Audit Intern IT
-
Upload
ioana-joanna -
Category
Documents
-
view
121 -
download
5
description
Transcript of Audit Intern IT
-
- 17 -
Procedura P01: Iniierea auditului
ALPHA BANK
Serviciul Audit Intern
Nr. 25 din 08.01.2010
ORDIN DE SERVICIU
In conformitate cu prevederile Legii nr. 672/2002 privind auditul public intern,
a O.M.F.P. nr. 38/2003 de aprobare a normelor metodologice generale privind
exercitarea activitii de audit intern, a Ordinului managerului general nr. 1024/2003 prin care s-au aprobat Normele proprii de exercitare a auditului intern n cadrul
entitii i a Planului de audit intern pentru anul 2010, se va efectua misiunea de audit intern la Alpha Bank n perioada 25.01.2010 17.04.2010.
Scopul misiunii de audit este de a da asigurri asupra securitatii IT de la nivelul entitii i a conformitii cu cadrul legislativ i normativ aplicabil, fiind structurate pe urmtoarele domenii auditabile:
Securitatea IT.
Menionm c se va efectua un audit de conformitate al modului de organizare a activitii de tehnologia informaiei din ALPHA BANK.
Echipa de auditori interni este format din urmtorii:
1. Ionescu Daniel ;
2. Barbu Mihai.
Coordonator Compartimentul de Audit Intern,
Grecu George
-
- 18 -
Procedura - P02: Iniierea auditului
ALPHA BANK
Serviciul Audit Intern
DECLARAIA DE INDEPENDEN
Nume i prenume: Ionescu Daniel Misiunea de audit: Securitatea Tehnologiei Informatiei Data: 10.01.2010
Incompatibiliti n legtur cu entitatea/structura auditat
Da Nu
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel?
- X
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit?
- X
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat?
- X
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European?
- X
Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat?
- X
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv?
- X
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?
- X
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat?
- X
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat?
- X
Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai coordonatorul Compartimentului Audit Public Intern de urgen?
X -
Auditor, Coordonatorul Compartimentului Audit Intern,
Ionescu Daniel Grecu George
1 Incompatibiliti personale: Nu. 2. Pot fi eliminate incompatibilitile: Nu este cazul. Dac da, explicai cum anume: Nu este cazul. Data: 10.01.2010
Semntura: Grecu George
-
- 19 -
Procedura - P02: Iniierea auditului
ALPHA BANK
Serviciul Audit Intern
DECLARAIA DE INDEPENDEN
Nume i prenume: Barbu Mihai Misiunea de audit: Securitatea Tehnologiei Informatiei Data: 10.01.2010
Incompatibiliti n legtur cu entitatea/structura auditat
Da Nu
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel?
- X
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit?
- X
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat?
- X
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European?
- X
Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat?
- X
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv?
- X
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?
- X
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat?
- X
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat?
- X
Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai coordonatorul Compartimentului Audit Public Intern de urgen?
X -
Auditor, Coordonatorul Compartimentului Audit Intern,
Mihai Barbu Grecu George
1. Incompatibiliti personale: Nu. 2. Pot fi eliminate incompatibilitile: Nu este cazul. Dac da, explicai cum anume: Nu este cazul.
Data: 10.01.2010 Semntura: Barbu Mihai
-
- 20 -
Procedura P03: Iniierea Auditului
ALPHA BANK
Serviciul Audit Intern
Nr. 29 din 10.01.2010
NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN
Ctre: ALPHA BANK De la: ef Serviciu Audit Intern
Referitor la misiunea de audit intern Securitatea tehnologiei informaiei din
ALPHA BANK
Stimate domnule Popescu tefan,
n conformitate cu Planul de audit intern pe anul 2010, urmeaz ca n perioada 25.01.2010 17.04.2010 s efectum o misiune de audit intern cu tema securitatea Tehnologiei informaiei. V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea discutrii diverselor aspecte ale misiunii de audit, cuprinznd:
- prezentarea auditorilor; - prezentarea principalelor obiective ale misiunii de audit intern; - programul interveniei la faa locului; - scopul misiunii de audit intern; - alte aspecte.
Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie urmtoarea documentaie necesar privind activitatea de tehnologie a informaiei: legile i reglementrile ce se aplica activitilor dumneavoastr, organigrama direciei dumneavoastr, Regulamentul de organizare i funcionare, fiele posturilor, procedurile scrise care descriu sarcinile ce trebuie realizate pe linia organizrii activitii, un exemplar al rapoartelor de activitate, notelor, misiunilor de audit anterioare care se refer la aceasta tem.
Dac avei unele ntrebri privind desfurarea misiunii, v rugm s-l contactai pe domnul Ionescu Daniel - auditor, coordonatorul misiunii sau pe eful structurii de audit intern.
Cu stim,
Data: 10.01.2010
Coordonatorul Compartimentului Audit Intern
Grecu George
-
- 21 -
Procedura P04: Colectarea i prelucrarea informaiilor
ALPHA BANK
Serviciul Audit Intern
COLECTAREA INFORMAIILOR
Misiunea de audit: Securitatea Tehnologiei Informaiei Perioada auditat: 01.01- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 10.01.2010
Avizat: Grecu George Data: 10.01.2010
COLECTAREA INFORMAIILOR
DIRECIA TEHNOLOGIA INFORMAIEI
DA NU Observaii
Identificarea legilor i regulamentelor aplicabile structurii auditate
X -
Obinerea organigramei X -
Obinerea Regulamentului de organizare i funcionare
X -
Obinerea fielor posturilor X -
Obinerea procedurilor scrise - X Exist doar parial
Identificarea personalului responsabil X -
Obinerea exemplarului de Raport de audit intern anterior
- X
Anterior nu au fost realizate
misiuni de audit intern
asupra tehnologiei
informaiei la nivelul entitii
-
- 25 -
Procedura P05 : Analiza riscurilor ALPHA BANK
Serviciul Audit Intern
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE
Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009
ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010
Avizat: Grecu George
Data: 20.01.2010
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE OBS.
I. Securitatea IT 1. Politica de securitate IT
2. Monitorizarea implementrii politicii de securitate IT
3. Evaluarea controalelor fizice n domeniul IT
4. Sigurana accesului la reea i a comunicrii datelor n reea
5. Programe antivirus
6. Recuperarea datelor n caz de dezastru
7. Sistemul de arhivare
Nota:
Lista centralizatoare a obiectelor auditabile reprezint primul document care se elaboreaz n cadrul procedurii Analiza riscurilor i cuprinde, pentru acest studiu de caz, 7 de obiecte auditabile
care vor fi analizate pe parcursul derulrii misiunii de audit intern.
-
- 26 -
Procedura - P05 : Analiza riscurilor
ALPHA BANK
Serviciul Audit Intern
IDENTIFICAREA RISCURILOR
Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009
ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010
Avizat: Grecu George
Data: 20.01.2010
Nr.
crt
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
I. Securitatea IT 1. Politica de securitate IT 1. Inexistena politicii de securitate
2. Neaplicarea politicii de securitatea n mod consecvent
2. Monitorizarea implementrii politicii de securitate IT
3. Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT
4. Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare
5. Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic
3. Evaluarea controalelor
fizice n domeniul IT
6. Lipsa procedurilor privind implementarea controalelor
fizice n domeniul IT
7. Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice
8. Lipsa unor proceduri pentru realizarea controalelor fizice
9. Neefectuarea controalelor fizice conform procedurilor
4. Sigurana accesului la reea i a comunicrii datelor n reea
10. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea
11. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea
12. Neefectuarea monitorizrii sistematice
13. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor
5. Programe antivirus 14. Lipsa procedurilor privind implementarea programelor
antivirus
15. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus
16. Neefectuarea monitorizrii sistematice
17. Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor
6. Recuperarea datelor n caz
de dezastru
18. Lipsa procedurilor privind recuperarea datelor n caz de
dezastru
19. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru
20. Neefectuarea monitorizrii sistematice
21. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
-
- 27 -
Nr.
