fapt atribuiile stabilite de mine au rmas neschimbate n urma aprobrii regulamentului. ntrebarea nr. 3: La proiectarea structurii organizatorice s-a inut cont de inventarierea activitilor executabile ? Rspuns nr. 3: Structura compartimentului i numrul de posturi au fost prestabilite, iar noi a trebuit doar s alocm activitile i atribuiile. ntrebarea nr. 4: Activitile definite indic aciuni concrete de realizare i rezultate ateptate? Rspuns nr. 4: n unele cazuri da, n alte cazuri le-am definit sub form de relaii de colaborare sau participare n funcie de scopul urmrit. ntrebarea nr. 5: Cum explicai faptul c nu sunt identificate toate activitile necesare realizrii obiectivelor? Rspuns nr. 5: Ulterior direcia a mai primit i alte activiti n vederea realizrii, ns pentru acestea nu s-a mai procedat la reanalizarea obiectivelor i redefinirea acestora. ntrebarea nr. 6: Din analiza unor activiti a rezultat c acestea sunt realizate mpreun cu alte compartimente, ns, evalund obiectivele, s-a constatat c realizarea acestora include i activitile realizate de celelalte compartimente. Cum explicai aceasta? Rspuns nr. 6: Aceste obiective i activiti se regsesc la ambele compartimente, ns fiecare compartiment realizeaz numai partea pentru care este responsabilizat. ntrebarea nr. 7: Mai avei ceva de adugat? Rspuns nr. 7: Nu.
Data: 15.09.2009 Dat n faa noastr: Auditori Popescu Sorin Radu George ef serviciu Popescu Marin
133
Problema
Data: 15.09.2009 Data: 15.09.2009
Constatarea
Cauza
Consecina
Recomandarea
Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente. La proiectarea structurii organizatorice se pleac de la inventarierea activitilor existente sau necesare pentru realizarea obiectivelor i se efectueaz o analiz critic pentru a se constata n ce msur acestea sunt adecvate realizrii funciunii. La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri) i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri ierarhice de-a lungul crora se exercit autoritatea n organizaie. Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv specific a pus n eviden urmtoarele: unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni concrete de realizare a acestora, fie indic o aciune comun de realizare; altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite; nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care asigur conformitatea cu reglementrile legale. Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i probleme semnificative de suprapunere i de coordonare. De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv. Managementul superior nu a acordat o suficient atenie domeniului organizaional, n vederea reglementrii lui formale n cadrul tuturor compartimentelor funcionale. Nestabilirea clar a activitilor i aciunilor poate conduce la nerealizarea, n condiii optime, a obiectivelor i nu permite identificarea cauzelor care au stat la baza nerealizrii. De asemenea, nu se pot identifica problemele cu care se confrunt personalul i nici nu se pot implementa politici care s asigure eficiena i eficacitatea n realizarea activitilor. Organizarea eficient a activitii impune realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s 134
analizeze i s redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate. La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.
135
TEST nr. 2.3

Data: 15.09.2009 Data: 15.09.2009
Organizarea funcional a Departamentului IT Examinarea dac organigrama reprezint un instrument la ndemna conducerii prin care se permite vizualizarea de ansamblu a organizrii departamentului IT.
Analiza modului de elaborare a organigramei se realizeaz n conformitate cu actul normativ de organizare i funcionare a organizaiei i cu modului efectiv de organizare i funcionare a structurilor funcionale din cadrul organizaiei, punndu-se accent pe urmtoarele: - stabilirea structurii funcionale a departamentului, pe baza organigramei; - organigrama permite vizualizarea de ansamblu a organizrii departamentului; - definirea n termen a relaiilor din cadrul departamentului; - definirea raporturilor de subordonare n cadrul organigramei; - definirea numrului de posturi prin intermediul organigramei;
Constatri
Concluzii
Organigrama, ca document prin care se relev grafic structura organizaiei i substructurile acesteia, nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de subordonare potrivit organigramei, Serviciul Programare este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct al departamentului, n realitate acest compartiment este organizat la nivel de serviciu i subordonat directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare reorganizrilor efectuate. Definirea relaiilor ierarhice, aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare a departamentului n structura organizatoric a organizaiei i nu asigur operativitatea fluxului de informaii i date ntre structurile implicate n prelucrarea datelor i obinerea rezultatelor finale. n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n cadrul serviciilor, numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor ierarhice. Organigrama nu este funcional i nu prezint n totalitate raporturile funcionale, nivelurile ierarhice i relaiile interne existente ntre compartimente.
136

Problema
Data: 15.09.2009 Data: 15.09.2009
Constatarea
Cauza
Consecina
Organigrama nu permite o vizualizare de ansamblu a organizrii departamentului, a numrului de personal repartizat n cadrul compartimentelor i a relaiilor existente ntre compartimente. Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor efectuate. Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de informaii i date ntre structurile implicate n fluxul tehnologic al activitilor. n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor ierarhice. La nivelul organizaiei nu au existat reglementri procedurale s defineasc i s stabileasc o form cadru de elaborare a organigramei. n ultima perioad n cadrul organizaiei au fost realizate mai multe modificri structurale, n sensul c activitile desfurate au fost reorganizate, ceea ce a presupus i modificri ale structurilor funcionale. Nu se asigur o nelegere corespunztoare a modului de organizare i funcionare a departamentului, a nivelului ierarhic i a relaiilor existente ntre compartimente. n forma n care este elaborat organigrama, nu conine o serie de informaii referitoare la relaiile interne existente ntre compartimente i la nivelurile de subordonare. Analiza actului normativ de organizare i funcionare a organizaiei. Urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate activitile desfurate. Stabilirea corect a relaiilor i subordonrilor dintre compartimente.
Recomandri
137
TEST nr. 2.4.

Data: 15.09.2009 Data: 15.09.2009
Organizarea i funcionarea departamentului IT. Analiza corelaiei dintre numrul de posturi de conducere ocupate i cele deinute cu delegaie. Departamentul IT din cadrul entitii publice are 3 servicii funcionale. Eantionul va fi constituit din posturile de conducere existente i testarea va urmri modul cum sunt realizate atribuiile acestor posturi. Testarea a constat n examinarea urmtoarelor elemente: Analiza organigramei departamentului IT: - numr total de posturi de conducere - numr posturi de conducere ocupate cu delegaie - numr total de posturi de execuie - numr posturi de execuie neocupate. Demersurile realizate de departamentul IT pentru ocuparea posturilor de conducere: - numr de examene organizate pentru ocuparea posturilor; - numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea examenelor. Preocuparea conducerii pentru ocuparea posturilor de execuie; - numr de examene organizate pentru ocuparea posturilor - numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea concursurilor. Existena unui plan de implementare a msurilor necesare, menit s asigure buna desfurare a activitii n cazul existenei unui numr mare de posturi vacante. Din analiza modului de acoperire a necesarului de resurse umane la nivelul departamentului IT s-a constatat c dou din cele trei posturi de conducere de ef de serviciu sunt ocupate cu delegaie de circa 18 luni. Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial. Totodat analiza ndeplinirii/realizrii activitilor celor dou servicii a pus n eviden faptul c n unele cazuri acestea nu au fost realizate sau au fost realizate cu ntrziere. Din verificarea modului de planificare i realizare zilnic a activitilor a rezultat c persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n funcie de cunotinele i aptitudinile pe care le deineau. La nivelul celor dou servicii n aceast perioad nu a fost luat nici o decizie cu privire la mbuntirea activitilor sau la dezvoltarea acestora. Delegarea pe posturi de conducere de persoane care nu deineau abiliti manageriale.
Constatri
Concluzii
138
Lista control nr. 2.1 privind organizarea i funcionarea departamentului IT

Evaluarea demersurilor Analiza consecinelor Analiza organigramei departamentului Existena preocuprii pentru Existena unui plan de realizate de departamentul funcionrii departamentului a IT ocuparea posturilor de implementare IT pentru ocuparea IT cu persoane de conducere msurilor necesare execuie posturilor cu delegaie menit s asigure buna Nr. de Nr. Nr. de Nr. de desf. a act. n cazul Nr. de de examene Nr. de sesizri Nr. Nr. posturi total Nr. examene Nr. total solicitri ctre existenei unui numr solicitri ctre ale depart. subsisteme IT organizate de cond. posturi posturi de organizate compart. de mare de posturi de compart. de posturi de la pentru beneficiare ale neimpl. ocupate cu de execuie pentru i/sau conducere RU pentru conducere RU pentru serviciilor IT timp delegaie ocuparea execuie neocup. ocuparea execuie vacante org. ex. org. ex. posturilor posturilor 1 0 0 2 0 12 9 10 14 9 4 5 3 3 2 Nu Nu Nu Nu Nu Nu Nu Nu Nu Nu X X X X X X X X X X X X X X X X X X X Nu Nu Nu Nu Nu
Nr. crt
Elemente testate Eantion
1. 2. 3. 4. 5.
Serviciul 3 dezvoltare aplicaii Serviciul 1 comunicaii Serviciul 1 exploatare aplicaii Serviciul proiectare i 3 programare Serviciul reele 1 informatice
139

Problema
Data: 15.09.2009 Data: 15.09.2009
Grad ridicat de neocupare a posturile existente i aprobate departamentului IT. Dou din cele trei posturi de conducere de ef de serviciu au fost ocupate cu delegaie de circa 18 luni. Din verificarea modului de planificare i realizare zilnic a activitilor a rezultat c persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n funcie de cunotinele i aptitudinile pe care le deineau. Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial. La nivelul celor dou servicii n aceast perioad nu a fost luat nici o decizie cu privire la mbuntirea activitilor sau la dezvoltarea acestora. Numirea n posturi de conducere de persoane care nu deineau abiliti manageriale adecvate pentru posturile respective. ntrzieri n realizarea activitilor i/sau nerealizarea acestora, organizarea i realizarea defectuoas a activitilor de ctre salariai. Solicitarea desfurrii procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere existente la nivelul departamentului IT. Recrutarea va urmri dac persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.
Constatarea
Cauza Consecina Recomandarea
140
TEST nr. 2.5

Data: 15.09.2009 Data: 15.09.2009
Constatri
Concluzii
Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT Analiza modului n care riscurile sunt identificate i gestionate la nivelul departamentului IT, n vederea asigurrii existentei controalelor interne corespunztoare Eantionul va fi constituit din riscurile identificate i gestionate de departamentul IT. Pentru fiecare obiectiv al departamentului vor fi selectate 5% din riscuri i acestea vor fi evaluate cu privire la modul n care au fost stabilite controalele interne, cum au fost stabilite i introduse instrumente de control pentru meninerea lor n limite de accesibilitate i dac toate aceste instrumente de control introduse menin riscurile la niveluri inferioare. Totodat s-a urmrit dac controalele interne introduse sunt funcionale. Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern asociate pentru limitarea acestora. La nivelul departamentului nu este asigurata o gestiune corespunztoare a riscurilor. Acestea nu sunt identificate i monitorizate n vederea meninerii lor n limitele de accesibilitate.
Auditor intern, Ionescu Adrian
Supervizor, Florescu Cristian
141
INTERVIU nr. 2.2 privind sistemul de gestionare a riscurilor adresat domnului Ionescu Adrian, director general
Nr. crt. 1.
ntrebri
Da
Nu
Obs.
2. 3.
4. 5.
6. 7. 8. 9.
X Exist o politic de management al riscului? Exist preocupri pentru managementul riscurilor n cadrul X departamentului IT? S-au organizat cursuri cu ntreg personalul pentru activitatea de gestionare a riscurilor n conformitate cu metodologia de organizare a sistemului de control intern conform prevederilor OMFP nr. 946/2005 privind Codul controlului intern? Au fost identificate riscurile la nivelul departamentului IT? Exist un sistem de evaluare a riscurilor? Au fost prevzute msuri de rspuns n cazul apariiei riscurilor? Exist un sistem de monitorizare i raportare periodic a riscurilor asociate activitii Direcia IT? Avei elaborat i actualizat Registrul riscurilor? Este desemnat un responsabil cu gestionarea riscurilor la nivelul X departamentului IT?
X X X X X
Data: 15.09.2009 Intervievat, Ionescu Adrian Elaborat n prezena noastr: Auditori Popescu Sorin
142

Data: 15.09.2009 Data: 15.09.2009
Cauza Consecina
Recomandarea
Neimplementarea unui sistem de control managerial potrivit cruia riscurile aferente domeniului IT s fie identificate i gestionate. Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele de control intern implementate pentru limitarea acestora. Lipsa procedurile de lucru, ct i a practicii n cadrul organizaiei privind modul de identificare i gestionare a riscurilor. Stocarea neadecvat a datelor i informaiilor; Accesul la date i informaii a ntregului personal i nu pe niveluri de autorizare; Sistem informaional necorespunztor cerinelor organizaiei; Posibilitatea sustragerii de date i informaii cu importan pentru entitate. Elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i gestionarea acestora Evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri acceptabile. Implementarea de instrumente de control pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil.
143
TEST nr. 2.6

Obiectul testului Obiectivele testului
Data: 15.09.2009 Data: 15.09.2009
Descrierea testului
Constatri
Examinarea sistemului de gestionare a riscurilor generale la nivelul Departamentului IT Analiza i evaluarea riscurilor a urmrit modul n care conducerea departamentului identific riscurile relevante, estimeaz semnificaia acestora, evalueaz probabilitatea apariiei lor i decide n funcie de acestea instrumentele de control pentru a le menine sub control. Analiza implementrii controlului intern a urmrit dac acesta este proiectat, implementat i meninut pentru a aborda riscurile care amenin atingerea oricruia dintre obiectivele departamentului cu privire la: - credibilitatea raportrii financiare; - eficiena i eficacitatea operaiilor sale; - respectarea legilor i reglementrilor aplicabile. Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel: - revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente; - procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i contribuie la asigurarea funcionrii adecvate i continue a sistemelor informaionale. Exemple de controale generale ale tehnologiei informaiei sunt controalele asupra modificrii programului, controalele de restricionare a accesului la programe sau la date, controalele asupra implementrii de noi aplicaii informatice. Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor posturi inferioare. Din analiza efectuat a rezultat c la nivelul departamentului nu este organizat i nu se conduce Registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil. Riscurile relevante includ evenimente, tranzacii sau mprejurri externe i interne care pot aprea i care pot afecta n mod negativ capacitatea departamentului de a iniia, nregistra, procesa i raporta date corecte i conforme. Riscurile apar i se schimb din urmtoarele cauze: - modificri ale mediului n care se desfoar activitatea. - personal nou, care poate avea o nelegere diferit n ceea ce privete controlul intern. - extindere semnificativ i rapid a operaiilor, care constrng controalele i sporesc apariia riscului. - introducerea de noi tehnologii n procesele de producie i n sistemele 144
Concluzii
informaionale, care modific riscurile asociate cu controlul intern. Sistemul de control intern nu cuprinde toate activitile de control necesare minimizrii riscurilor i realizrii obiectivelor.
145
Data: 15.09.2009 Data: 15.09.2009
Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce trebuie alocate n vederea atingerii obiectivelor. Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel: - revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente; - procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale. Exemple de controale generale ale tehnologiei informaiei sunt controalele asupra modificrii programului, controalele de restricionare a accesului la programe sau la date, controalele asupra implementrii de noi aplicaii informatice. Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor posturi inferioare. Din analiza efectuat a rezultat c la nivelul departamentului nu este organizat i nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil. Riscurile relevante includ evenimente, tranzacii sau mprejurri externe i interne care pot aprea i care pot afecta n mod negativ capacitatea departamentului de a iniia, nregistra, procesa i raporta date corecte i conforme. Riscurile apar i se schimb din urmtoarele cauze: - modificri ale mediului n care se desfoar activitatea. - personal nou, care poate avea o nelegere diferit n ceea ce privete controlul intern. - extindere semnificativ i rapid a operaiilor, care constrng controalele i sporesc apariia riscului. - introducerea de noi tehnologii n procesele de producie i de sisteme informaionale care modifica riscurile asociate cu controlul intern.
Cauza Consecina
Persoana responsabil cu revizuirea controalelor nu nelege care este scopul acestora i nu ia msurile adecvate care se impun. Controlul intern nu ofer o asigurare rezonabil n legtur cu atingerea 146
Recomandri
obiectivelor. Activitile de control, respectiv autorizarea, revizuirea performanei, procesarea informaiilor, controalele fizice, separarea responsabilitilor nu ajut i nu dau asigurri c deciziile conducerii sunt duse la ndeplinire. Stabilirea controalelor interne aferente riscurilor identificate i determinarea gradului de funcionalitate al acestora. Pentru riscurile care nu se afl la un nivel acceptabil, s se proiecteze un instrument sau msur de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn, detecteze i s corecteze n mod eficient denaturrile semnificative. Instituirea i conducerea Registrului riscurilor la nivelul organizaiei.
147
TEST nr. 2.7

Data: 15.09.2009 Data: 15.09.2009
Constatri
Concluzii
Definirea sarcinilor prin fia postului Examinarea dac cerinele specifice solicitate la ocuparea postului respect caracteristicile postului respectiv Urmrirea dac fia postului elaborat pentru un anumit post, definete corect condiiile specifice pe care trebuie s le ndeplineasc postul, respectiv: a) condiiile privind studiile de specialitate; b) condiiile privind specializrile necesare pentru ocuparea postului; c) condiiile privind cunotinele informatice; d) definirea sarcinilor n funcie de nivelul postului, f) alocarea sarcinilor n concordan cu competenele manageriale necesare postului. Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa orice persoana care are o diploma, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc.. La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al studiilor superior. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit cunotine IT de nivel superior i chiar anumite specializri. Studiile de specialitate nu sunt menionate n fia postului potrivit cerinelor de ocupare a postului. Repartizarea sarcinilor n cadrul fielor posturilor nu se realizeaz n conformitate cu competenele titularilor posturilor.
148
INTERVIU nr. 2.3 privind definirea sarcinilor pe grade profesionale

adresat efului Serviciului Programare Vasilescu Gheorghe
Nr. crt.
1. 2. 3. 4. 5. 6.
NTREBRI
Exist un responsabil cu elaborarea fielor posturilor? Exist o delimitare a atribuiilor alocate compartimentelor pentru fiecare post existent? Sarcinile sunt definite pentru fiecare grad profesional n fia postului? Sarcinile sunt definite n baza atribuiilor stabilite la nivelul serviciului i le acoper n totalitate? Atribuiile definite asigur realizarea activitilor identificate? Sarcinile sunt stabilite difereniat n funcie de gradul profesional al postului? Exist definite aceleai tipuri de sarcini pentru funcii profesionale diferite?
DA
X X X X X
NU
OBSERVAII
7.
Activitile din cadrul serviciului se regsesc la mai multe posturi Nu s-a urmrit ca sarcinile s difere n funcie de gradele profesionale definite de post
8. 9.
10. 11.
Pentru acelai tip de sarcini stabilite pentru posturi diferite X sunt stabilite aceleai obiective individuale? Totalitatea sarcinilor definite pentru posturile existente n X cadrul serviciului este asigurat prin atribuii i contribuie la realizarea activitilor? X Atribuiile definite postului acoper scopul acestuia? Mai avei ceva de adugat referitor la cele de mai sus? Intervievat, Vasilescu Gheorghe
Data: 15.09.2009 Elaborat n faa noastr: Auditori Popescu Sorin Radu George
149
NOT DE RELAII nr. 2.2

privind alocarea sarcinilor n funcie de responsabiliti adresat doamnei Vasilescu Maria
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntrebarea nr. 1: Postul pe care l ocupai este de execuie? Rspuns nr. 1: Da. ntrebarea nr. 2: Cunoatei atribuiile definite n fia postului? Rspuns nr. 2: Da, dar nu sunt exercitate n totalitate. ntrebarea nr. 3: Atribuia nr. 3 se refer la planificarea activitilor zilnice n cadrul serviciului. Ce activiti realizai pentru ndeplinirea acesteia? Rspuns nr. 3: Zilnic planific pentru fiecare salariat din cadrul serviciului activitile pe care trebuie s le execute sau s le realizeze pentru ziua respectiv. ntrebarea nr. 4: La nivelul serviciului exist numit sef de serviciu? Rspuns nr. 4: Da. ntrebarea nr. 5: De ce acesta nu realizeaz planificarea zilnic a activitilor salariailor din subordine? Rspuns nr. 5: Are prea multe sarcini i a fost nevoit s delege o parte din atribuii. ntrebarea nr. 6: Sarcina de planificare a activitilor serviciului va delegat-o prin fia postului? Rspuns nr. 6: Nu, mi-a comunicat-o verbal. ntrebarea nr. 7: Cine face analiza rezultatelor activitilor planificate? Rspuns nr. 7: Nu este realizat aceast activitate. Eu i comunic cum am repartizat i el informeaz conducerea.
ntrebarea nr. 8: Mai avei ceva de adugat? Rspuns nr. 8: Nu. Data: 15.09.2009 Elaborat n faa noastr: Auditori Popescu Sorin Radu George 150 Intervievat, Vasilescu Maria

Problema
Data: 15.09.2009 Data: 15.09.2009
Constatarea
Cauza
Consecina
Recomandarea
Studiile de specialitate nu sunt menionate n fia postului potrivit cerinelor de ocupare a postului. Repartizarea sarcinilor n cadrul fielor posturilor nu se realizeaz n conformitate cu competenele titularilor posturilor. Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc. La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit cunotine IT de nivel superior i chiar anumite specializri. Tratarea cu superficialitate a procesului de elaborare a fielor posturilor. Lipsa de responsabilitate n exercitarea sarcinilor i responsabilitilor de ctre personalul cu atribuii de conducere. Fia postului nu asigur n toate cazurile informaii suficiente comisiei de recrutare i selecie, necesare pentru identificarea celor mai bune persoane pentru postul respectiv. Nerealizarea n termen i n condiii de calitate a obiectivelor individuale n cazul personalului cu funcii de rang inferior i care are repartizat un numr mai mare de sarcini n comparaie cu personalul cu funcii de rang superior. Analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel.
Supervizor, Dumitru Daniel Pentru conformitate, Structur auditat
151
TEST nr. 2.8

Data: 15.09.2009 Data: 15.09.2009
Definirea sarcinilor prin fia postului Atribuiile stabilite compartimentelor funcionale vor fi evaluate i se va urmri dac acestea definesc aria de competen necesar realizrii activitilor i aciunilor; n cazul activitilor realizate prin colaborare cu alte structuri funcionale din cadrul organizaiei, se va urmri dac relaiile funcionale de colaborare sau cooperare cu structurile respective sunt corect definite i stabilite. Eantionul a fost constituit prin alegerea aleatorie a unui numr de dou compartimente din cadrul departamentului IT. n cazul acestora au fost evaluate atribuiile i relaiile funcionale definite cu privire la: - analiza atribuiilor stabilite compartimentului i stabilirea dac aria de competen a acestora ajut la realizarea activitilor; - urmrirea ca aria de competen s asigure realizarea activitilor i aciunilor stabilite compartimentului funcional. - analiza relaiilor cu celelalte structuri funcionale din cadrul organizaiei cu care are sau ar trebui s aib relaii funcionale pentru realizarea atribuiilor i activitilor; - definirea relaiilor ierarhice. Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea sunt definite n multe cazuri la modul general, nu indic, prin modul de formulare, o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate sau de sarcin. Nu sunt definite n cadrul ROF-ului, la capitolul privind departamentul IT, relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare. Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie, ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul departamentului IT. Atribuiile stabilite compartimentelor funcionale nu asigur ntotdeauna aria de competen necesar pentru realizarea activitilor; Supervizor, Dumitru Daniel
Descrierea testului
Constatri
Concluzii
152

Problema
Data: 15.09.2009 Data: 15.09.2009
Constatarea
Cauza
Consecina Recomandarea
Formularea atribuiilor n cadrul ROF-ului nu asigur ntotdeauna aria de competen privind realizarea activitilor i aciunilor repartizate unui compartiment. Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma unei relaii funcionale sau avnd caracter de activitate sau sarcin. Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare. Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie, ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul departamentului IT. Definirea atribuiilor specifice s-a realizat de ctre Departamentul IT, iar cuprinderea lor n cadrul ROF-ului s-a realizat la nivelul Departamentului de resurse umane, fr a mai fi analizat, de ctre persoanele responsabile, elaborarea coerent i corect a documentului de organizare i funcionare. Persoanele din cadrul departamentului IT care au fost responsabilizate cu elaborarea capitolului aferent din cadrul ROF-ului nu au dispus de cunotinele necesare astfel nct s poat defini corect o atribuie i n acelai timp s urmreasc ca acestea s asigure aria de competent a realizrii activitilor din cadrul compartimentului. Nu se asigur o arie de competen necesar i suficient pentru realizarea activitilor i aciunilor. Identificarea i definirea corect n cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
Supervizor, Dumitru Daniel Pentru conformitate, Structur auditat
153
154
Procedura P10 ENTITATEA PUBLICA Serviciul Audit Intern
LISTA DE VERIFICARE NR. 3
Data: 16.09.2009 Data: 16.09.2009
Obiectivul III.
OPERAII ALE SISTEMULUI INFORMATIC

