Audit Intern IT

- 17 -

Procedura P01: Iniierea auditului

ALPHA BANK

Serviciul Audit Intern

Nr. 25 din 08.01.2010

ORDIN DE SERVICIU

In conformitate cu prevederile Legii nr. 672/2002 privind auditul public intern,

a O.M.F.P. nr. 38/2003 de aprobare a normelor metodologice generale privind

exercitarea activitii de audit intern, a Ordinului managerului general nr. 1024/2003 prin care s-au aprobat Normele proprii de exercitare a auditului intern n cadrul

entitii i a Planului de audit intern pentru anul 2010, se va efectua misiunea de audit intern la Alpha Bank n perioada 25.01.2010 17.04.2010.

Scopul misiunii de audit este de a da asigurri asupra securitatii IT de la nivelul entitii i a conformitii cu cadrul legislativ i normativ aplicabil, fiind structurate pe urmtoarele domenii auditabile:

Securitatea IT.

Menionm c se va efectua un audit de conformitate al modului de organizare a activitii de tehnologia informaiei din ALPHA BANK.

Echipa de auditori interni este format din urmtorii:

1. Ionescu Daniel ;

2. Barbu Mihai.

Coordonator Compartimentul de Audit Intern,

Grecu George

- 18 -

Procedura - P02: Iniierea auditului

ALPHA BANK


DECLARAIA DE INDEPENDEN

Nume i prenume: Ionescu Daniel Misiunea de audit: Securitatea Tehnologiei Informatiei Data: 10.01.2010

Incompatibiliti n legtur cu entitatea/structura auditat

Da Nu

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel?

- X

Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit?

- X

Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat?

- X

Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European?

- X

Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat?

- X

Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv?

- X

Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?

- X

Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat?

- X

Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X

Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat?

- X

Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai coordonatorul Compartimentului Audit Public Intern de urgen?

X -

Auditor, Coordonatorul Compartimentului Audit Intern,

Ionescu Daniel Grecu George

1 Incompatibiliti personale: Nu. 2. Pot fi eliminate incompatibilitile: Nu este cazul. Dac da, explicai cum anume: Nu este cazul. Data: 10.01.2010

Semntura: Grecu George

- 19 -

Procedura - P02: Iniierea auditului

ALPHA BANK


DECLARAIA DE INDEPENDEN

Nume i prenume: Barbu Mihai Misiunea de audit: Securitatea Tehnologiei Informatiei Data: 10.01.2010

Incompatibiliti n legtur cu entitatea/structura auditat

Da Nu

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel?

- X

Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit?

- X

Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat?

- X

Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European?

- X

Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat?

- X

Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv?

- X

Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?

- X

Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat?

- X

Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X

Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat?

- X

Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai coordonatorul Compartimentului Audit Public Intern de urgen?

X -

Auditor, Coordonatorul Compartimentului Audit Intern,

Mihai Barbu Grecu George

1. Incompatibiliti personale: Nu. 2. Pot fi eliminate incompatibilitile: Nu este cazul. Dac da, explicai cum anume: Nu este cazul.

Data: 10.01.2010 Semntura: Barbu Mihai

- 20 -

Procedura P03: Iniierea Auditului

ALPHA BANK


Nr. 29 din 10.01.2010

NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Ctre: ALPHA BANK De la: ef Serviciu Audit Intern

Referitor la misiunea de audit intern Securitatea tehnologiei informaiei din

ALPHA BANK

Stimate domnule Popescu tefan,

n conformitate cu Planul de audit intern pe anul 2010, urmeaz ca n perioada 25.01.2010 17.04.2010 s efectum o misiune de audit intern cu tema securitatea Tehnologiei informaiei. V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea discutrii diverselor aspecte ale misiunii de audit, cuprinznd:

- prezentarea auditorilor; - prezentarea principalelor obiective ale misiunii de audit intern; - programul interveniei la faa locului; - scopul misiunii de audit intern; - alte aspecte.

Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie urmtoarea documentaie necesar privind activitatea de tehnologie a informaiei: legile i reglementrile ce se aplica activitilor dumneavoastr, organigrama direciei dumneavoastr, Regulamentul de organizare i funcionare, fiele posturilor, procedurile scrise care descriu sarcinile ce trebuie realizate pe linia organizrii activitii, un exemplar al rapoartelor de activitate, notelor, misiunilor de audit anterioare care se refer la aceasta tem.

Dac avei unele ntrebri privind desfurarea misiunii, v rugm s-l contactai pe domnul Ionescu Daniel - auditor, coordonatorul misiunii sau pe eful structurii de audit intern.

Cu stim,

Data: 10.01.2010

Coordonatorul Compartimentului Audit Intern

Grecu George

- 21 -

Procedura P04: Colectarea i prelucrarea informaiilor

ALPHA BANK


COLECTAREA INFORMAIILOR

Misiunea de audit: Securitatea Tehnologiei Informaiei Perioada auditat: 01.01- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 10.01.2010

Avizat: Grecu George Data: 10.01.2010

COLECTAREA INFORMAIILOR

DIRECIA TEHNOLOGIA INFORMAIEI

DA NU Observaii

Identificarea legilor i regulamentelor aplicabile structurii auditate

X -

Obinerea organigramei X -

Obinerea Regulamentului de organizare i funcionare

X -

Obinerea fielor posturilor X -

Obinerea procedurilor scrise - X Exist doar parial

Identificarea personalului responsabil X -

Obinerea exemplarului de Raport de audit intern anterior

- X

Anterior nu au fost realizate

misiuni de audit intern

asupra tehnologiei

informaiei la nivelul entitii

- 25 -

Procedura P05 : Analiza riscurilor ALPHA BANK


LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009

ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010

Avizat: Grecu George

Data: 20.01.2010

Nr.

crt.

DOMENIUL OBIECTE AUDITABILE OBS.

I. Securitatea IT 1. Politica de securitate IT

2. Monitorizarea implementrii politicii de securitate IT

3. Evaluarea controalelor fizice n domeniul IT

4. Sigurana accesului la reea i a comunicrii datelor n reea

5. Programe antivirus

6. Recuperarea datelor n caz de dezastru

7. Sistemul de arhivare

Nota:

Lista centralizatoare a obiectelor auditabile reprezint primul document care se elaboreaz n cadrul procedurii Analiza riscurilor i cuprinde, pentru acest studiu de caz, 7 de obiecte auditabile

care vor fi analizate pe parcursul derulrii misiunii de audit intern.

- 26 -

Procedura - P05 : Analiza riscurilor

ALPHA BANK


IDENTIFICAREA RISCURILOR

Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009

ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010

Avizat: Grecu George

Data: 20.01.2010

Nr.

crt

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.