crt
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
7. Sistemul de arhivare 22. Lipsa procedurilor privind arhivarea datelor
23. Nedesemnarea responsabilitii pentru arhivarea datelor
24. Neefectuarea evalurii periodice a activitii de arhivare
Nota:
Identificarea riscurilor este al doilea document care se elaboreaz n cadrul procedurii Analiza riscurilor i presupune asocierea riscurilor semnificative la operaiilor stabilite n Lista centralizatoare a obiectelor auditabile. De regul, se asociaz unul sau mai multe riscuri posibile, determinate de auditorii interni pe
baza informaiilor colectate dar si din riscurile practice reieite din propria experien. n situaia n care la operaiile auditabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte sau pe total operaie/obiect auditabil. n acest caz, au fost identificate 7 obiecte auditabile, prezentate n Lista centralizatoare a obiectelor auditabile, crora le-au fost ataate 24 riscuri, aa cum rezult din documentul Identificarea riscurilor.
-
- 28 -
ALPHA BANK
Serviciul Audit Intern
STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORA
I APRECIEREA NIVELURILOR RISCURILOR
Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010
Avizat: Ionescu Mircea Data: 20.01.2010
Factori de risc
(Fi)
Ponderea
factorilor de risc
(Pi)
Nivelul de apreciere al riscului (Ni)
N 1
N 2
N 3
Aprecierea
controlului
intern F1
P1 50% Exist proceduri
i se aplic
Exist proceduri, sunt
cunoscute, dar
nu se aplic
Nu exist proceduri
Aprecierea
cantitativ F2
P2 30%
Impact
financiar
sczut
Impact financiar
mediu
Impact financiar
ridicat
Aprecierea
calitativ F3
P3 20% Vulnerabilitate
mic Vulnerabilitate
medie
Vulnerabilitate
mare
Not: Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc, ponderile i nivelurile de apreciere ale riscurilor.
Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns dac se dorete evidenierea i altor factori de risc, cu nivelurile de apreciere corespunztoare, trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100.
Procedura - P05: Analiza riscurilor
-
- 29 -
-
- 25 -
Procedura - P05 : Analiza riscurilor
ALPHA BANK
Serviciul Audit Intern
STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCULUI
Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009 01.01.2010
ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010 Avizat: Grecu George Data: 20.01.2010
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor
Punctaj
total
Aprecierea
controlului
intern (F1)
Aprecierea
cantitativ (F2)
Aprecierea
calitativ (F3)
P1
50%
N1 P2
30%
N2 P3
20%
N3
I. Securitatea IT 1. Politica de securitate IT Inexistena politicii de securitate 0,5 2 0,3 3 0,2 2 2,3
Neaplicarea politicii de securitatea n mod
consecvent
0,5 2 0,3 2 0,2 3 2,2
2. Monitorizarea implementrii politicii de securitate IT
Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT
0,5 3 0,3 3 0,2 2 2,5
Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare
0,5 2 0,3 2 0,2 2 2,0
Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic
0,5 2 0,3 1 0,2 3 1,9
3. Evaluarea controalelor fizice
n domeniul IT
Lipsa procedurilor privind implementarea
controalelor fizice n domeniul IT
0,5 2 0,3 2 0,2 2 2,0
Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice
0,5 3 0,3 2 0,2 2 2,5
Lipsa unor proceduri pentru realizarea
controalelor fizice
0,5 2 0,3 3 0,2 3 2,5
-
- 26 -
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor
Punctaj
total
Aprecierea
controlului
intern (F1)
Aprecierea
cantitativ (F2)
Aprecierea
calitativ (F3)
P1
50%
N1 P2
30%
N2 P3
20%
N3
Neefectuarea controalelor fizice conform
procedurilor
0,5 3 0,3 3 0,2 1 2,6
4. Sigurana accesului la reea i a comunicrii datelor n reea