Nr. crt.
A 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10.
Da
Nu
Obs.
1.11. 1.12. 1.13. 1.14. 1.15.
Managementul operaiunilor Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori Verificai dac identificarea disfuncionalitilor se face conform manualelor de X operare Verificai dac mesajele sunt analizate i interpretate n timpul rulrii aplicaiei, X pentru identificarea cauzelor care au condus la apariia disfuncionalitilor; Verificai dac mesajele de eroare se abordeaz n conformitate cu manualul de X operare; Verificai dac a fost identificat i analizat impactul potenial al producerii unor X evenimente necontrolate asupra continuitii activitii; Informatizarea organizaiei ia n considerarea toate departamentele din cadrul acesteia, precum i funciile acestora, nu doar departamentele unde se X proceseaz datele; Verificai dac este estimat timpul maxim de nefuncionare care poate fi X acceptat i costurile asociate acestuia; Analizai dac sunt stabilite de ctre conducere prioritile pentru procesele X necesare a fi informatizate i de integrare a datelor i informaiilor; Verificai dac elaborarea planului de continuitate a activitilor se realizeaz X prin elaborarea de scenarii de ameninri; Analizai dac determinarea nevoilor critice se realizeaz pe baza evalurii X funciilor, proceselor i personalului din cadrul fiecrui departament funcional; Verificai dac pentru fiecare departament sunt stabilite urmtoarele: a) ce echipamente specializate sunt necesare i cum se utilizeaz; b) cum va funciona departamentul dac serverul, accesul la reea (intranet) i/sau Internet nu sunt disponibile; X c) necesarul de personal i de spaiu pentru locul unde se face recuperarea; d) ce echipamente sunt necesare la locul unde se face recuperarea; e) ce controale critice operaionale sau de securitate sunt necesare nainte de a face recuperarea; Verificai dac personalul este instruit cu privire la salvarea i stocarea datelor i X securitatea informaiei; Operaiile sunt analizate avnd n vedere interdependena lor? X Se analizeaz impactul produs de funcionarea incorect a unei operaii asupra X ntregului sistem? Analiza a inut cont de funciile desfurate n cadrul entitii: tehnice sau legate X de procese? Verificai dac funciile tehnice asigur o utilizare eficient a echipamentelor X Test nr. 3.1. a) dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite FIAP nr. b) dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i 3.1. distribuite n siguran i n timp util
155
c) dac procedurile de salvare i restaurare protejeaz n mod real datele i aplicaiile sistemului informatic d) dac procedurile de mentenana a echipamentelor sunt realizate corect i la intervale de timp stabilite n funcie de specificul fiecrei componente e) dac echipamentele hardware sunt asigurate corespunztor f) dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt raportate i documentate corespunztor, astfel nct s se poat elabora soluiile corespunztoare de remediere a problemelor 1.16. 1.17. 1.18. 1.19. 1.20. 1.21. 1.22. 1.23. 1.24. 1.25. 1.26. 1.27 1.28. 1.29. 1.30. 1.31. 1.32. 1.33. 1.34. 1.35. 1.36. 1.37. 1.38. 1.39. 1.40. 1.41. 1.42. 1.43. 1.44. 1.45. 1.46. 1.47. 1.48. 1.49. 1.50. 1.51. 1.52. Operaiile sunt realizate ntr-o manier eficient, n timp util i la intervale bine stabilite? Exist aplicaii de programare i executare automat a proceselor? Se urmrete reducerea riscului ca un proces: - s nu fie iniiat corespunztor; - s nu se execute n timpul planificat; - s mreasc intervalele de inactivitate - s nu fie monitorizat din punct de vedere al modului i timpului de execuie? Se asigur obinerea rapoartelor detaliate privind procesele derulate? n cazul apariiei unor erori de funcionare, administratorul responsabil poate localiza ct mai precis defeciunea? Se pot elabora soluiile de remediere? Se realizeaz monitorizarea operaiilor din punctul de vedere al resurselor alocate i utilizate efectiv: procesoare, memorii, mod de salvare? Se utilizeaz aplicaii n acest scop? Sunt identificate procesele care utilizeaz o cantitate mai mare de resurse dect cele care i sunt alocate? n acest caz, se realizeaz redimensionri ale resurselor alocate? Sunt identificate procesele care nu utilizeaz complet resursele disponibile? n acest caz, se are n vedere o reducere a volumului resurselor alocate? Datele obinute, situaiile de ieite, rapoartele sunt stocate i distribuite n siguran i n timp util? Procesele genereaz la sfritul execuie diferite tipuri de rapoarte? Aceste rapoarte sunt stocate n liste de ateptare? Aceste fiiere pot fi listate, copiate, mutate n vederea unor analize sau prelucrri ulterioare? Mediile sau locaiile de stocare sunt protejate mpotriva deteriorrii sau a accesului neautorizat? Procedurile de salvare i restaurare protejeaz n mod real datele i aplicaiile din sistemul informatic? Acestea sunt corect planificate? Sunt executate conform politicilor i procedurilor de securitate stabilite? Exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale de cteva ore, pentru operaiile curente? Procedurile de salvare executate la intervale mai mari de timp includ copii complete ale sistemelor informatice: date, operaii, programe? Procedurile de mentenan a echipamentelor sunt realizate corect i la intervale de timp stabilite n funcie de specificul fiecrei componente? Verificrile tehnice sunt realizate innd cont de recomandrile fabricantului? Sunt realizate de personal autorizat / specializat? Se respect condiiile de acordare a garaniei? Echipamentele hardware sunt asigurate corespunztor? Exist polie da asigurare ncheiate pentru toate tipurile de riscuri? Au fost estimate costurile implicate de eventuale daune? Problemele de ordin tehnic, aprute n cadrul proceselor sunt raportate i documentate corespunztor, astfel nct s se poat elabora soluiile corespunztoare de remediere a problemelor? La nivelul entitii este constituit un departament specializat n raportarea i rezolvarea problemelor tehnice (help-desk)? Se acord suport tehnic utilizatorilor, prin linii telefonice dedicate, e-mail sau deplasri ale echipelor specializate? Problemele aprute sunt definite corect? X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
156
1.53.
1.54. 1.55. 1.56.
1.57. 1.58. 1.59. 1.60. 1.61. 1.62. 1.63. 1.64. 1.65. 1.66. 1.67. 1.68. 1.69. 1.70. 1.71. 1.72. 1.73. 1.74. 1.75. 1.76. 1.77. 1.78. 1.79. 1.80. 1.81. 1.82. 1.83. 1.84. 2. 2.1. 2.2. 2.3.
Definirea cuprinde urmtoarele: - data apariiei - etapele premergtoare X - modul de manifestare a problemei - departamentul la care a aprut problema - datele de identificare a persoanei de contact? Pentru definirea ct mai precis a problemelor, se utilizeaz rapoartele generate X automat de ctre aplicaiile respective? Se utilizeaz programe de monitorizare a sistemelor informatice? X Verificai dac funciile legate de procese asigur integrarea acestora? Test 3.1. a) dac datele de intrare sunt validate FIAP X b) dac se verific integritatea i completitudinea datelor 3.1. c) dac se analizeaz eficiena operaiilor d) dac se monitorizeaz i se gestioneaz bazele de date Se realizeaz validarea datelor de intrare? X Se realizeaz verificarea datelor introduse n sistemul informatic din punct de X vedere al tipurilor de date, al lungimii acestora? Pentru coduri, se impun reguli de formare i validare a acestora? X Se utilizeaz proceduri automate de verificare a intrrilor? X Se realizeaz verificarea integritii i completitudinii datelor? X Se utilizeaz proceduri de verificare a modului n care datele sunt introduse sau X importate dintr-o alt aplicaie? Este avut n vedere riscul ca anumite date s fie pierdute, modificate, cu ocazia X prelurii dintr-o alt aplicaie? Se utilizeaz funcii de verificare prin totaluri, chei i algoritmi? X Se analizeaz eficiena operaiilor? X Se realizeaz o verificare a modului n care se realizeaz prelucrrile, se X implementeaz funciile i programele? Se urmrete modul de iniiere a unor proceduri? X Se urmrete timpul de execuie? X Se utilizeaz programe care s automatizeze aceste prelucrri? X Se monitorizeaz i se gestioneaz bazele de date? X Se analizeaz modul n care se obin rapoartele i situaiile de ieire necesare X diferitelor niveluri de management? Se procedeaz la replicarea anumitor date, n vederea obinerii unei mai mari X flexibiliti n interaciunea cu acestea? Utilizatorii finali pot obine rapoarte diverse fr a afecta tranzaciile curente? X Utilizatorii finali pot obine datele necesare fr a dispune de cunotine de X specialitate? Se acord suport utilizatorilor pentru aplicaiile existente? X Utilizatorii finali au cunotine aprofundate privind prelucrarea datelor? X Interfaa cu utilizatorul este prietenoas? X Aplicaiile pot fi utilizate uor? X Exist suport tehnic prin documente, sisteme de instruire, manuale, servicii puse X la dispoziie de ctre productorii aplicaiilor? Se realizeaz administrarea aplicaiilor? X Administrarea aplicaiilor se realizeaz de ctre manageri sau persoane autorizate, specializate, care au ca atribuii protejarea aplicaiilor mpotriva X distrugerilor, a accesului neautorizat sau utilizri incorecte? Administratorii asigur i suportul tehnic pentru utilizatorii finali? X Se realizeaz rapoarte periodice asupra modului n care sunt utilizate aplicaiile, X alocarea resurselor, realizarea proceselor din cadrul entitii? Se realizeaz o analiz a automatizrii unor proceduri manuale, a modului n care sunt obinute i analizate datele de ieire, a uurinei n utilizarea X aplicaiilor? Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor Verificai dac utilizatorii sunt instruii pentru nsuirea modului de lucru cu X aplicaia; Verificai dac noutile aprute n aplicaie sunt comunicate utilizatorilor n X timp adecvat; Verificai dac instruirea se realizeaz n conformitate cu documentaia X
nr. nr.
157
2.4. 2.5. 2.6. 2.7. 2.8. 3. 3.1.
3.2. 3.3. 3.4. 3.5. 3.6. 3.7.
3.8. 3.9. 3.10. 3.11. 3.12. 3.13. 3.14. 3.15. 3.16. B. 1. 1.1. 1.2.
aplicaiei; Verificai dac utilizatorii primesc asisten n rularea aplicaiilor ori de cte ori au nevoie; Verificai dac asistena tehnic este acordat n conformitate cu manualele de utilizare; Verificai dac responsabilitatea funcionarii fiecrui program este n sarcina unui administrator; Verificai dac exist o supraveghere permanent n cadrul sistemului asupra derulrii unui program sau aplicaie; Verificai dac sistemul integrat permite depistarea automat a nefuncionrii unui program sau aplicaie; Elaborarea planului anual de activitate Verificai gradul de acoperire cu activiti care concur la realizarea planului anual de activitate: a) activiti identificate; b) proceduri aferente realizrii activitilor c) aprobarea procedurilor de ctre persoanele competente; d) actualizarea sistematic a procedurilor; e) respectarea principiul dublei semnturi; f) stabilirea responsabilitilor persoanelor implicate n activitatea de implementare a sistemului IT; Examinai dac exist atribuii privind realizarea activitilor cuprinse n planul anual de activitate n domeniul IT; Analizai politica entitii publice n domeniul IT i stabilii dac asigur atingerea obiectivelor entitii publice; Verificai dac politica entitii publice n domeniul IT se reflect n planul anual de activitate n domeniul IT; Examinai dac managerii cu responsabiliti n monitorizarea implementrii politicii IT, au fost consultai la elaborarea planului anual de activitate n domeniul IT; Analizai activitatea de actualizare a planului anual de activitate n domeniul IT; Analizai dac la elaborarea planului anual de activitate n domeniul IT s-au avut n vedere: a) analiza sistemului de fundamentare a planului; b) analiza corelrii planului anual de activitate cu planul strategic; c) evaluarea sistemului de prioritizare a activitilor cuprinse n plan; d) verificarea elaborrii i aprobrii planului anual Verificai documentele oficiale prin care au fost desemnate persoanele responsabile cu elaborarea i actualizarea planului; Examinai dac responsabilitile sunt clar definite pentru realizarea activitilor IT; Analizai dac fiele posturilor pentru persoanele responsabile au fost actualizate; Identificai deciziile luate n vederea elaborrii i actualizrii planului i analizai dac acestea sunt n conformitate cu activitile stabilite; Examinai instrumentele utilizate pentru estimarea resurselor i termenelor necesare pentru realizarea planului de activitate; Verificai dac prin elaborarea planului de activitate au fost stabilite plafoane bugetare pentru activitile ce trebuie realizate i procedurile ce vor fi aplicate n cazul n care acestea sunt depite; Verificai dac planul este aprobat de persoanele competente; Analizai dac planul aprobat este n conformitate cu politicile entitii publice n domeniul IT; Analizai mpreun cu factorii responsabili de realizarea subsistemelor IT pentru funciile principale din cadrul entitii publice dac exist departamente importante pentru care nu s-au realizat subsisteme IT; Managementul problemelor Programele antivirus asigur protecia aplicaiilor Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s specifice modul de configurare al programului antivirus; Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s specifice modul de actualizare a programului;
X X X X X
X X X X X
X X X X X X X X X
X X
158
1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10
Verificai dac riscurile reprezentate de virui sunt limitate ca urmare a alegerii celor mai potrivite soluii antivirus; Verificai dac riscul de virusare al unui program sau aplicaie este redus ca urmare a scanrii antivirus pe servere, staii de lucru sau pota electronic; Verificai dac riscul de virusare este limitat urmare actualizrii constante a programelor antivirus; Verificai dac programul antivirus scaneaz automat memoria calculatoarelor, fiierele, mediile de stocare; Verificai dac programul antivirus scaneaz traficul de date, inclusiv e-mail i internet, n procesul de de-virusare; Verificai dac programul antivirus emite alerte atunci cnd detecteaz un virus; Verificai dac sunt efectuate verificri regulate pentru a se asigura c programul antivirus nu a fost dezactivat; Verificai dac implementarea programelor anti-virus se realizeaz conform procedurilor a) instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru b) programul anti-virus verific staia de lucru la pornire c) programul anti-virus monitorizeaz toate programele i aplicaiile active, mesajele primite i verific automat actualizrile la intervale regulate d) programul anti-virus se actualizeaz n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui Verificai dac sunt efectuate controale regulate pentru a se asigura c configurarea programului de protecie este corect; Verificai dac utilizatorii sunt avertizai cu privire la pericolul reprezentat de virui; Verificai dac utilizatorii sunt avertizai cu privire la apariia a noi tipuri de virui; Verificai dac utilizatorii sunt supravegheai permanent cu privire la utilizarea calculatoarelor i pstrarea programelor sau aplicaiilor curate. Implementarea subsistemelor IT Analizai criteriile avute n vedere la elaborarea subsistemelor IT pentru funciile principale; Examinai eficiena programului pentru instruirea utilizatorilor n vederea utilizrii programelor i aplicaiilor; Examinai dac subsistemele IT acoper n totalitate nevoile pentru funciile principale ale entitii publice; Analizai dac nevoile de subsisteme IT pentru funciile nou-create au fost acoperite; Verificai dac departamentele nfiinate ca urmare a funciilor principale noucreate au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme IT specifice activitii lor; Analizai existena corelrii ntre termenele de realizare a subsistemelor; Analizai procedurile pe baza crora se realizeaz subsistemele IT i stabilii dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime; Stabilii dac exist studii de fezabilitate pentru subsistemele IT planificate. Verificai dac au fost stabilite responsabiliti personalului de specialitate, pe linia implementrii sistemului IT; Comparai atribuiile cuprinse n fiele posturilor cu cele din procedurile privind implementarea sistemului IT i evaluai completitudinea prelurii acestora; Examinai cunoaterea reglementrilor specifice privind implementarea sistemului IT de ctre responsabilii cu realizarea acestei activiti; Verificai dac realizarea subsistemelor IT s-a realizat conform planificrilor; Verificai dac subsistemele IT au fost realizate la termenele stabilite; Examinai modul de alocare a resurselor necesare realizrii subsistemelor IT;
X X X X X X X Test 3.2 Foaie lucru 3.1. List control 3.1. FIAP 3.2. nr. de nr. de nr. nr.
1.11. 1.12. 1.13. 1.14. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. 2.13. 2.14.
X X X X X X X X X X X X X X X X Test nr. 3.3. Interviu nr. 3.1. FIAP nr. 3.3
2.15.
Identificai evoluiile tehnologice ce au determinat schimbarea programelor i
159
2.16. 2.17. 2.18. 2.19. 2.20. 2.21. 2.22. 2.23. 2.24. 2.25. 2.26. 2.27. 2.28. 2.29. 2.30. 2.31. 2.32. 2.33. 2.34. 2.35. 2.36. 2.37. 2.38. 2.39. 2.40. 2.41.
aplicaiilor planificate a fi implementate; Verificai activitatea de monitorizare a implementrii subsistemelor IT; Verificai complementaritatea subsistemelor IT; Verificai dac exist controale de sistem unitare implementate la nivelul subsistemelor IT; Verificai dac sunt implementate controale menite s analizeze datele introduse n aplicaii; Verificai dac exist controale efectuate pe parcursul procesrii datelor i dac exist rapoarte produse n caz de nerealizare a procesrii; Analizai dac nregistrrile privind controlul datelor rezultate n urma procesrii asigur c aceste date sunt complete; Analizai dac datele transferate din alte aplicaii sunt supuse unui proces standard de validare; Verificai dac sunt implementate controale care verific nregistrrile duble; Verificai modul de autorizare electronic i/sau manual a tranzaciilor; Verificai dac operaiile privind efectuarea tranzaciilor se realizeaz numai de la computere definite n prealabil; Examinai dac modul de arhivare a nregistrrilor se face astfel nct s permit urmrirea tranzaciilor efectuate din faza de iniiere pn la finalizarea lor; Verificai modul de raportare a schimbrilor operate la nivelul datelor salvate; Examinai dac utilizatorii neleg controalele implementate; Verificai funcionalitatea subsistemelor IT n reea; Verificai respectarea procedurilor privind transmiterea datelor n reea; Analizai dac subsistemele componente programelor asigur integrarea acestora; Analizai modul de soluionare a neconcordanelor aprute n integrarea subsistemelor; Examinai dac sunt elaborate manualele de utilizare i manualele de operare; Analizai dac manualele de utilizare i de operare sunt comprehensive i corespund nevoilor utilizatorilor; Verificai existena programelor de instruire a utilizatorilor subsistemelor IT; Verificai existena controalelor asupra datelor introduse n aplicaii; Verificai existena controalelor pe parcursul procesrii datelor i generarea rapoartelor privind erorile de procesare; Verificai existena controalelor asupra datelor rezultate n urma procesrii, astfel nct s se asigure c acestea sunt complete; Verificai dac subsistemele IT realizate respect cerinele stabilite prin politica, procedurile i studiile de fezabilitate ntocmite; Verificai dac subsistemele IT au fost realizate la termenele stabilite; Verificai dac resurselor necesare realizrii subsistemelor IT au fost alocate conform planului anual de activitate; Este analizat modul de rezolvare i prevenire a incidentelor care afecteaz funcionarea normal a serviciilor IT ale entitii publice? Managementul problemelor asigur corectarea erorilor, prevenind reapariia acestora? Se folosete ntreinerea preventiv pentru reducerea probabilitii ca aceste erori s mai apar? Atunci cnd o problem nu poate fi rezolvat de prima linie de asisten, aceasta este direcionat ctre ajutorul din linia a doua? Se au n vedere urmtoarele cinci faze de baz: 1. iniierea raportarea problemei 2. planificarea definirea problemei i conceperea unui plan de atac 3. execuia desfurarea planului de atac, adunarea de date, urmrirea problemei, cercetarea tehnic, codarea i testarea ulterioar 4. monitorizarea i analiza monitorizarea i confirmare rezultatelor de ctre utilizatorii finali 5. ncheierea documentarea problemei i a aciunilor de corecie. Funcionalitatea departamentului IT Organizarea funcional a departamentului IT Analizai dac departamentul IT este subordonat unui nivel managerial corespunztor;
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
C. 1. 1.1.
160
1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15.
1.16. 1.17. 1.18. 1.19. 1.20. 1.21. 1.22. 1.23. 1.24. 1.25. 1.26. 1.27. 1.28. 1.29. 1.30. 1.31.
Comparai atribuiile cuprinse n fiele posturilor cu cele din proceduri i evaluai completitudinea acestora; Verificai dac organigrama departamentului IT corespunde organizrii actuale a departamentului; Verificai dac organigrama definete nivelurile ierarhice din cadrul departamentului; Verificai dac organigrama definete relaiile organizatorice dintre compartimentele funcionale ale departamentului IT; Verificai dac organigrama stabilete numrul de posturi pentru fiecare compartiment funcional al departamentului IT; Verificai dac numrul de posturi existent n cadrul departamentului IT asigur realizarea activitilor i atribuiilor; Analizai dac atribuiile departamentului sunt definite corect i n totalitate n cadrul ROF-ului; Verificai dac activitile sunt repartizate corect n cadrul compartimentelor, n funcie de atribuiile alocate; Verificai dac sarcinile stabilite prin fiele posturilor asigur realizarea n totalitate a activitilor; Verificai dac atribuiile sunt repartizate omogen pe compartimente, asigurnd funcionalitatea acestora; Analizai gradul de ocupare a posturilor n cadrul departamentului IT; Analizai modul n care se asigur continuitatea activitilor n funcie de pregtirea salariailor i vechimea n munc; Analizai dotarea departamentului cu echipamente hard i soft adecvate pentru desfurarea activitilor specifice, astfel: a) numr suficient de calculatoare dotate corespunztor; b) numr suficient de servere c) numr suficient de echipamente auxiliare (imprimante, xerox-uri, scanere, conexiuni la intranet/Internet) d) programe IT adecvate Verificai dac fiele posturilor stabilesc responsabiliti pentru toate activitile desfurate; Verificai dac actualizarea fielor posturilor se realizeaz periodic n funcie de modificarea activitilor sau sarcinilor posturilor; Analizai dac pregtirea i calificarea salariailor departamentului IT asigur funcionalitatea programelor, aplicaiilor, echipamentelor i dezvoltarea informaional a entitii; Analizai dac planurile de pregtire profesional continu asigur dezvoltarea cunotinelor i aptitudinilor personalului; Verificai dac se realizeaz evaluarea performanelor personalului departamentului IT; Verificai dac exist concordan ntre rapoartele de evaluare i programele de instruire la nivel individual; Verificai dac evaluarea performanelor asigur corectitudinea aprecierii realizrii obiectivelor individuale; Verificai dac criteriile de performan sunt stabilite corect n funcie de gradul de ndeplinire a obiectivelor; Verificai dac evaluarea performanelor personalului contribuie la dezvoltarea profesional a acestuia; Verificai dac obiectivele individuale sunt stabilite corect n conformitate cu sarcinile atribuite postului; Analizai dac aciunile necesare pentru realizarea obiectivelor individuale i realizate efectiv pentru implementarea acestora corespund n totalitate cu aciunile repartizate postului potrivit fiei postului; Verificai dac exist o politic unitar privind gestionarea riscurilor; Verificai dac exista un sistem de gestionare a riscurilor; Analizai dac este desemnat un responsabil privind gestionarea riscurilor la nivelul departamentului IT; Verificai existena Registrului riscurilor la nivelul Departamentului IT i modul de conducere al acestuia; Verificai dac sunt stabilite responsabiliti pentru actualizarea procedurilor de lucru i instruciunilor privind derularea programelor i aplicaiilor;
X X X X X X X X X X X X
X X X X X X X X X X X X X X X X
161
1.32. 1.33. 1.34. 1.35. 1.36. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. 2.13. 2.14. 2.15. 2.16. 2.17. 2.18. 2.19. 2.20. 2.21 D. 1. 1.1. 1.2. 1.3. 1.4.
Verificai condiiile i criteriile privind delegarea sarcinilor i atribuiilor; Analizai sistemul de control managerial exercitat la nivelul departamentului; Examinai dac fiele posturilor stabilesc corect nivelul postului i complexitatea activitilor; Verificai dac nivelul de cunotine i deprinderi al ocupantului postului corespunde necesitilor i nivelului postului; Verificarea dac se respecta principiul segregrii atribuiilor n realizarea sarcinilor i activitilor. Asigurarea caracterului secret al datelor Verificai dac aplicaiile respect schemele privind nivele de secretizare n conformitate cu standardele organizaiei; Verificai dac schema de secretizare a datelor este utilizat pentru determinarea nivelelor diferite de importan a sistemelor sau informaiilor; Verificai dac schema de secretizare a datelor este utilizat pentru determinarea nivelelor diferite de sensibilitate a informaiilor sau sistemelor; Verificai dac secretizarea informaiilor ia n considerare impactul pierderii confidenialitii, integritii sau disponibilitilor informaiei asupra activitii; Verificai dac secretizarea se aplic informaiilor, sistemelor sau aplicaiilor i programelor; Verificai dac secretizarea informaiei include identitatea persoanelor cu responsabiliti primare; Verificai dac secretizarea informaiei este aprobat de emitentul informaiei; Verificai dac performana sistemelor este monitorizat comparativ cu intele stabilite; Verificai dac performana sistemelor este monitorizat utiliznd programe de monitorizare automat; Verificai dac disponibilitatea sistemelor este apreciat din punctul de vedere al utilizatorilor activitii Verificai dac monitorizarea sistemelor se concentreaz pe punctele vulnerabile; Verificai dac mecanismele de detectare asigur semnalizarea atacurilor informatice; Verificai dac mecanismele de detectare includ un proces de actualizare a programelor utilizate n acest scop; Verificai dac mecanismele de detectare emit alerte cnd se nregistreaz activiti suspecte; Verificai dac rapoartele obinute n urma procesrilor sunt verificate pentru a descoperi orice utilizare neobinuit a sistemelor; Verificai dac sunt nregistrate toate evenimentele cheie n cadrul unui sistem; Verificai dac conducerea IT autorizeaz nregistrarea activitilor i revizuirea proceselor care urmeaz a fi aplicate; Verificai dac nregistrrile conin date referitoare la oprirea/pornirea sistemelor i proceselor cheie, situaiile de eroare sau de excepie, acces sau schimbri ale fiierelor sau programelor; Verificai dac informaiile nregistrate identific programele speciale i informaiile accesate, data accesrii, cile de acces, schimbarea parametrilor de nregistrare n sistem; Verificai dac nregistrrile sunt pstrate suficient timp respectnd cerinele utilizatorilor i pentru a putea fi revizuite; Verificai dac revizuirea nregistrrilor este fundamentat pe o evaluare a impactului unor evenimente asupra activitilor i este realizat cu instrumente automate; Mentenana echipamentelor ntreinerea calculatorului i a echipamentelor Verificai dac operaiunile de mentenan se efectueaz conform planificrii, folosindu-se procedurile standard de testare; Verificai dac disfuncionalitile hardware sunt identificate corect i n timp util; Verificai dac disfunciunile identificate sunt analizate i nlturate n conformitate cu instruciunile i manualele de ntreinere; Verificai dac produsele software sunt instalate i configurate conform documentaiilor i indicaiilor furnizorilor;
X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X
162
1.5. 1.6. 1.7. 1.8. 1.9. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. D. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19. 1.20 1.21. 1.22
Analizai dac funcionarea sistemului de operare este verificat periodic utiliznd instrumente de testare specializate; Analizai dac funcionarea aplicaiilor este verificat periodic, Verificai dac parametrii referitori la starea de funcionare urmare aplicrii procedurilor de testare specializate sunt nregistrai n jurnale; Verificai dac neconformitile sunt analizate i readuse la valorile normale; Verificai dac corecia erorilor se realizeaz n limita competenelor Instalarea i configurarea calculatorului Verificai dac sursele de alimentare sunt alese i verificate n conformitate cu cerinele tehnice; Verificai dac echipamentele periferice sunt instalate i conectate conform documentaiei; Verificai dac instalarea respect condiiile de calitate i eficien din manuale i instruciuni; Verificai dac conectarea n reea respect standardele n vigoare, Verificai dac sistemul de operare, componentele software, componentele de acces n reea sunt instalate i configurate corect; Verificai dac partajarea resurselor se face verificnd tipul de acces permis utilizatorilor; Verificai dac funcionarea aplicaiilor este testat periodic; Utilizarea echipamentelor Realizarea eficient a operaiilor n cadrul departamentului IT Verificai dac este analizat impactul produs de funcionarea incorect a unei operaii asupra ntregului sistem; Verificai dac analiza a inut cont de funciile desfurate n cadrul sistemului; Verificai dac operaiile IT sunt realizate ntr-o manier eficient, n timp util i la intervale bine stabilite? Verificai dac procesele IT sunt iniiate corespunztor; Verificai dac procesele IT se execut n timpul planificat; Verificai dac procesele IT sunt monitorizate din punct de vedere al modului i timpului de execuie; Verificai dac se asigur generarea rapoartelor detaliate privind procesele derulate; Verificai dac n cazul apariiei unor erori de funcionare, administratorul responsabil le poate localiza ct mai precis; Verificai dac se realizeaz monitorizarea operaiilor din punctul de vedere al resurselor alocate i utilizate: procesoare, memorii, mod de salvare; Verificai dac sunt identificate procesele care utilizeaz o cantitate mai mare de resurse i dac acestea sunt redimensionate; Verificai dac datele obinute, situaiile de ieire, rapoartele sunt stocate i distribuite n siguran i n timp util; Verificai dac procesele genereaz la sfritul execuiei diferite tipuri de rapoarte; Verificai dac rapoartele generate sunt stocate n liste de ateptare; Verificai dac mediile sau locaiile de stocare sunt protejate mpotriva deteriorrii sau a accesului neautorizat; Verificai dac procedurile de mentenan a echipamentelor sunt realizate corect i la intervale de timp stabilite n funcie de specificul fiecrei componente; Examinai dac verificrile tehnice sunt realizate innd cont de recomandrile productorului; Examinai dac verificrile tehnice sunt realizate de personal autorizat / specializat; Verificai dac echipamentele hardware sunt asigurate corespunztor; Verificai dac problemele de ordin tehnic, aprute n cadrul proceselor sunt raportate i documentate corespunztor, astfel nct s se poat elabora soluiile corespunztoare de remediere; Verificai dac se acord suport tehnic utilizatorilor, inclusiv prin deplasri ale echipelor specializate; Verificai dac problemele aprute sunt definite prin specificarea datei apariiei problemei, modul de manifestare al problemei, departamentul unde a aprut problema; Verificai dac pentru identificarea ct mai precis a problemelor, se utilizeaz
X X X X X X X X X X X X X X X X X X X X X X
163
2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. 2.13. 2.14. 2.15. 2.16. 2.17. 2.18. 2.19. 2.20. 2.21.
rapoartele generate automat de ctre aplicaiile respective; Administrarea eficient a aplicaiilor i programelor Verificai dac se realizeaz validarea datelor de intrare; Examinai dac se realizeaz verificarea datelor introduse n sistemul informatic din punct de vedere al tipurilor de date, al dimensiunii acestora; Verificai dac pentru coduri, se impun reguli de creare i validare a acestora; Examinai dac se utilizeaz proceduri automate de verificare a datelor de intrare; Examinai dac se utilizeaz proceduri de verificare a modului n care datele sunt introduse sau importate dintr-o alt aplicaie; Verificai dac este avut n vedere riscul ca anumite date s fie pierdute, modificate, cu ocazia prelurii dintr-o alt aplicaie; Verificai dac se utilizeaz funcii de verificare prin totaluri, chei i algoritmi; Examinai dac se realizeaz o verificare a modului n care se efectueaz prelucrrile, se implementeaz funciile i programele; Verificai dac se monitorizeaz i se gestioneaz bazele de date; Verificai dac se analizeaz modul n care se obin rapoartele i situaiile de ieire necesare diferitelor niveluri de management; Verificai dac utilizatorii finali pot obine rapoarte diverse fr a afecta tranzaciile curente; Verificai dac se acord suport tehnic utilizatorilor pentru aplicaiile existente; Verificai dac utilizatorii finali au cunotine aprofundate privind prelucrarea datelor; Verificai dac interfaa cu utilizatorul este prietenoas; Verificai dac aplicaiile pot fi utilizate uor; Verificai dac exist suport tehnic prin documente, sisteme de instruire, manuale, servicii puse la dispoziie de ctre productorii aplicaiilor; Verificai dac se realizeaz administrarea aplicaiilor; Verificai dac administrarea aplicaiilor se realizeaz de ctre administratori autorizai, care au ca atribuii protejarea aplicaiilor mpotriva distrugerilor, a accesului neautorizat sau utilizrii incorecte; Verificai dac administratorii asigur i suportul tehnic pentru utilizatorii finali; Verificai dac se realizeaz rapoarte periodice asupra modului n care sunt utilizate aplicaiile, alocarea resurselor, realizarea proceselor din cadrul entitii; Verificai dac se realizeaz o analiz a automatizrii unor proceduri manuale, a modului n care sunt obinute i analizate datele de ieire, a uurinei n utilizarea aplicaiilor; Evaluarea problemelor i soluionarea acestora Verificai dac este analizat modul de rezolvare i prevenire a incidentelor care afecteaz funcionarea normal a serviciilor IT; Verificai dac msurile de corectare a erorilor asigur prevenirea reapariiei acestora; Verificai dac este utilizat controlul preventiv pentru reducerea probabilitii ca erorile soluionate s mai apar; Verificai dac utilizarea unei aplicaii asigur: a) controlul datelor introduse n aplicaii b) controlul pe parcursul procesrii datelor i rapoartelor produse n caz de nerealizare a procesrii c) controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complete d) validarea datelor transferate din alte aplicaii e) controalelor verific nregistrrile duble f) autorizarea electronic i/sau manual a tranzaciilor g) efectuarea tranzaciilor numai de la computere definite n prealabil h) pstrarea integral a nregistrrilor astfel nct s se poat urmri tranzaciile efectuate din faza de iniiere pn la finalizarea lor nelegerea controalelor implementate de ctre utilizatori Verificai dac soluionarea unei probleme are n vedere urmtoarele etape: a) raportarea problemei; b) definirea problemei i conceperea unui plan de atac;
X X X X X X X X X X X X X X X X X X X X
3. 3.1. 3.2. 3.3. 3.4.
X X X Test 3.4. Foaie lucru 3.2. List control 3.2. nr. de nr. de nr.
3.4. .
164
3.5.
c) desfurarea planului de atac, adunarea de date, urmrirea problemei, cercetarea tehnic, codarea i testarea ulterioar; d) monitorizarea i confirmare rezultatelor de ctre utilizatorii finali; e) documentarea problemei i a aciunilor de corecie. Verificai dac procedurile de salvare sunt executate la intervale optime i includ copii complete ale sistemelor informatice: date, operaii, programe;
165
Procedura - P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Public Intern TEST NR. 3.1
Data: 16.09.2009 Data: 16.09.2009
Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratorii de reea Controlul operaiilor realizate de sistemele informatice. Echipa de auditori a procedat la controlul operaiilor realizate de sistemele informatice, analiznd modul n care sunt procesate datele, realizate tranzaciile i executate funciile aplicaiilor, pentru a implementa corect procesele desfurate n cadrul entitii. ntruct aceste operaii sunt interdependente, auditorii nu au analizat separat fiecare funcie, ci au considerat procesele desfurate n cadrul entitii ca un tot unitar. Pentru a crete eficiena analizei operaiilor, auditorii le-au mprit n dou categorii: funcii tehnice i funcii legate de procese. Testarea a urmrit urmtoarele aspecte, stabilite n Lista de verificare 3: A. funcii tehnice: 1. - dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite; 2. - dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i distribuite n siguran i n timp util; 3. - dac procedurile de salvare i restaurare protejeaz n mod real datele i aplicaiile sistemului informatic 4. - dac procedurile de mentenan a echipamentelor sunt realizate corect i la intervale de timp stabilite n funcie de specificul fiecrei componente; 5. - dac echipamentele hardware sunt asigurate corespunztor; 6. - dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt raportate i documentate corespunztor, astfel nct s se poat elabora soluiile corespunztoare de remediere a problemelor. B. funcii legate de procese: 7. - dac datele de intrare sunt validate; 8. - dac se verific integritatea i completitudinea datelor 9. - dac se analizeaz eficiena operaiilor 10. - dac se monitorizeaz i se gestioneaz bazele de date. Testul s-a materializat n verificarea pe teren a implementrii controlului privind operaiunile sistemelor informatice. n urma analizei modului de implementare a controlului privind operaiunile sistemelor informatice, echipa de auditori a constatat urmtoarele: 1. - dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite; Echipa de auditori a constatat c la nivelul entitii se utilizeaz aplicaii de programare i executare automat a proceselor. Acestea reduc riscul ca un proces s nu fie iniiat corespunztor, s nu se execute n timpul planificat, reduce la minim intervalele de inactivitate, iar fiecare proces poate fi monitorizat din punct de vedere al modului i al timpului de execuie. Aplicaiile de planificare automat genereaz rapoarte detaliate despre procesele derulate, iar n cazul apariiei unor erori de funcionare, permit administratorului responsabil s localizeze ct mai precis defeciunea i s elaboreze soluii de remediere.
Constatri
166
n urma analizei modului de alocare i utilizare efectiv a resurselor (procesoare, memorie, spaiu ocupat pe hard-disk, mod de salvare etc.), echipa de auditori a constatat c nu au fost realizat o monitorizare corespunztoare a operaiilor desfurate, care s in cont alocarea resurselor. n acest sens, a fost constatat faptul c procesoarele i memoriile de lucru ale calculatoarelor din cadrul departamentului IT, pe care sunt instalate programele antivirus i care asigur o supraveghere permanent a reelelor, sunt mai lente dect componentele similare aflate n configuraiile calculatoarelor din cadrul Direciei Generale de Investiii, Achiziii Publice i Servicii Interne. De asemenea, s-a constatat c hard-disk-urile din configuraiile acelorai calculatoare, de la nivelul Direciei Generale de Investiii, Achiziii Publice i Servicii Interne, dispun de capaciti excedentare, n majoritatea cazurilor fiind ocupate n procent de maxim 10-15%. 2. - dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i distribuite n siguran i n timp util; Echipa de auditori a constatat c majoritatea proceselor genereaz la terminarea execuiei diferite tipuri de fiiere. De cele mai multe ori, aceste fiiere sunt stocate ntr-o list de ateptare, putnd fi copiate, mutate n vederea unor analize sau prelucrri ulterioare. Echipa de auditori a observat c listele generate n urma prelucrrilor pe un anumit computer puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind restricionat. 3. - dac procedurile de salvare i restaurare protejeaz n mod real datele i aplicaiile sistemului informatic. Echipa de auditori a constatat c procedurile de salvare sunt corect planificate i sunt executate conform politicilor i procedurilor de securitate stabilite. n plus, s-a constat faptul c exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale de cteva ore, pentru operaiunile curente, i proceduri de salvare executate la intervale mai mari de timp, care includ copii complete ale sistemelor informatice: date, operaiuni, programe. 4. - dac procedurile de mentenan a echipamentelor sunt realizate corect i la intervale de timp stabilite n funcie de specificul fiecrei componente; Echipa de auditori analizat procedurile de mentenan privind sistemele IT. n acest sens, au fost inventariate interveniile efectuate asupra computerelor i imprimantelor/copiatoarelor aflate n cadrul Biroului Multiplicare, din cadrul Serviciului Administrativ i Gospodrirea Patrimoniului. Astfel, s-a constatat c 3 din cele 7 imprimante care deserveau necesitile biroului foloseau consumabile compatibile sau care au fost rencrcate, fapt ce a condus la o calitate mai slab a printrilor, dar i la pierderea garaniei oferit de furnizor. De asemenea, s-a constatat c dou din cele 6 computere din cadrul aceluiai birou se blocau n cazul efecturii unor operaiuni mai complexe. Acest fapt se datoreaz faptului c sursele de alimentare iniiale s-au defectat i au fost nlocuite cu unele asemntoare ca design, dar care nu ofereau suficient energie pentru prelucrrile mai complexe. ntruct aceste surse nu respectau specificaiile fabricantului, a fost pierdut garania respectivelor echipamente. n cazul multiplicatoarelor de mare capacitate, s-a constatat c n 2 din 3 cazuri, a fost depit termenul la care trebuia efectuat inspecia tehnic periodic, fapt ce a condus la o uzur mai pronunat a acestora, dar i la ieirea mai rapid din garanie. Au fost constatate 2 computere care aveau sigiliile furnizorului rupte, fapt ce denot intervenii ale personalului neautorizat. i aceste aspecte au condus la pierderea garaniei. 5. - dac echipamentele hardware sunt asigurate corespunztor; Echipa de auditori a constatat c pentru echipamentele hardware nu au fost ncheiate polie de asigurare, care s acopere diferitele tipuri de riscuri i costurile implicate de eventuale daune. 6. - dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt raportate i documentate corespunztor, astfel nct s se poat elabora soluiile corespunztoare de remediere a problemelor. Analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc.
167
Concluzii
B. funcii legate de procese: 7. - dac datele de intrare sunt validate; 8. - dac se verific integritatea i completitudinea datelor 9. - dac se analizeaz eficiena operaiilor 10. - dac se monitorizeaz i se gestioneaz bazele de date. 7. - dac datele de intrare sunt validate; Echipa de auditori a constatat c la nivelul entitii au fost realizate verificri ale datelor introduse n sistemul informatic din punct de vedere al tipurilor de date, al lungimii acestora, iar pentru coduri au fost utilizate reguli speciale de creare i validare a acestora. De asemenea, se folosesc proceduri automate de verificare a intrrilor. 8. - dac se verific integritatea i completitudinea datelor Echipa de auditori a verificat existena unor proceduri de verificare a modului n care datele au fost introduse sau importate dintr-o aplicaie n alta. n aceste situaii, anumite nregistrri se pot pierde sau datele pot fi modificate, ducnd la apariia unor probleme n prelucrare. Aceste aspecte au fcut obiectul FIAP-ului de la testul nr. 6. Recomandare: Utilizarea unor funcii de verificare prin totaluri, chei i algoritmi. 9. - dac se analizeaz eficiena operaiilor Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a constatat c o anumit parte din aceste verificri se realizeaz manual. 10. - dac se monitorizeaz i se gestioneaz bazele de date. n urma analizei modului de monitorizare i gestionare a bazelor de date, echipa de auditori a concluzionat c rapoartele i situaiile de ieire ofer suficiente informaii managementului n vederea lurii deciziilor corecte. n urma deficienelor constatate cu ocazia testrii operaiunilor efectuate de sistemele informatice, s-a ntocmit FIAP-ul nr. 3.1.
168
Procedura - P08: Entitatea Public Serviciul Audit Public Intern
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 3.1
Data: 15.09.2009 Data: 15.09.2009
PROBLEMA CONSTATRI
CAUZE
Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii legate de gestionarea acestora. Echipa de auditori a constatat urmtoarele: 1. n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne), fiind utilizate n proporie de max. 10-15%. 2. Echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind restricionat. 4. n urma inventarierii interveniilor efectuate asupra computerelor i imprimantelor/copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective. 6. Analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc. 9. - dac se analizeaz eficiena operaiilor Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a constatat c o anumit parte din aceste verificri se realizeaz manual. 1. Lipsa unei imagini de ansamblu asupra alocrii i utilizrii efective a resurselor de IT. 2. Lipsa proteciilor i a restricionrii accesului la rezultatele prelucrrilor. 4. Alocarea de fonduri insuficiente pentru achiziia de consumabile originale. De asemenea, anumite probleme tehnice au trebuit soluionate n regim de urgen, fapt ce a fost realizat prin utilizarea unor componente luate de pe alte sisteme nefuncionale, fr a avea n vedere respectarea n totalitate a cerinelor productorului. 6. Datorit insuficienei personalului de specialitate, anumite intervenii tehnice s-au limitat doar la remedierea problemelor punctuale, fr a avea n
169
vedere etapele premergtoare, cauzele, i modul de propagare ale acestora. Neconstituirea la nivelul departamentului IT a unui colectiv nsrcinat cu raportarea i soluionarea rapid a problemelor de ordin tehnic (Help-desk). Lipsa utilizrii programelor de monitorizare a sistemelor informatice. 9. Neutilizarea unor programe care s automatizeze ntr-un grad ct mai mare verificrile efectuate asupra operaiile informatice. Anumite procese de importan vital dispun de resurse insuficiente, n timp ce CONSECINE anumite resurse nu sunt complet utilizate. Vulnerabilitate ridicat a rezultatelor prelucrrilor. Calitate sczut a rezultatelor prelucrrilor. Pierderea garaniilor pentru anumite echipamente. Uzura mai rapid a acestora. nlturarea doar a consecinelor anumitor probleme de ordin tehnic, nu i a cauzelor. Verificarea manual a operaiunilor informatice prezint un risc mai mare de nedetectare a problemelor, dect verificarea automatizat. RECOMANDRI Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri. Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat. Procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens. Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate. De asemenea, s se aib n vedere definirea corect a problemelor: data apariiei, frecvena, etapele premergtoare, modul de manifestare, datele de identificare ale persoanelor de contact etc. n acelai scop pot fi utilizate i raportrile generate automat sau se pot utiliza programe de monitorizare a sistemelor informatice. Elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile efectuate asupra operaiilor informatice.
170
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Intern TEST nr. 3.2. Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin / Radu George Avizat: Dumitru Daniel Obiectul testului Obiectivele testului Descrierea testului
Data: 16.09.2009 Data: 16.09.2009
Programele antivirus asigur protecia aplicaiilor Analiza programelor anti-virus Populaia statistic testat a fost constituit din totalul calculatoarelor personale utilizate la nivelul entitii publice, adic 250 de computere. Eantionul pentru realizarea testrii programelor anti-virus a fost stabilit pe baza unui procent de 2%, din totalul populaiei de 250 de calculatoare, respectiv 5 calculatoare personale, eantionarea utilizat a fost la ntmplare, conform Foii de lucru nr. Testrile au constat n verificarea implementrii programelor anti-virus conform procedurilor: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - programul anti-virus s verifice staia de lucru la pornire; - programul anti-virus s monitorizeze toate programele i aplicaiile active, mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic); - programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui. O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). Din analiza echipamentelor de calcul selectate n eantion cu privire la modul n care programele i aplicaiile coninute de acestea sunt protejate mpotriva atacurilor din reea i din afara reelei, s-a constatat c: - n cazul a 2 calculatoare din cadrul entitii publice, configuraia programului antivirus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am constatat c acestea erau infectate cu virui. Programele anti-virus nu sunt utilizate conform instruciunilor i licenelor.
Constatri
Concluzii
171
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Intern FOAIE DE LUCRU NR. 3.1.
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 Obiectiv: Protejarea anti-virus a sistemelor informatice
Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se conecteaz la reeaua entitii publice la poziiile: 11, 61, 111, 161, 211, conform celor prezentate n Lista de control anexat la Testul nr. 4.6.: - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.
172
Procedura P08: Colectarea dovezilor ENTITATEA PUBLICA Serviciul Audit Intern
Lista control nr. 3.1. privind Programele anti-virus