I. Securitatea IT 1. Politica de securitate IT 1. Inexistena politicii de securitate

2. Neaplicarea politicii de securitatea n mod consecvent


3. Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT

4. Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare

5. Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic

3. Evaluarea controalelor

fizice n domeniul IT

6. Lipsa procedurilor privind implementarea controalelor


7. Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice

8. Lipsa unor proceduri pentru realizarea controalelor fizice

9. Neefectuarea controalelor fizice conform procedurilor


10. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea

11. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea

12. Neefectuarea monitorizrii sistematice

13. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor

5. Programe antivirus 14. Lipsa procedurilor privind implementarea programelor

antivirus

15. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus


17. Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor

6. Recuperarea datelor n caz

de dezastru

18. Lipsa procedurilor privind recuperarea datelor n caz de

dezastru

19. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru


21. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor

- 27 -

Nr.

crt

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.

7. Sistemul de arhivare 22. Lipsa procedurilor privind arhivarea datelor

23. Nedesemnarea responsabilitii pentru arhivarea datelor

24. Neefectuarea evalurii periodice a activitii de arhivare

Nota:

Identificarea riscurilor este al doilea document care se elaboreaz n cadrul procedurii Analiza riscurilor i presupune asocierea riscurilor semnificative la operaiilor stabilite n Lista centralizatoare a obiectelor auditabile. De regul, se asociaz unul sau mai multe riscuri posibile, determinate de auditorii interni pe

baza informaiilor colectate dar si din riscurile practice reieite din propria experien. n situaia n care la operaiile auditabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte sau pe total operaie/obiect auditabil. n acest caz, au fost identificate 7 obiecte auditabile, prezentate n Lista centralizatoare a obiectelor auditabile, crora le-au fost ataate 24 riscuri, aa cum rezult din documentul Identificarea riscurilor.

- 28 -

ALPHA BANK


STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORA

I APRECIEREA NIVELURILOR RISCURILOR

Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010

Avizat: Ionescu Mircea Data: 20.01.2010

Factori de risc

(Fi)

Ponderea

factorilor de risc

(Pi)

Nivelul de apreciere al riscului (Ni)

N 1

N 2

N 3

Aprecierea

controlului

intern F1

P1 50% Exist proceduri

i se aplic

Exist proceduri, sunt

cunoscute, dar

nu se aplic

Nu exist proceduri

Aprecierea

cantitativ F2

P2 30%

Impact

financiar

sczut

Impact financiar

mediu

Impact financiar

ridicat

Aprecierea

calitativ F3

P3 20% Vulnerabilitate

mic Vulnerabilitate

medie

Vulnerabilitate

mare

Not: Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc, ponderile i nivelurile de apreciere ale riscurilor.

Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns dac se dorete evidenierea i altor factori de risc, cu nivelurile de apreciere corespunztoare, trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100.

Procedura - P05: Analiza riscurilor

- 29 -

- 25 -


ALPHA BANK


STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCULUI

Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009 01.01.2010

ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010 Avizat: Grecu George Data: 20.01.2010

Nr.

crt.

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor

Punctaj

total

Aprecierea

controlului

intern (F1)

Aprecierea

cantitativ (F2)

Aprecierea

calitativ (F3)

P1

50%

N1 P2

30%

N2 P3

20%

N3

I. Securitatea IT 1. Politica de securitate IT Inexistena politicii de securitate 0,5 2 0,3 3 0,2 2 2,3

Neaplicarea politicii de securitatea n mod

consecvent

0,5 2 0,3 2 0,2 3 2,2


Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT

0,5 3 0,3 3 0,2 2 2,5

Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare

0,5 2 0,3 2 0,2 2 2,0

Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic

0,5 2 0,3 1 0,2 3 1,9

3. Evaluarea controalelor fizice

n domeniul IT

Lipsa procedurilor privind implementarea

controalelor fizice n domeniul IT

0,5 2 0,3 2 0,2 2 2,0

Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice

0,5 3 0,3 2 0,2 2 2,5

Lipsa unor proceduri pentru realizarea

controalelor fizice

0,5 2 0,3 3 0,2 3 2,5

- 26 -

Nr.

crt.


Punctaj

total

Aprecierea

controlului

intern (F1)

Aprecierea

cantitativ (F2)

Aprecierea

calitativ (F3)

P1

50%

N1 P2

30%

N2 P3

20%

N3

Neefectuarea controalelor fizice conform

procedurilor

0,5 3 0,3 3 0,2 1 2,6


Lipsa procedurilor privind sigurana accesului utilizatorilor n reea

0,5 2 0,3 2 0,2 1 1,8

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea

0,5 2 0,3 2 0,2 2 2,0

Neefectuarea monitorizrii sistematice 0,5 3 0,3 1 0,2 3 2,4

Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor

0,5 2 0,3 3 0,2 2 2,3

5. Programe antivirus Lipsa procedurilor privind implementarea

programelor antivirus

0,5 3 0,3 2 0,2 3 2,7

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor

antivirus

0,5 2 0,3 2 0,2 2 2,0


Neluarea msurilor necesare privind implementarea programelor antivirus

conform procedurilor

0,5 2 0,3 3 0,2 3 2,5

6. Recuperarea datelor n caz de

dezastru

Lipsa procedurilor privind recuperarea

datelor n caz de dezastru

0,5 2 0,3 2 0,2 2 2,0

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de

dezastru

0,5 2 0,3 3 0,2 1 2,1


- 27 -

Nr.

crt.


Punctaj

total

Aprecierea

controlului

intern (F1)

Aprecierea

cantitativ (F2)

Aprecierea

calitativ (F3)

P1

50%

N1 P2

30%

N2 P3

20%

N3

Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru

conform procedurilor

0,5 3 0,3 2 0,2 1 2,3

7. Sistemul de arhivare Lipsa procedurilor privind arhivarea

datelor

0,5 1 0,3 2 0,2 2 1,5

Nedesemnarea responsabilitii pentru arhivarea datelor

0,5 1 0,3 2 0,2 3 1,7

Neefectuarea evalurii periodice a activitii de arhivare

0,5 1 0,3 1 0,2 3 1,4

NOTA:

Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor riscurilor asociate operaiilor auditabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv:

n

T= Pi x Ni i = 1

Unde:

T = punctaj total;

Pi = ponderea riscului pentru fiecare criteriu;

Ni = nivelul riscurilor pentru fiecare criteriu utilizat;

Evaluarea riscurilor asociate operaiilor auditabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele primite de la entitate i din rapoarte anterioare, dar i din expertiza personal n domeniu i este o evaluare cu un oarecare grad de subiectivitate.

- 28 -


ALPHA BANK

Compartimentul Audit Intern

CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCULUI



Nr.

crt.

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ TOTAL

CLASARE OBS.

IV.

Securitatea IT

1. Politica de securitate IT 1. Inexistena politicii de securitate 2,3 Mare

2. Neaplicarea politicii de securitatea n mod consecvent 2,2 Mediu

2. Monitorizarea

implementrii politicii de securitate IT

3. Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT

2,5 Mare

4. Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare

2,0 Mediu

5. Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic

1,9 Mediu

3. Evaluarea controalelor


6. Lipsa procedurilor privind implementarea controalelor


2,0 Mediu

7. Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice

2,5 Mare

8. Lipsa unor proceduri pentru realizarea controalelor fizice 2,5 Mare

9. Neefectuarea controalelor fizice conform procedurilor 2,6 Mare


10. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea

1,8 Mediu

11. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea

2,0 Mediu

12. Neefectuarea monitorizrii sistematice 2,4 Mare

13. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor

2,3 Mare

- 29 -

Nr.

crt.