Lipsa procedurilor privind sigurana accesului utilizatorilor n reea
0,5 2 0,3 2 0,2 1 1,8
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea
0,5 2 0,3 2 0,2 2 2,0
Neefectuarea monitorizrii sistematice 0,5 3 0,3 1 0,2 3 2,4
Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor
0,5 2 0,3 3 0,2 2 2,3
5. Programe antivirus Lipsa procedurilor privind implementarea
programelor antivirus
0,5 3 0,3 2 0,2 3 2,7
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor
antivirus
0,5 2 0,3 2 0,2 2 2,0
Neefectuarea monitorizrii sistematice 0,5 2 0,3 2 0,2 1 1,8
Neluarea msurilor necesare privind implementarea programelor antivirus
conform procedurilor
0,5 2 0,3 3 0,2 3 2,5
6. Recuperarea datelor n caz de
dezastru
Lipsa procedurilor privind recuperarea
datelor n caz de dezastru
0,5 2 0,3 2 0,2 2 2,0
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de
dezastru
0,5 2 0,3 3 0,2 1 2,1
Neefectuarea monitorizrii sistematice 0,5 3 0,3 1 0,2 2 2,2
-
- 27 -
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Criterii de analiza a riscurilor
Punctaj
total
Aprecierea
controlului
intern (F1)
Aprecierea
cantitativ (F2)
Aprecierea
calitativ (F3)
P1
50%
N1 P2
30%
N2 P3
20%
N3
Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru
conform procedurilor
0,5 3 0,3 2 0,2 1 2,3
7. Sistemul de arhivare Lipsa procedurilor privind arhivarea
datelor
0,5 1 0,3 2 0,2 2 1,5
Nedesemnarea responsabilitii pentru arhivarea datelor
0,5 1 0,3 2 0,2 3 1,7
Neefectuarea evalurii periodice a activitii de arhivare
0,5 1 0,3 1 0,2 3 1,4
NOTA:
Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor riscurilor asociate operaiilor auditabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv:
n
T= Pi x Ni i = 1
Unde:
T = punctaj total;
Pi = ponderea riscului pentru fiecare criteriu;
Ni = nivelul riscurilor pentru fiecare criteriu utilizat;
Evaluarea riscurilor asociate operaiilor auditabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele primite de la entitate i din rapoarte anterioare, dar i din expertiza personal n domeniu i este o evaluare cu un oarecare grad de subiectivitate.
-
- 28 -
Procedura - P05 : Analiza riscurilor
ALPHA BANK
Compartimentul Audit Intern
CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCULUI
Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009 31.12.2009
ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010 Avizat: Grecu George Data: 20.01.2010
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ TOTAL
CLASARE OBS.
IV.
Securitatea IT
1. Politica de securitate IT 1. Inexistena politicii de securitate 2,3 Mare
2. Neaplicarea politicii de securitatea n mod consecvent 2,2 Mediu
2. Monitorizarea
implementrii politicii de securitate IT
3. Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT
2,5 Mare
4. Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare
2,0 Mediu
5. Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic
1,9 Mediu
3. Evaluarea controalelor
fizice n domeniul IT
6. Lipsa procedurilor privind implementarea controalelor
fizice n domeniul IT
2,0 Mediu
7. Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice
2,5 Mare
8. Lipsa unor proceduri pentru realizarea controalelor fizice 2,5 Mare
9. Neefectuarea controalelor fizice conform procedurilor 2,6 Mare
4. Sigurana accesului la reea i a comunicrii datelor n reea
10. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea
1,8 Mediu
11. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea
2,0 Mediu
12. Neefectuarea monitorizrii sistematice 2,4 Mare
13. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor
2,3 Mare
-
- 29 -
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ TOTAL
CLASARE OBS.