Elemente Verificarea implementrii programelor anti-virus conform procedurilor testate Programul Instalarea unui program monitorizeaz Programul anti-virus s programele i anti-virus adecvat verific staia de lucru la necesitilor utilizatorilor active, mesajele pornire verific staiilor de lucru actualizrile la Eantion regulate (zilnic) Computer aflat la X X X poziia 11 Computer aflat la X X X poziia 61 Computer aflat la FIAP poziia 111 Computer aflat la FIAP poziia 161 Computer aflat la NU poziia 211 FIAP FIAP X FIAP FIAP X anti-virus Verificarea Programul anti-virus se Monitorizarea toate a sistemului de actualizeaz n reea, astfel sistematic aplicaiile actualizare a nct s protejeze eficient funcionalitii primite i anti- programelor antidatele electronice programelor automat virus mpotriva viruilor nou- virus intervale aprui X X X
FIAP FIAP X
FIAP FIAP X
FIAP FIAP X
173

Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel Problema Constatarea
Data: 16.09.2009 Data: 16.09.2009
Neaplicarea n mod unitar a politicii de securitate IT a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). Echipa de auditori a verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele: - n 2 departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. Lipsa monitorizrii permanente a staiilor de lucru cu privire la funcionarea programelor antivirus, precum i responsabilizarea utilizatorilor n cazul n care dezactiveaz un program antivirus. Prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea staiilor de lucru putnd duce la blocarea acestora sau chiar a ntregului sistem program, aplicaie sau sistem informatic. Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei.
Pentru conformitate Structura auditat
174
TEST nr. 3.3.
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel Obiectul testului Obiectivele testului Descrierea testului
Implementarea subsistemelor IT
Data: 16.09.2009 Data: 16.09.2009
Realizarea subsistemelor IT conform aprobrilor i planificrilor. Populaia este formata din aplicaiile i programele aprobate de conducerea organizaiei pentru a fi implementate n perioada suspus evalurii. Acestea vor fi evaluare n totalitate. Analiza va urmri dac un program sau aplicaie aprobat a fost implementat cu respectarea termenelor. Pentru fiecare aplicaie sau program aprobat se va urmri i dac au fost stabilite resursele financiare necesare, inclusiv cuprinderea lor n buget. Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n eviden faptul c termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile aplicaii IT ntmpin dificulti n transmiterea datelor n format electronic celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante. Programele i aplicaiile aprobate i pentru care au fost stabilite i aprobate i resursele nu sunt implementate n termen.
Constatri
Concluzii
175
Procedura P08:
INTERVIU nr. 3.1. privind gradul de realizare a subsistemelor IT stabilite prin planul strategic adresat domnului Eleodor Darius, ef Serviciul analiza, proiectare i programare
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 Nr. crt. 1. 2. 3. 4. 5. 6. 7. 8. ntrebri Da Nu X X X X X Observaii
Exist un sistem procedurat de realizare a subsistemelor IT X Sistemele implementate au fost stabilite prin planul strategic i prin planurile anuale? Exist persoane responsabile de implementarea subsistemelor IT? Subsistemele IT au fost realizate la termenele stabilite? Exist resurse alocate pentru realizarea subsistemelor IT? X Avei o procedur pentru monitorizarea implementrii subsistemelor IT? n toate cazurile n care persoanele responsabile au primit alte sarcini de serviciu au fost desemnate alte persoane care s monitorizeze implementarea subsistemelor IT? Nu mai avei ceva de adugat? X
Data: 16.09.2009 Dat n faa noastr Auditori: Popescu Sorin Radu George Intervievat Sef serviciu Eleodor Darius
176
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Intern FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 3.3. Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel Problema Constatarea
Data: 16.09.2009 Data: 16.09.2009
Subsistemele IT nu au fost realizate la termenele stabilite. Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante. Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate. ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor departamente, deoarece datele i informaiile sunt reluate i introduse manual. Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget.
177
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Intern TEST nr. 3.4. Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel Obiectul testului Obiectivele testului Descrierea testului
Evaluarea problemelor i soluionarea acestora Verificarea existenei unor controale generale implementate la nivelul subsistemelor IT Populaia statistic este reprezentat de 15 subsisteme IT ce reprezint numrul total al subsistemelor IT funcionale la nivelul entitii publice. Eantionarea va fi reprezentat de 5 elemente din ntreaga populaie, deci 30%, pentru c este un numr rezonabil de subsisteme. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 3, poz.., i anume: - Controlul datelor introduse n aplicaii; - Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer). - Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complete - Validarea datelor transferate din alte aplicaii - Controalelor care verific nregistrrile duble; - Autorizarea electronic i/sau manual a tranzaciilor - Efectuarea tranzaciilor numai de la computere definite n prealabil - Pstrarea integral a nregistrrilor astfel nct s se poat urmri tranzaciile efectuate din faza de iniiere pn la finalizarea lor; - nelegerea controalelor implementate de ctre utilizatori. Testarea s-a concretizat n elaborarea Listei de control nr... privind existena controalelor generale la nivelul subsistemelor IT. Din analiza modului de implementare i funcionare a controalelor la nivelul subsistemelor IT, s-a constat inexistena urmtoarelor controale generale: - Controlul asupra datelor introduse n aplicaii; - Controlul asupra datelor rezultate n urma procesrii astfel nct s se asigure c aceste date sunt complete; - Controlul pe parcursul procesrii datelor i rapoartelor rezultate; - Controlul privind validarea datelor transferate din alte aplicaii; - Controlul asupra tranzaciilor efectuate. Controalele generale nu sunt implementate n totalitate la nivelul subsistemelor informatice.
Data: 16.09.2009 Data: 16.09.2009
Constatri
Concluzii
Supervizor, Dumitru
Daniel
178
Procedura P08: Colectarea dovezilor ENTITATEA PUBLICA Serviciul Audit Intern FOAIE DE LUCRU nr. 3.2.
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 Obiect:

Obiectivul
Existena controalelor generale la nivelul subsistemelor IT
Verificarea existenei unor controale generale implementate la nivelul subsistemelor IT. Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 15 subsisteme IT; - eantionul va fi de 30%, respectiv 15 x 30% = 5 subsisteme IT; - eantionul se va constitui din: o Subsistemul IT pentru gestiunea resurselor umane o Subsistemul IT pentru operaiuni financiare o Subsistemul IT pentru activitatea contabil o Subsistemul IT pentru activitatea juridic o Subsistemul IT de coordonare a relaiilor bugetare cu Uniunea European conform celor prezentate n Lista de control nr. 3.2..: - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.
Data: 16.09.2009 Auditor intern, Radu George Supervizor, Dumitru Daniel
179
Lista control nr. 3.2. privind existena controalelor generale la nivelul subsistemelor IT
Nr. Crt. Elemente testate Eantion
Controlul pe Efectuarea Controlul datelor parcursul Validarea tranzaciilor rezultate n urma Controale care Autorizarea procesrii datelor Controlul datelor astfel verific electronic i/sau numai de datelor i procesrii, introduse n transferate nct s se asigure nregistrrile manual a computere rapoartele din alte aplicaii definite duble tranzaciilor produse n caz c aceste date sunt aplicaii prealabil de nerealizare a complete procesrii Pstrarea integral a nregistrrilor astfel nct s se nelegerea la poat urmri controalelor implementate de tranzaciile n efectuate din faza ctre utilizatori de iniiere pn la finalizarea lor
1. 2. 3. 4. 5.
Subsistemul IT pentru gestiunea resurselor FIAP umane Subsistemul IT pentru X operaiuni financiare Subsistemul IT pentru X activitatea contabil Subsistemul IT pentru FIAP activitatea juridic Subsistemul IT de coordonare a relaiilor X bugetare cu Uniunea European
FIAP X X FIAP X
FIAP X X FIAP X
FIAP FIAP FIAP FIAP FIAP
X X X X X
X X X X X
FIAP FIAP FIAP X X
X X X X X
X X X X X
Data> 16.09.2009
Auditor intern, Radu George Supervizor, Dumitru Daniel
180

Data: 16.09.2009 Data: 16.09.2009
Cauza Consecina
Recomandarea
Inexistena controalelor generale implementate la nivelul subsistemelor IT Din evaluare, auditorii interni au constatat c nu exist un sistem de controale generale care s fie avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe echipamentele entitii publice, astfel: - Controlul datelor introduse n aplicaii; - Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer); - Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complete; - Controlul privind validarea datelor transferate din alte aplicaii; - Controlul privind tranzaciile efectuate. Lipsa unei bune gestiuni a riscului, pe baza creia sa fie identificate controalele interne i modul n care acestea funcioneaz. Inexistena unui set de controale generale, armonizat pentru toate subsistemele IT, poate s conduc la nedetectarea modificrilor neautorizate aduse datelor procesate i astfel apare probabilitatea ca date eronate s fie introduse, prelucrate i stocate n sistemul IT. Identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz.
181
Procedura P10 ENTITATEA PUBLICA Serviciul Audit Intern