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ TOTAL

CLASARE OBS.

5. Programe antivirus 14. Lipsa procedurilor privind implementarea programelor

antivirus

2,7 Mare

15. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus

2,0 Mediu

16. Neefectuarea monitorizrii sistematice 1,8 Mediu

17. Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor

2,5 Mare

6. Recuperarea datelor n caz

de dezastru

18. Lipsa procedurilor privind recuperarea datelor n caz de

dezastru

2,0 Mediu

19. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru

2,1 Mediu

20. Neefectuarea monitorizrii sistematice 2,2 Mediu

21. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor

2,3 Mare

7. Sistemul de arhivare 22. Lipsa procedurilor privind arhivarea datelor 1,5 Mic Nu

23. Nedesemnarea responsabilitii pentru arhivarea datelor 1,7 Mic Nu

24. Neefectuarea evalurii periodice a activitii de arhivare 1,4 Mic Nu

Nota: Pentru continuarea analizei, auditorii interni au mprit cele 24 de riscuri structurate pe cele 7 de obiecte auditabile, din documentul Stabilirea

nivelului riscului i a punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel: Riscuri mici 1,0 - 1,7

Riscuri medii 1,8 - 2,2

Riscuri mari 2,3 - 3,0

Pentru moment, riscurile mici vor fi ignorate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie cu care se va elabora documentul Tabelul puncte tari i puncte slabe.

- 30 -


ALPHA BANK


TABELUL PUNCTE TARI I PUNCTE SLABE



Nr.

crt.

Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinele funcionrii/

nefuncionrii controlului intern

Grad de

ncredere al

auditorului n

controlul

intern

OBS.


Inexistena politicii de securitate S Sczut

Neaplicarea politicii de securitatea n mod

consecvent

S Sczut

2. Monitorizarea

implementrii politicii de securitate IT

Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT

S Mediu

Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare

S Sczut

Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic

T Exist sistem de control intern

eficient

Ridicat NU

3. Evaluarea

controalelor fizice n

domeniul IT

Lipsa procedurilor privind implementarea

controalelor fizice n domeniul IT

S Sczut

Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice

T Exist sistem de control intern

eficient

Ridicat NU

Lipsa unor proceduri pentru realizarea

controalelor fizice

S Mediu

- 31 -

Nr.

crt.

Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinele funcionrii/

nefuncionrii controlului intern

Grad de

ncredere al

auditorului n

controlul

intern

OBS.

Neefectuarea controalelor fizice conform

procedurilor

S Sczut


Lipsa procedurilor privind sigurana accesului utilizatorilor n reea

S Sczut

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea

S Sczut

Neefectuarea monitorizrii sistematice T Exist sistem de control intern

eficient

Ridicat NU

Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor

S Mediu

5. Programe antivirus Lipsa procedurilor privind implementarea

programelor antivirus

S Sczut

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus

S Sczut

Neefectuarea monitorizrii sistematice S Sczut

Neluarea msurilor necesare privind implementarea programelor antivirus conform

procedurilor

S Mediu

6. Recuperarea datelor

n caz de dezastru

Lipsa procedurilor privind recuperarea datelor n

caz de dezastru

S Sczut

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru

S Sczut

Neefectuarea monitorizrii sistematice S Sczut

Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor

S Sczut

- 32 -

Nota:

n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin transferarea operaiilor auditabile cu riscuri semnificative (mari i medii) din documentul Clasarea operaiilor n funcie de analiza riscului care cuprinde un numr de 6 obiecte auditabile i 21 de riscuri asociate acestora.

Ierarhizarea obiectelor auditabile const n evaluarea funcionalitii sistemelor de control intern, care limiteaz efectele riscurilor i care dau posibilitatea auditorilor interni s aprecieze acele obiecte auditabile ca fiind puncte tari, celelalte riscuri pentru care nu exist activiti de control sau acestea sunt nefuncionale vor fi n continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 3 riscuri asociate obiectelor auditabile care au fost evaluate ca fiind puncte tari i vor fi eliminate, pentru moment, din auditare.

Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai operaiile considerate ca fiind puncte slabe , ocazie cu care vor fi renumerotate.

- 34 -


ALPHA BANK


TEMATICA IN DETALIU A OPERAIILOR AUDITABILE

Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010


Nr.

crt.

DOMENIUL OBIECTE AUDITABILE Nr. paragraf

din Raportul

de audit intern



3.Evaluarea controalelor fizice n domeniul IT

4.Sigurana accesului la reea i a comunicrii datelor n reea

5.Programe antivirus

6.Recuperarea datelor n caz de dezastru

Nota:

Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a

obiectelor auditabile, care a cuprins 6 de operaii/obiecte auditabile, i s-a finalizat cu Tematica n detaliu a misiunii de audit, n care au fost selectate numai 6 de obiecte auditabile.

n continuare, cele 6 de operaii/obiecte auditabile, vor fi avute n vedere n activitatea de auditare, deoarece reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza Programului interveniei la faa locului, care se vor materializa n F.I.A.P.-uri i F.C.R.I.-uri, acolo unde este cazul, i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a misiunii de audit.

Menionm,totui, c procedura Analiza riscurilor trebuie s rmn un document viu care n funcie de constatrile rezultate n Etapa de intervenie la faa locului s fie actualizat ori de cte ori se impune.

- 35 -

Procedura P06: Elaborarea programului de audit intern

ALPHA BANK


PROGRAMUL DE AUDIT INTERN Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 27.03.2010


ETAPELE

MISIUNII DOMENIUL ACTIVITI

DURATA

(H)

PERSOANELE

IMPLICATE

LOCUL

DESF.

Tema

general: Tehnologia Informatiei 376

1.

PREGTIREA MISIUNII

DE AUDIT

152

1. Intocmirea i procesarea Ordinului de serviciu 2 Ionescu Daniel SAI

2. Intocmirea si validarea Declaraiei de independen 2 Ionescu Daniel SAI

3. Pregtirea i transmiterea Notificrii privind declanarea misiunii de audit intern ctre prile interesate

2 Barbu Mihai SAI

4. Colectarea i prelucrarea informaiilor 30 Ionescu Daniel

SAI

AUDITAT

5. Elaborarea Chestionarului de control intern 16

Ionescu Daniel /

Barbu Mihai SAI

6. ntocmirea Listelor de verificare 40

Ionescu Daniel /

Barbu Mihai SAI

7. Analiza riscurilor 32 Ionescu Daniel SAI

8. ntocmirea Programului de audit intern 8 Ionescu Daniel SAI

9.Intocmirea Programului preliminar al interveniei la faa locului

4 Barbu Mihai SAI

10. Organizarea edinei de deschidere cu Direcia IT.

4 Barbu Mihai SAI

11. Redactarea Minutei edinei de deschidere. 4 Barbu Mihai SAI AUDITAT

- 36 -

ETAPELE

MISIUNII DOMENIUL ACTIVITI

DURATA

(H)

PERSOANELE

IMPLICATE

LOCUL

DESF.