5. Programe antivirus 14. Lipsa procedurilor privind implementarea programelor
antivirus
2,7 Mare
15. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus
2,0 Mediu
16. Neefectuarea monitorizrii sistematice 1,8 Mediu
17. Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor
2,5 Mare
6. Recuperarea datelor n caz
de dezastru
18. Lipsa procedurilor privind recuperarea datelor n caz de
dezastru
2,0 Mediu
19. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru
2,1 Mediu
20. Neefectuarea monitorizrii sistematice 2,2 Mediu
21. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
2,3 Mare
7. Sistemul de arhivare 22. Lipsa procedurilor privind arhivarea datelor 1,5 Mic Nu
23. Nedesemnarea responsabilitii pentru arhivarea datelor 1,7 Mic Nu
24. Neefectuarea evalurii periodice a activitii de arhivare 1,4 Mic Nu
Nota: Pentru continuarea analizei, auditorii interni au mprit cele 24 de riscuri structurate pe cele 7 de obiecte auditabile, din documentul Stabilirea
nivelului riscului i a punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel: Riscuri mici 1,0 - 1,7
Riscuri medii 1,8 - 2,2
Riscuri mari 2,3 - 3,0
Pentru moment, riscurile mici vor fi ignorate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie cu care se va elabora documentul Tabelul puncte tari i puncte slabe.
-
- 30 -
Procedura - P05 : Analiza riscurilor
ALPHA BANK
Compartimentul Audit Intern
TABELUL PUNCTE TARI I PUNCTE SLABE
Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009 31.12.2009
ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010 Avizat: Grecu George Data: 20.01.2010
Nr.
crt.
Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinele funcionrii/
nefuncionrii controlului intern
Grad de
ncredere al
auditorului n
controlul
intern
OBS.
I. Securitatea IT 1. Politica de securitate IT
Inexistena politicii de securitate S Sczut
Neaplicarea politicii de securitatea n mod
consecvent
S Sczut
2. Monitorizarea
implementrii politicii de securitate IT
Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT
S Mediu
Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare
S Sczut
Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic
T Exist sistem de control intern
eficient
Ridicat NU
3. Evaluarea
controalelor fizice n
domeniul IT
Lipsa procedurilor privind implementarea
controalelor fizice n domeniul IT
S Sczut
Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice
T Exist sistem de control intern
eficient
Ridicat NU
Lipsa unor proceduri pentru realizarea
controalelor fizice
S Mediu
-
- 31 -
Nr.
crt.
Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinele funcionrii/
nefuncionrii controlului intern
Grad de
ncredere al
auditorului n
controlul
intern
OBS.
Neefectuarea controalelor fizice conform
procedurilor
S Sczut
4. Sigurana accesului la reea i a comunicrii datelor n reea
Lipsa procedurilor privind sigurana accesului utilizatorilor n reea
S Sczut
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea
S Sczut
Neefectuarea monitorizrii sistematice T Exist sistem de control intern
eficient
Ridicat NU
Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor
S Mediu
5. Programe antivirus Lipsa procedurilor privind implementarea
programelor antivirus
S Sczut
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus
S Sczut
Neefectuarea monitorizrii sistematice S Sczut
Neluarea msurilor necesare privind implementarea programelor antivirus conform
procedurilor
S Mediu
6. Recuperarea datelor
n caz de dezastru
Lipsa procedurilor privind recuperarea datelor n
caz de dezastru
S Sczut
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru
S Sczut
Neefectuarea monitorizrii sistematice S Sczut
Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
S Sczut
-
- 32 -
Nota:
n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin transferarea operaiilor auditabile cu riscuri semnificative (mari i medii) din documentul Clasarea operaiilor n funcie de analiza riscului care cuprinde un numr de 6 obiecte auditabile i 21 de riscuri asociate acestora.
Ierarhizarea obiectelor auditabile const n evaluarea funcionalitii sistemelor de control intern, care limiteaz efectele riscurilor i care dau posibilitatea auditorilor interni s aprecieze acele obiecte auditabile ca fiind puncte tari, celelalte riscuri pentru care nu exist activiti de control sau acestea sunt nefuncionale vor fi n continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 3 riscuri asociate obiectelor auditabile care au fost evaluate ca fiind puncte tari i vor fi eliminate, pentru moment, din auditare.
Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai operaiile considerate ca fiind puncte slabe , ocazie cu care vor fi renumerotate.