Data: 16.09.2009 Data: 16.09.2009
Obiectivul I. SECURITATEA INFORMAIEI

Nr. crt.
A 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15.
Organizarea securitii informaiilor Elaborarea politicii privind securitatea informaiei Verificai dac exist o politic de securitate a informaiei; Verificai dac politica de securitate a informaiei este aprobat de conducerea organizaiei; Verificai dac politica privind securitatea informaiei stabilete responsabilitile asociate i principiile de securitate care trebuie urmate de ctre personal; Verificai dac politica de securitate a informaiei supune informaiile i sistemele importante unei analize de risc n mod regulat; Verificai dac politica de securitate a informaiei impune ca sistemele s fie clasificate ntr-un mod care s indice importana acestora pentru organizaie; Verificai dac politica de securitate a informaiei impune utilizarea numai a programelor liceniate; Verificai dac politica de securitate a informaiei asigur condiiile de raportare sau abaterile de la regularitate; Verificai dac protejarea informaiei este asigurat n condiii de confidenialitate, integritate i disponibilitate; Verificai dac politica de securitate interzice utilizarea informaiilor i sistemelor organizaiei fr autorizare; Verificai dac politica de securitate interzice scoaterea informaiei sau echipamentelor din cadrul organizaiei fr autorizare; Verificai dac politica de securitate interzice utilizarea informaiilor, inclusiv a infrastructurii sau echipamentelor IT n alte scopuri; Verificai dac politica de securitate interzice copierea neautorizat a datelor i informaiilor; Verificai dac politica de securitate interzice divulgarea informaiilor ctre persoane neautorizate; Verificai dac politica de securitate oblig utilizatorii s nchid programele sau aplicaiile cnd nu sunt utilizate; Verificai dac politica de securitate oblig utilizatorii s se deconecteze de la aplicaii, atunci cnd las calculatorul
Da
Nu
Obs.
X X X X X X X X X X X X X X X 182
1.16. 1.17. 1.18 1.19 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9.
2.10. 2.11. 3. 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. 3.8. 3.9.
nesupravegheat; Verificai dac politica de securitate este comunicat ntregului X personal; Verificai dac politica de securitate are n vedere prevenirea X falsificrii probelor n cazul unui incident; Verificai dac politica de securitate stabilete msurile X disciplinare ce pot fi luate n cazul nerespectrii ei; Verificai dac politica de securitate este revizuit i actualizat X periodic. Stabilirea responsabilitilor n cadrul politicii de securitate Verificai dac exist o persoan din conducerea de vrf cu X responsabilitate general pentru securitatea informaiei; Verificai dac exist un comitet nsrcinat cu coordonarea X activitii de securitate a informaiei; Verificai dac comitetul responsabil de securitatea informaiei X coordoneaz aceast activitate la nivelul ntregii organizaii; Verificai dac din comitetul nsrcinat cu coordonarea activitii de securitate a informaiei fac parte persoane din conducerea de X vrf a organizaiei; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei este responsabil pentru integrarea X informaiei pentru toate sectoarele organizaiei; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei asigur tratarea intereselor privind X securitatea informaiei curent i consecvent; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei este responsabil pentru aprobarea X politicilor i standardelor de securitate a informaiei; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei este responsabil pentru aprobarea X procedurilor de securitate a informaiei; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei este responsabil pentru aprobarea i X stabilirea prioritilor activitii de mbuntire a securitii informaiei; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei asigur coordonarea implementrii X instrumentelor de control aferente securitii informaiei; Verificai dac comitetul nsrcinat cu coordonarea activitii de securitate a informaiei accentueaz importana securitii X informaiei n cadrul organizaiei; Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii autorizai Verificai dac regulile de securitate privind accesul la X echipamentele i datele stabilite sunt respectate cu strictee; Verificai dac abaterile de la regulile impuse sunt imediat X semnalate persoanelor responsabile; Verificai dac dispozitivele de stocare sunt pstrate n condiii de securitate pentru a evita distrugerea fizic, pierderea sau X modificarea coninutului; Verificai dac condiiile de pstrare sunt verificate periodic i X mbuntite; Verificai dac salvrile de date sunt efectuate cu periodicitatea X impus de importana datelor i de regulile prestabilite; Verificai dac arhivarea datelor este realizat cu frecvena impus X de reglementrile de operare; Verificai dac drepturile utilizatorilor sunt verificate periodic, n X conformitate cu sarcinile alocate acestora; Verificai dac permisiunile curente de acces la resursele partajate sunt verificate, n vederea conformitii cu regulile de securitate X impuse; Verificai dac accesul la directoarele i fiierele cu caracter secret X se realizeaz n conformitate cu reglementrile interne; 183
3.10. 3.11. 3.12. B. 1. 1.1. 1.2. 1.3. 1.4 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12.
Verificai dac arhivarea datelor este realizat adecvat importanei acestora; Verificai dac duplicarea datelor se realizeaz conform cu reglementrile interne; Verificai asigurarea securitii dispozitivelor de stocare a datelor; Disponibilitatea datelor Protejarea datelor mpotriva viruilor Verificai dac programele sunt protejate fa de virui; Verificai dac viruii detectai sunt nlturai prin utilizarea de produse specializate antivirus; Verificai dac actualizarea produselor antivirus se face permanent; Verificai dac procedurile de scanare i eliminare a viruilor sunt lansate periodic n execuie; Verificai dac programul antivirus intr n funciune ntotdeauna la pornirea computerelor; Verificai dac viruii sunt detectai cu operativitate utiliznd metode adecvate; Verificai dac exist continuitate n asigurarea licenelor programelor antivirus; Verificai dac implementarea programelor anti-virus asigur: a) instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; b) verificarea computerelor la pornire; c) monitorizarea tuturor programelor i aplicaiilor active, a mesajelor primite i verificarea automat a actualizrilor la intervale regulate (zilnic); d) actualizarea n reea, astfel nct s protejeze eficient datele mpotriva viruilor nou-aprui; Verificai dac este realizat o monitorizarea sistematic a funcionalitii programelor anti-virus; Verificai dac sistemul de actualizare a programelor anti-virus este adecvat necesitilor programelor i aplicaiilor utilizate n cadrul entitii; Asigurarea continuitii activitilor Verificai dac planul privind asigurarea continuitii activitilor permite cunoaterea msurilor ce trebuie luate n cazul producerii unui eveniment nedorit; Verificai dac scopul planului de asigurare a continuitii activitii este de a minimiza efectele produse de un dezastru; Verificai dac planul privind continuitatea activitilor are impact major asupra activitilor curente critice; Verificai dac resursele umane, precum i cele hardware/software implicate n procesul de aplicare a planului sunt prestabilite i sunt disponibile; Verificai dac planul descrie strategia general de asigurare a continuitii activitii; Verificai dac planul stabilete rolurile i responsabilitile personalului implicat; Verificai dac planul stabilete criteriile i procedurile de recunoatere a unei crize; Verificai dac planul definete procedurile tehnice de reluare sau continuare a proceselor critice; Verificai dac planul stabilete procedurile de revenire la modul normal de operare; Verificai dac planul conine procedurile de ntreinere, actualizare i testare periodic a acestuia; Verificai dac echipa de coordonare, n caz de producere a evenimentului nedorit, este condus de managementul de vrf; Verificai dac echipa de coordonare n caz de producere a evenimentului nedorit este responsabil pentru iniierea planului privind continuitatea activitilor;
X X X X X X X X X X X X X X X X X
X X X X X X X X X X X X 184
2.13. 2.14.
2.15. 2.16. 2.17. 2.18. 2.19. 2.20.
2.21. 3. 3.1. 3.2. 3.3. 3.4. 3.5. 3.6. 3.7. 3.8. 3.9. 3.10. 3.11. 3.12. C. 1. 1.1. 1.2.
Verificai dac echipa de intervenie n caz de dezastru este implicat n conceperea planului privind continuitatea activitilor; Verificai dac elaborarea planurilor privind continuitatea activitilor a avut n vedere urmtoarele etape: a) iniierea planului b) analiza de risc i de impact c) definirea cerinelor i dezvoltarea strategiei d) implementarea strategiei i reducerea riscului e) dezvoltarea i implementarea planurilor; f) testarea i asigurarea mentenanei planurilor. Verificai dac planurile privind continuitatea activitilor sunt conforme cu obiectivele generale i cu strategia de administrare a riscurilor; Verificai dac funciile critice sunt identificate de administratorii sistemelor, dndu-se prioritate proceselor din cadrul acestor funcii; Verificai dac obiectivele avute n vedere pentru asigurarea continuitii activitii sistemelor au ca scop reluarea i recuperarea funciilor critice; Verificai dac planurile privind continuitatea activitilor includ cel puin o locaie secundar pentru salvarea datelor; Verificai dac sunt stabilite proceduri alternative/de urgen pentru realizarea funciilor critice n cazul cderii reelelor; Verificai dac prile implicate n planul de asigurare a continuitii activitilor, comunic eficient, att n interiorul, ct i n exteriorul organizaiei, utiliznd mijloace de comunicare sigure i testate; Verificai dac elementele planurilor privind asigurarea continuitii activitii sunt testate periodic. Recuperarea datelor n caz de dezastru Verificai dac a fost elaborat planul de recuperare a datelor n caz de dezastru; Verificai dac planul de recuperare a datelor n caz de dezastru a fost aprobat; Verificai dac este responsabilizat echipa de implementare a planului i sunt stabilite responsabilitile adecvate membrilor echipei; Verificai dac planul este comunicat personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru; Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii; Verificai dac sunt definite n cadrul planului domeniile de aciune importante ale entitii publice; Verificai dac sunt identificate principalele procese i aplicaii IT ce trebuie recuperate; Verificai dac au fost analizate cerinele specifice cu privire la recuperarea datelor n caz de dezastru la nivelul sistemului IT; Verificai dac sunt stabilii responsabili cu monitorizarea respectrii procedurilor privind recuperarea datelor n caz de dezastru; Verificai dac salvrile de siguran sunt actualizate sistematic; Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat; Analizai sistemul de arhivare a datelor. Asigurarea funcionrii programelor i aplicaiilor Asigurarea introducerii corecte a datelor Verificai dac documentele primare sunt analizate pentru identificarea tipurilor de date care trebuie introduse sau modificate; Verificai dac datele sunt pregtite i verificate pentru a fi introduse n sistemul informatic n vederea prelucrrii;
X X X X X X X
X X 185
1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19. 1.20. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 3. 3.1. 3.2.
Verificai dac se verific i se testeaz toate procedurile de introducere a datelor; Verificai dac se monitorizeaz prelucrarea electronic a datelor; Verificai se urmresc rapoartele de erori nregistrate de sistemul informatic i dac se efectueaz teste pentru identificarea cauzelor apariiei acestora; Verificai modul de urmrire a rezultatelor prelucrrilor i modul de distribuire ctre utilizatori; Verificai modul de ntocmire a jurnalului interveniilor operatorilor, jurnalul utilizrii bibliotecii de programe i a arhivelor de date i aplicaii Verificai dac aplicaiile informatice sunt utilizate n conformitate cu instruciunile de exploatare; Verificai dac ablonul de introducere a datelor este identificat corect, conform metodologiei proprii; Verificai dac elementele ablonului sunt analizate cu responsabilitate, n vederea introducerii datelor n condiii de eficien; Verificai dac introducerea datelor se realizeaz cu respectarea specificaiilor programului utilizat; Verificai dac se urmrete permanent conformitatea datelor introduse cu documentele primare; Verificai dac datele introduse sunt salvate pe suport de stocare n formatul de fiier adecvat; Verificai dac datele introduse sunt salvate corect i complet; Verificai dac datele sunt salvate la intervale de timp prestabilite; Verificai dac datele salvate sunt organizate adecvat, pentru a fi regsite cu uurin; Verificai dac salvrile de rezerv se realizeaz automat sau manual, n funcie de opiuni; Verificai dac datele neconforme cu documentele primare sunt corectate; Analizai dac datele introduse sunt verificate prin modaliti adecvate, n scopul identificrii operative a erorilor; Verificai dac datele corectate sunt salvate. Prelucrarea datelor Verificai dac programul de prelucrare a datelor este adecvat; Verificai dac programul de prelucrare a datelor este corect identificat, n funcie de necesiti i de rezultatele urmrite; Verificai modul de depistare i corectare a erorilor aprute n timpul rulrilor aplicaiilor informatice; Verificai dac procesrile aplicate datelor introduse sunt corecte; Verificai modul de funcionare a programelor, folosind ca date de test fie nregistrri originale, fie nregistrri mostr i corectarea eventualelor erori aprute n procesul de introducere a datelor; Verificai dac prelucrarea datelor cu ajutorul aplicaiilor informatice se realizeaz n conformitate cu instruciunile de exploatare; Verificai dac prelucrrile efectuate sunt vizualizate n scopul verificrii i sunt prezentate pe suportul de redare specificat; Verificai dac alegerea suportului de redare se realizeaz innd cont de destinaia datelor; Verificai dac prioritile suportului de redare respect cerinele; Verificai dac documentul este pregtit pentru redare prin setarea caracteristicilor specifice; Verificai dac echipamentul de ieire este ales adecvat, n scopul ndeplinirii condiiilor optime de furnizare a datelor. Asigurarea securitii datelor i documentelor Verificai dac sunt realizate copii de siguran pe suporturi de stocare adecvate; Verificai dac copiile de siguran sunt realizate la intervalele de timp menionate n procedura intern;
X X X X X X X X X X X X X X X X X X
X X X X X X X X X X
X 186
3.3. 3.4. 3.5. 3.6. 3.7. 3.8. 3.9. 3.10. 3.11. 3.12. 3.13. 3.14. D. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 2.
Verificai dac copiile de siguran sunt verificate pentru X conformitate cu originalele; Verificai dac arhivarea sau duplicarea datelor este realizat n X funcie de importana acestora i cu frecvena necesar; Verificai dac accesul la calculator este realizat prin conturi i X parole asociate, cu asigurarea caracterului de confidenialitate; Verificai dac accesul la directoarele i fiierele cu caracter secret X se face corespunztor reglementrilor interne; Verificai dac documentele primare i cele rezultate n urma X imprimrii sunt pstrate n condiii de securitate; Verificai dac suporturile de stocare sunt verificate pentru a le X depista pe cele virusate sau defecte; Verificai dac dispozitivele de stocare a datelor sunt pstrate n condiii de securitate pentru a evita distrugerea fizic, pierderea X sau modificarea coninutului; Verificai dac condiiile de pstrare sunt verificate periodic i X mbuntite dup caz; Verificai dac funcionarea severelor i a sistemelor este X permanent i atent monitorizat; Verificai dac accesul utilizatorilor la echipamente i la suporturi de date este realizat numai n limita permisiunilor cerute de X efectuarea sarcinilor curente; Verificai dac regulile de securitate referitoare la accesul la X echipamente sunt respectate; Verificai dac abaterile de la regulile de securitate sunt semnalate X prompt persoanelor responsabile; Implementarea instrumentelor de control Accesul la aplicaie este oferit pe baza necesitilor utilizatorului Verificai dac drepturile de acces sunt acordate conform regulilor X impuse prin manualele de instalare a aplicaiei; Verificai dac drepturile de acces sunt respectate de ctre X utilizatori; Verificai dac responsabilitatea pentru administrarea i operarea X aplicaiei este definit clar; Verificai dac utilizatorii sunt instruii cu privire la utilizarea X reelei i securitatea acesteia; Verificai dac administratorii de reea primesc instruirea adecvat X i potrivit cu privire la sigurana i controlul reelei; Verificai dac activitatea n reea este monitorizat, asigurndu-se X c securitatea acesteia este adecvat; Verificai dac doar utilizatorii autorizai pot efectua conexiuni la reea i exist proceduri pentru verificarea conexiunilor X neautorizate; Verificai dac codificarea utilizat previne accesul neautorizat la X datele transmise prin reea; Verificai dac instrumentele de control stabilite asigur datele i programele mpotriva pierderii, deteriorrii, coruperii deliberate X sau accidentale, i a atacurile informatice; Verificai dac reelele sunt proiectate i construite pentru a X asigura eficiena traficului de date; Verificai dac programele de administrare a reelei i fiierele de pe server sunt salvate pentru siguran i copii ale acestora sunt X pstrate n locuri sigure; Verificai dac exist metode de recuperare i de continuitate a activitii n eventualitatea defectrii liniilor sau nodurilor de X reea; Verificai dac accesul fizic la domeniile critice ale reelei este X restricionat numai pentru personalul autorizat; Verificai dac pentru echipamentele importante i pentru nodurile X reelelor s-au alocat resurse suplimentare de securitate. Introducerea instrumentelor de control fizic asupra echipamentelor IT al aplicaiilor 187
2.1.
2.2. 2.3. 2.4.
2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. 2.13. 2.14. 2.15. 2.16. 2.17. 2.18. 2.19. 2.20. 2.21. 2.22. 2.23. 2.24. 2.25.
Verificai dac accesul fizic la sistemele de calculatoare este restricionat prin: a) sistem adecvat de ncuietori; b) blocarea accesului atunci cnd mediul este eliberat; c) instalarea de alarme; d) asigurarea de personal de paz; Verificai dac efectuarea controalelor fizice se realizeaz conform procedurilor; Verificai dac accesul la servere este restricionat, avnd n vedere datele critice procesate, fiind permis numai persoanelor autorizate; Verificai camerele n care se afl severele i echipamentele, dac se respect urmtoarele cerine: a) sunt dotate cu camere de supraveghere, care acoper ntreaga zon de acces la server i sunt monitorizate permanent: b) sunt prevzute cu senzori de micare; c) dispun de sistem de alarm n caz de incendiu; d) dispun de sisteme de stingere a incendiilor; e) sunt prevzute cu echipamente de aer condiionat; f) sunt prevzute cu ui neinflamabile echipate cu ncuietori adecvate. Verificai dac echipamentele i documentaia de importan critic sunt asigurate suplimentar; Verificai dac sistemele de detectare a accesului neautorizat instalate sunt verificate periodic; Verificai dac calculatoarele portabile sunt protejate mpotriva furtului; Verificai dac utilizatorii sistemului au acces numai pentru scopuri clare i autorizate; Verificai dac utilizatorii sistemului sunt supravegheai permanent; Verificai dac echipamentele i facilitile critice sunt protejate prin montarea lor n afara zonei de acces a publicului; Verificai dac perimetrul de securitate fizic al camerelor care adpostesc echipamente i faciliti critice este ntrit i protejat; Verificai dac se realizeaz supravegherea continu a camerelor n care sunt adpostite echipamente i faciliti critice; Verificai dac autorizaiile pentru accesul fizic la echipamente sunt emise n conformitate cu procedurile documentate; Verificai dac autorizaiile pentru accesul fizic sunt revizuite periodic pentru a se asigura accesul la acestea numai a persoanelor autorizate; Verificai dac sunt luate msuri pentru restricionarea accesului la calculatoare i la informaiile pstrate de acestea; Verificai dac msurile de protecie sunt n acord cu politica de securitate a organizaiei; Verificai dac msurile de control in seama de clasificarea nivelurilor de securitate; Verificai dac msurile de control in seama de cerinele stabilite de responsabilii sistemelor i ale organelor de reglementare; Verificai dac msurile de control in seama de necesitatea de a pune n practic rspunderea personal; Verificai dac msurile de control asigur punerea n practic a unor instrumente suplimentare de control; Verificai dac msurile de control asigur separarea sarcinilor; Verificai dac accesul este restricionat conform politicii de securitate; Verificai dac msurile de control privind accesul restricioneaz capacitile sistemului care pot fi utilizate; Verificai dac msurile de control ale accesului identific locaia terminalelor aflate n exploatare; Verificai dac msurile de control privind accesul sunt realizate
X X Test nr. 4.3. List de control nr. 4.1. FIAP nr. 4.3.
X X X X X X X X X 188
2.26. E. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11.
1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19. 1.20. 1.21. 1.22. 1.23. 1.24.
1.25.
pe baza unui sistem de parole; Verificai dac msurile de control privind accesul sunt revizuite ca rspuns la noi ameninri, cerine ale activitii sau noi capaciti; Securitatea reelei Monitorizarea securitii reelelor Verificai dac riscurile ce amenin securitatea i disponibilitatea reelei i a aplicaiilor sunt inventariate; Verificai dac securitatea reelei are n vedere vulnerabilitatea aplicaiilor i sistemelor de operare, greelile de configurare i erorile; Verificai dac este realizat o hart a reelei; Verificai identificarea elementelor de baz din reea Verificai dac este realizat o hart exact a reelei; Verificai dac sunt identificate toate elementele din reea, respectiv servere, sisteme desktop, sisteme laptop, routere, puncte de acces, imprimante, sau alte dispozitive; Verificai dac este implementat un program de management al vulnerabilitilor; Verificai dac exist posibilitatea de a actualiza situaia reelei de cte ori este nevoie. Verificai clasificarea elementelor din reea Verificai dac se realizeaz o clasificare a sistemelor desktop, a serverelor i a aplicaiilor, n funcie de valoarea pe care acestea o reprezint pentru entitatea public; Verificai dac se realizeaz o grupare i clasificare a dispozitivelor din reea n funcie de prioriti, de la sisteme cu importan redus, cum sunt cele de test, la sistemele de importan medie, cum sunt sistemele laptop folosite la biroul aprovizionare i pn la sistemele de importan vital pentru entitate (tranzacii, operaiuni financiare) Verificai modul de clasificare a sistemelor depinde de natura operaiunilor desfurate; Verificai modul de identificarea rapid i precis a vulnerabilitilor Verificai dac identificarea vulnerabilitilor pleac de la analiza topologiei reelelor formate din servere, sisteme de operare sau platforme web diferite; Verificai dac este realizat protecia prin implementarea unui sistem adecvat de management al vulnerabilitilor Verificai dac acesta se bazeaz pe informaii precise i configuraii de sistem i reea adecvate; Verificai dac se realizeaz protecia n profunzime prin implementarea unui sistem adecvat de management al vulnerabilitilor; Verificai dac se realizeaz corelarea gradului de risc cu valoarea pentru activitile entitii, reprezentat de vulnerabilitile sistemelor i a segmentelor de reea; Verificai transformarea datelor de securitate brute n informaii Verificai dac n urma prelucrrilor, administratorii obin rapoarte complete care detaliaz nivelul critic al vulnerabilitilor; Verificai dac este asigurat accesul instant la soluiile de remediere; Verificai dac se folosesc patch-uri de securitate furnizate de dezvolttorul de aplicaii; Verificai dac se folosesc strategii ocolitoare sau alte msuri defensive; Verificai dac pe lng rapoartele generate pentru administratorii i responsabilii cu securitatea, informaiile sunt strnse, adaptate i prezentate acelor persoane care necesit detalii despre situaia securitii n cadrul entitii; Verificai dac rapoartele sunt prezentate conducerii.
X X X X X X X X X X
X X X X X X X X X X X X X X 189
1.26. 1.27. 1.28. 1.29. 1.30. 1.31.
1.32. 1.33. 1.34.
1.35. 1.36. 1.37. 1.38. F. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 2. 2.1. 2.2. 2.3. 2.4. 2.5.
2.6.
Verificai modul de monitorizarea securitii reelelor, n timp Verificai dac expunerea la risc este monitorizat prin reprezentarea strii de ansamblu a reelei; Verificai dac se utilizeaz un panou de afiare n timp real, privind expunerea la risc, prin reprezentarea vizual a strii de ansamblu a reelei; Verificai dac se realizeaz actualizarea continu a acestuia; Verificai dac panoul de afiare privind expunerea la risc este adaptat nevoilor de securitate ale organizaiei; Verificai dac la fiecare evaluare a vulnerabilitilor se creeaz o nregistrare care consemneaz data i ora scanrii, numrul vulnerabilitilor identificate, gradul de severitate i impactul asupra activitilor; Verificai dac sup aplicarea patch-urilor, o scanare ulterioar valideaz aplicarea corect a soluiilor pentru fiecare sistem; Verificai dac se obine reducerea riscurilor asociate; Verificai dac politica de securitate a gestionrii reelelor informatice este implementat i asigur protejarea datelor i informaiilor, respectiv: a) identificarea elementelor de baz din reea b) clasificarea elementelor din reea c) identificarea vulnerabilitilor reelei d) transformarea datelor de securitate, n informaii e) monitorizarea securitii reelelor n timp f) procesul de remediere a vulnerabilitilor reelelor Verificai dac se urmrete mentenana sistemelor. Verificai integrarea procesului de remediere a vulnerabilitilor Verificai dac entitatea este preocupat de aplicarea msurilor proactive i reactive, pentru remedierea vulnerabilitilor descoperite i a erorilor de configurare; Verificai dac entitatea este preocupat de remedierea rapid i eficient a vulnerabilitilor. Gestionarea parolelor Utilizatori au parole de acces individuale Verificai dac fiecare calculator este parolat; Verificai dac parola alocat este individual; Verificai dac parola este cunoscut doar de utilizator; Verificai dac programele i aplicaiile au nivele de acces n funcie de nivelul postului; Verificai dac parolele sunt schimbate periodic, respectnd regulile de complexitate impuse; Verificai dac exist un calendar privind parolele de acces Verificai dac exist desemnat o persoan responsabil cu verificarea periodic a sistemului de parole de acces Verificai dac accesul la calculator, la folosirea resurselor locale i a celor din reea este realizat prin conturi i parole asociate fiecrui utilizator; Verificai dac alocarea conturilor i parolelor respect caracterul de confidenialitate; Schimbarea periodic a parolelor Verificai dac parolele de acces sunt asigurate n scopul pstrrii caracterului secret; Verificai dac permisiunile sau drepturile utilizatorilor sunt verificate periodic, pentru a corespunde strict sarcinilor acestora; Verificai dac accesul la directoarele i fiierele cu caracter secret se face corespunztor reglementrilor interne; Verificai dac parolele asigur urmtoarele reguli: a) numr minim de caractere este opt; b) conin caractere alfa numerice; c) sunt case-sensitive; d) sunt mascate pe ecran, pentru a nu fi vzute; Verificai dac administratorul sistemului creeaz i configureaz
X X X X X X X X
Test nr. 4.1. FIAP nr. 4.1.
X X X X
X X X X Test nr. 4.2. Interviu nr. 4.1. FIAP nr. 4.2.
X X X X X
X 190
2.7. 2.8.
2.9. 2.10. 2.11. 3.
4. 4.1. 4.2. 4.3. 4.4. G. 1. 1.1. 1.2.
1.3.
1.4. 1.5. 1.6. 1.7.
corespunztor conturile fiecrui utilizator; Verificai dac parolele generice iniiale sunt schimbate de ctre fiecare utilizator n parte; Verificai dac sistemul beneficiaz de urmtoarele caracteristici: a) suspendarea conturilor i parolelor dup o anumit perioad de inactivitate; b) schimbarea parolelor la intervale stabilite de timp; c) suspendarea conturilor dup ncercri succesive nereuite de acces la sistem; d) accesul utilizatorilor restricionat la anumite perioade de timp; e) deconectarea utilizatorilor dup un anumit timp de inactivitate; Verificai dac configurarea conturilor se face n funcie de tipurile de utilizatori; Verificai dac contul de administrare poate fi ters; Verificai dac sistemul permite configurarea i controlul parametrilor de sistem. Protejarea parolelor Verificai dac parolele respect urmtoarele reguli: - numr minim de 8 caractere; - s conin caractere alfanumerice; - s fie CASE-SENSITIVE; - s fie mascate pe ecran pentru a nu fi vzute. Verificai dac administratorul sistemului creeaz i configureaz corespunztor conturile fiecrui utilizator; Verificai dac parolele generice iniiale sunt schimbate de ctre fiecare utilizator n parte; Persoanele autorizate au acces la sistemul de operare Verificai dac accesul la sistem se realizeaz numai pe baza conturilor de utilizatori n funcie de tipurile specifice i de atribuiile specifice fiecrui angajat Verificai dac conturile de utilizatori respect condiii privind parolele, modul de acces, restriciile specifice; Verificai dac utilizatorii sunt instruii s respecte regulile privind securitatea logic; Verificai dac exist proceduri legate de accesul neautorizat; Securitatea logic Asigurarea securitii funcionrii programelor i aplicaiilor Verificai dac nainte proiectrii unui plan de control al securitii, sunt identificate riscurile la care sunt supuse sistemele informatice din punct de vedere logic; Verificai dac echipa care realizeaz planul de securitate include specialiti din diverse domenii informatice i auditori interni, pentru a putea identifica toi factorii de risc i a se formula cele mai bune soluii de nlturare a acestora; Verificai dac planul de securitate include metodele de asigurare a securitii pentru fiecare etap din funcionarea sistemelor, pentru tipuri de operaii, protecia bazelor de date, a sistemelor de operare; Verificai asigurarea securitii n faza de implementare a noilor sisteme informatice Verificai dac la instalarea sistemelor informatice noi, se creeaz conturi de sistem i conturi de acces; Verificai dac parolele iniiale ale acestor conturi sunt schimbate dup accesarea sistemului; Verificai dac sistemul beneficiaz de urmtoarele caracteristici: - numrul minim de caractere pentru parole; - suspendarea conturilor i parolelor dup o anumit perioad de inactivitate; - schimbarea parolelor la intervale stabilite de timp; - suspendarea conturilor dup ncercri succesive nereuite de
X X X X X X X X X X
X X X X
X X X
191
1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19.
1.20. 1.21. 1.22 1.23. 1.24. 1.25 1.26. 1.27 1.28 1.29 1.30 1.31. 1.32. 1.33. 1.34.
acces la sistem; - accesul la sistem al utilizatorilor s fie restricionat la anumite perioade de timp, ntre anumite ore; - deconectarea utilizatorilor dup un anumit timp de inactivitate; - configurarea conturilor n funcie de tipurile de utilizatori; - contul de administrare (system user) s nu poat fi ters; Verificai dac sistemul permite configurarea i controlul parametrilor cheie; Verificai dac salvarea datelor se realizeaz periodic n conformitate cu specificaiile manualului; Verificai dac copiile de siguran se realizeaz conform indicatorilor din manualele de operare; Verificai dac modulele/programele/datele salvate sunt corecte i complete, conform manualelor de operare; Verificai dac identificarea modulelor/programelor/datelor salvate se face cu uurin; Verificai dac suporturile/dispozitivele de stocare sunt depozitate n condiii speciale, conform manualelor de operare; Verificai dac coninutul fiecrui suport/dispozitiv de stocare este consemnat pe etichet i nregistrat n registru; Verificai dac dispozitivele de stocare au asigurat securitatea conform instruciunilor de stocare; Verificai dac exist un acces sigur i controlat la echipamentele i dispozitivele de stocare; Verificai dac dispozitivele de stocare sunt pstrate n condiii de securitate; Verificai dac modulele/programele, datele sunt salvate pe dispozitivele sau suporturile de stocare precizate de manuale; Verificai dac echipamentele i componentele hardware sunt nregistrate corect i cu toate detaliile relevante pentru accesarea operativ a informaiilor privind starea de funcionare i configuraia lor, Verificai dac evidenele dispozitivelor de stocare a datelor sunt conduse, n scopul identificrii prompte a coninutului acestora. Verificai dac accesul n cadrul sistemului se realizeaz numai pe baza conturilor de utilizatori n funcie de tipurile specifice i de atribuiunile fiecrui angajat; Verificai dac aceste conturi respect anumite condiii privind parolele, modul de acces, restriciile pe care le are fiecare cont n parte; Verificai dac utilizatorii sunt instruii s respecte regulile de securitate logic; Verificai dac exist proceduri pentru rezolvarea problemelor legate de accesul neautorizat; Verificai dac accesul la distan permite accesarea diferitelor tipuri de aplicaii; Verificai dac securizarea transferurilor se realizeaz prin linii dedicate; Verificai dac securizarea transferurilor utilizeaz protocoale specifice de comunicaie; Verificai dac la liniile dedicate au acces numai persoanele autorizate din cadrul organizaiei; Verificai dac se folosesc algoritmi de criptare a datelor; Verificai dac algoritmii de criptare in cont de tipul informaiei; Verificai dac datele transferate sunt criptate; Verificai dac este evaluat riscul de interceptare neautorizat a transferurilor; Verificai dac utilizatorul aflat la distan se poate conecta la reeaua entitii, numai printr-un canal prestabilit, alocat special comunicrii / traficului la distan; Verificai dac terminalul utilizatorului furnizeaz anumite date de identificare astfel nct conexiunea s poat fi realizat;
X X X X X X X X X X X X X X X X X X X X X X X X X X X 192
1.35. 1.36.
1.37. 1.38. 1.39. 1.40. 1.41. 1.42. 1.43. 1.44.
1.45.
Verificai dac, n cazul dispozitivelor wireless, se realizeaz o blocare a accesului posibililor utilizatori, aflai n raza de aciune a acestora; Verificai dac SSL (este un protocol pentru producerea i pstrarea de conexiuni codificate ntre browser-ul de web i serverul de web) folosete protocolul TCP/IP n acionarea asupra protocoalelor de nivel nalt; Verificai dac se realizeaz autentificarea clientului ctre server; Verificai dac protocolul ofer ambelor staii posibilitatea de a stabili o conexiune codificat; Verificai dac certificatele de server asigur identitatea celeilalte pri; Verificai dac este asigurat evidena dispozitivelor token, pentru cazurile n care accesul utilizatorilor la sistem se realizeaz prin validri multiple; Verificai dac pentru tranzaciile importante cum ar fi e-banking, bursa, e-commerce i tranzaciile financiare sunt realizate autentificri garantate cu ajutorul acestor dispozitive? Verificai dac administrarea securitii sistemelor este realizat de ctre persoane specializate; Verificai dac managerii de pe diferitele nivele sunt responsabilizai cu implementarea corect a procedurilor i politicilor de securitate? Verificai dac acetia sunt responsabili cu instruirea utilizatorilor n respectarea regulilor de securitate, de monitorizare permanent a sistemelor, de concepere i modificare a politicilor i regulilor de securitate; Verificai dac administratorii responsabili cu protecia sistemelor se consult cu auditorii interni pentru implementarea celor mai bune soluii;
X X X X X X X X
193

TEST nr. 4.1.

Data: 16.09.2009 Data: 16.09.2009
Monitorizarea securitii reelelor. Asigurarea c datele i informaiile sunt protejate n cadrul sistemului informatic, limitnd accesul n funcie de nivelele de autorizare sau pe baza unui sistem adecvat de parole. 1. Populaia avut n vedere pentru constituirea eantionului este format din reelele de calculatoare existente n cadrul entitii, n numr de 8. 2. Eantionul a fost reprezentat de 3 reele, respectiv din cadrul direciei generale resurse umane, direciei generale buget-finane i direciei generale administrativ achiziii. 3. Prin testarea ce se va realiza se va urmri, dac politica de securitate a gestionrii reelelor informatice existente n cadrul organizaiei este implementat i asigurat protejarea datelor i informaiilor. Testarea s-a axat pe managementul securitii reelelor i a avut n vedere urmtoarele: identificarea elementelor de baz din reea clasificarea elementelor din reea identificarea vulnerabilitilor reelei transformarea datelor de securitate, n informaii monitorizarea securitii reelelor n timp procesul de remediere a vulnerabilitilor reelelor n urma analizei modului de gestionare a securitii reelelor, au rezultat urmtoarele: 1. La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii reelelor din cadrul entitii. Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin intermediul unui nou router, care nu au fost consemnate n cadrul hrii. De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei, fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i implementarea de programe antivirus adecvate. 2. La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
194
Constatri
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii (tranzacii, operaiuni financiare etc.). ns, n ceea ce privete aplicaiile informatice la nivelul entitii nu exist o prioritizare a importanei fiecreia, n vederea implementrii msurilor corespunztoare de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate ca i sistemul integrat privind conducerea organizaiei. 3. Datorit faptului c n cadrul entitii se folosesc servere, sisteme de operare i platforme web diferite, identificarea vulnerabilitilor sistemului n ansamblu este o activitate complex i necesar. Analiza rapoartele de activitate a pus n eviden faptul c s-a procedat la peticirea a vulnerabilitilor, dup care atenia a fost ndreptat ctre riscurile medii i mici. Acest mod de abordare are eficien n reducerea riscurilor, ns nu a fost corelat gradului de risc cu importana fiecrei activiti realizate, ceea ce poate afecta vulnerabilitatea unor sisteme sau segmente de reea. Nu exist stabilit n mod clar a hart cu toate posturile din cadrul organizaiei dotate cu computer, iar securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de autorizare a accesului i unui sistem adecvat de parole.
Concluzii
195


Data: 16.09.2009 Data: 16.09.2009
Problema
Constatarea
Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT, neasigurndu-se o intervenie prompt i rapid. Securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de autorizare a accesului i unui sistem adecvat de parole. 1. La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii reelelor din cadrul entitii. Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin intermediul unui nou router, care nu au fost consemnate n cadrul hrii. De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei, fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i implementarea de programe antivirus adecvate. 2. La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii (tranzacii, operaiuni financiare etc.). Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate ca i sistemul integrat privind conducerea organizaiei. 3. Datorit faptului c n cadrul entitii se folosesc servere, sisteme de operare i platforme web diferite, identificarea vulnerabilitilor sistemului n ansamblu este o activitate complex i necesar. Analiza rapoartelor de activitate a pus n eviden faptul c s-a procedat la peticirea vulnerabilitilor, dup care atenia a fost ndreptat ctre riscurile medii i mici. Acest mod de abordare are eficien n reducerea riscurilor, ns nu a fost corelat gradului de risc cu importana fiecrei activiti realizate, ceea ce poate afecta
196
Cauza
Consecina
Recomandarea
vulnerabilitatea unor sisteme sau segmente de reea. Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate persoanelor cu responsabiliti decizionale asupra securitii informaionale. Lipsa unei prioritizri a aplicaiilor n funcie de importana lor n desfurarea activitilor din cadrul entitii. Lipsa unui sistem de analiz i monitorizare a vulnerabilitilor, care s identifice i actualizeze vulnerabilitile sistemului i remedieze greelile de configurare. Imposibilitatea protejrii integrale a reelelor IT, a alocrii corespunztoare a resurselor (spaii de memorie, vitez de procesare, stabilitate) n cadrul reelelor IT. Lipsa unei viziuni de ansamblu asupra vulnerabilitilor care afecteaz funcionalitatea reelelor. Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii organizaiei.
Pentru conformitate, Structura auditat
197
TEST nr. 4.2.

Data: 16.09.2009 Data: 16.09.2009
Utilizatorii au parole de acces individuale Verificarea sistemului de prevenire i detectare a accesrilor i modificrilor sau transmiterilor neautorizate de baze de date. Eantionul cuprinde administratorul i utilizatorii sistemului informatic din cadrul departamentului IT, care au n dotare 5 calculatoare. Testarea privind securitatea sistemului informatic a avut la baz Lista de verificare nr. 4, poziia 4.2 astfel: existena unui sistem de parole care s fie modificate periodic; realizarea calendarului privind parolele de acces; desemnarea unei persoane responsabile cu verificarea periodic a sistemului de parole de acces; Testul s-a materializat prin verificarea pe teren a existenei sistemului de parole de acces i a existenei unui responsabil cu verificarea schimbrii periodice a acestora de ctre utilizatori. Din verificarea sistemului de parole existent, pentru cele 5 calculatoare utilizate, prin observarea direct pe teren, s-a constatat: inexistena unui sistem de parole de acces; nedesemnarea unui responsabil cu verificarea schimbrii sistemului de parole de acces; inexistena unui sistem de informare sistematic a utilizatorilor. Sistem inadecvat de parole utilizat n cadrul entitii
Constatri
Concluzii
198
INTERVIU nr.4.1. privind Politica de securitate IT adresat domnului Ptrulescu George, Director Direcia IT Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 Nr. crt.
1. 2. 3. 4. 5. 6. 7.
ntrebri
Exist o politic de securitate IT? Exist preocupri pentru securitatea IT? Politica de securitate IT este actualizat? Este desemnat un responsabil cu monitorizarea implementrii politicii de securitate IT? Este desemnat un responsabil cu gestionarea riscurilor la nivelul departamentului IT? Au fost ntocmite i transmise sistematic rapoarte de monitorizare? Mai avei ceva de adugat?
Da
X X X X X X
Nu
Obs.
Data: 16.09.2009 Dat n faa noastr Auditori, Intervievat, Ptrulescu George
Popescu Sorin Radu George
199
FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 4.2.