12. Organizarea edinei de inchidere cu Direcia IT.

4 Barbu Mihai SAI

AUDITAT

13. Redactarea Minutei edinei de inchidere. 4 Barbu Mihai AUDITAT

II.INTERVEN

IA LA FAA LOCULUI

140

OBIECTIVUL1.

Securitatea IT

42

1.1. Efectuarea testrilor, detaliate Programul interveniei la faa locului

8 Ionescu Daniel

AUDITAT

1.2. Discutarea constatrilor cu eful de serviciu 2 Ionescu Daniel SAI

1.3. Elaborarea F.I.A.P. - urilor 8 Ionescu Daniel SAI

1.4. Colectarea dovezilor 16 Barbu Mihai AUDITAT

1.5. Revizuirea documentelor de lucru din punct de

vedere al coninutului i al formei i ntocmirea Notei centralizatoare a documentelor de lucru

8 Barbu Mihai AUDITAT

III. RAPORTUL DE AUDIT INTERN 80

14. Redactarea si revizuirea proiectului de Raport de

audit intern

40 Ionescu Daniel SAI

15. Transmiterea proiectului de Raport de audit intern la

auditat i solicitarea rspunsului asupra coninutului n 15 zile

4

Barbu Mihai SAI

16. Organizarea Reuniunii de conciliere, dac este cazul 8 Barbu Mihai AUDITAT

17. Includerea n Raportul de audit intern a aspectelor

sesizate de structura auditata si reinute de auditori, finalizarea si intocmirea sintezei raportului

16

Ionescu Daniel SAI

18. Obinerea avizarii Raportului de audit intern aprobat de conducerea instituiei

8 Barbu Mihai SAI

19. Transmiterea recomandrilor aprobate ctre auditat 4 Barbu Mihai AUDITAT

IV. URMRIREA RECOMANDRILOR 4

20. Intocmirea fisei de urmarire a recomandarilor 4 Ionescu Daniel SAI

Auditorii, Supervizorul, Ionescu Daniel Grecu George

Barbu Mihai

- 37 -

Procedura - P06: Elaborarea programului de audit intern

ALPHA BANK


PROGRAMUL INTERVENIEI LA FAA LOCULUI

Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 27.03.2010


Obiectivul I. Securitatea IT

Nr.

crt.

OBIECTE AUDITABILE TIPUL TESTRII Locul Durata (h)

Nr.

test

Nr. lista

verificare

Auditori

1.

Politica de securitate IT - Verificarea existena politicii de securitate IT

- Verificarea actualizarea politicii de securitate IT

DIT 6 LV 4 Barbu Mihai


- Analizarea ntocmirea i transmiterea sistematic a rapoartelor de monitorizare

DIT 6 LV 4 Ionescu Daniel

3. Evaluarea controalelor fizice n

domeniul IT

- Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate.

DIT 8 T

4.7. LV 4 Barbu Mihai


- Verificarea alocrii numelui de utilizator i parolei aferente pentru accesul la reea - Monitorizarea conectrii la reea conform listei de logg-are

DIT 8 T

4.8. LV 4 Barbu Mihai

- 38 -

5. Programe antivirus - Verificarea implementrii programelor anti-virus conform procedurilor

- Monitorizarea sistematic a funcionalitii programelor anti-virus

- Verificarea sistemului de actualizare a programelor anti-virus

DIT 16 T

4.9. LV 4 Ionescu Daniel

6. Recuperarea datelor n caz de

dezastru

- Verificarea elaborrii planului de recuperare a datelor n caz de dezastru

- Verificarea desemnrii responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor

n caz de dezastru

- Verificarea efecturii monitorizrii sistematice

DIT 16 LV 4 Barbu Mihai

Auditorii, Supervizorul,


Barbu Mihai

- 39 -

ALPHA BANK


MINUTA EDINEI DE DESCHIDERE

Misiunea de audit: Securitatea IT

Perioada auditat: 01.01.-31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data:

Avizat: Grecu George Data:

A. Lista participanilor:

Numele Funcia Direcia/ Serviciul

Nr.

telefon E-mail Semntura

Grecu George Coordonator CAPI

Ionescu Daniel Auditor SAPI

Barbu Mihai Auditor SAPI

Patrulescu George Conducator DIT

Voiculescu Alin Sef STDAM

Boerescu Ilie Sef SCD

Teodorescu Rodica Sef SEE

Eleodor Darius Sef SAPP

Iordache Camelia Sef SRC

Paun Elena Sef SSD

Badea Stefan Sef SAT

B. Stenograma edinei

n cadrul edinei de deschidere s-a procedat la: - Prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit intern; - Prezentarea funciei de audit intern de ctre auditori, n special a obiectivelor

generale ale auditului intern, semnificaia auditului intern. - Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se

intenioneaz a fi realizate, dup analizele de risc efectuate. A fost cerut prerea auditailor cu privire la aceste obiective, unde s-au fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la complexitatea securitatii IT; resursele umane insuficiente i neatractivitatea nivelului salariului pentru atragerea unor specialiti; fluctuatia mare a personalului implicat in activitatea IT.

- Stabilirea persoanelor pe care auditorii le pot contacta n vederea colectrii informaiilor, efecturii de teste asupra muncii lor i pentru a lua interviuri. De asemenea, a fost stabilit programul ntlnirilor i timpul necesar pentru realizarea acestor proceduri.

- 40 -

- Stabilirea condiiilor minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu de lucru, calculatoare, posibilitate de editare etc.)

- Convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul auditului, informarea sistematic asupra constatrilor.

- Stabilirea Reuniunii de nchidere, inclusiv a participanilor. - Stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va

fi distribuit). Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea recomandrilor.

- 60 -

LISTA DE VERIFICARE NR. 1

Obiectivul I. SECURITATEA IT

Nr.

Crt.

ACTIVITATEA DE AUDIT DA NU OBS.

1.1. Examinarea procedurilor privind securitatea IT

1.1.1. Verificarea gradului de acoperire prin proceduri a

activitilor realizate - -

a. Aprobarea procedurilor de ctre persoanele competente; - -

b. Stabilirea modelelor de formulare specifice; - -

a. Precizarea modalitilor de complectare a modelelor; - -

d. Oferirea unor exemple n acest sens; - -

e. Actualizarea sistematic a procedurilor; - -

f. Conformitatea procedurilor cu politica IT; - -

1.1.2.nglobarea activitilor de control intern n punctele cheie ale procesului;

- -

1.1.3. Respectarea principiul dublei semnturi; - -

1.1.4. Stabilirea responsabilitilor persoanelor implicate n activitatea de securitate IT;

- -

1.1.5. Asigurarea transpunerii prelucrrilor ntr-un sistem informatizat, respectiv realizarea codificrii modelelor de formulare i informaiile activitilor, algoritmi de prelucrare .a.