-
- 34 -
Procedura - P05 : Analiza riscurilor
ALPHA BANK
Serviciul Audit Intern
TEMATICA IN DETALIU A OPERAIILOR AUDITABILE
Misiunea de audit: Securitatea tehnologiei informaiei Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 20.01.2010
Avizat: Grecu George Data: 20.01.2010
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE Nr. paragraf
din Raportul
de audit intern
I. Securitatea IT 1. Politica de securitate IT
2. Monitorizarea implementrii politicii de securitate IT
3.Evaluarea controalelor fizice n domeniul IT
4.Sigurana accesului la reea i a comunicrii datelor n reea
5.Programe antivirus
6.Recuperarea datelor n caz de dezastru
Nota:
Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a
obiectelor auditabile, care a cuprins 6 de operaii/obiecte auditabile, i s-a finalizat cu Tematica n detaliu a misiunii de audit, n care au fost selectate numai 6 de obiecte auditabile.
n continuare, cele 6 de operaii/obiecte auditabile, vor fi avute n vedere n activitatea de auditare, deoarece reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza Programului interveniei la faa locului, care se vor materializa n F.I.A.P.-uri i F.C.R.I.-uri, acolo unde este cazul, i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a misiunii de audit.
Menionm,totui, c procedura Analiza riscurilor trebuie s rmn un document viu care n funcie de constatrile rezultate n Etapa de intervenie la faa locului s fie actualizat ori de cte ori se impune.
-
- 35 -
Procedura P06: Elaborarea programului de audit intern
ALPHA BANK
Serviciul Audit Intern
PROGRAMUL DE AUDIT INTERN Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 27.03.2010
Avizat: Grecu George Data: 27.03.2010
ETAPELE
MISIUNII DOMENIUL ACTIVITI
DURATA
(H)
PERSOANELE
IMPLICATE
LOCUL
DESF.
Tema
general: Tehnologia Informatiei 376
1.
PREGTIREA MISIUNII
DE AUDIT
152
1. Intocmirea i procesarea Ordinului de serviciu 2 Ionescu Daniel SAI
2. Intocmirea si validarea Declaraiei de independen 2 Ionescu Daniel SAI
3. Pregtirea i transmiterea Notificrii privind declanarea misiunii de audit intern ctre prile interesate
2 Barbu Mihai SAI
4. Colectarea i prelucrarea informaiilor 30 Ionescu Daniel
SAI
AUDITAT
5. Elaborarea Chestionarului de control intern 16
Ionescu Daniel /
Barbu Mihai SAI
6. ntocmirea Listelor de verificare 40
Ionescu Daniel /
Barbu Mihai SAI
7. Analiza riscurilor 32 Ionescu Daniel SAI
8. ntocmirea Programului de audit intern 8 Ionescu Daniel SAI
9.Intocmirea Programului preliminar al interveniei la faa locului
4 Barbu Mihai SAI
10. Organizarea edinei de deschidere cu Direcia IT.
4 Barbu Mihai SAI
11. Redactarea Minutei edinei de deschidere. 4 Barbu Mihai SAI AUDITAT
-
- 36 -
ETAPELE
MISIUNII DOMENIUL ACTIVITI
DURATA
(H)
PERSOANELE
IMPLICATE
LOCUL
DESF.
12. Organizarea edinei de inchidere cu Direcia IT.
4 Barbu Mihai SAI
AUDITAT
13. Redactarea Minutei edinei de inchidere. 4 Barbu Mihai AUDITAT
II.INTERVEN
IA LA FAA LOCULUI
140
OBIECTIVUL1.