Data: 16.09.2009 Data: 16.09.2009
Cauza Consecina
Recomandarea
Neasigurarea securitii sistemului informatic Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui responsabil cu verificarea schimbrii periodice a parolelor de acces. Analiza interviului a scos n eviden, de asemenea, faptul c nu exist un sistem de securitate a sistemului informatic i un responsabil cu administrarea acestui sistem. Entitatea nu aplic procedura care prevede schimbarea sistematic a parolelor, precum i verificarea acestora de ctre o persoan responsabil; Posibilitatea utilizrii datelor i informaiilor din sistem n mod neadecvat de ctre persoane neautorizate; Vulnerabilitatea ridicat a sistemului n faa unor intrri nedorite sau unor atacuri informaionale. Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului informatic; Stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a schimbrii periodice a parolelor de acces.
200
TEST nr. 4.3.

Data: 16.09.2009 Data: 16.09.2009
Introducerea instrumentelor de control fizic asupra echipamentelor IT al aplicaiilor. Examinarea modului de efectuare a controalelor fizice conform procedurilor Populaia statistic a fost constituit din structurile funcionale ale organizaiei identificate pe baza analizei organigramei entitii publice. Eantionul a fost constituit prin selectarea aleatoare a Direciei IT precum i a Departamentului Financiar Contabil i a Departamentului Resurse Umane unde sunt localizate servere ce deservesc necesitile lor specifice, respectiv 20% din totalul populaiei. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare, respectiv: Verificarea dotrii camerelor n care se afl servere-le cu echipamente adecvate, astfel: - camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii; - senzori de micare; - sistem de alarm n caz de incendiu; - sistem de stingere a incendiilor; - echipamente de aer condiionat; - ui ignifugate echipate cu ncuietori adecvate. Testarea s-a concretizat n elaborarea Listei de control nr. 4.4 privind Evaluarea controalelor fizice n domeniul IT. Din examinarea efectuata si observarea la fata locului s-au constatat unele disfuncii legate de accesul necontrolat la toate cele trei locaii selectate (Centrul IT, Departamentului Financiar Contabil, Departamentul Resurse Umane) att a persoanelor din cadrul altor departamente ct i a altor persoane din afara entitii publice; Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate. Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt echipate cu ncuietori adecvate; La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei autorizaii scrise. Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor
Constatri
Concluzii
201
Lista control nr. 4.1. privind efectuarea controalelor fizice conform procedurilor
Elemente testate Eantion Direcia IT Departamentul Financiar Contabil Departamentul Resurse Umane Sistemul de controale fizice implementat la nivelul camerelor n care se afl servere Camere de supraveghere care acoper Senzori de Sistem de alarm Sistem zona de intrare n camera serverului micare n caz de incendiu stingere monitorizate permanent de serviciul ce incendiilor asigur paza cldirii X X NU X X NU X X X X X X
de Echipamente Ui ignifugate a de aer echipate cu ncuietori adecvate condiionat X X X NU NU NU
Data: 16.09.2009 Auditori, Popescu Sorin Radu George
Nota :
Echipa de auditori a constatat c nu au fost instalate nici camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii nici senzori de micare la nivelul Departamentul Resurse Umane. n prezenta List de control auditorii au punctat lipsa acestor controale cu meniunea Nu deoarece situaia a fost remediat n timpul misiunii de audit i nu s-a mai ntocmit FIAP, dar aspectele negative constatate vor fi menionate n Raportul de audit intern.
202

Data: 16.09.2009 Data: 16.09.2009
Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul necontrolat la toate cele trei locaii selectate (Centrul IT, Departamentului Financiar Contabil, Departamentul Resurse Umane) att a persoanelor din cadrul altor departamente ct i a altor persoane din afara entitii publice; Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate. Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt echipate cu ncuietori adecvate; La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei autorizaii scrise. Controalele interne nu sunt implementate in totalitate si nu sunt stabilite responsabiliti cu privire la asigurarea fizica a echipamentelor. Posibilitatea de dispariie a unor echipamente lsate nesupravegheate, cat si accesul nepermis la date si informaii ale organizaiei si utilizarea acestora in alte scopuri fata de interesul organizaiei. Introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie supravegheat in totalitate.
Auditor intern, Popesc Sorin
203

Misiunea de audit: Activitatea IT Perioada auditat: 01.01. 2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel Obiectivul V. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
Nr. crt.
A 1.
Data: 17.09.2009 Data: 17.09.2009
Proiectarea i elaborarea programelor i aplicaiilor Achiziia programelor informatice Verificai dac s-a realizat o fundamentare a deciziei privind achiziia unui program existent pe pia, sau dezvoltarea acestuia n cadrul entitii; Verificai dac s-a realizat un studiu al pieei care s vizeze ofertele furnizorilor de programe necesare a fi achiziionate; Verificai dac modul de concepere a programelor ine cont de cerinele activitii utilizatorilor i sunt compatibile cu alte sisteme utilizate de entitate; Verificai dac aplicaia/programul este conceput astfel nct s suporte situaii imprevizibile n utilizarea lui de ctre organizaie; Verificai dac activitile de testare se realizeaz astfel nct s nu afecteze prelucrrile; Proiectarea programului informatic Verificai dac n proiectarea unui program/aplicaii fluxul de date a fost identificat corect i complet n funcie de specificul activitilor i periodicitatea acestora; Verificai dac n proiectarea programului/ aplicaiei fluxul de date se au n vedere rezultatele ateptate; Verificai dac pentru proiectarea unui program sau aplicaie, procedurile sunt stabilite corect i complet n funcie de prelucrrile care se vor aplica datelor n vederea obinerii rezultatelor ateptate; Verificai dac proiectarea unui program aplicaie analizeaz situaia existent pentru a identifica potenialele deficiene n fluxul de date; Verificai dac algoritmul programului este elaborat adecvat pentru rezolvarea corect a problemei; Verificai dac interfaa programului ine cont de structura i formatul datelor de intrare; Verificai dac modelele de organizare, accesare, prelucrare i arhivare a datelor sunt elaborate riguros prin folosirea celor mai adecvate soluii tehnice; Verificai dac nivelul de independen fa de platforma suport hardware i software sunt stabilite conform specificaiilor; Verificai dac mediile i instrumentele de dezvoltare a programului/aplicaiei sunt stabilite cu respectarea specificaiilor;
Da
Nu
Observaii
X X X X X
1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9.
X X X X X X X X X 204
1.10. 1.11. 1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19. 1.20. 1.21. 1.22 1.23.
1.24. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. B. 1. 1.1. 1.2. 1.3. 1.4. 1.5.
Verificai dac structura datelor introduse asigur o minim redundan; Verificai dac sunt definite criterii de performan; Verificai dac pentru fiecare aplicaie n parte sunt stabilite urmtoarele: numrul de utilizatori, rolurile acestora, privilegiile i restriciile aplicabile fiecrui rol in parte, accesul restricionat; Verificai dac aplicaia funcioneaz cu respectarea filtrelor, proteciilor, verificrilor implicite; Verificai dac au fost definite criterii pentru acceptarea aplicaiilor; Verificai dac proiectarea aplicaiei este monitorizat; Verificai dac erorile de funcionare sunt transmise programatorilor; Verificai dac aplicaia este instalat conform instruciunilor; Verificai dac versiunile aplicaiilor instalate ulterior sunt compatibile i utilizeaz toate resursele versiunilor anterioare; Verificai dac, n cazul n care noile versiuni nu sunt funcionale, se mai pot restaura versiunile anterioare; Verificai dac cerinele de dezvoltare a aplicaiei sunt identificate de ctre utilizatori; Verificai dac comunicarea cu echipa de specialiti este permanent pe timpul proiectrii i utilizrii aplicaiei; Verificai dac schemele logice ale fiecrui program/aplicaie sunt realizate corect i complet; Verificai dac aplicaiile permit reconfigurarea anumitor algoritmi, indicatori sau modele de calcul (de exemplu programele contabile s permit modificarea cotei TVA, etc.) n funcie de schimbrile legislative sau de alt natur. Verificai dac este implementat un sistem de raportare a erorilor ctre departamentul de suport tehnic. Elaborarea programului informatic Verificai dac algoritmul programului/aplicaiei este conform cu logica operaiilor pentru obinerea rezultatelor dorite; Verificai dac algoritmul respect cerinele de integrare ale aplicaiei; Verificai dac interfaa programului cu utilizatorul corespunde cerinelor de comunicare om-calculator; Verificai dac limbajul de programare ales corespunde cerinelor de proiectare; Verificai dac soluiile de programare sunt utilizate n mod performant; Verificai dac graficul de realizare a programului i bugetul sunt respectate; Verificai dac disfuncionalitile sau neconformitile aprute n rularea programului sunt identificate pe baza mesajelor generate; Verificai dac identificarea erorilor este completat cu anumite coduri de eroare care nsoesc mesajele furnizate de aplicaie; Verificai dac mesajele sunt analizate i interpretate pentru identificarea cauzelor care au condus la apariia lor; Verificai dac integrarea prilor componente ale unui program se face respectnd cerinele utilizatorilor; Verificai dac documentaia programului este conform cu funciile realizate de acesta; Verificai dac documentaia realizat prezint n detaliu necesitile tehnice hardware i software; Testarea i implementarea programelor i aplicaiilor Testarea programului i aplicaiei Verificai dac modul de testare al programului este stabilit n concordan cu precizrile din documentaie; Verificai dac datele de test sunt definite corespunztor prelucrrilor programului pe toate ramurile acestuia; Verificai dac datele de test evideniaz riguros condiiile de validare definite de program; Verificai dac programul / aplicaia este executat cu date de test specifice pentru a constata modul de funcionare a acestuia; Verificai dac neconformitile i erorile constatate n cursul testrii sunt analizate cu atenie;
X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X X X 205
1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15. 1.16. 1.17. 1.18. 1.19 1.20. 1.21. 1.22. 1.23. 1.24. 1.25. 1.26. 1.27 2. 2.1 2.2. 2.3. 2.4. 2.5. 2.6. 2.7.
Verificai dac exist un sistem automat de testare unitar a funcionalitilor de baz ale aplicaiei. Verificai dac componentele testate sunt integrate n sistemul informatic dup un plan bine stabilit, cu minimizarea consecinelor negative; Verificai dac componentele nou integrate sunt testate cu rigurozitate; Rezultatele testrii sunt evaluate n concordan cu precizrile din documentaia programului/aplicaiei; Verificai dac neconformitile i erorile semnalate n cursul testrii sunt analizate i soluionate; Verificai dac coreciile ce trebuie operate n program sunt stabilite i conduc la o mbuntire; Verificai dac programul/aplicaia este instalat la utilizator conform procedurii specifice; Verificai dac datele de testare sunt generate n conformitate cu manualele de operare i utilizare; Verificai dac simulrile se realizeaz conform manualului de utilizare; Verificai dac rezultatele testrilor sunt analizate centralizat; Verificai dac rezultatele testrii sunt interpretate conform manualelor de utilizare i operare; Verificai dac aplicaia corespunde cerinelor reale; Verificai dac aplicaia cu date reale ruleaz conform manualului de utilizare; Verificai dac rezultatele sunt interpretate conform documentaiei aplicaiei; Verificai dac erorile constatate sunt comunicate programatorilor; Verificai dac corectitudinea rezultatelor este asigurat prin algoritmii de calcul utilizai de program/aplicaie Verificai dac corectitudinea datelor este verificat prin modaliti specifice; Verificai dac sunt puse la dispoziia utilizatorului up-date-uri ale aplicaiilor; Verificai dac filtrele, proteciile i verificrile asigurate de program/aplicaie sunt semnalate beneficiarului; Verificai dac erorile cauzate de algoritmii de calcul sunt ndeprtate prin corectarea acestora; Verificai dac etapele de testare sunt reluate corect i n totalitate pentru a verifica ndeprtarea erorilor i pentru a se asigura c nu au aprut altele noi. Verificai dac dup implementarea unui nou modul al aplicaiei, documentaia aferent este actualizat. Asigurarea corectitudinii rezultatelor Verificai dac opiunile i parametrii de lucru ai programului/aplicaiei sunt stabilii conform specificaiilor din documentaii; Verificai dac cerinele hardware /software necesare rulrii programului/aplicaiei sunt adecvat specificate; Verificai dac condiiile de funcionare a programului/aplicaiei sunt stabilite n concordan cu solicitrile beneficiarului i n funcie de cerinele aplicaiei; Verificai dac condiiile de funcionare a programului/aplicaiei sunt stabilite n concordan cu solicitrile utilizatorului. Verificai dac procedura de instalare este elaborat cu respectarea condiiilor de funcionare a programului; Verificai dac programul/aplicaia este instalat la beneficiar conform procedurii specifice i urmare a solicitrii acestuia; Verificai dac stocarea datelor asigur urmtoarele: a) dac o dat sau informaie este stocat ntr-un singur fiier b) dac accesul se realizeaz uor la o dat stocat i n funcie de nivelul de autorizare c) dac datele se pot accesa n mod global n cazul realizrii de noi programe sau de utilizare a celor existente d) dac o dat sau informaie este prezentat sau transmis n aceeai form de la un fiier la altul
X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Test nr. 5.1. FIAP nr. 5.1.
206
2.8. 2.9. 2.10. 2.11. 2.12. 2.13. 2.14. 2.15. 2.16. 2.17. 2.18.
Verificai dac opiunile i parametrii de operare ai programului/aplicaiei sunt setai conform specificaiilor din documentaii; Verificai dac condiiile de funcionare a programului/ aplicaiei sunt refcute dup incidente hardware sau software; Verificai dac implementarea programului/aplicaiei este monitorizat; Verificai dac istoricul aplicaiilor menioneaz operaiile de ntreinere sau up-date-urile realizate; Verificai dac istoricul programului/ aplicaiei este pstrat n siguran; Verificai dac utilizatori sunt instruii pentru nsuirea modului de operare cu programul/aplicaia n conformitate cu documentaia aferent; Verificai dac eventualele dezvoltrii ale aplicaiei sunt aduse la cunotina utilizatorilor; Verificai dac utilizatorii sunt asistai n lucrul efectiv cu programul/aplicaia; Verificai dac reinstalarea aplicaiei se realizeaz respectnd procedurile standardizate; Verificai dac jurnalul privind interveniile de service este adus la cunotina persoanelor responsabile; Verificai dac opiunile i parametrii de lucru ai aplicaiei sunt setai conform documentaiei aplicaiei;
207
TEST nr. 5.1.
Data: 17.09.2009 Data: 17.09.2009
Asigurarea corectitudini datelor n cadrul programelor informatice Organizarea datelor n sistemele informatice Populaia statistic a fost constituit din fiierele da date constituite n vederea organizrii i pstrrii datelor. Eantionul pentru realizarea testrii modului de organizare a datelor n sistemele informatice a fost constituit prin selectarea unui eantion reprezentativ care cuprinde date din cadrul tuturor domeniilor de activitate din cadrul entitii. Testarea a constat n examinarea urmtoarelor elemente: - dac o dat sau informaie este stocat ntr-un singur fiier - dac accesul se realizeaz uor la o dat stocat i n funcie de nivelul de autorizare - dat datele se pot accesa n mod global n cazul realizrii de noi programe sau de utilizare a acelor existente - dac o dat sau informaie este prezentat sau transmis n aceeai form de la un fiier la altul Testarea s-a concretizat n elaborarea unei Liste de control privind organizarea i pstrarea datelor n cadrul sistemelor informatice. Datele sunt stocate n memoria intern i memoria extern a oricrui sistem de calcul. Organizarea datelor trebuie s asigure: - timp de acces minim la date; - apariia n sistem a datelor o singur dat; - spaiu de memorie intern i extern pentru date ct mai mic; - reflectarea prin organizare a tuturor legturilor dintre procesele economice pe care aceste date le reprezint; - posibilitatea modificrii structurii datelor i a relaiilor dintre date fr a produce schimbri n programele care le gestioneaz. Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii. Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier. Organizarea datelor n fiierele de date prezint urmtoarele disfuncii: - redundan mare stocarea datelor n mai multe fiiere - acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de sortare, fuziune, ventilare - izolarea datelor imposibilitatea realizrii de programe pe calculator care s
208
Constatri
Concluzii
acceseze datele ntr-o manier global actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date - dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de corecturi n programele de calculator - fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n toate fiierele de date. Organizarea datelor n fiierele de date nu asigur o stocare i utilizare eficient a acestora. -
209
Data: 17.09.2009 Data: 17.09.2009
Cauza
Consecina
Recomandarea
Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora. Datele sunt stocate n memoria intern i memoria extern a oricrui sistem de calcul. Organizarea datelor trebuie s asigure: - timp de acces minim la date; - apariia n sistem a datelor o singur dat; - spaiu de memorie intern i extern pentru date ct mai mic; - reflectarea prin organizare a tuturor legturilor dintre procesele economice pe care aceste date le reprezint; - posibilitatea modificrii structurii datelor i a relaiilor dintre date fr a produce schimbri n programele care le gestioneaz. Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii. Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier. Organizarea datelor n fiierele de date prezint urmtoarele disfuncii: - redundan mare stocarea datelor n mai multe fiiere - acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de sortare, fuziune, ventilare - izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele ntr-o manier global - actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date - dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de corecturi n programele de calculator fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n toate fiierele de date. Lipsa specialitilor, precum i a participrii personalului la diversele cursuri de specialitate organizate n afara entitii, n vederea dobndirii cunotinelor necesare pentru organizarea eficient a datelor. Exploatarea cu dificultate a datelor, apariia erorilor n cadrul sistemelor de date existente urmare utilizrii i stocrii incorecte a datelor, posibilitatea de modificare n mod necontrolat a unui sistem de date. Urmare creterii necesarului de date i informaii i a progreselor tehnologiilor informaiei este necesar organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor: - definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene;
210
stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat; memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul.
211
Procedura P10

Data: 18.09.2009 Data: 18.09.2009
Obiectivul VI. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT

Nr. crt. A 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 1.14. 1.15. 1.16. 2. Activitatea de audit Dezvoltarea proiectelor IT Iniierea i elaborarea proiectelor IT Analizai dac situaia pentru care trebuie implementat un proiect IT este bine izolat i evaluat folosind mijloace specifice; Analizai dac lansarea proiectului pentru implementarea unor noi soluii IT este stabilit dup analiza detaliat a cauzelor i efectelor pe termen lung ale perpeturii deficienelor actuale; Verificai dac soluiile propuse pentru implementarea unui proiect IT corespund cerinelor identificate; Verificai dac obiectivele generale ale proiectului sunt stabilite cu respectarea strategiei generale a organizaiei; Analizai dac componentele proiectului reflect soluiile ce trebuie implementate i care vor conduce la realizarea obiectivelor stabilite; Verificai dac componentele proiectului sunt compatibile direct sau prin interfee cu proiectele aflate n derulare; Verificai dac rezultatele intermediare i finale ale proiectului sunt evaluate folosind criterii adecvate; Verificai dac bugetul alocat proiectului permite obinerea configuraiilor hard/soft propuse; Verificai dac cheltuielile cu mentenana acoper durata optim de exploatare; Verificai dac implementarea proiectului propus beneficiaz de asisten tehnic; Verificai dac cerinele utilizatorilor proiectului sunt identificate corect i complet; Verificai dac proiectele IT se pliaz pe cerinele utilizatorilor crora le sunt destinate; Verificai dac proiectul propus a fi elaborat este comparat cu cele din portofoliul organizaiei, pentru a identifica asemnri i deosebiri de care s se in cont; Verificai dac proiectele propuse sunt competitive pentru organizaie; Verificai dac monitorizarea riscurilor asigur viabilitatea planului de continuitate a activitilor; Verificai dac frecvena i complexitatea testrilor proiectelor implementate se bazeaz pe riscurile necontrolate. Monitorizarea performanelor soluiilor IT implementate Da Nu Observaii
212
2.1. 2.2. 2.3. 2.4. 2.5. 2.6. B. 1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7.
Verificai dac parametrii de referin i valorile etalon ale programelor elaborate respect specificaiile i se ncadreaz n X standarde; Verificai dac regulile i procedurile stabilite pentru supravegherea i colectarea valorilor parametrilor de referin nu afecteaz lucrul X utilizatorilor i nici funcionarea aplicaiilor; Verificai dac regulile i procedurile utilizate pentru evaluarea programelor nu conduc la ambiguiti i identific posibilitatea X apariiei unei erori de funcionare; Verificai dac jurnalele cu valorile de referin monitorizate sunt X pstrate i analizate periodic, pentru a se stabili coreciile necesare; Verificai dac disfuncionalitile hard i soft sesizate de ctre X utilizatori sunt recepionate i sunt detectate cauzele; Verificai dac analizele i rapoartele privind implementarea proiectelor IT propuse sunt ntocmite riguros i dac evenimentele X sau disfunciunile sunt evaluate i se elaboreaz soluii de remediere. Implementarea i funcionarea programelor i aplicaiilor Reproiectarea soluiilor IT pentru programe i aplicaii Verificai dac punctele slabe, critice i limitrile unui X program/aplicaie sunt identificate; Verificai dac documentaia cu fluxul de date i prelucrrile X necesare este elaborat adecvat situaiei reale; Verificai dac documentaia ntocmit constituie baza procesului de X proiectare; Verificai dac soluiile IT sunt proiectate pornind de la punctele slabe, critice detectate, de la evoluiile tehnologice existente i cele X prefigurate de dezvoltarea entitii; Verificai dac soluiile noi propuse sunt axate pe atingerea X obiectivelor strategiei de dezvoltare a organizaiei; Verificai dac soluiile noi au la baz o analiz cauz-efect, o X analiz tehnic, precum i o analiz a eficienei investiiei; Verificai dac soluiile acceptate conduc la mbuntirea X performanelor intelor propuse; Verificai dac soluiile noi in cont de constrngerile existente n X cadrul entitii; Verificai dac soluiile noi se ncadreaz n strategia de funcionare X i dezvoltare a organizaiei; Verificai dac studiile i analizele elaborate evideniaz clar X impactul tehnologiilor propuse; Verificai dac riscurile legate de securitatea datelor sunt identificate X i evaluate corect i complet; Verificai dac msurile pentru prevenirea i contracararea riscurilor X sunt gndite adecvat situaiei; Verificai dac procedurile pentru minimizarea unui atac la X securitatea sistemului sunt elaborate i sunt adecvate; ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi Verificai dac utilizarea computerelor/echipamentelor periferice sau a componentelor de conectare n reea se realizeaz potrivit X procedurilor specifice; Verificai dac se monitorizeaz mesajele de eroare n funcionarea X echipamentelor/aplicaiilor; Verificai dac erorile sunt corectate direct sau prin intervenii ale X personalului de specialitate; Verificai dac informaiile despre modul de funcionare a calculatorului sau a echipamentelor sunt transmise n timp util X utilizatorului; Verificai dac supravegherea proceselor aflate n execuie i a performanelor aplicaiilor, sistemelor sau programelor se realizeaz X prin aplicarea procedurilor i respectarea lor; Verificai dac evenimentele care indic performanele i starea X sistemelor sunt nscrise i pstrate n jurnale; Verificai dac imprimantele i alte echipamente de reea sunt corect X
213
2.8. 2.9.
2.10. 2.11. 2.12. 2.13. 2.14. 2.15. 2.16. 2.17. 2.18. 2.19. 2.20.
instalate i sunt configurate corespunztor accesului partajat; Verificai dac funcionarea echipamentelor de tiprire i accesul utilizatorilor la acestea sunt verificate periodic; Verificai dac utilizatorii beneficiaz permanent de asisten tehnic; Verificai situaia licenelor deinute pentru sistemul de operare Windows Verificai situaia licenelor deinute pentru pachetul de programe Microsoft Office Verificai dac entitatea public a achiziionat licene pentru programele utilizate Analizai dac au fost identificate limitrile bugetare n privina achiziiilor licenelor i dac au fost gsite soluii alternative Analizai eventualele disfuncionaliti aprute n procesul de achiziionare a licenelor Verificai existena soft-urilor neliceniate instalate de utilizatori Verificai desemnarea responsabilitilor privind achiziionarea licenelor pentru programele de calculator Verificai existena controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene Verificai dac conectarea i comunicarea calculatoarelor n reea sunt permanent supravegheate i meninute; Verificai dac funcionarea serviciilor din reea i accesul utilizatorilor la servicii sunt atent monitorizate; Verificai dac interconectarea reelelor, inclusiv conectarea la reeaua Internet este supravegheat cu responsabilitate; Verificai dac apariia situaiilor deosebite sunt aduse la cunotina administratorului de reea; Verificai dac dispozitivele de stocare a datelor sunt utilizate conform instruciunilor specifice de lucru; Verificai dac salvrile de siguran sunt pstrate n condiii adecvate; Verificai dac datele salvate anterior se pot restaura la nevoie i utilizatorii sunt asistai pentru recuperarea integral a acestora; Verificai dac procedurile de salvare sunt corespunztoare strategiei de securitate; Verificai dac sistemele de operare i aplicaiile sunt instalate, modernizate sau configurate folosind proceduri standardizate; Verificai dac modul de funcionare a echipamentelor, a sistemelor de operare i a aplicaiilor folosite de utilizatori este verificat periodic; Verificai dac erorile i incidentele aprute sunt remediate operativ; Auditori, Popescu Sorin Radu George
Test nr. 6.1. Foaie de lucru nr. 6.1. List de control 6.1. FIAP nr. 6.1.
214
TEST nr. 6.1.

Data: 18.09.2009 Data: 18.09.2009
Situaia licenelor pentru programele de calculator Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea public; Identificarea eventualelor limitri bugetare n privina achiziionrii licenelor i a aciunilor ntreprinse de departamentul IT n aceste condiii; Analiza eventualelor disfuncionaliti aprute n procesul de achiziionare a licenelor i a modului de soluionare a lor. Eantionul pentru realizarea testrii situaiei licenelor pentru programele de calculator utilizate a fost stabilit pe baza unui procent de 5%, din totalul populaiei de 580 de calculatoare, respectiv 29 calculatoare personale, conform foii de lucru anexate. Pentru fiecare post de lucru dotat cu calculator a fost verificat situaia licenelor deinute att pentru sistemul de operare Windows, ct i pentru pachetul de programe Microsoft Office. Testarea a constat n examinarea elementelor stabilite potrivit listei de verificare, i anume: - verificarea situaiei licenelor deinute pentru sistemul de operare Windows; - verificarea situaiei licenelor deinute pentru pachetul de programe Microsoft Office; - verificarea dac entitatea public a achiziionat licene pentru programele utilizate; - identificarea eventualelor limitri bugetare n privina achiziionrii licenelor; - analiza eventualelor disfuncionaliti aprute n procesul de achiziionare a licenelor; - verificarea existenei soft-urilor neliceniate instalate de utilizatori; - verificarea desemnrii responsabilitilor privind achiziionarea licenelor pentru programele de calculator; - verificarea existenei controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene. Testarea s-a concretizat n elaborarea Listei de control nr. 3.5. privind situaia licenelor pentru programele de calculator. Din analiza Listei de control nr. 3.5, s-au constatat ca angajaii unor departamente folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. Aceste programe au fost instalate folosind coduri piratate. De asemenea, sistemul IT al entitii publice nu a fost prevzut cu controale care s-i permit alertarea administratorului de sistem n cazul utilizrii unor astfel de programe, fr licen. Utilizarea n cadrul entitii publice a unor programe software fr licen
Descrierea testului
Constatri
Concluzii
215
FOAIE DE LUCRU NR. 6.1.