- -

1.1.6. Modalitatea arhivrii documentelor. - -

1.2. Compararea atribuiilor cuprinse n proceduri cu cele din fiele posturilor

- -

1.3. Examinarea cunoaterii procedurilor de ctre responsabilii cu realizarea acestei activiti

- -

1.4. Aprecierea calitii procedurilor de ctre personalul de execuie:

a) consider procedurile corespunztoare? - -

b) constatat disfuncionaliti n timpul aplicrii practice? - -

c) exist propuneri de perfecionare a procedurilor - -

d) modul de soluionare a propunerilor de perfecionare a procedurilor

- -

1.5. Politica de securitate IT X

Verificai existena politicii de securitate IT X

Verificai actualizarea politicii de securitate IT X Interviu

nr 1.5.

1.6. Monitorizarea implementrii politicii de securitate IT X

Verificai desemnarea unui responsabil cu monitorizarea implementrii politicii de securitate IT

X

Analizai ntocmirea i transmiterea sistematic a rapoartelor de monitorizare

1.7. Evaluarea controalelor fizice n domeniul IT X

- 61 -

Nr.

Crt.


a. Verificai efectuarea controalelor fizice conform procedurilor - -

b. Verificai existena surselor alternative de energie electric - - c. Verificai realizarea sistematic a serviciilor de mentenan - - d. Verificai restricionarea accesul la servere-le IT numai al persoanelor autorizate, innd cont de pericolul deteriorrii acestor echipamentelor IT sau al datelor critice pe care le

proceseaz;

- -

e. Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate, astfel:

- camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce

asigur paza cldirii; X

- senzori de micare; X - sistem de alarm n caz de incendiu; X

- sistem de stingere a incendiilor; X

- echipamente de aer condiionat; X

- ui neinflamabile echipate cu ncuietori adecvate. X

1.8. Sigurana accesului la reea i a comunicrii datelor n reea X

Verificarea alocrii numelui de utilizator i parolei aferente pentru accesul la reea

X Test nr.

1.8.

Foaie de

lucru nr.

1.8.

List de control

nr. 1.8.

FIAP nr.

1.8.

Monitorizarea conectrii la reea conform listei de logg-are X Analizai dac a fost elaborat documentaia tehnic adecvat privind conectarea la Internet.

- -

Verificai dac aceast documentaie este adecvat i actualizat sistematic.

- -

Determinai dac manualele de utilizare a reelei au n vedere asigurarea securitii comunicrii datelor n reea.

- -

Analizai aciunile ntreprinse n cazurile n care este ameninat integritatea i eficacitatea transmiterii datelor n reea.

- -

Analizai rapoartele de monitorizare a traficului datelor n reea. - -

1.9.

Programele anti-virus X

Verificai implementarea programelor anti-virus conform procedurilor:

X

Test nr.

1.9.

Foaie de

lucru nr. 1.9.

List de control nr.

1.9.

FIAP nr.

1.9.

- instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru;

X

- programul anti-virus s verifice staia de lucru la pornire; X - programul anti-virus s monitorizeze toate programele i

aplicaiile active, mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic);

X

- programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui

X

Monitorizarea sistematic a funcionalitii programelor anti-virus

X

Verificai sistemul de actualizare a programelor anti-virus

X

- 62 -

Nr.

Crt.


1.10.

Recuperarea datelor n caz de dezastru X

Elaborarea planului de recuperare a datelor n caz de dezastru. X

Interviu

nr.1.10.

FIAP nr.

1.10.

a. Aprobarea planului de recuperare a datelor n caz de dezastru. X

b. Desemnarea echipei de implementare a planului i a responsabilitilor adecvate membrilor echipei

X

c. Comunicarea planului personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru.

X

d. Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii

X

e. Cuprinderea tuturor domeniilor de aciune importante ale entitii n structura planului.

X

f. Identificarea principalele procese i aplicaii IT ce trebuiesc recuperate

X

g. Analizarea implementrii cerinelor specifice privind recuperarea datelor n caz de dezastru la nivelul sistemului IT.

X

Verificai desemnarea responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru

X

Verificai efectuarea monitorizrii sistematice X Verificai luarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor

X

a. Verificai dac datele stocate pentru a fi recuperate n caz de dezastru sunt actualizate sistematic.

X

b. Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat

X

1.11. Sistemul de arhivare - -

Verificarea modului de arhivare a datelor - -

Verificai evaluarea periodic a activitii de arhivare - -

Data: 01.04.2009

Auditor intern, Supervizor,

Barbu Mihai Grecu George

- 63 -

ALPHA BANK Serviciul Audit Intern

INTERVIU nr.1.5.

privind Politica de securitate IT

adresat

domnului Ptrulescu George.


Perioada auditat: 01.01.2009 - 31.12.2009

Nr.

crt. ntrebri Da Nu Obs.

1. Exist o politic de securitate IT?

X

2. Exist preocupri pentru securitatea IT?

X

3. Politica de securitate IT este actualizat?

X

4. Este desemnat un responsabil cu monitorizarea

implementrii politicii de securitate IT?

X

5. Este desemnat un responsabil cu gestionarea

riscurilor la nivelul departamentului IT?

X .

6. Au fost ntocmite i transmise sistematic rapoarte de monitorizare?

X

7. Mai avei ceva de adugat?

X

Data: 03.04.2009 Auditori, Intervievat,

NOTA:

Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s nu se elaboreze FIAP. Informaiile primite n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.

- 64 -

Procedura P07: Colectarea dovezilor

ALPHA BANK

Serviciul Audit Public Intern TEST NR. 1.8.


Perioada auditat: 01.01.2009- 31.12.2009

Obiectul testului: Securitatea IT.

Obiectivele testului: Sigurana accesului la reea i a comunicrii datelor n reea

Descrierea testului

Populaia statistic a fost constituit din cele 250 de calculatoare existente la nivelul entitii, conform Listei de inventariere a calculatoarelor personale.

Eantionul pentru realizarea testrii siguranei accesului la reea a fost stabilit pe baza unui procent de 2%, din totalul populaiei statistice, respectiv 5 calculatoare personale.

Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 1, poz. 1.8, i anume:

- Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la reea ;

- Monitorizarea conectrii la reea conform listei de logg-are. Constatri

Din analiza Listei de control nr. 1.2. rezultate, s-a constatat c: a. majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu,

trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare

subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul.

b. datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-

le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT.

c. practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului.

d. n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate. Concluzii n acest caz se va elabora FIAP nr. 1.8.

Data: 01.04.2009

Auditor intern, Georgescu Ion Supervizor,

Ionescu Mircea

- 65 -

FOAIE DE LUCRU NR. 1.8.

Obiectul 1.: Securitatea IT

Obiectivul : Sigurana accesului la reea i a comunicrii datelor n reea

Testarea se va realiza pe un eantion care a fost constituit astfel:

- populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor

calculatoarelor ce se conecteaz la reeaua entitii la poziiile: 35, 85, 135, 185, 235

- eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.