Securitatea IT
42
1.1. Efectuarea testrilor, detaliate Programul interveniei la faa locului
8 Ionescu Daniel
AUDITAT
1.2. Discutarea constatrilor cu eful de serviciu 2 Ionescu Daniel SAI
1.3. Elaborarea F.I.A.P. - urilor 8 Ionescu Daniel SAI
1.4. Colectarea dovezilor 16 Barbu Mihai AUDITAT
1.5. Revizuirea documentelor de lucru din punct de
vedere al coninutului i al formei i ntocmirea Notei centralizatoare a documentelor de lucru
8 Barbu Mihai AUDITAT
III. RAPORTUL DE AUDIT INTERN 80
14. Redactarea si revizuirea proiectului de Raport de
audit intern
40 Ionescu Daniel SAI
15. Transmiterea proiectului de Raport de audit intern la
auditat i solicitarea rspunsului asupra coninutului n 15 zile
4
Barbu Mihai SAI
16. Organizarea Reuniunii de conciliere, dac este cazul 8 Barbu Mihai AUDITAT
17. Includerea n Raportul de audit intern a aspectelor
sesizate de structura auditata si reinute de auditori, finalizarea si intocmirea sintezei raportului
16
Ionescu Daniel SAI
18. Obinerea avizarii Raportului de audit intern aprobat de conducerea instituiei
8 Barbu Mihai SAI
19. Transmiterea recomandrilor aprobate ctre auditat 4 Barbu Mihai AUDITAT
IV. URMRIREA RECOMANDRILOR 4
20. Intocmirea fisei de urmarire a recomandarilor 4 Ionescu Daniel SAI
Auditorii, Supervizorul, Ionescu Daniel Grecu George
Barbu Mihai
-
- 37 -
Procedura - P06: Elaborarea programului de audit intern
ALPHA BANK
Serviciul Audit Intern
PROGRAMUL INTERVENIEI LA FAA LOCULUI
Misiunea de audit: Securitatea IT Perioada auditat: 01.01.2009- 31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data: 27.03.2010
Avizat: Grecu George Data: 27.03.2010
Obiectivul I. Securitatea IT
Nr.
crt.
OBIECTE AUDITABILE TIPUL TESTRII Locul Durata (h)
Nr.
test
Nr. lista
verificare
Auditori
1.
Politica de securitate IT - Verificarea existena politicii de securitate IT
- Verificarea actualizarea politicii de securitate IT
DIT 6 LV 4 Barbu Mihai
2. Monitorizarea implementrii politicii de securitate IT
- Analizarea ntocmirea i transmiterea sistematic a rapoartelor de monitorizare
DIT 6 LV 4 Ionescu Daniel
3. Evaluarea controalelor fizice n
domeniul IT
- Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate.
DIT 8 T
4.7. LV 4 Barbu Mihai
4. Sigurana accesului la reea i a comunicrii datelor n reea
- Verificarea alocrii numelui de utilizator i parolei aferente pentru accesul la reea - Monitorizarea conectrii la reea conform listei de logg-are
DIT 8 T
4.8. LV 4 Barbu Mihai
-
- 38 -
5. Programe antivirus - Verificarea implementrii programelor anti-virus conform procedurilor
- Monitorizarea sistematic a funcionalitii programelor anti-virus
- Verificarea sistemului de actualizare a programelor anti-virus
DIT 16 T
4.9. LV 4 Ionescu Daniel
6. Recuperarea datelor n caz de
dezastru
- Verificarea elaborrii planului de recuperare a datelor n caz de dezastru
- Verificarea desemnrii responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor
n caz de dezastru
- Verificarea efecturii monitorizrii sistematice
DIT 16 LV 4 Barbu Mihai
Auditorii, Supervizorul,
Ionescu Daniel Grecu George
Barbu Mihai
-
- 39 -
ALPHA BANK
Serviciul Audit Intern
MINUTA EDINEI DE DESCHIDERE
Misiunea de audit: Securitatea IT
Perioada auditat: 01.01.-31.12.2009 ntocmit: Ionescu Daniel/Barbu Mihai Data:
Avizat: Grecu George Data:
A. Lista participanilor:
Numele Funcia Direcia/ Serviciul
Nr.