Obiectul nr. 3: Situaia licenelor pentru programele de calculator Obiectivul : Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea public Testarea se va realiza pe un eantion care a fost constituit astfel: populaia total este de 250 calculatoare personale; eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; pasul de selecie va fi 250 : 5 = 50; eantionul se va constitui din calculatoarele existente n Lista de inventariere a calculatoarelor personale din entitatea public ncepnd de la poziia 0 i va cuprinde computerele cu numerele de inventar: 50, 100, 150, 200, 250 eantionul constituit va fi verificat integral; n urma verificrii se va ntocmi un test.
Data: 18.04.2009 Auditor intern, Popescu Sorin Supervizor, Dumitru Daniel
216
Lista control nr. 6.1. privind Situaia licenelor pentru programele de calculator
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 Elemente testate Verificarea Verificarea existenei Verificarea Verificarea situaiei controalelor de sistem situaiei existenei softlicenelor ce alerteaz licenelor urilor att administratorul n cazul deinute att deinute neliceniate utilizrii de soft-uri pentru sistemul pentru pachetul instalate de programe pentru care nu s-au de operare de utilizatori achiziionat licene Windows Microsoft Office cu cu cu cu cu
Eantion Computer nregistrat numr de inventar 50 Computer nregistrat numr de inventar 100 Computer nregistrat numr de inventar 150 Computer nregistrat numr de inventar 200 Computer nregistrat numr de inventar 250
X X X X X
X FIAP FIAP X X
X X X X X
FIAP FIAP FIAP FIAP FIAP
Data: 18.09.2009
Auditor intern, Popescu Sorin Supervizor, Dumitru Daniel
217

Data: 13.09.2009 Data: 13.09.2009
Utilizarea n cadrul entitii publice a unor programe software fr licen. Cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd CD-uri piratate. La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene. Salariaii entitii publice au observat c dei programele existente permit realizarea sarcinilor de serviciu, totui programele din pachetul Microsoft Office sunt mai fiabile, mai flexibile i permit realizarea unui numr mai mare de operaiuni, cu care sunt deja familiarizai. De asemenea aceast situaie a fost generat i de primirea de la alte entiti publice a unor fiiere electronice create cu programele din pachetul Microsoft Office, i care nu au putut fi prelucrate n continuare folosind programele Lotus. Entitatea public este pasibil de sanciuni din partea Oficiului Romn pentru Drepturi de Autor, pentru utilizarea unor programe fr licen; Soft-urile neliceniate instalate de utilizatori pot conine virui, troieni sau alte programe ce ar putea afecta n mod grav subsistemele IT la care au acces aceti utilizatori, sau chiar sistemul IT n ansamblul su; Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen; Dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office; Realizarea unei analize complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.
Cauza
Consecina
Recomandarea
218

Data: 19.09.2009 Data: 19.09.2009
Obiectivul 7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIUNE A UNEI REELE

Nr. crt. A 1. 1.1. Activitatea de audit Da Nu Observaii
1.2. 1.3. 1.4. 1.5. 1.6. 1.7. 1.8. 1.9. 1.10. 1.11.
1.12. 1.13.
1.14.
1.15.
Proiectarea, instalarea i administrarea reelei de calculatoare Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare Verificai dac resursele materiale necesare pentru urmrirea performanelor i meninerea n funciune a reelei de calculatoare X sunt stabilite corect pe componente, respectiv server, client, echipament de conectare la reea; Verificai dac resursele umane sunt identificate i stabilite ca X dimensiune att numeric, ct i n raport de competenele necesare; Verificai dac echipamentele din reea sunt administrate centralizat; X Verificai dac pentru fiecare echipament din reea i sunt asociate X proceduri, operaii i termene de efectuare; Verificai dac subsistemele existente pot fi configurate i X supravegheate individual; Verificai dac configurarea reelei, conectarea componentelor n reea, distribuirea serviciilor conduc la creterea productivitii X muncii n organizaie; Verificai dac numrul componentelor de tip server i al celor de tip client se stabilete n conformitate cu activitile desfurate n X organizaie; Verificai dac serverele i staiile client sunt amplasate n reea i X configurate conform regulilor impuse prin strategia de securitate; Verificai dac riscul apariiei erorilor previzibile este corect evaluat; X Verificai dac la apariia incidentelor neprevzute, sunt puse n X practic proceduri de rspuns special prevzute; Verificai dac regulile stabilite i implementate asigur accesul controlat i sigur al utilizatorilor numai la acele resurse de care au X nevoie pentru ndeplinirea sarcinilor de serviciu conform fiei postului; Verificai dac datele disponibile i folosite n reea sunt corecte, X sigure i obinute la timp; Verificai dac regulile stabilite i implementate pentru urmrirea traficului de informaii n reea, a ncrcrii reelei, a performanelor X serverelor i serviciilor sunt folosite numai pentru evaluarea corect a strii de funcionare a reelei i a componentelor ei; Verificai dac dezvoltarea, adaptarea sau reconfigurarea reelei se realizeaz pe baza evalurii modului de funcionare i au drept scop X creterea performanelor serviciilor i diminuarea ncrcrii reelei n anumite puncte; Verificai dac lista parametrilor de referin i valorile etalon folosite pentru evaluarea performanelor echipamentelor hardware i X ale componentelor software respect specificaiile productorilor i se ncadreaz n standarde; 219
1.16. 1.17. 1.18.
1.19. 1.20. 1.21. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12 B. 1. 1.1. 1.2.
1.3. 1.4. 1.5. 1.6. 1.7.
Verificai dac pentru fiecare echipament este stabilit un set propriu de parametri i valori acceptate, conform standardelor de funcionare; Verificai dac regulile, procedurile i criteriile folosite pentru evaluarea performanelor nu conduc la ambiguiti i identific din timp posibilitatea apariiei unor erori de funcionare. Verificai dac jurnalele cu valorile msurate ale parametrilor de referin sunt pstrate i analizate periodic, n vederea stabilirii coreciilor suplimentare pentru prentmpinarea apariiei erorilor de funcionare; Verificai dac erorile, nefuncionalitile sunt evaluate i sunt elaborate soluii de remediere; Verificai dac vulnerabilitile sunt identificate i corectate; Verificai dac fiecare component a reelei este evaluat conform unui etalon standard. Administrarea serverelor Verificai dac resursele hardware instalate respect indicaiile productorului; Verificai dac resursele hardware instalate i configurate respect cerinele IT implementate n organizaie; Verificai dac accesul i utilizarea resurselor serverului respect strategia de securitate a reelei; Verificai dac programele sunt instalate i configurate conform specificaiei productorilor; Verificai dac permisiunea de administrare a unui program este acordat numai personalului calificat i cu respectarea strategiei de securitate a reelei; Verificai dac administrarea programelor se face de la distan folosind instrumente specifice; Verificai dac activitile de ntreinere hardware sau software sunt planificate conform cerinelor din instruciunile de utilizare; Verificai dac soluiile de salvare ale unui program sunt corecte i eficiente; Verificai dac jurnalele obinute prin monitorizarea programelor sunt pstrate pentru a fi periodic consultate; Verificai dac jurnalele identific utilizatorii care au avut acces la program, n limita permisiunilor ce le-au fost acordate; Verificai dac jurnalele identific tentativele nereuite ale utilizatorilor de a avea acces la programe; Verificai dac intruii din interior sau exterior pot fi identificai prin informaiile pstrate n jurnale. Interconectarea i securitatea reelei Interconectarea reelelor Verificai dac conexiunile dintre reele sunt conforme cu arhitectura general i respect standardele de interconectare; Verificai dac componentele hardware i software ale echipamentelor de legtur sunt configurate respectnd regulile de securitate a transmisiilor de date din strategia de securitate a organizaiei; Verificai dac tabelele de rutare sunt corect configurate i indic adresele reelelor accesibile; Verificai dac instalarea i configurarea echipamentelor de legtur ntre reele respect instruciunile din documentaia tehnic; Verificai dac instalarea i configurarea componentelor software respect indicaiile productorilor i sunt conforme strategiei de securitate; Verificai dac cerinele de conectare la Internet sunt identificate n conformitate cu fia postului pentru fiecare categorie de personal i respect strategia de securitate; Verificai dac accesul permis din reeaua Internet la programele i aplicaiile organizaiei respect strategia de securitate privitoare la accesul la informaiile organizaiei;
X X
X X X X X X X
220
1.8. 1.9. 1.10. 1.11. 2. 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10. 2.11. 2.12. 2.13. 2.14. 2.15. 2.16. 2.17. 2.18. 2.19. 2.20. 2.21. 2.22. 2.23. 2.24. 2.25 2.26. 2.27.
Verificai dac conectarea la Internet se realizeaz n conformitate cu standardele de securitate n vigoare; Verificai dac sunt implementate reguli de securitate pentru accesul la i din reeaua Internet n conformitate cu strategia de securitate a organizaiei; Verificai dac accesul prin intermediul Internet-ului la programe este strict monitorizat pentru detectarea tentativelor de acces neautorizat; Verificai dac tentativele de acces neautorizat sunt urmate de declanarea procedurilor de securitate. Proiectarea i asigurarea securitii reelei Verificai dac cerinele de asigurare a securitii reelei sunt identificate n funcie de activitile desfurate; Verificai dac cerinele de asigurare a securitii transmisiilor de date sunt stabilite n funcie de activitile desfurate; Verificai dac vulnerabilitile i ameninrile sunt corect identificate i prioritizate; Verificai dac obiectivele activitii de management al riscurilor sunt eliminarea, atenuarea sau transferul riscurilor; Verificai dac fiecrui risc identificat i corespunde un set de proceduri a cror aplicare conduce la atenuarea sau eliminarea pagubelor; Verificai dac procedurile de securitate respect principiul aprrii / imunizrii procesului vizat de eventuale atacuri informatice; Verificai dac procedurile de securitate elaborate pentru protecia datelor, aplicaiilor, sistemelor de operare i echipamentelor sunt eficiente; Verificai dac procedurile de securitate ce trebuie implementate sunt aduse operativ la cunotina personalului; Verificai dac sistemele de operare i aplicaiile sunt configurate astfel nct s aplice automat procedurile de securitate; Verificai dac transmisiile de date i comunicaiile n reea sunt configurate astfel nct s aplice automat procedurile de securitate; Verificai dac jurnalele de evenimente sunt analizate periodic pentru identificarea potenialelor lipsuri de securitate; Verificai dac reaciile managerilor i ale personalului fa de securitatea reelei sunt periodic i atent evaluate; Verificai dac aplicarea procedurilor de securitate mpiedic buna desfurare a activitilor organizaiei; Verificai dac detectarea unui incident neprevzut determin o reacie prestabilit. Verificai modul de implementare a msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor; Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la reea; Verificarea monitorizrii siguranei accesului utilizatorilor n reea Analizai dac a fost elaborat documentaia tehnic adecvat privind conectarea la Internet. Verificai dac aceast documentaie este adecvat i actualizat Determinai dac manualele privind utilizarea reelei au n vedere asigurarea securitii comunicrii datelor n reea. Analizai aciunile ntreprinse n cazurile n care a fost ameninat integritatea i eficacitatea transmiterii datelor n reea. Verificai existena procedurilor i desemnarea responsabilitilor pentru monitorizarea controalelor fizice; Verificai efectuarea controalelor fizice conform procedurilor; Analiza siguranei accesului la reea i a comunicrii datelor n reea Monitorizarea conectrii la reea conform listei de logare; Analizai rapoartele de monitorizare a traficului datelor n reea. Verificai existena procedurilor i desemnarea responsabilitilor pentru monitorizarea accesului utilizatorilor n reea;
X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X 221
Test nr. 7.1. Foaie de lucru nr. 7.1. List de control 7.1. FIAP nr. 7.1.
TEST nr. 7.1.

Data: 19.09.2009 Data: 19.09.2009
Proiectarea i asigurarea securitii reelei Sigurana accesului la reea i a comunicrii datelor n reea Populaia statistic a fost constituit din cele 250 de calculatoare existente la nivelul entitii publice, conform Listei de inventariere a calculatoarelor personale. Eantionul pentru realizarea testrii siguranei accesului la reea a fost stabilit pe baza unui procent de 2%, din totalul populaiei statistice, respectiv 5 calculatoare personale, conform Foii de lucru nr. 4.5. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.5, i anume: - Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la reea ; - Monitorizarea conectrii la reea conform listei de log-are. Testarea s-a concretizat n elaborarea Listei de control nr. .. privind accesul i comunicarea datelor n reea. Din analiza Listei de control rezultate, s-au constatat urmtoarele: a. majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuie folosite nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. b. datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT. c. practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite, ci ngreuneaz funcionarea sistemului. d. n situaia apariiei unor incidente nu se pot stabili responsabilitile aferente. Sistemul de parole este stabilit si utiliza in mod neadecvat
Constatri
Concluzii
222
FOAIE DE LUCRU NR. 7.1.
Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 Obiectiv: Sigurana accesului la reea i a comunicrii datelor n reea Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se conecteaz la reeaua entitii publice la poziiile: 35, 85, 135, 185, 235 - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.
Data: 19.09.2009
223
Lista control nr. 7.1. Privind accesul i comunicarea datelor n reea
Elemente Testate Eantion Computer aflat la poziia 35 Computer aflat la poziia 85 Computer aflat la poziia 135 Computer aflat la poziia 185 Computer aflat la poziia 235
Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la Monitorizarea conectrii la reea conform listei de log-are reea FIAP X FIAP FIAP X X X X X X
Data: 19.09.2009
224

Data: 19.09.2009 Data: 19.09.2009
Cauza Consecina
Recomandarea
Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul IT. Din evaluare s-a constatat c majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. Inexistena unor proceduri de lucru adecvate potrivit crora sa fie reglementat modul de conectare a echipamentelor la reea sau programe si aplicaii. Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT. n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate. Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;
Pentru conformitate Structura auditat
225
226
Procedura P10:
REVIZUIREA DOCUMENTELOR DE LUCRU
CONSTITUIREA DOSARELOR DE AUDIT INTERN

Data: 20.09.2009 Data: 20.09.2009
Dup finalizarea interveniei la faa locului, se constituie Dosarele de audit intern n vederea asigurrii unei legturi ntre obiectivele stabilite prin programul de audit, intervenia la faa locului i raportul de audit public intern. Documentele culese i/sau ntocmite pe timpul misiunii de audit se constituie n urmtoarele dosare: A. Dosarul permanent, care cuprinde: a) Seciunea A Raportul de audit intern i anexele acestuia: - Ordinul de serviciu; - Declaraia de independen; - Rapoartele de audit intern (intermediar, final, sinteza Raportului de audit intern); - teste; - Fiele de identificare i analiz a problemelor; - Formularele de constatare a iregularitilor; - Programul interveniei la faa locului. b) Seciunea B administrativ: - Notificarea privind declanarea misiunii de audit; - Minuta edinei de deschidere; - Minuta reuniunii de conciliere; - Minuta edinei de nchidere; - Corespondena cu entitatea structurii auditate; c) Seciunea C - documentaia misiunii de audit public intern: - strategii interne; - reguli, regulamente i legi aplicabile; - proceduri de lucru; - materiale despre entitatea/structura auditat; - rapoarte de audit public intern anterioare; - informaii privind fluxul de informaii; - documentaia analizei riscului; - documentaia privind sistemul de control (aprobri, autorizri, separarea sarcinilor, supervizarea, reconcilierea, rapoarte etc.); d) Seciunea D - supervizarea i revizuirea desfurrii misiunii i a rezultatelor acesteia i cuprinde Lista de supervizare a documentelor; B. Dosarul documentelor de lucru cuprinde copii xerox a documentelor justificative, care confirm i sprijin concluziile. Dosarul se indexeaz prin atribuirea de litere i cifre pentru fiecare seciune/obiectiv din cadrul programului. Dosarele de audit public intern sunt proprietatea entitii publice i sunt confideniale i se pstreaz pn la ndeplinirea recomandrilor din raportul de audit intern, dup care se arhiveaz potrivit reglementarilor legale privind arhivarea.
227
Not: Constituirea dosarelor de audit intern se realizeaz n finalul interveniei la faa locului i are ca scop de a asigura o legtur ntre obiectivele misiunii de audit stabilite prin programul de audit, constatrile efectuate n etapa de intervenie la faa locului i raportul de audit public intern. Documentele de lucru trebuie organizate astfel nct s faciliteze trecerea n revist a dosarului i s permit o comparaie rapid ntre constatrile i probele de audit. Este necesar clasificarea tuturor documentelor de lucru, n funcie de etapa de activitate creia i corespund. Sursa de informaie trebuie indicat clar i precis, pentru a pstra i a verifica ulterior fiabilitatea ei.
228
Procedura P10: Entitatea public Serviciul Audit Intern
REVIZUIREA DOCUMENTELOR DE LUCRU
NOTA CENTRALIZATOARE A DOCUMENTELOR DE LUCRU

Misiunea de audit: Activitatea IT Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/ Radu George Avizat: Dumitru Daniel Constatarea
Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu au fost supuse analizei i evalurii comisiei. Obiectivele specifice ale structurii funcionale, definite n cadrul strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi.
Data: 10.10..2009 Data: 10.10.2009 Exist Da Nu

X
Document justificativ
Proces verbal 3242/23.01.2009 Proces verbal 4321/22.02.2009 . Proces verbal 5434/22.07.2011
Auditori
Seciunea E Strategia i planificarea sistemelor informatice
List obiective specifice List obiective generale
.. Seciunea F- Organizarea i funcionarea departamentului IT

Atribuiile definite in sarcina Fiele posturilor pentru eantionul constituit salariailor nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate. Organigrama ca document Organigrama departamentului prin care se relev grafic structura organizaiei i substructurile acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea departamentului nu sunt nominalizate n X Popescu Sorin Radu George
229
totalitate n cadrul organigramei i nu este precizat nici nivelul de subordonare al departamentului n cadrul organizaiei.
Seciunea G - Operaii ale sistemului informatic

Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante. Planul anual de dezvoltare a sistemului IT Procesele verbale privind punerea n funciune a aplicaiilor X Popescu Sorin Radu George
. Seciunea H- Securitatea informaiilor

Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui responsabil cu verificarea schimbrii periodice a parolelor de acces. Procedura privind schimbarea parolelor X Popescu Sorin Radu George
Seciunea H Achiziionarea i testarea aplicaiilor

Organizarea datelor n fiierele de date prezint urmtoarele disfuncii: redundan mare, acces dificil la date, izolarea datelor, actualizarea datelor prin adugare, modificare, tergerea genereaz erori atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date, dependena programelor, descrierea independent a datelor n toate fiierele n care apar. Procedura privind organizarea datelor n fiiere Fiele de intervenie la fiecare aplicaie X Popescu Sorin Radu George
. Seciunea I Elaborarea i implementarea proiectelor IT

Cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. Lista staiilor de lucru pe care erau instalate programe aferente Microsoft Office, fr licen X Popescu Sorin Radu George
230
. Seciunea K Proiectarea i meninerea n funciune a unei reele

Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. Lista staiilor de lucru la care accesul se realizeaz cu aceleai nume de utilizator i parol X Popescu Sorin Radu George
. Auditori,
Not: Revizuirea documentelor asigur c documentele de lucru sunt pregtite n mod corespunztor i c acestea furnizeaz un sprijin adecvat pentru munca efectuat i pentru dovezile adunate n timpul misiunii de audit intern. Auditorii revd documentele procedurale i documentele de lucru din punct de vedere al formei i al coninutului, se asigur c dovezile de audit prezentate n susinerea constatrilor sunt justificative, respectiv sunt suficiente, concludente i relevante.
231
232
Procedura P11: Entitatea Public Serviciul de Audit Intern
EDINA DE NCHIDERE
MINUTA EDINEI DE NCHIDERE
Data: 15.10..2009 Data: 15.10.2009
Lista participanilor: Direcia/ Serviciul

SAI SAI SAI Direcia IT Serviciul 1 IT Serviciul 2 IT Serviciul 3 IT Serviciul 4 IT Serviciul 2 IT Serviciul 3 IT Serviciul 4 IT
Numele
Dumitru Daniel Popescu Sorin Radu George Minc Cristian Negru Adrian Ciobanu Vasile Butnaru Lenua Vasilescu George Toma Eugen Stnescu Ioana Istrate Viorica
Funcia
Sef serviciu Auditor intern Auditor intern Director Sef serviciu ef serviciu ef serviciu ef serviciu Consilier Consilier Consilier
Nr. telefon
E-mail
Semntura
B. Concluzii:
n cadrul edinei au fost prezentate obiectivele auditate i constatrile pentru fiecare obiect auditat. De asemenea, au fost discutate constatrile, au fost analizate cauzele care au contribuit la realizarea disfuncionalitilor i au fost comentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate. In cadrul edinei de nchidere, structura auditat si-a nsuit n totalitate constatrile i recomandrile formulate de echipa de auditori si, n acest sens, au prezentat Planul de aciune i Calendarul de implementare al recomandrilor, cu termenele de realizare i persoanele responsabile, vor fi urmrite de echipa de auditori, pana la implementarea acestora. n consecin, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregtit pentru aprobare i transmitere structurii auditate. Raportul de audit intern va fi nsoit de o SINTEZA care va conine concluziile echipei de auditori interni cu prezentarea principalelor recomandri i opinia generala a acesteia. Structura auditat se angajeaz sa completeze Planul de aciune i calendarul implementrii recomandrilor, cu termenele de realizare i persoanele responsabile cu implementare acestora, pe care l vor discuta cu echipa de auditori.
233
Not: edina de nchidere a interveniei la faa locului are ca scop prezentarea opiniei auditorilor interni, a constatrilor i recomandrilor finale, precum i discutarea unui plan de aciune nsoit de un calendar de implementare a recomandrilor. n cadrul acestei edine se urmrete ca att constatrile, ct i recomandrile, s fie uor de neles, s nu permit interpretri i s nu fie prtinitoare. Constatrile trebuie s aib la baz documente doveditoare, iar recomandrile trebuie s ajute managementul entitii auditate n luarea deciziilor manageriale n vederea eliminrii deficienelor constatate.
234
Procedura P16:
SUPERVIZAREA MISIUNII DE AUDIT INTERN
LISTA DE SUPERVIZARE A DOCUMENTELOR

Data: 18.10..2009 Data: 18.10.2009
Nr. crt.
1. 2
Lucrarea
Declaraia independen Colectarea informaiilor de
Propunerea efului structurii de audit/ Rspunsul supervizorului misiunii, auditorilor ca urmare a revizuirii documentului
Nu exist incompatibilitate Se va ntocmi i Nu exista un centralizator al elabora documentul documentelor colectate i procedura de lucru privind documentele prelucrate colectate i prelucrate In programul de audit nu Programul de audit a apare obiectivul cu privire la fost refcut, obiectivul definirea structurilor privind definirea organizatorice structurilor organizatorice a fost cuprins n program Nu s-a ntocmit i elaborat Se va ntocmi i fisa de constatare i elabora FCRI n acest raportare a iregularitilor caz pentru constatarea cu privire la necalcularea taxei pentru eliberarea autorizaiilor de construire Nu s-a ntocmit i elaborat Se va elabora i nota centralizatoare a ntocmi i elabora documentelor de lucru nota centralizatoare a documentelor de lucru .. .
Revizuirea rspunsurilor auditorilor de ctre eful structurii de audit/supervizor

De acord
De acord
3.
Programul audit intern
de
De acord
Constatarea i raportarea iregularitilor
De acord
Nota centralizatoare a documentelor de lucru
De acord
. . . n
..
Raportul de audit
Raportul de audit nu prezint cauzele i consecinele constatrilor efectuate
Raportul de audit va fi completat cu precizarea cauzelor i De acord consecinelor aferente constatrilor efectuate
Supervizor, Georgescu Cristian

235
Not: Supervizarea reprezint activitatea de ndrumare, consiliere, supraveghere i verificare efectuat de ctre supervizor asupra activitii echipei de audit, se realizat pe tot parcursul derulrii misiunii de audit intern prin semnarea documentelor ntocmite. Scopul activitii de supervizare este asigurarea c obiectivele misiunii de audit intern au fost atinse n condiii de calitate. Documentele de audit elaborate (procedurale sau ntocmite de auditor cu privire la constatri efectuate) trebuie supervizate pentru a se asigura c acestea vin n sprijinul raportului de audit i c toate procedurile de audit necesare au fost efectuate.
236
Procedura
ELABORARE RAPORT DE AUDIT INTERN
PROIECT DE RAPORT DE AUDIT INTERN
MISIUNEA DE AUDIT INTERN
ACTIVITATEA IT
BUCURETI 2009
237
CAPITOLUL I DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN
Echipa de auditare - a fost format din:

Popescu Sorin, auditor superior, coordonator Radu George, auditor superior Ordinul de efectuare a misiunii de audit - auditarea activitilor cuprinse n Planul de audit intern pe anul 2010, s-a fcut n baza Ordinului de serviciu nr. 11/12.08.2009.
Baza legal a aciunii de auditare:

Planul de audit intern pentru anul 2009, aprobat de conducerea entitii publice; Legea nr. 672/2002 privind auditul public intern; OMFP nr. 38/15.01.2003 pentru aprobarea Normelor generale de privind exercitarea activitii de audit public intern. Normele proprii de audit public intern ale entitii, avizate i aprobate de conducere, privind exercitarea activitii de audit intern n cadrul entitii.
Durata misiunii de audit: 01.09.2009 20.10.2009. Perioada auditat: 01.01.2008 - 31.08.2009 Scopul aciunii de auditare const n:
- asigurarea conducerii asupra funcionrii echipamentelor, aplicaiilor i programelor n concordan cu cerinele stabilite; - asigurarea aplicrii corecte a msurilor de testarea i implementarea noilor aplicaii, de a soluiona problemele aprute n funcionarea aplicaiilor.
Obiectivele aciunii de auditare au urmrit:

Strategia i planificarea sistemelor informatice; Organizarea i funcionarea departamentului IT; Operaii ale sistemului informatic; Securitatea informaiilor; Proiectarea i testarea programelor i aplicaiilor; Elaborarea i implementarea proiectelor IT; Proiectarea i meninerea n funciune a unei reele.
Tipul de auditare - audit de conformitate/regularitate. Tehnici de audit intern utilizate: - verificarea se realizeaz n vederea asigurrii validitii, realitii i acurateei nregistrrilor n
contabilitate a documentelor i a concordanei cu legile i regulamentele n vigoare, precum i a eficacitii controlului intern prin cu ajutorul urmtoarele tehnici de verificare: a) comparaia: pentru confirmarea identitii unor informaii, dup obinerea lor din dou sau mai multe surse diferite; b) examinarea: pentru detectarea erorilor i/sau iregularitilor; c) recalcularea: verificarea algoritmilor de calcul i a calculelor matematice; d) punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de nregistrri;
238
e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul validrii acestora; f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea nregistrrilor spre documentele justificative; g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au fost nregistrate. - observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i formeaz o imagine de ansamblu asupra structurii auditate; - interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru eventualele explicaii suplimentare se solicit note de relaii; - analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate, cuantificate i msurate distinct.
Instrumentele de audit intern utilizate: - Chestionarul de luare la cunotin - CLC: pentru obinerea unor informaii referitoare la
contextul socio-economic, organizare intern, funcionarea entitii/structurii auditate; - Chestionarul de control intern - CCI: orienteaz auditorii interni n activitatea de identificare obiectiv a disfunciunilor i cauzelor reale ale acestora. Acesta a fost utilizat pentru evaluarea instrumentelor de control existente, mpreun cu alte informaii relevante pentru audit, pe parcursul desfurrii misiunii de audit intern; - List de verificare - LV: pentru stabilirea condiiilor de regularitate pe care trebuie s le ndeplineasc fiecare domeniu auditabil. Cuprinde un set de operaii ce trebuie parcurse de auditor pentru a analiza activitile de control intern ncorporate n proceduri, existena responsabilitilor pentru efectuarea acestora i permite stabilirea testelor de conformitate atunci cnd sunt semnalate diferite disfuncionaliti; - Fia de identificare i analiz a problemelor FIAP: ntocmit pentru fiecare disfuncionalitate constatat; - Formularul de constatare i raportare a iregularitilor FCRI: ntocmit cu scopul de a informa conducerea direciei cu privire la iregularitatea constat.
Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat documentaia aferent perioadei auditate, respectiv 01.01.2008 30.06.2009, care a cuprins urmtoarele: - legi i regulamente aplicabile structurii auditate; - strategia n domeniul IT; - organigrama Direciei IT; - Regulamentul de Organizare i Funcionare; - Fiele posturilor; - Proceduri operaionale de lucru; - Rapoarte de evaluare; - Liste de achiziii n domeniul IT; - aplicaii informatic; - programe informatice achiziionate; - Planul privind continuitatea activitilor, etc. Documente i materiale ntocmite pe timpul auditrii: - documentaia aferent analizei riscurilor;
- tabelul puncte tari i puncte slabe; - tematica n detaliu a misiunii de audit intern; - programul de audit intern; - programul interveniei la faa locului; - liste de verificare structurate pe obiective; - foi de lucru pentru stabilirea eantioanelor; - chestionare de control intern; - teste; - liste de control; - fie de identificare i analiz a problemelor constatate - FIAP-uri;
239
- formulare de constatare i raportare a iregularitilor - FCRI-uri; - proiectul raportul de audit intern; - minutele edinelor de deschidere, de nchidere i de conciliere; - Raportul de audit intern; - planul de aciune i calendarul de implementare a recomandrilor; - fia de urmrire a implementrilor recomandrilor. - foi de lucru privind descrierea activitilor auditate; - documente de lucru; - note de relaii; - interviuri.
Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4 posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar conform organigramei i Regulamentului de organizare i funcionare. Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de subordonare i de colaborare, precum i sarcinile de serviciu.
II. CONSTATRI II. CONSTATRI I RECOMANDRI

Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
1.1. Strategia IT este concordan cu scopurile organizaiei

1.1.1. Strategia IT definete necesitile i prioritile
Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor informatice. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente, care au influen n decizia managerial i dezvoltarea strategic. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden
240
unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea resursele financiare, au fost legate doar de aceste aspecte. n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt ntrzieri n implementarea acestora, respectiv: a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare a achiziiei, cu toate c prin buget au fost alocate fondurile necesare. Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei. n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic. b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite. ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic Modernizarea infrastructurii IT din cadrul entitii. Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora. Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat urmtoarele etape: e) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia; f) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de aciune stabilite la nivelul organizaiei; g) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i implementrii strategiei; h) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere urmtoarelor etape: d) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei. Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat; e) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii ameninrilor i oportunitilor cu care se confrunt entitatea; f) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei
241
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a reuit surprinderea aciunii factorilor de influenta. Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare. Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii ameninrilor i oportunitilor cu care se confrunt entitatea. De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor strategice ale organizaiei. n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei. Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia. n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c acestea nu ntrunesc urmtoarele caracteristici definitorii: - nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care dispune organizaia n condiiile actuale; - nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor; - nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea coninutului lor de ctre salariai; - nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe termen mediu i lung. Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei. Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare. La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici, cantitativi i calitativi. De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n condiii de performan, la obinerea impactului definit de obiectivele strategice. Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie. Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.

1.2.1. Planurile IT ajut la ndeplinirea misiunii organizaiei
242
Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate. Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia. n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea activitilor. n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor obiective ale planului. Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului. n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite. Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru implementarea obiectivelor stabilite. n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei, importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii i resursele interacioneaz continuu. Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului. De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului funcional. Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile de atingere a obiectivelor planului. Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul compartimentelor. Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n
limitele stabilite. 1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se desfoar n cadrul acestora.
243
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor. Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.

1.3.1. Strategia IT este concordant cu scopurile organizaiei

1.4.1. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu . 1.4.2. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitilor realizate .

1.5.1. Organizarea adecvat a funciei IT 1.5.2. Adecvarea practicilor i procedurilor IT la procesele existente ..
1.6. Elaborarea strategiei IT corespunde strategiei entitii

1.6.1. Dotarea actual cu tehnic de calcul a stat la baza strategiei IT .. 2. ORGANIYAREA I FUNCIONAREA DEPARTAMENTULUI IT
2.1. Definirea atribuiilor i activitilor

2.1.1. Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT
Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de competen privind realizarea activitilor i aciunilor repartizate. Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate. n acest sens s-a recomandat contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a
244
unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor.
2.1.2. Definirea activitilor n cadrul structurii organizatorice

Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente. La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri) i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri ierarhice de-a lungul crora se exercit autoritatea n organizaie. Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv specific a pus n eviden urmtoarele: unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni concrete de realizare a acestora, fie indic o aciune comun de realizare; altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite; nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care asigur conformitatea cu reglementrile legale. Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i probleme semnificative de suprapunere i de coordonare. De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv. Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate. La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.

2.2.1. Organizarea funcional a Departamentului IT
Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor efectuate. Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de informaii i date ntre structurile implicate n fluxul tehnologic al activitilor. n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor ierarhice. Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate activitile desfurate.
245
Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n funcie de cunotinele i aptitudinile pe care le deineau. Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial. La nivelul celor dou servicii n aceast perioad nu a fost luat nici o decizie cu privire la mbuntirea activitilor sau la dezvoltarea acestora. Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.
2.2.2. Examinarea sistemului de gestionare a riscurilor generale la nivelul Departamentului IT

Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele de control intern implementate pentru limitarea acestora. Pentru aceast deficien s-a recomandat elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil. Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce trebuie alocate n vederea atingerii obiectivelor. Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel: - revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente; - procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale. Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor posturi inferioare. Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn, detecteze i s corecteze n mod eficient denaturrile semnificative. n acelai timp din analiza efectuat a mai rezultat c la nivelul departamentului nu este organizat i nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil. Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului riscurilor la nivelul organizaiei.