Data: 08.04.2009

Auditor, Supervizor,


- 66 -

Lista control nr. 1.8.

privind Accesul i comunicarea datelor n reea

Elemente

Testate

Eantion

Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la reea

Monitorizarea conectrii la reea conform listei de logg-are

Computer aflat la

poziia 35

FIAP X

Computer aflat la

poziia 85

X X

Computer aflat la

poziia 135

FIAP X

Computer aflat la

poziia 185

FIAP X

Computer aflat la

poziia 235

X X



- 67 -

Procedura - P07: Colectarea dovezilor

ALPHA BANK


FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 1.8.


Perioada auditat: 01.01.2009 01.01.2010

PROBLEMA

Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul IT.

CONSTATARE

Din evaluare s-a constatat c majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite.

Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT

trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul.

CAUZE

- Inexistena unor proceduri adecvate de conectare a utilizatorilor la reea; - Lips corelrii dintre atribuiile de serviciu i fiele de post ale salariailor.

CONSECINE - Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori

acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de

identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT.

- Practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului.

- n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.

RECOMANDRI - Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul

entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;

- 68 -

- Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT

- Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse;

- Instruirea adecvat a salariailor ce utilizeaz sistemul IT; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i

monitorizrii riscurilor.

ntocmit, Supervizat, Pentru conformitate,

Barbu Mihai Grecu George Eleodor Darius

- 69 -

Procedura P07: Colectarea dovezilor

ALPHA BANK

Serviciul Audit Public Intern

TEST NR. 1.9.


Perioada auditat: 01.01.2009- 31.12.2009

Obiectul testului: Securitatea IT.

Obiectivele testului: Programele anti-virus

Descrierea testului

Populaia statistic testat a fost constituit din totalul calculatoarelor personale utilizate la nivelul entitii, adic 250 de computere.

Eantionul pentru realizarea testrii programelor anti-virus a fost stabilit pe baza unui procent de 2%, din totalul populaiei de 250 de calculatoare, respectiv 5 calculatoare personale, conform Foii de lucru nr. 1.9.

Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr.1, poz. 1.9, i anume:

Verificarea implementarea programelor anti-virus conform procedurilor: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de

lucru;

- programul anti-virus s verifice staia de lucru la pornire; - programul anti-virus s monitorizeze toate programele i aplicaiile active,

mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic); - programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient

datele electronice mpotriva viruilor nou-aprui.

Monitorizarea sistematic a funcionalitii programelor anti-virus;

Verificai sistemul de actualizare a programelor anti-virus.

Constatri O politic adecvat de securitate IT trebuie s prevad instalarea unui program

anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).

Echipa de auditori a verificat 5 de staii de lucru, selectate din cadrul tuturor departamentelor.

- 70 -

Din analiza Listei de control nr. 1.9. rezultate, s-a constatat c: - n cazul a 2 calculatoare din cadrul entitii configuraia programului anti-virus a fost

modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului;

- Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.

Concluzii n acest caz se va elabora FIAP.

Data: 01.04.2009

Auditor intern, Supervizor,


- 71 -

FOAIE DE LUCRU NR. 1.9.

Obiectul 1. : SECURITATEA IT

Obiectivul : Programele anti-virus

Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor

calculatoarelor ce se conecteaz la reeaua entitii la poziiile: 11, 61, 111, 161, 211

conform celor prezentate n Lista de control anexat la Testul nr. 1.9.: - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.

Data: 08.04.2009



- 60 -

Lista control nr. 4.9.

privind Programele anti-virus

Elemente

Testate

Eantion

Verificarea implementarea programelor anti-virus conform procedurilor

Monitorizarea

sistematic a funcionalitii

programelor anti-

virus

Verificarea

sistemului de

actualizare a

programelor

anti-virus

Instalarea unui program

anti-virus adecvat

necesitilor utilizatorilor staiilor de

lucru

Programul anti-virus s verific staia de lucru la

pornire

Programul anti-virus

monitorizeaz toate programele i aplicaiile active, mesajele primite

i verific automat actualizrile la intervale

regulate (zilnic)

Programul anti-virus se

actualizeaz n reea, astfel nct s protejeze

eficient datele

electronice mpotriva

viruilor nou-aprui

Computer

aflat la

poziia 11

X X X X X X

Computer

aflat la

poziia 61

X X X X X X

Computer

aflat la

poziia 111

FIAP FIAP FIAP FIAP FIAP FIAP

Computer

aflat la

poziia 161

FIAP FIAP FIAP FIAP FIAP FIAP

Computer

aflat la

poziia 211

NU X X X X X



- 61 -


ALPHA BANK




Perioada auditat:

PROBLEMA

Neaplicarea n mod unitar a politicii de securitate IT a condus la infectarea cu

virui a unor staii de lucru din sistemul IT al entitii.

CONSTATARE

O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).

Echipa de auditori a verificat 15 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele:

- n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; - Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.

CAUZE

- Inexistena unei proceduri pentru aplicarea n mod unitar a politicii de securitate IT;

- Lipsa procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus.

CONSECINE

- Prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea utilizatorilor din cadrul departamentelor.

- Existena viruilor ridic numeroase semne de ntrebare n privina exactitii datelor stocate n sistemul IT.

- 62 -

RECOMANDRI

- Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus;

- Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor; - Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu

sarcinile stabilite prin proceduri;

- Monitorizarea aplicrii n mod unitar a politicii de securitate IT; - Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul

tuturor staiilor de lucru din cadrul entitii;


Barbu Mihai Grecu George Eleodor Darius

- 63 -

ALPHA BANK


INTERVIU nr.1.10.

privind recuperarea datelor n caz de dezastru

adresat

domnului Bloiu Gheorghe, Serviciul Asisten Tehnic


Perioada auditat: 01.01.2009 - 31.12.2009 Nr.

crt. ntrebri Da Nu Obs.

1. Elaborarea planului de recuperare a datelor n caz de dezastru. X a. Aprobarea planului de recuperare a datelor n caz de

dezastru. X

b. Desemnarea echipei de implementare a planului i a responsabilitilor adecvate membrilor echipei

X

c. Comunicarea planului personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru. X

FIAP

nr.

4.10.

d. Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii X

FIAP

nr.

4.10.

e. Cuprinderea tuturor domeniilor de aciune importante ale entitii n structura planului.

X

f. Identificarea principalele procese i aplicaii IT ce trebuiesc recuperate

X

g. Analizarea implementrii cerinelor specifice privind recuperarea datelor n caz de dezastru la nivelul sistemului IT.

X

2. Desemnarea responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru

X

3. Luarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor

X

a. Verificai dac datele stocate pentru a fi recuperate n caz de dezastru sunt actualizate sistematic.

X

b. Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat X

FIAP

nr.

4.10.

Data: 03.04.2009 Auditori, Intervievat,

NOTA:

Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s se elaboreze FIAP nr. 1.4. Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.

- 64 -


ALPHA BANK




Perioada auditat:

PROBLEMA

Nerecuperarea datelor n cazul producerii unui eventual dezastru.

CONSTATARE

Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.

Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate.

CAUZE

- Inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru;

- Neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru.