2.3.1. Definirea sarcinilor prin fia postului
Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
246
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc. La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit cunotine IT de nivel superior i chiar anumite specializri. Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel. Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma unei relaii funcionale sau avnd caracter de activitate sau sarcin. Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare. Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie, ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul departamentului IT. n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
3. OPERAII ALE SISTEMULUI INFORMATIC
3.1. Managementul operaiunilor

3.1.1. Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori
Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii legate de gestionarea acestora, astfel: - n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne), fiind utilizate n proporie de max. 10-15%. - echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind restricionat. - n urma inventarierii interveniilor efectuate asupra computerelor, imprimantelor i copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective. - analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc. - Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a constatat c o anumit parte din aceste verificri se realizeaz manual.
247
Pentru deficienele constatate s-a recomandat urmtoarele: - implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri. - mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat. - procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens. - constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate. - elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile efectuate asupra operaiilor informatice.
3.1.2. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor 3.1.3. Elaborarea planului anual de activitate ..

3.2.1. Programele antivirus asigur protecia aplicaiilor
Din analiz s-a constatat neaplicarea n mod unitar a politicii de securitate IT, care a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2 departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei.
3.2.2. Implementarea subsistemelor IT

Din analiza efectuat a rezultat c, subsistemele IT nu au fost realizate la termenele stabilite. Astfel, analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante. Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate. ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor departamente, deoarece datele i informaiile sunt reluate i introduse manual. Pentru deficienele constatate s-a recomandat analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget.
248
3.3. Funcionalitatea Departamentului IT

3.3.1. Organizarea funcional a Departamentului IT . 3.3.2. Asigurarea caracterului secret al datelor .

3.4.1. ntreinerea calculatorului i a echipamentelor 3.4.2. Instalarea i configurarea calculatorului .

3.5.1. Realizarea eficient a operaiilor n cadrul Departamentului IT . 3.5.2. Administrarea eficient a aplicaiilor i programelor . 3.5.3. Evaluarea problemelor i soluionarea acestora
Din evaluare, auditorii interni au mai constatat c nu exist un sistem de controale generale care s fie avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe echipamentele entitii publice, astfel: - Controlul datelor introduse n aplicaii; - Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer); - Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complete; - Controlul privind validarea datelor transferate din alte aplicaii; - Controlul privind tranzaciile efectuate. Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz.
4. SECURITATEA INFORMAIEI

4.1.1. Elaborarea politicii privind securitatea informaiei 4.1.2. Stabilirea responsabilitilor n cadrul politicii de securitate . 4.1.3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii autorizai .
249
4.2. Disponibilitatea datelor 4.2.1. Protejarea datelor mpotriva viruilor . 4.2.2. Asigurarea continuitii activitilor 4.2.3. Recuperarea datelor n caz de dezastru 4.3. Asigurarea funcionrii programelor i aplicaiilor 4.3.1. Asigurarea introducerii corecte a datelor .. 4.3.2. Prelucrarea datelor 4.3.3. Asigurarea securitii datelor i documentelor PROBLEMA
Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile specifice privind asigurarea securitii reelelor, astfel: - la nivelul departamentului IT au fost ntocmite hri privind infrastructura reelelor IT, ns una din cele 3 hri cuprinse n eantion nu fusese actualizat, astfel nct aplicaiile copiate pe un numr de 4 sisteme nu au fost protejate prin intermediul programelor antivirus. De asemenea, aplicaiile contabile au fost copiate de pe unul din calculatoarele existente, fr a se proceda la instalarea acestora de ctre personalul specializat din cadrul departamentului IT, ocazie cu care nu au putut fi asigurata integritatea tuturor modulelor. - dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n vederea alocrii corespunztoare a resurselor de securitate. - la nivelul entitii s-a procedat la identificarea i nlturarea celor mai critice vulnerabiliti ale reelelor, ns nu a fost avut n vedere un sistem de management al vulnerabilitilor, la cel mai profund nivel, actualizat, care s permit identificarea precis i cuprinztoare a ultimilor vulnerabiliti ale sistemului sau a greelilor de configurare, bazndu-se pe informaii precise i configuraii de sistem i de reea adecvate. - administratorii de sistem au procedat la ntocmirea de rapoarte care detaliaz nivelul critic al vulnerabilitilor i au furnizat soluii de remediere ns informaiile nu au fost strnse, adaptate i prezentate acelor persoane care decid asupra situaiei securitii n cadrul entitii publice. Astfel, conducerea entitii nu a avut la dispoziie informaiile necesare cuantificrii efortului necesar pentru asigurarea securitii reelelor. Pentru remedierea deficienelor constatate au fost formulate urmtoarele recomandri: 1. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la riscuri; 2. Prioritizare i a aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat; 3. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis, cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare. 4. Toate rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii entitii publice.
250
4.4. Implementarea instrumentelor de control 4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT, neasigurndu-se o intervenie prompt i rapid, iar securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de autorizare a accesului i unui sistem adecvat de parole. La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii reelelor din cadrul entitii. Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin intermediul unui nou router, care nu au fost consemnate n cadrul hrii. De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei, fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i implementarea de programe antivirus adecvate. La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii (tranzacii, operaiuni financiare etc.). Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate ca i sistemul integrat privind conducerea organizaiei. Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate persoanelor cu responsabiliti decizionale asupra securitii informaionale. Recomandrile formulate au fcut referire la prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii organizaiei.
4.4.2. Introducerea instrumentelor de control fizic asupra echipamentelor IT al aplicaiilor

Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor. Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul necontrolat la cele trei locaii selectate att a persoanelor din cadrul altor departamente ct i a altor persoane din afara entitii publice; Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate. Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt echipate cu ncuietori adecvate; La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei autorizaii scrise. Pentru deficienele constatate s-a recomandat introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie supravegheat in totalitate.
251
4.5. Securitatea reelei 4.5.1. Monitorizarea securitii reelelor 4.6. Gestionarea parolelor 4.6.1. Utilizatori au parole de acces individuale
Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui responsabil cu verificarea schimbrii periodice a parolelor de acces. Analiza interviului a scos n eviden, de asemenea, faptul c nu exist un sistem de securitate a sistemului informatic i un responsabil cu administrarea acestui sistem. Recomandarea s-a referit la schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului informatic, precum i stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a schimbrii periodice a parolelor de acces.
4.6.2. Schimbarea periodic a parolelor .. 4.6.3. Protejarea parolelor 4.6.4. Persoanele autorizate au acces la sistemul de operare 4.7. Securitatea logic 4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor 5. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR 5.1. Proiectarea i elaborarea programelor i aplicaiilor 5.1.1. Achiziia programelor informatice . 5.1.2. Proiectarea programului informatic . 5.1.3. Elaborarea programului informatic . 5.2. Testarea i implementarea programelor i aplicaiilor 5.2.1. Testarea programului i aplicaiei 5.2.2. Asigurarea corectitudini rezultatelor
Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora. Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii.
252
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier. Organizarea datelor n fiierele de date prezint urmtoarele disfuncii: - redundan mare stocarea datelor n mai multe fiiere; - acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de sortare, fuziune, ventilare; - izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele ntr-o manier global; - actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date; - dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de corecturi n programele de calculator; - fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n toate fiierele de date. Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul.
6. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT 6.1. Dezvoltarea proiectelor IT 6.1.1. Iniierea i elaborarea proiectelor IT 6.2. Implementarea i funcionarea programelor i aplicaiilor 6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii . 6.2.2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametri optimi
Din evaluarea realizat s-a constatat utilizarea n cadrul entitii publice a unor programe software fr licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd CD-uri piratate. La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene. Pentru remedierea deficienelor constatate s-a recomandat inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.
7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIE A UNEI REELE 7.1. Proiectarea, instalarea i administrarea reelei de calculatoare
253
7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare .. 7.1.2. Administrarea serverelor . 7.2. Interconectarea i securitatea reelei 7.2.1. Interconectarea reelelor 7.2.2. Proiectarea i asigurarea securitii reelei
Din evaluare s-a constatat neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. Pentru aceasta s-a recomandat realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;
* *
Precizm faptul c, constatrile prezentate au la baz probe de audit, obinute pe baza testelor efectuate, consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre factorii de management ai entitii. Aceste evaluri au fost discutate i recomandrile auditorilor au fost acceptate n edina de nchidere a misiunii i au fost apreciate de ctre participani ca fiind realiste i fezabile. Considerm c rezultatele evalurii auditorilor interni privind Activitatea IT se nscriu n parametri normali pentru aceast perioad de consolidare a implementrii activitii de audit intern n cadrul entitilor. De asemenea, prin implementarea recomandrilor echipei de auditori activitatea Direciei IT va cunoate o ameliorare semnificativ. Structura auditat are obligaia s respecte Programul de aciune i Calendarul implementrii recomandrilor i s raporteze periodic echipei de auditori interni stadiul implementrii acestora. Prezentul proiect de Raport de audit intern a fost ntocmit n baza tematicii n detaliu a obiectelor auditabile selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor efectuate n procedurile de colectare a dovezilor, din timpul interveniei pe teren, i s-au materializat n elaborarea de FIAP-uri i FCRI-uri care au fost preluate n Raportul de audit intern.
Data: 18.10.2009 Auditori interni, Popescu Sorin Radu George Supervizor, Dumitru Daniel Pentru conformitate, Director , Direcia IT ..
254
Not: Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit utilizate. La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte documente de lucru.
255
Procedura P14:
REUNIUNEA DE CONCILIERE
Entitatea Public Serviciul de audit public intern
MINUTA EDINEI DE CONCILIERE Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel A. Lista participanilor: Numele
Dumitru Daniel Popescu Sorin Radu George Ptrulescu George Voiculescu Alin Boerescu Ilie Teodorescu Rodica Eleodor Darius Iordache Camelia Pun Elena Badea tefan
Data: 10.09.2009 Data: 10.09.2009 Nr. telefon
Funcia
Coordonator Auditor Auditor Director Sef Sef Sef Sef Sef Sef Sef
Direcia/ Serviciul
CAPI SAPI SAPI DIT STDAM SCD SEE SAPP SRC SSD SAT
E-mail
Semntura
B. Stenograma edinei
n cadrul edinei de conciliere s-a discutat asupra constatrilor i recomandrilor cuprinse n proiectul Raportului de audit, iar reprezentanii structurii auditate au reiterat o parte din problemele cu care se confrunt i anume: - lipsa fondurilor necesare privind achiziia de echipamente performante; - programe i aplicaii vechi care se adapteaz foarte greu nevoilor actuale de lucru i necesitilor utilizatorilor; - personal insuficient; - participarea foarte slab i restrns la instruiri, datorit lipsei resurselor financiare. Cu privire la constatrile i recomandrile formulate, conducerea entitii a formulat un singur punct de vedere, respectiv existena sistemului potrivit cruia fiecare utilizator poate stabili i introduce propria parol, n vederea protejrii echipamentului i a aplicaiilor pe care le utilizeaz. n acelai timp exist responsabilizat persoan care verific dac parolele de acces au fost schimbate periodic i au prezentat n acest sens documente justificative. Auditori interni au reinut acest aspect, au evaluat documentele prezentate i au concluzionat c raportul de audit va fi revizuit n mod corespunztor referitor la aceast informaie, iar recomandarea i termenele de implementare vor ine seama aciunile planificate de entitate pentru implementarea acestui program. Pentru implementarea recomandrilor i remedierea problemelor constatate structura auditat a ntocmit
256
i ne-a prezentat planul de aciune i calendarul de implementare al recomandrilor, prin care s-au stabilit persoanele responsabile pentru implementare, etapele i termenele de realizare. Pentru toate celelalte constatri, structura auditat nu a formulat obiecii fiind de acord cu acestea, recunoscnd deficienele din activitatea specific.
Not: Scopul edinei de conciliere este de a analiza constatrile i concluziile i de a valida definitiv recomandrile i planul de aciune elaborat pentru implementarea acestora, modalitile de punere n practic, responsabilii i calendarul de implementare. Participani vor fi persoanele prezente la edina de nchidere, conductorul structurii auditate i persoanele responsabile cu punerea n practic a aciunilor stabilite. edina de conciliere trebuie organizat n termen de 10 zile de la data primirii punctului de vedere al auditatului.
257
258
Procedura
ELABORARE RAPORT DE AUDIT INTERN
RAPORT DE AUDIT INTERN
MISIUNEA DE AUDIT INTERN
ACTIVITATEA IT
BUCURETI 2009
259
CAPITOLUL I DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN
Echipa de auditare - a fost format din:

Popescu Sorin, auditor superior, coordonator Radu George, auditor superior Ordinul de efectuare a misiunii de audit - auditarea activitilor cuprinse n Planul de audit intern pe anul 2010, s-a fcut n baza Ordinului de serviciu nr. 11/12.08.2009.
Baza legal a aciunii de auditare:

Planul de audit intern pentru anul 2009, aprobat de conducerea entitii publice; Legea nr. 672/2002 privind auditul public intern; OMFP nr. 38/15.01.2003 pentru aprobarea Normelor generale de privind exercitarea activitii de audit public intern. Normele proprii de audit public intern ale entitii, avizate i aprobate de conducere, privind exercitarea activitii de audit intern n cadrul entitii.
Durata misiunii de audit: 01.09.2009 20.10.2009. Perioada auditat: 01.01.2008 - 31.08.2009 Scopul aciunii de auditare const n:
- asigurarea conducerii asupra funcionrii echipamentelor, aplicaiilor i programelor n concordan cu cerinele stabilite; - asigurarea aplicrii corecte a msurilor de testarea i implementarea noilor aplicaii, de a soluiona problemele aprute n funcionarea aplicaiilor.
Obiectivele aciunii de auditare au urmrit:

Strategia i planificarea sistemelor informatice; Organizarea i funcionarea departamentului IT; Operaii ale sistemului informatic; Securitatea informaiilor; Proiectarea i testarea programelor i aplicaiilor; Elaborarea i implementarea proiectelor IT; Proiectarea i meninerea n funciune a unei reele.
Tipul de auditare - audit de conformitate/regularitate. Tehnici de audit intern utilizate:

- verificarea se realizeaz n vederea asigurrii validitii, realitii i acurateei nregistrrilor n contabilitate a documentelor i a concordanei cu legile i regulamentele n vigoare, precum i a eficacitii controlului intern prin cu ajutorul urmtoarele tehnici de verificare: a) comparaia: pentru confirmarea identitii unor informaii, dup obinerea lor din dou sau mai multe surse diferite; b) examinarea: pentru detectarea erorilor i/sau iregularitilor; c) recalcularea: verificarea algoritmilor de calcul i a calculelor matematice; d) punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de nregistrri; e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul validrii acestora; f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea
260
nregistrrilor spre documentele justificative; g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au fost nregistrate. - observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i formeaz o imagine de ansamblu asupra structurii auditate; - interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru eventualele explicaii suplimentare se solicit note de relaii; - analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate, cuantificate i msurate distinct.
Instrumentele de audit intern utilizate: - Chestionarul de luare la cunotin - CLC: pentru obinerea unor informaii referitoare la
contextul socio-economic, organizare intern, funcionarea entitii/structurii auditate; - Chestionarul de control intern - CCI: orienteaz auditorii interni n activitatea de identificare obiectiv a disfunciunilor i cauzelor reale ale acestora. Acesta a fost utilizat pentru evaluarea instrumentelor de control existente, mpreun cu alte informaii relevante pentru audit, pe parcursul desfurrii misiunii de audit intern; - List de verificare - LV: pentru stabilirea condiiilor de regularitate pe care trebuie s le ndeplineasc fiecare domeniu auditabil. Cuprinde un set de operaii ce trebuie parcurse de auditor pentru a analiza activitile de control intern ncorporate n proceduri, existena responsabilitilor pentru efectuarea acestora i permite stabilirea testelor de conformitate atunci cnd sunt semnalate diferite disfuncionaliti; - Fia de identificare i analiz a problemelor FIAP: ntocmit pentru fiecare disfuncionalitate constatat; - Formularul de constatare i raportare a iregularitilor FCRI: ntocmit cu scopul de a informa conducerea direciei cu privire la iregularitatea constat.
Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat documentaia aferent perioadei auditate, respectiv 01.01.2008 30.06.2009, care a cuprins urmtoarele: - legi i regulamente aplicabile structurii auditate; - strategia n domeniul IT; - organigrama Direciei IT; - Regulamentul de Organizare i Funcionare; - Fiele posturilor; - Proceduri operaionale de lucru; - Rapoarte de evaluare; - Liste de achiziii n domeniul IT; - aplicaii informatic; - programe informatice achiziionate; - Planul privind continuitatea activitilor, etc. Documente i materiale ntocmite pe timpul auditrii: - documentaia aferent analizei riscurilor;
- tabelul puncte tari i puncte slabe; - tematica n detaliu a misiunii de audit intern; - programul de audit intern; - programul interveniei la faa locului; - liste de verificare structurate pe obiective; - foi de lucru pentru stabilirea eantioanelor; - chestionare de control intern; - teste; - liste de control; - fie de identificare i analiz a problemelor constatate - FIAP-uri; - formulare de constatare i raportare a iregularitilor - FCRI-uri; - proiectul raportul de audit intern;
261
- minutele edinelor de deschidere, de nchidere i de conciliere; - Raportul de audit intern; - planul de aciune i calendarul de implementare a recomandrilor; - fia de urmrire a implementrilor recomandrilor. - foi de lucru privind descrierea activitilor auditate; - documente de lucru; - note de relaii; - interviuri.
Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4 posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar conform organigramei i Regulamentului de organizare i funcionare. Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de subordonare i de colaborare, precum i sarcinile de serviciu.
II. CONSTATRI II. CONSTATRI I RECOMANDRI

Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
1.1. Strategia IT este concordan cu scopurile organizaiei

1.1.1. Strategia IT definete necesitile i prioritile
Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor informatice. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente, care au influen n decizia managerial i dezvoltarea strategic. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au
262
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea resursele financiare, au fost legate doar de aceste aspecte. n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt ntrzieri n implementarea acestora, respectiv: a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare a achiziiei, cu toate c prin buget au fost alocate fondurile necesare. Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei. n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic. b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite. ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic Modernizarea infrastructurii IT din cadrul entitii. Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora. Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat urmtoarele etape: i) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia; j) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de aciune stabilite la nivelul organizaiei; k) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i implementrii strategiei; l) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere urmtoarelor etape: g) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei. Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat; h) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii ameninrilor i oportunitilor cu care se confrunt entitatea; i) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
263
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a reuit surprinderea aciunii factorilor de influenta. Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare. Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii ameninrilor i oportunitilor cu care se confrunt entitatea. De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor strategice ale organizaiei. n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei. Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia. n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c acestea nu ntrunesc urmtoarele caracteristici definitorii: - nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care dispune organizaia n condiiile actuale; - nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor; - nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea coninutului lor de ctre salariai; - nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe termen mediu i lung. Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei. Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare. La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici, cantitativi i calitativi. De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n condiii de performan, la obinerea impactului definit de obiectivele strategice. Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie. Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.

1.2.1. Planurile IT ajut la ndeplinirea misiunii organizaiei
Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate. Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea
264
de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia. n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea activitilor. n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor obiective ale planului. Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului. n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite. Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru implementarea obiectivelor stabilite. n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei, importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii i resursele interacioneaz continuu. Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului. De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului funcional. Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile de atingere a obiectivelor planului. Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul compartimentelor. Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite.
1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se desfoar n cadrul acestora. Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu
265
au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor. Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.

1.3.1. Strategia IT este concordant cu scopurile organizaiei

1.4.1. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu . 1.4.2. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitilor realizate .

1.5.1. Organizarea adecvat a funciei IT 1.5.2. Adecvarea practicilor i procedurilor IT la procesele existente ..
1.6. Elaborarea strategiei IT corespunde strategiei entitii

1.6.1. Dotarea actual cu tehnic de calcul a stat la baza strategiei IT .. 2. ORGANIYAREA I FUNCIONAREA DEPARTAMENTULUI IT
2.1. Definirea atribuiilor i activitilor

2.1.1. Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT
Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de competen privind realizarea activitilor i aciunilor repartizate. Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate. n acest sens s-a recomandat contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor.
2.1.2. Definirea activitilor n cadrul structurii organizatorice

266
Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente. La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri) i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri ierarhice de-a lungul crora se exercit autoritatea n organizaie. Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv specific a pus n eviden urmtoarele: unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni concrete de realizare a acestora, fie indic o aciune comun de realizare; altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite; nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care asigur conformitatea cu reglementrile legale. Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i probleme semnificative de suprapunere i de coordonare. De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv. Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate. La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.

Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor efectuate. Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de informaii i date ntre structurile implicate n fluxul tehnologic al activitilor. n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor ierarhice. Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate activitile desfurate. Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
267
activitile n funcie de cunotinele i aptitudinile pe care le deineau. Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial. La nivelul celor dou servicii n aceast perioad nu a fost luat nici o decizie cu privire la mbuntirea activitilor sau la dezvoltarea acestora. Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.
2.2.2. Examinarea sistemului de gestionare a riscurilor generale la nivelul Departamentului IT

Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele de control intern implementate pentru limitarea acestora. Pentru aceast deficien s-a recomandat elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil. Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce trebuie alocate n vederea atingerii obiectivelor. Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel: - revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente; - procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale. Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor posturi inferioare. Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn, detecteze i s corecteze n mod eficient denaturrile semnificative. n acelai timp din analiza efectuat a mai rezultat c la nivelul departamentului nu este organizat i nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil. Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului riscurilor la nivelul organizaiei.

2.3.1. Definirea sarcinilor prin fia postului
Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc. La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al
268
studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit cunotine IT de nivel superior i chiar anumite specializri. Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel. Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma unei relaii funcionale sau avnd caracter de activitate sau sarcin. Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare. Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie, ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul departamentului IT. n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
3. OPERAII ALE SISTEMULUI INFORMATIC
3.1. Managementul operaiunilor

3.1.1. Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori
Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii legate de gestionarea acestora, astfel: - n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne), fiind utilizate n proporie de max. 10-15%. - echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind restricionat. - n urma inventarierii interveniilor efectuate asupra computerelor, imprimantelor i copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective. - analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc. - Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a constatat c o anumit parte din aceste verificri se realizeaz manual. Pentru deficienele constatate s-a recomandat urmtoarele: - implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri.
269
- mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat. - procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens. - constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate. - elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile efectuate asupra operaiilor informatice.
3.1.2. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor 3.1.3. Elaborarea planului anual de activitate ..

3.2.1. Programele antivirus asigur protecia aplicaiilor
Din analiz s-a constatat neaplicarea n mod unitar a politicii de securitate IT, care a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2 departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei.
3.2.2. Implementarea subsistemelor IT

Din analiza efectuat a rezultat c, subsistemele IT nu au fost realizate la termenele stabilite. Astfel, analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante. Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate. ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor departamente, deoarece datele i informaiile sunt reluate i introduse manual. Pentru deficienele constatate s-a recomandat analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget.
3.3. Funcionalitatea Departamentului IT

270
. 3.3.2. Asigurarea caracterului secret al datelor .

3.4.1. ntreinerea calculatorului i a echipamentelor 3.4.2. Instalarea i configurarea calculatorului .

3.5.1. Realizarea eficient a operaiilor n cadrul Departamentului IT . 3.5.2. Administrarea eficient a aplicaiilor i programelor . 3.5.3. Evaluarea problemelor i soluionarea acestora
Din evaluare, auditorii interni au mai constatat c nu exist un sistem de controale generale care s fie avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe echipamentele entitii publice, astfel: - Controlul datelor introduse n aplicaii; - Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer); - Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complete; - Controlul privind validarea datelor transferate din alte aplicaii; - Controlul privind tranzaciile efectuate. Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz.
4. SECURITATEA INFORMAIEI

4.1.1. Elaborarea politicii privind securitatea informaiei 4.1.2. Stabilirea responsabilitilor n cadrul politicii de securitate . 4.1.3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii autorizai . 4.2. Disponibilitatea datelor
271
4.2.1. Protejarea datelor mpotriva viruilor . 4.2.2. Asigurarea continuitii activitilor 4.2.3. Recuperarea datelor n caz de dezastru 4.3. Asigurarea funcionrii programelor i aplicaiilor 4.3.1. Asigurarea introducerii corecte a datelor .. 4.3.2. Prelucrarea datelor 4.3.3. Asigurarea securitii datelor i documentelor
Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile specifice privind asigurarea securitii reelelor, astfel: - la nivelul departamentului IT au fost ntocmite hri privind infrastructura reelelor IT, ns una din cele 3 hri cuprinse n eantion nu fusese actualizat, astfel nct aplicaiile copiate pe un numr de 4 sisteme nu au fost protejate prin intermediul programelor antivirus. De asemenea, aplicaiile contabile au fost copiate de pe unul din calculatoarele existente, fr a se proceda la instalarea acestora de ctre personalul specializat din cadrul departamentului IT, ocazie cu care nu au putut fi asigurata integritatea tuturor modulelor. - dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n vederea alocrii corespunztoare a resurselor de securitate. - la nivelul entitii s-a procedat la identificarea i nlturarea celor mai critice vulnerabiliti ale reelelor, ns nu a fost avut n vedere un sistem de management al vulnerabilitilor, la cel mai profund nivel, actualizat, care s permit identificarea precis i cuprinztoare a ultimilor vulnerabiliti ale sistemului sau a greelilor de configurare, bazndu-se pe informaii precise i configuraii de sistem i de reea adecvate. - administratorii de sistem au procedat la ntocmirea de rapoarte care detaliaz nivelul critic al vulnerabilitilor i au furnizat soluii de remediere ns informaiile nu au fost strnse, adaptate i prezentate acelor persoane care decid asupra situaiei securitii n cadrul entitii publice. Astfel, conducerea entitii nu a avut la dispoziie informaiile necesare cuantificrii efortului necesar pentru asigurarea securitii reelelor. Pentru remedierea deficienelor constatate au fost formulate urmtoarele recomandri: 1. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la riscuri; 2. Prioritizare i a aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat; 3. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis, cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare. 4. Toate rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii entitii publice.
4.4. Implementarea instrumentelor de control 4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
272
Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT, neasigurndu-se o intervenie prompt i rapid, iar securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de autorizare a accesului i unui sistem adecvat de parole. La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii reelelor din cadrul entitii. Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin intermediul unui nou router, care nu au fost consemnate n cadrul hrii. De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei, fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i implementarea de programe antivirus adecvate. La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii (tranzacii, operaiuni financiare etc.). Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate ca i sistemul integrat privind conducerea organizaiei. Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate persoanelor cu responsabiliti decizionale asupra securitii informaionale. Recomandrile formulate au fcut referire la prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii organizaiei.
4.4.2. Introducerea instrumentelor de control fizic asupra echipamentelor IT al aplicaiilor

Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor. Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul necontrolat la cele trei locaii selectate att a persoanelor din cadrul altor departamente ct i a altor persoane din afara entitii publice; Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate. Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt echipate cu ncuietori adecvate; La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei autorizaii scrise. Pentru deficienele constatate s-a recomandat introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie supravegheat in totalitate.
4.5. Securitatea reelei 4.5.1. Monitorizarea securitii reelelor