CONSECINE

- Incapacitatea de recuperare complet a datelor n caz de dezastru, conform cerinelor planificate;

- ntr-o situaia producerii unui dezastru activitile stabilite prin planul de recuperare a datelor se pot dovedi insuficiente pentru atingerea obiectivelor

stabilite.

- 65 -

RECOMANDRI

- Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile;

- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.

- Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate

procedurilor privind recuperarea datelor n caz de dezastru.


Barbu Mihai Grecu George Badea tefan

- 66 -

Procedura P08: edina de nchidere

ALPHA BANK


MINUTA EDINEI DE NCHIDERE


Perioada auditat: 01.01.2009-01.01.2010 ntocmit: Ionescu Daniel/Barbu Mihai Data: 15.03.2010


Lista participanilor:

Numele Funcia Direcia/ Serviciul

Nr.

telefon E-mail Semntura

Dumitru Daniel

Coordonat

or

CAPI

Popescu Sorin Auditor SAPI

Radu George Auditor SAPI

Ptrulescu George Conductor DIT

Voiculescu Alin ef STDAM

Boerescu Ilie ef SCD

Teodorescu Rodica ef SEE

Eleodor Darius ef SAPP

Iordache Camelia ef SRC

Pun Elena ef SSD

Badea tefan ef SAT

Stenograma edinei:

Prezentarea obiectivelor auditate si constatrilor pentru fiecare obiect auditat; a fost discutat fiecare deficien n parte, au fost analizate cauzele care au contribuit la realizarea disfunctionalitii, au fost prezentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate.

In cadrul Sedintei de inchidere structura auditata si-a insusit in totalitate constatarile si recomandarile formulate de echipa de auditori.

In consecinta, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregatit pentru aprobare si transmitere structurii auditate. Raportul de audit

intern va fi insotit de o SINTEZA care va contine concluziile echipei de auditori

interni cu prezentarea principalelor recomandari si opinia generala a acesteia.

Structura auditata se angajeaza sa completeze Planul de actiune si calendarul implementarii recomandarilor, cu termenele de realizare si persoanele responsabile cu

implementare acestora, pe care il vor discuta cu echipa de auditori.

- 67 -

ALPHA BANK


RAPORT DE AUDIT INTERN

STRUCTURA AUDITAT:

ALPHA BANK

MISIUNE DE AUDIT INTERN: SISTEMUL INFORMATIC

BUCURESTI

2010

- 68 -

I. INTRODUCERE

Echipa de auditare a fost formata din :

Ionescu Daniel - auditor superior, cooordonator al misiunii;

Barbu Mihai - auditor superior. Auditorii fac parte din Compartimentul de Audit Intern al ALPHA BANK.

Ordinul de efectuare a misiunii de audit - Ordinul de serviciu nr. 25/08.01.2010 aprobat de

conductorul entitii.

Baza legal a aciunii de auditare:

- Planul de audit intern pentru anul 2010, aprobat de conducerea instituiei;

- Legea nr. 672/2002 privind auditul public intern, cu modificarile si completarile ulterioare;

- OMFP nr. 38/15.01.2003 prin care se aproba Normele metodologice de aplicare a Legii nr. 672/2002, cu modificarile si completarile ulterioare;

- Ordinul prin care se aproba Normele proprii de exercitare a auditului intern n cadrul entitatii publice.

Durata aciunii de auditare 25.01.2010 17.04.2010.

Perioada supus auditrii 01.01.2009 31.12.2009

Scopul misiunii de audit intern este acela de evaluare a activitii IT de la nivelul entitatii, in ceea ce priveste respectarea conditiilor de legalitate, economicitate, eficacitate, de a adauga

valoare prin formularea recomandarilor, iar in cazul identificarii unor probleme/iregulariti, de corectare a acestora.

Obiectivele misiunii de audit intern:

Securitatea IT.

Tipul de auditare Echipa de auditori interni a efectuat un audit de conformitate/regularitate privind respectarea principiilor, regulilor metodologice si procedurale in ceea ce priveste

securitatea IT de la nivelul entitii.

Principalele tehnici si instrumente de audit utilizate:

interviul pentru lmurirea de aspecte legate de organizarea i desfurarea activitilor;

testarea pentru urmairea detectarii erorilor sau a iregularitatilor;

eantionarea pentru analiza ntocmirii documentelor i efectuarea plilor;

observarea fizic n vederea formrii unei preri proprii privind modul de ntocmire i emitere a documentelor;

- 69 -

liste de verificare pentru a stabili condiiile pe care trebuie s le ndeplineasc fiecare domeniu auditabil;

liste de control;

chestionare;

FIAP-uri intocmite pentru fiecare disfunctionalitate constatata;

Documente i materiale examinate n cadrul ALPHA BANK- verificarea la faa locului a vizat urmtoarele materiale i documente:

legislatia in vigoare privind activitatea IT;

manuale de utilizare i manuale de operare;

planul de recuperare n caz de dezastru;

procedurile aplicabile activitii IT;

alte documente.

Materialele ntocmite pe timpul auditrii au fost urmtoarele:

teste si foi de lucru privind descrierea activitilor auditate;

fie de identificare si analiz a problemelor constatate (FIAP);

liste de verificare pe obiective (LV);

documente de lucru;

tabel Puncte tari i puncte slabe,

Tematica in detaliu;

Programul de audit, Programul interveniei la faa locului;

Chestionarul de control intern;

raport de audit, minutele edinelor de deschidere, nchidere etc.

II. CONSTATRI SI RECOMANDARI

Evaluarea respectarii conditiilor de conformitate si regularitate a activitii de tehnologie a informaiei la nivelul entitii a pornint de la elaborarea planului strategic, defalcarea acestuia n planuri anuale, organizarea i funcionarea departamentului IT, implementarea sistemului informatic si securitatea datelor din acest sistem i s-a materializat in elaborarea listelor de verificare, testelor bazate pe esantionare, verificarilor prin listele de control, observari fizice pe

teren, interviurilor care au condus la solicitarea unor note de relatii, prin care s-au identificat o

serie de probleme si defcienelor care au fost inscrise in formularele de constatare (FIAP-uri). Analiza activitatii de achizitii publice a impus evaluarea cadrului procedural existent care

sta la baza organizarii si functionarii sistemului.

In continuare, prezentam principalele constatari, consecintele care s-au produs sau care ar

putea sa apara in perioada imediat urmatoare, precum si recomandarile formulate in vederea

corectarii disfunctionalitatilor semnalate sau ale celor care pot sa survina urmare acestora,

diminuarii riscurilor existente si imbunatatirii sistemelor de management si control intern al

activitatilor auditate cu scopul facilitarii atingerii obiectivelor prestabilite.

1.1. Evaluarea controalelor fizice n domeniul IT

- 70 -

Pentru protecia echipamentelor IT precum i a datelor n format electronic prelucrate, transferate i/sau stocate la nivelul acestor echipamente n cadrul entitii au fost implementate controale fizice, astfel:

camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii;

senzori de micare;

sistem de alarm n caz de incendiu;

sistem de stingere a incendiilor;

echipamente de aer condiionat;

ui neinflamabile echipate cu ncuietori adecvate. Practic s-a constatat c nu au fost instalate nici camere de supraveghere care acoper zona

de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii precum i nici senzori de micare la nivelul Departamentul Resurse Umane. Acast situaie a fost remediat n timpul misiunii de audit.

1.2. Sigurana accesului la reea i a comunicrii datelor n reea

n urma misiunii de audit efectuate, s-a constatat c majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT, fapt pentru care folosesc nume de utilizator i parole diferite.

Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc

folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul.

Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT.

Practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului, iar n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.

Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri:

- Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;

- Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT

- Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse;

- Instruirea adecvat a salariailor ce utilizeaz sistemul IT; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii

riscurilor.

1.3. Programele anti-virus

- 71 -

Echipa de auditori interni a verificat:

- instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - dac programul anti-virus verific staia de lucru la pornire; - dac programul anti-virus monitorizeaz toate programele i aplicaiile active,

mesajele primite i verific automat actualizrile la intervale regulate (zilnic); - dac programul anti-virus s se actualizeaz n reea, astfel nct s protejeze eficient

datele electronice mpotriva viruilor nou-aprui. De asemenea a fost analizat modul de monitorizare sistematic a funcionalitii programelor anti-virus.

S-a constatat neaplicarea n mod unitar a politicii de securitate IT, fapt ce a condus la

infectarea cu virui a unor staii de lucru din sistemul IT al entitii. O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).

n urma verificrii la faa locului a unui eantion din staiile de lucru ce funcioneaz n sistemul IT al entitii, s-au constatat urmtoarele deficiene:

n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului;

Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.

Considerm c aspectele negative constatate se datoreaz lipsei procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus.

Practic, prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea utilizatorilor din cadrul departamentelor. De asemenea, existena viruilor ridic numeroase semne de ntrebare n privina exactitii datelor stocate n sistemul IT.


Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus;

Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor; Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu

sarcinile stabilite prin proceduri;

Monitorizarea aplicrii n mod unitar a politicii de securitate IT; Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul

tuturor staiilor de lucru din cadrul entitii;

1.4. Recuperarea datelor n caz de dezastru

Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Astfel, este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.

- 72 -


Practic, inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru face posibil neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru. Din aceste considerente n situaia producerii unui dezastru activitile stabilite prin plan se pot dovedi insuficiente pentru atingerea obiectivelor stabilite.


- Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile;


- Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate

procedurilor privind recuperarea datelor n caz de dezastru.

III. CONCLUZII

Prezentul proiect de Raport de audit intern a fost ntocmit n baza Listei centralizatoare a

obiectelor auditabile, a Programului de audit i a Programuui de intervenie la faa locului, a constatrilor efectuate, n timpul colectrii i prelucrrii informaiilor, i n timpul muncii pe teren. Toate constatrile au la baza probe de audit obtinute pe baza testelor efectuate consemnate in documentele de lucru (liste de control, foi de lucru, interviuri, note de relatii) intocmite de

auditorii interni si insusite de factorii de management ai entitatii.

Evaluarea are la baza discutiile care au avut loc, cu privire la recomandarile auditorilor

interni, in sedina de inchidere a misiunii, apreciate de catre participanti, ca fiind realiste si fezabile.

De asemenea, consideram ca rezultatele evaluarii auditorilor interni privind Securitatea

IT se inscriu in parametri normali pentru aceasta perioada de implementare a functiei de

tehnologia informaiei n entitile publice. n consecinta, apreciem ca prin implementarea recomandarilor echipei de audit intern

securitatea IT va cunoaste o ameliorare semnificativa.

Structura auditat are obligaia s ntocmeasc Programul de aciune n vederea implementrii recomandrilor i s raporteze echipei de auditori interni, periodic, stadiul de implementare al acestora.

Data: 15.03.2010

Auditori interni, Supervizat,


Barbu Mihai

- 73 -

S I N T E Z A

RAPORTULUI DE AUDIT INTERN

I. INTRODUCERE

Misiunea de audit intern privind Securitateaa IT din cadrul entitatii publice s-a

desfasurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, Normelor

generale privind exercitarea activitatii de audit public intern, aprobate prin OMFP nr. 38/2003

si a Normelor specifice aprobate de conducerea entitatii. Misiunea a fost cuprinsa in Planul de

audit intern pe anul 2006, si a fost realizata de auditorii interni: Popescu Sorin, auditor superior

si Radu George, auditor superior.

II. CONCLUZII

Echipa de auditori interni in baza Programului de audit intern, a testarilor si analizei

efectuate evalueaza Activitatea de achizitii publice din cadrul entitatii, dupa cum urmeaza:

Nr.

Crt

.

OBIECTIVUL APRECIERE

FUNCTIONAL DE IMBUNATATIT CRITIC

1. SECURITATEA IT X

III. CONSTATARI SI RECOMANDARI

CONSTATARE nr. 1: O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus

pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).

Echipa de auditori a verificat 15 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele:

- n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului;

- Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.

- 74 -

RECOMANDARE nr. 1:

- Monitorizarea aplicrii n mod unitar a politicii de securitate IT;

- Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii;

CONSTATARE nr. 2: Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru

aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.


RECOMANDARE nr. 2:


Data: 15.03.2010

Auditori interni, Supervizat,


Barbu Mihai

- 76 -

ALPHA BANK


PLANUL DE ACIUNE I CALENDARUL IMPLEMENTRII RECOMANDRILOR

Nr.

ob.

Recomandarea Plan de aciune

Calendarul

implementrii Responsabil cu

implementarea

1.

Realizarea unui proces de reenginering

la nivelul sistemului IT din cadrul

entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie

utiliznd un singur nume de utilizator i o singur parol

Realizarea procesului de

reenginering la nivelul

sistemului IT

08.05.2010 Badea tefan, Serviciul asisten tehnic

Stabilirea unui responsabil pentru

derularea acestui proces reenginering al

sistemului IT

Stabilirea responsabilului 20.04.2010 Badea tefan, Serviciul asisten tehnic

Implementarea unui sistem de raportare

potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse pentru facilitarea accesului la

subsistemele IT

Implementarea sistemului de

raportare

27.04.2010 Ptrulescu tefan, director Direcia Tehnologia Informaiei

Instruirea adecvat a salariailor ce utilizeaz sistemul IT

Realizarea instruirii

utilizatorilor

30.11.2010 Ptrulescu tefan, director Direcia Tehnologia Informaiei

Elaborarea procedurilor formalizate care

s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului antivirus

Elaborarea procedurilor 02.05.2010 Teodorescu Rodica,

Serviciul exploatarea

echipamentelor

Stabilirea unui responsabil pentru

elaborarea i actualizarea procedurilor Stabilirea responsabilului 20.04.2010 Teodorescu Rodica,

Serviciul exploatarea

- 77 -

echipamentelor

Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin

proceduri

Analiza

Audit Intern IT

Documents

Transcript of Audit Intern IT