273
4.6. Gestionarea parolelor 4.6.1. Utilizatori au parole de acces individuale

Din verificarea efectuata a rezultat c nu exist o securitate a sistemului informatic i un responsabil cu administrarea acestui sistem. Recomandarea s-a referit la stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a schimbrii periodice a parolelor de acces.
4.6.2. Schimbarea periodic a parolelor .. 4.6.3. Protejarea parolelor 4.6.4. Persoanele autorizate au acces la sistemul de operare 4.7. Securitatea logic 4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor 5. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR 5.1. Proiectarea i elaborarea programelor i aplicaiilor 5.1.1. Achiziia programelor informatice . 5.1.2. Proiectarea programului informatic . 5.1.3. Elaborarea programului informatic . 5.2. Testarea i implementarea programelor i aplicaiilor 5.2.1. Testarea programului i aplicaiei 5.2.2. Asigurarea corectitudini rezultatelor
Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora. Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii. Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier. Organizarea datelor n fiierele de date prezint urmtoarele disfuncii: - redundan mare stocarea datelor n mai multe fiiere; - acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de sortare, fuziune, ventilare; - izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele ntr-o manier global;
274
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date; - dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de corecturi n programele de calculator; - fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n toate fiierele de date. Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul.
6. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT 6.1. Dezvoltarea proiectelor IT 6.1.1. Iniierea i elaborarea proiectelor IT 6.2. Implementarea i funcionarea programelor i aplicaiilor 6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii . 6.2.2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametri optimi
Din evaluarea realizat s-a constatat utilizarea n cadrul entitii publice a unor programe software fr licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd CD-uri piratate. La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene. Pentru remedierea deficienelor constatate s-a recomandat inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.
7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIE A UNEI REELE 7.1. Proiectarea, instalarea i administrarea reelei de calculatoare 7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare .. 7.1.2. Administrarea serverelor .
275
7.2. Interconectarea i securitatea reelei 7.2.1. Interconectarea reelelor 7.2.2. Proiectarea i asigurarea securitii reelei
Din evaluare s-a constatat neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. Pentru aceasta s-a recomandat realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;
III. CONCLUZII
Echipa de auditori pe baza testrilor i analizelor efectuate evalueaz Activitatea de stabilire i colectare a impozitelor i taxelor locale din entitatea auditat conform grilei:
Nr.. Crt. 1. 2. 3. 4. 5. 6. 7. APRECIERE OBIECTIVUL FUNCIONAL DE MBUNTIT X
CRITIC
Strategia i planificarea sistemelor informatice; Organizarea i funcionarea departamentului IT; Operaii ale sistemului informatic; Securitatea informaiilor; X Testarea programelor i aplicaiilor; Elaborarea i implementarea proiectelor IT; Proiectarea i meninerea n funciune a unei reele.
X X X X X
Precizm, faptul c constatrile prezentate au la baz probe de audit obinute pe baza testelor efectuate consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre factorii de management ai entitii. Aceste evaluri au la baz discuiile care au avut loc cu privire la recomandrile auditorilor n edinele de nchidere i conciliere ale misiunii, apreciate de ctre participanii la aceste edine, ca fiind realiste i fezabile, i materializate n minutele edinelor de nchidere i conciliere. Considerm c rezultatele evalurii auditorilor interni privind Activitatea privind tehnologia informaiei se nscrie n parametri normali pentru aceast perioad de introducere a auditului intern n entiti. De asemenea, prin implementarea recomandrilor echipei de auditori activitatea de stabilire i colectare a impozitelor i taxelor locale va cunoate o ameliorare semnificativ. Structura auditat are obligaia s ntocmeasc Programul de aciune i Calendarul implementrii recomandrilor i s raporteze periodic echipei de auditori stadiul implementrii acestora. Prezentul Raport de audit intern a fost ntocmit n baza Tematicii n detaliu a obiectelor auditabile selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor efectuate n timpul etapei de colectrii i prelucrrii informaiilor i n timpul Intervenie la fata locului. Toate constatrile efectuate au la baz probe de audit realizate prin teste, interviuri, liste de control, note de relaii i n urma analizei i interpretrii acestora s-au elaborat FIAP-uri i FCRI-uri care au condus la concluziile cuprinse n Raportul de audit intern.
276
Data: 28.10.2009 Auditori interni, Popescu Sorin Radu George Supervizor, Dumitru Daniel
Not: Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit utilizate. La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte documente de lucru.
277
Procedura P15:
ELABORAREA RAPORTULUI DE AUDIT INTERN
SINTEZA
RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE Misiunea de audit intern privind Activitatea de tehnologia informaiei din cadrul entitii publice s-a desfurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, cu modificrile i completrile ulterioare, OMFP nr. 38/2003 de aprobare a Normelor generale privind exercitarea activitii de audit intern, a Normelor specifice proprii de audit intern aprobate de conducere i a Planului de audit intern pe anul 2009, i a fost realizata de:
Popescu Sorin - auditor superior, coordonator echip Radu George - auditor superior Dumitru Daniel - supervizor.
II. CONCLUZII Nr.. Crt. 1. 2. 3. 4. 5. 6. 7. APRECIERE OBIECTIVUL FUNCIONAL
Strategia i planificarea sistemelor informatice; Organizarea i funcionarea departamentului IT; Operaii ale sistemului informatic; Securitatea informaiilor; X Testarea programelor i aplicaiilor; Elaborarea i implementarea proiectelor IT; Proiectarea i meninerea n funciune a unei reele.
DE MBUNTIT X
CRITIC
X X X X X
III. CONSTATRI i RECOMANDRI Principalele constatri i recomandri rezultate n urma evalurii:
1. Constatri: Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor informatice. Recomandare: Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora.
278
2. Constatri: La elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere evaluarea situaiei actuale pe baza analizei diagnostic, identificarea punctelor tari i a punctelor slabe ale entitii i fundamentarea variantelor strategice Recomandri: Pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor strategice ale organizaiei. n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei. 3. Constatri: Obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei. Acestea reprezint exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia. Recomandri: Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie. 4. Constatri: Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate. Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea activitilor. Activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor obiective ale planului. Recomandri: Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul compartimentelor. Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite. 5. Constatri: Departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se desfoar n cadrul acestora. Recomandare: Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT. 6. Constatri: Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de competen privind realizarea activitilor i aciunilor repartizate. Recomandare: Contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor. 7. Constatri: Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente. Recomandri: Realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate.
279
8. Constatri: Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Recomandare: Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate activitile desfurate. 9. Constatri: Persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n funcie de cunotinele i aptitudinile pe care le deineau. Recomandare: Desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT. 10. Constatare: Riscurile nu sunt identificate i gestionate la nivelul departamentului i nu este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele de control intern implementate pentru limitarea acestora. Recomandare: Elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil. 11. Constatare: Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce trebuie alocate n vederea atingerii obiectivelor. Recomandare: Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn, detecteze i s corecteze n mod eficient denaturrile semnificative. 12. Constatare: La nivelul departamentului nu este organizat i nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil. Recomandare: Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului riscurilor la nivelul organizaiei. 13. Constatare: Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Recomandare: Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel. 13. Constatare: Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma unei relaii funcionale sau avnd caracter de activitate sau sarcin. Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare. Recomandare: n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
280
14. Constatare: Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii legate de gestionarea acestora. Recomandare: Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri. Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat. Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea operativ a problemelor de ordin tehnic, care s asigure i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate. 15. Constatare: Neaplicarea n mod unitar a politicii de securitate IT, care a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2 departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Recomandare: Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei. 16. Constatare: Subsistemele IT nu au fost realizate la termenele stabilite. Astfel, analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante. Recomandare: Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget. 17. Constatare: Nu exist un sistem de controale generale care s fie avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe echipamentele entitii publice. Recomandare: Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz. 18. Constatare: Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile specifice privind asigurarea securitii reelelor. Recomandare: Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n timp util a situaiilor privind reelele IT. Tratarea securitii reelelor ca pe un proces continuu, astfel nct schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la riscuri. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis, cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare. 19. Constatare: Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT, neasigurndu-se o intervenie prompt i rapid, iar securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de autorizare a accesului i unui sistem adecvat de parole. La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii reelelor din cadrul entitii. Recomandare: Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i
281
greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii organizaiei. 20. Constatri: Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor. Recomandare: Introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie supravegheat in totalitate. 21. Constatri: Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui responsabil cu verificarea schimbrii periodice a parolelor de acces. Recomandare: Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului informatic, precum i stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a schimbrii periodice a parolelor de acces. 22. Constatare: Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora. Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii. Recomandare: Organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul. 23. Constatri: Utilizarea n cadrul entitii publice a unor programe software fr licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd CD-uri piratate. Recomandare: Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office. 24. Constatare: Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. Recomandare: Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;
In ncheiere, consideram necesara implicarea colectivului n analiza i implementarea recomandrilor propuse i a aciunilor discutate i informarea sistematica asupra evoluiei acestora, att a managementului general, cat i a echipei de auditori interni.
Auditori interni, Popescu Sorin Radu George
282
Procedura P18:
URMRIREA RECOMANDRILOR
FIA DE URMRIRE A RECOMANDRILOR Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel
Data: 10.09.2009 Data: 10.09.2009

Serviciul de Audit Intern Sfrit de lun
RECOMANDAREA Misiunea de audit intern: Raport de audit Stabilirea i colectarea intern nr. impozitelor i taxelor locale 234532/ 14.07.2010 Data planificat/ Data implementrii Implement at Parial implement at Neimplem entat X X
Nr. crt. 1
Recomandarea
Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora. Pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor strategice ale organizaiei. mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei. Evaluarea performanelor actuale ale sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie. Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor. Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul compartimentelor. Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor
31.12.2009
31.03.2010
31.12.2009
31.12.2009
283
8 9
10
11
12
13
14
(financiare, instituionale, programe, personal) necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite. Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT. Contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor. Realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate. La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete. Analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate activitile desfurate. Desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT. Elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil. Stabilirea controalelor interne aferente riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn, detecteze i s corecteze n mod eficient denaturrile semnificative. Analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel. Identificarea i definirea corect n cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei. Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri. Protejarea mediile sau locaiile de stocare mpotriva deteriorrii sau accesului neautorizat. Realizarea corect i la intervale de timp stabilite n funcie de
31.12.2009
31.12.2009
31.03.2010
31.12.2009
31.03.2010
31.03.2010
31.12.2009
31.12.2009
31.12.2009
31.03.2010
284
15
16
17
18
19
20
specificul fiecrei componente, numai de ctre personal autorizat n acest sens, a procedurilor de mentenan a echipamentelor s fie Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate. Elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile efectuate asupra operaiilor informatice. Constituirea unor echipe pentru efectuarea de verificri antivirus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei. Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget. Identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la riscuri; Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat; Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis, cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare. Corelarea rapoartelor ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor i aducerea lor la cunotina conducerii entitii publice. Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii organizaiei. Introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie supravegheat in totalitate.
31.12.2009
31.-03.2010
31.12.2009
31.03.2010
31.12.2009
31.12.2009
285
21
22
23
24
Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului informatic, precum i stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a schimbrii periodice a parolelor de acces. Organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul. Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office. Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;
31.12.2009
31.03.2010
31.12.2009
31.03.2010
Instruciuni 1. Introducei recomandrile de audit dup cum sunt prezentate n Raportul de audit intern. 2. Verificai coloana corespunztoare: implementat, parial implementat, neimplementat 3. Introducei data planificat pentru implementare n Raportul de audit intern i data implementrii
Structura auditat: Departamentul Tehnologia Informaiei Data: 28.10.2009 Semntura conductorului . Auditori: Popescu Sorin/ Radu George Data i semntura
Auditori interni, Popescu Sorin

Radu George
Not: Aceast etap a misiunii de audit presupune asigurarea c recomandrile din raportul de audit intern sunt implementate ntocmai la termenele stabilite i n mod eficace, iar conducerea a evaluat riscul de neaplicare a acestor recomandri. Structura de audit intern va evalua eficacitatea i oportunitatea aciunilor stabilite i ntreprinse n vederea implementrii recomandrilor, respectarea termenelor i va determina progresele nregistrate de structura auditat i modul de mbuntire a activitilor stabilind valoarea nou creat de auditul intern. Responsabilul entitii auditate asigur monitorizarea implementrii planului de aciune i l informeaz periodic pe auditor. Responsabilul din cadrul structurii de audit intern cu urmrirea recomandrilor trebuie s implementeze i s actualizeze un proces de urmrire a implementrii recomandrilor care s permit supravegherea i s garanteze c msurile au fost efectiv implementate de ctre management
286
Procedura P18: Entitatea public Serviciul audit intern
URMRIREA RECOMANDRILOR
PLANUL DE ACIUNE I CALENDARUL IMPLEMENTRII RECOMANDRILOR Responsabil cu implementar ea
Nr. crt. 1.
Recomandarea
Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora.
Plan de aciune
Identificarea atribuiilor Comisiei de planificare strategic Revizuirea atribuiilor i includerea de atribuii i cu privire la monitorizarea implementrii proiectelor informatice, precum i cu privire la raportarea stadiilor de realizare. Cuprinderea acestor atribuii n cadrul procedurilor de lucru. Stabilirea temei de curs Elaborarea cursului Stabilirea grupului int Organizarea i desfurarea cursului Revizuirea strategiei Actualizarea strategiei Revizuirea procedurilor de lucru privind fundamentarea i elaborarea strategiei IT
Calendar implementa re
31.12.2009
eful IT
Depart.
2.
3.
Pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor strategice ale organizaiei. mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei. Evaluarea performanelor actuale ale sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie. Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.
31.03.2010
eful IT
Depart.
Realizarea analizei diagnostic la nivelul entitii Identificarea punctelor forte Identificarea punctelor slabe Identificarea oportunitilor Identificarea ameninrilor Identificarea factorilor de influen interni i externi n realizarea strategiei Redefinirea obiectivelor strategice Urmrirea ca obiectivele strategice s fie realiste, mobilizatoare, stimulative i s fie nelese de salariaii care particip la implementarea lor. Identificarea i aprobarea resurselor necesare realizrii obiectivelor strategice. Responsabilizarea managementului cu privire la urmrirea i coordonarea activitilor n vederea
31.12.2009
eful IT
Depart.
287
4.
Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul compartimentelor. Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite.
5.
Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.
6.
7.
Contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor. Realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei
realizrii obiectivelor strategice Identificarea temelor de curs necesare pentru ca personalul din cadrul departamentului IT s deprind cunotinele necesare realizrii sarcinilor stabilite posturilor. Organizarea i cuprinderea n cadrul seminarilor a ntregului personal din cadrul departamentului IT n funcie de nevoile identificate Asigurarea c temele de curs cuprind n mod adecvat metodologia domeniului de activitate Analiza comparativ a atribuiilor stabilite posturilor i a celor necesare realizrii obiectivelor i urmrirea dac acestea sunt suficiente sau este necesar completarea lor. Redefinirea atribuiilor acolo unde este necesar. Urmrirea repartizrii n mod omogen a atribuiilor n cadrul posturilor Pregtirea i instruirea personalului n vederea dezvoltrii competenelor necesare astfel nct s contribuie la dezvoltarea entitii. Reevaluarea resurselor i urmrirea ca acestea s fie suficiente pentru implementarea planurilor de activitate. Monitorizarea resurselor astfel nct s se asigure ncadrarea n limitele stabilite Compararea atribuiilor stabilite n fiele posturilor cu activitile i responsabilitile definite n cadrul procedurilor i urmrirea ca acestea s asigure aria necesar realizrii lor. Inventarierea stadiului implementrii programelor i aplicailor IT, analiza nerealizrilor conform programelor i stabilirea de msuri necesare a fi cuprinse n cadrul strategiei. Organizarea de grupuri de lucru n vederea contientizrii managementului cu privire la definirea i stabilirea atribuiilor
31.12.2009
eful IT
Depart.
31.12.2009
eful IT
Depart.
31.12.2009
eful Depart.IT
Evaluarea sarcinilor i responsabilitilor stabilite posturilor Urmrirea dac sarcinile i responsabilitile stabilite postului
31.03.2010
eful IT
Depart.
288
8.
managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate. La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete. Analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate activitile desfurate. Desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT. Elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil. Stabilirea controalelor interne aferente riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn, detecteze i s corecteze n mod eficient denaturrile semnificative. Analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel.
9.
10.
individualizeaz n mod adecvat postul respectiv. Numirea comisiei cu atribuii de evaluare a activitilor stabilite fiecrui compartimente Examinarea dac atribuiile stabilite comisiei sunt suficiente i adecvate pentru a evalua dac posturile existente contribuie n mod adecvat la realizarea obiectivelor Examinarea ROF-ului entitii i urmrirea dac atribuiile menionate pentru departamentul IT asigur aria de competen necesar realizrii activitilor desfurate n cadrul acestuia. Stabilirea unei proceduri de lucru cu privire la selecia i recrutarea personalului n cadrul departamentului IT. Examinarea dac persoanele selectate n posturile de conducere dein abiliti i aptitudini manageriale i dac specialitatea studiilor corespunde necesitilor postului. Responsabilizarea persoanelor cu privire la gestiunea riscurilor Identificarea riscurilor n cadrul departamentului Evaluarea i analiza riscurilor Tratarea riscurilor Controlul riscurilor
31.12.2009
eful IT
Depart.
31.03.2010
eful IT
Depart.
31.03.2010
eful IT
Depart.
11.
12.
13.
Identificarea i definirea corect n cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
Identificarea tuturor riscurilor inerente n cadrul departamentului Stabilirea instrumentelor de control necesare limitrii riscurilor Implementarea instrumentelor de control Urmrirea eficienei i funcionalitii instrumentelor de control i dac acestea au limitat riscul i-l menin n limite acceptabile. Reevaluarea sarcinilor stabilite fiecrui post din cadrul departamentului Redefinirea acestora pe posturi n funcie de caracteristicile i cerinele acestora Stabilirea de sarcini fiecrui post n funcie de nivelul postului i natura acestuia Revizuirea atribuiilor din cadrul ROF-ului i redefinirea n mod adecvat a acestora Revizuirea relaiilor funcionale n cadrul i n afara departamentului i redefinirea adecvat a acestora
31.12.2009
eful IT
Depart.
31.12.2009
eful IT
Depart.
31.12.2009
eful IT
Depart.
289
14.
Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri. Protejarea mediile sau locaiile de stocare mpotriva deteriorrii sau accesului neautorizat. Realizarea corect i la intervale de timp stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens, a procedurilor de mentenan a echipamentelor. Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate. Elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile efectuate asupra operaiilor informatice. Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei.
15.
16.
Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget.
17.
Identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect, urmrirea controalelor interne care exist
Conceperea i implementarea unei aplicaii care va monitoriza alocarea resurselor financiare pentru fiecare activitate desfurat i care va genera rapoarte cu privire la utilizarea acestora. Analiza comparativ a resurselor consumate pentru realizarea activitilor, n raport cu cele aprobate Examinarea locaiilor de stocare a informaiilor i urmrirea dac exist condiii adecvate de stocare. Crearea de aplicaii care s prentmpine accesul neautorizat la programe i aplicaii. Realizarea procedurilor de mentenan la intervalele de timp planificate Numirea comisiei cu atribuii n raportarea operativ a problemelor tehnice Stabilirea atribuiilor comisiei numite. Conceperea i implementarea unei aplicaii care s monitorizeze operaiile efectuate n cadrul programelor i aplicaiilor derulate n cadrul entitii. Numirea unui responsabil cu examinarea staiilor de lucru virusate. Examinarea fiecrei staii de lucru i devirusarea acestora Configurarea programelor antivirus pe fiecare staie de lucru pe baz de licen. Stabilirea rspunderilor n sarcina utilizatorilor n cazul n care programele antivirus sunt dezactivate, iar aplicaiile sau informaiile coninute de acestea sufer denaturri. Identificarea tuturor aplicaiilor i programelor din cadrul entitii ncepute i neimplementate. Identificarea resurselor financiare pentru implementarea lor i aprobarea acestora. Stabilirea de grafice de implementare i urmrirea implementrii acestora. Examinarea noilor programe i aplicaii de achiziionat. Achiziionarea acestora numai dac sunt compatibile cu cele existente i contribuie la integrarea informaiilor Identificarea riscurilor aferente subsistemelor IT Evaluarea instrumentelor de control existente i urmrirea dac acestea asigur un nivel acceptat al
31.03.2010
eful IT
Depart.
31.12.2009
eful IT
Depart.
31.-03.2010
eful IT
Depart.
31.12.2009
eful IT
Depart.
290
18.
i funcioneaz, identificarea i implementarea de instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la riscuri; Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii organizaiei. Introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie supravegheat in totalitate.
riscurilor Stabilirea instrumentelor de control de implementat astfel nct s asigure funcionalitatea acestora Revizuirea procedurilor de lucru Elaborarea unei proceduri de lucru cu privire la tratarea securitii reelelor. Securizarea tuturor aplicaiilor i programelor cu privire la accesul la acestea, inclusiv la informaiile coninute. Elaborarea unei proceduri de lucru cu privire la tratarea vulnerabilitilor. Responsabilizarea unei persoane cu privire la tratarea vulnerabilitilor. Analiza periodic a vulnerabilitilor i elaborarea de rapoarte Informarea conducerii cu privire la vulnerabilitile identificate i propunerea de soluii de remediere Examinarea tuturor echipamentelor i aplicaiilor Identificarea celor care nu prezint un sistem adecvat de accesare Stabilirea unui sistem de parole n vederea limitrii accesului Stabilirea accesului la informaii pe nivele de autorizare, n funcie de nivelul i cerinele posturilor. Responsabilizarea unei persoane care s urmreasc schimbarea periodic a parolelor. Urmrirea schimbrii periodice a parolelor. Revizuirea bazelor de date constituite Organizarea informaiilor n cadrul acestora n mod adecvat, respectiv: - definirea datelor coninute; - structurarea datelor n funcie de importan; - ordonarea i gruparea datelor - stabilirea legturilor ntre date i informaii; - stabilirea nivelurilor de acces la date i informaii - organizarea sistemului de securitate, protecie i acces la datele i informaiile stocate. Identificarea staiilor de lucru Examinarea aplicaiilor i programelor utilizate de fiecare staie de lucru i stabilirea celor care sunt utilizate fr a exista licene. Dezinstalarea tuturor programelor
31.03.2010
eful IT
Depart.
19
31.12.2009
eful IT
Depart.
20
31.12.2009
eful IT
Depart.
21
22
Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului informatic, precum i stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a schimbrii periodice a parolelor de acces. Organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul. Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize complexe n urma creia
31.12.2009
eful IT
Depart.
31.03.2010
eful IT
Depart.
23
31.12.2009
eful IT
Depart.
291
managementul entitii publice s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.
24
Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;
utilizate fr licene. Instalarea de programe i aplicaii adecvate pentru care exist licene. Analiza eficienei i eficacitii aplicaiilor utilizate i a oportunitii schimbrii acestora cu unele cu caliti i performane ridicate. Realizarea procesului de reenginering la nivelul departamentului IT i asigurarea c salariaii pot accesa subsistemele IT utiliznd un singur nume i o singur parol de acces.
31.03.2010
eful IT
Depart.
292
PROGRAMUL DE ASIGURARE I MBUNTIRE A CALITII eful structurii de audit intern trebuie s elaboreze un Program de asigurare i mbuntire a calitii activitii de audit, adic respectarea normelor metodologice, a Codului privind conduita etica a auditorului intern, a Standardelor i a bunei practici internaionale de ctre toi auditorii interni. Prin Programul de asigurare i mbuntire a calitii se realizeaz o evaluare prin adoptarea unui proces permanent de supraveghere a eficacitii globale a programului de calitate. Evaluarea const n supervizarea realizrii misiunii de audit intern, prin efectuarea de controale permanente de ctre eful structurii de audit intern, prin care acesta examineaz eficacitatea normelor de audit intern i dac procedurile de asigurare a calitii misiunii de audit sunt aplicate n mod corespunztor garantnd calitatea Raportului de audit intern. Supervizarea va permite depistarea deficienelor n anumite etape din derularea misiunii i va permite iniierea de activiti de mbuntire a viitoarelor misiuni de audit intern i asigurarea perfecionrii profesionale a auditorilor. Evaluarea se realizeaz dup fiecare misiune de audit intern. Este formalizat prin ntocmirea Fiei de evaluare a misiunii de audit intern.
EVALUAREA INTERN Procedura P19:

PROGRAMUL DE ASIGURARE A CALITII
FIA DE EVALUARE A MISIUNII DE AUDIT INTERN Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel Bugetul de timp efectiv: 264 ore n etapa de pregtire a misiunii, auditorul a identificat riscurile i controalele prevzute pentru procesele legate de obiectivele de audit i a estimat corespunztor riscurile activitii Programele de audit au fost elaborate n vederea ndeplinirii obiectivelor misiunii n cadrul bugetului de timp alocat Obiectivul auditului, scopul, procedurile i bugetul au fost reanalizate n mod constant pentru a asigura o eficient folosire a resurselor de audit A existat o bun comunicare ntre auditor i auditat i ntre
Data: 28.09.2009 Data: 28.09.2009 Bugetul de timp planificat: 260 1 2 3 4 5 Observaii

X
A fost necesar s se lucreze peste orele de program
X X X
293
Bugetul de timp efectiv: 264 ore auditor i conducerea structurii de audit intern; A existat o bun comunicare ntre auditor i conducerea structurii de audit intern Au fost luate n considerare perspectivele i nevoile audiailor n procesul de audit Au fost atinse obiectivele de audit ntr-o manier eficient i la timp Auditaii au avut posibilitatea s revad constatrile i recomandrile cnd au fost identificate problemele Normele de audit intern, au fost respectate Constatrile de audit demonstreaz analize profunde i concluzii, respectiv sunt formulate recomandri practice pentru probleme identificate Comunicrile scrise au fost clare, concise, obiective i corecte Exist probe de audit care s susin concluziile auditorului Procedurile de audit utilizate au avut ca rezultat dovezi suficiente, competente, relevante i folositoare Documentele au fost completate n mod corespunztor i n conformitate cu normele de audit intern Bugetul de timp a fost respectat Nivel de productivitate personal al auditorului intern.
Bugetul de timp planificat: 260 1 2 3 4 5 Observaii

EVALUAREA EXTERN
Evaluarea misiunii de audit intern mai poate fi realizat i de conducerea structurii auditate creia i se nainteaz un chestionar de evaluare prin care i se solicit s prezinte o apreciere asupra desfurrii misiunii de audit i a modului de implicare al auditorilor interni pe parcursul misiunii. Evaluarea misiunii de audit intern de ctre structura auditat este formalizat prin Fia de evaluare a misiunii de audit intern ntocmit de ctre structura auditat.
294
Procedura P19:
PROGRAMUL DE ASIGURARE A CALITII
Entitatea public Serviciul Audit Intern FIA DE EVALUARE A MISIUNII DE AUDIT INTERN DE CTRE STRUCTURA AUDITAT Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2008 30.06.2009 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel Nr. crt. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Obiectiv auditat
Data: 28.09.2009 Data: 28.09.2009 Note 1 2 3 4 X 5 Obs.
Obiectivele de audit au fost comunicate clar la nceputul misiunii Au fost furnizate suficiente informaii privind X misiunea de efectuat Misiunea a contribuit la obinerea de rezultate sau la X mbuntirea unora deja existente Misiunea a beneficiat de direcii clare i precise X privind modul de desfurare Obiectivele de audit stabilite au fost n concordanta X cu activitile desfurate Constatrile au fost prezentate ntr-o maniera logic, X structurat, dinamic i interesant S-a rspuns n toate cazurile la ntrebrile legate de X misiunea de audit, iar rspunsurile au condus la obinerea de concluzii relevante Misiunea a fost desfurat adecvat, intervenia la X fata locului a privit doar obiectivele stabilite i comunicate A existat un feed-back pe tot parcursul misiunii, iar acesta a fost util n gsirea de soluii la probleme X Cum evaluai n general misiunea de audit X Considerai ca obiectivele de audit stabilite au privit X activitile cu riscuri majore In desfurarea misiunii de audit au fost prezentate X constatrile i recomandrile cnd au fost identificate probleme A existat o buna comunicare intre auditor i auditat X Auditorii au avut un comportament adecvat i X profesional Ce v-a plcut cel mai mult pe timpul misiunii de audit descriei cel puin 3 aspecte care vau plcut cel mai mult claritatea recomandrilor conduita auditorilor interni calitatea discuiilor
295
16. 17. 18. 19.
Ce v-a plcut cel mai puin pe timpul misiunii de audit descriei cel puin 3 aspecte care vau plcut cel mai puin ntlnirile pe parcursul misiunii au fost limitate, nu ntotdeauna din vina auditatului. Ce obiective de audit considerai c nu au fost atinse n totalitate din cele comunicate Nu sunt comentarii. Ce obiective de audit considerai c ar fi necesar a fi cuprinse n programul viitor de audit Calitatea procedurilor privind achiziiile publice elaborate n urma recomandrilor. Alte comentarii
Tabelele de mai sus vor fi completate innd cont de urmtorul sistem de punctaj: 1 pentru nesatisfctor; 2 pentru slab; 3 pentru satisfctor; 4 pentru bine; 5 pentru foarte bine. Not: n practic se va urmri ca pentru orice notare sub 3 s se solicite explicaii scrise. Evaluarea extern a funcionalitii activitii de audit intern se realizeaz i de U.C.A.A.P.I. i organul ierarhic superior pentru structurile din subordine prin verificarea respectrii normelor metodologice generale i specifice, a Standardelor de audit intern, a bunei practici recunoscute n domeniu i a Codului etic al profesiei. Activitatea de evaluare extern a activitii de audit intern, n Romnia, conform cadrului normativ general, se realizeaz o dat la 5 ani, ocazie cu care, n funcie de necesiti, se iniiaz msuri corective n colaborare cu conductorul entitii evaluate n cauz. Documentele de evaluare intern i extern se arhiveaz n Dosarul permanent, Seciunea Supervizarea.
n sperana c prezentul ghid practic va constitui pentru cei interesai un suport pentru realizarea misiunilor de audit intern la un nivel corespunztor bunei practici recunoscut n domeniu, ateptm aprecierile i eventual sugestiile dumneavoastr, de care vom ncerca s inem cont cu ocazia elaborrii viitoarelor lucrri.
296

Ghid IT Ed II

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ghid IT Ed II

Uploaded by

Copyright:

Available Formats

MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN

GHID PRACTIC MISIUNEA DE AUDIT INTERN ACTIVITATEA IT

PROCEDURA P01 ENTITATEA PUBLIC Serviciul Audit Intern Nr. 11/12.08.2009

ef Serviciu Audit Intern, Dumitru Daniel

Procedura - P02: ENTITATEA PUBLIC Serviciul Audit Intern

Auditor, Popescu Sorin

ef serviciu Dumitru Daniel

Auditor, Radu George

ef serviciu Dumitru Daniel

NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Departamentul Tehnologia Informaiei eful Serviciului Audit Intern

ef Serviciu Audit Intern, Dumitru Daniel Data: 15.08.2009

COLECTAREA I PRELUCRAREA INFORMAIILOR

ENTITATEA PUBLIC Serviciul Audit Public Intern

Data: 02.09.2009 Data: 02.09.2009

Nu exist stabilit un circuit al documentelor.

Data: 02.09.2009 Data: 02.09.2009 A U BSERVAII

Sunt meninute anual la acelai nivel.

ns acestea au un grad de ocupare de 85%. Motivarea se face financiar

zilnic? 23 Structura organizatoric rspunde necesitilor activitilor derulate?

tatul de funcii corespunde posturilor existente? Exist un sistem de promovare al salariailor?

Datele sunt preluate din registrele de eviden i dosarele de instan

Exist dou conducere

Programul este realizat pe baza solicitrilor formulate de salariai

Auditori interni, Popescu Sorin Radu George

Entitatea Public Serviciul de Audit Intern

LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Data: 04.09.2009 Data: 04.09.2009

Organizarea i funcionarea departamentului IT

2.2. Stabilirea organizatorice

2.3. responsabilitilor 3. Operaii sistemului informatic ale 3.1 operaiunilor

3.3. Funcionalitatea activitilor n cadrul departamentului IT

3.5. Utilizarea echipamentelor

4.1. Organizarea informaiilor

4.2. Disponibilitatea datelor

4.3. Asigurarea funcionrii programelor i aplicaiilor

4.4. Implementarea instrumentelor de control

4.5. Securitatea reelei

4.6. Gestionarea parolelor

4.7. Securitatea logic

Proiectarea testarea programelor aplicaiilor

5.1. Proiectarea i elaborarea programelor i aplicaiilor

5.2. Testarea i implementarea programelor i aplicaiilor

Elaborarea implementarea proiectelor IT

6.1. Dezvoltarea proiectelor IT (programe i aplicaii)

Proiectarea i meninerea n funciune a unei reele

7.1. Proiectarea, instalarea i administrarea reelei de calculatoare

7.2. Interconectarea securitatea reelei

Auditori, Popescu Sorin Radu George

Procedura PO5 : Entitatea Public Serviciul de Audit Intern

Data: 04.09.2009 Data: 04.09.2009 Riscuri semnificative

Organizarea i funcionarea departamentului IT

2.2. Stabilirea structurii organizatorice

2.3. Stabilirea responsabilitilor

3.1.1. Existena listei operaiunilor zilnice de realizat

3.2. Managementul problemelor

3.3. Funcionalitatea activitilor n cadrul departamentului IT

3.4. Mentenana echipamentelor

3.5. Utilizarea echipamentelor

4.1. Organizarea securitii informaiilor

4.2. Disponibilitatea datelor

4.3. Asigurarea funcionrii programelor i aplicaiilor