telefon E-mail Semntura
Grecu George Coordonator CAPI
Ionescu Daniel Auditor SAPI
Barbu Mihai Auditor SAPI
Patrulescu George Conducator DIT
Voiculescu Alin Sef STDAM
Boerescu Ilie Sef SCD
Teodorescu Rodica Sef SEE
Eleodor Darius Sef SAPP
Iordache Camelia Sef SRC
Paun Elena Sef SSD
Badea Stefan Sef SAT
B. Stenograma edinei
n cadrul edinei de deschidere s-a procedat la: - Prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit intern; - Prezentarea funciei de audit intern de ctre auditori, n special a obiectivelor
generale ale auditului intern, semnificaia auditului intern. - Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se
intenioneaz a fi realizate, dup analizele de risc efectuate. A fost cerut prerea auditailor cu privire la aceste obiective, unde s-au fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la complexitatea securitatii IT; resursele umane insuficiente i neatractivitatea nivelului salariului pentru atragerea unor specialiti; fluctuatia mare a personalului implicat in activitatea IT.
- Stabilirea persoanelor pe care auditorii le pot contacta n vederea colectrii informaiilor, efecturii de teste asupra muncii lor i pentru a lua interviuri. De asemenea, a fost stabilit programul ntlnirilor i timpul necesar pentru realizarea acestor proceduri.
-
- 40 -
- Stabilirea condiiilor minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu de lucru, calculatoare, posibilitate de editare etc.)
- Convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul auditului, informarea sistematic asupra constatrilor.
- Stabilirea Reuniunii de nchidere, inclusiv a participanilor. - Stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va
fi distribuit). Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea recomandrilor.
-
- 60 -
LISTA DE VERIFICARE NR. 1
Obiectivul I. SECURITATEA IT
Nr.
Crt.
ACTIVITATEA DE AUDIT DA NU OBS.
1.1. Examinarea procedurilor privind securitatea IT
1.1.1. Verificarea gradului de acoperire prin proceduri a
activitilor realizate - -
a. Aprobarea procedurilor de ctre persoanele competente; - -
b. Stabilirea modelelor de formulare specifice; - -
a. Precizarea modalitilor de complectare a modelelor; - -
d. Oferirea unor exemple n acest sens; - -
e. Actualizarea sistematic a procedurilor; - -
f. Conformitatea procedurilor cu politica IT; - -
1.1.2.nglobarea activitilor de control intern n punctele cheie ale procesului;
- -
1.1.3. Respectarea principiul dublei semnturi; - -
1.1.4. Stabilirea responsabilitilor persoanelor implicate n activitatea de securitate IT;
- -
1.1.5. Asigurarea transpunerii prelucrrilor ntr-un sistem informatizat, respectiv realizarea codificrii modelelor de formulare i informaiile activitilor, algoritmi de prelucrare .a.
- -
1.1.6. Modalitatea arhivrii documentelor. - -
1.2. Compararea atribuiilor cuprinse n proceduri cu cele din fiele posturilor
- -
1.3. Examinarea cunoaterii procedurilor de ctre responsabilii cu realizarea acestei activiti
- -
1.4. Aprecierea calitii procedurilor de ctre personalul de execuie:
a) consider procedurile corespunztoare? - -
b) constatat disfuncionaliti n timpul aplicrii practice? - -
c) exist propuneri de perfecionare a procedurilor - -
d) modul de soluionare a propunerilor de perfecionare a procedurilor
- -
1.5. Politica de securitate IT X
Verificai existena politicii de securitate IT X
Verificai actualizarea politicii de securitate IT X Interviu
nr 1.5.
1.6. Monitorizarea implementrii politicii de securitate IT X
Verificai desemnarea unui responsabil cu monitorizarea implementrii politicii de securitate IT
X
Analizai ntocmirea i transmiterea sistematic a rapoartelor de monitorizare
1.7. Evaluarea controalelor fizice n domeniul IT X
-
- 61 -
Nr.
Crt.
ACTIVITATEA DE AUDIT DA NU OBS.
a. Verificai efectuarea controalelor fizice conform procedurilor - -
b. Verificai existena surselor alternative de energie electric - - c. Verificai realizarea sistematic a serviciilor de mentenan - - d. Verificai restricionarea accesul la servere-le IT numai al persoanelor autorizate, innd cont de pericolul deteriorrii acestor echipamentelor IT sau al datelor critice pe care le
proceseaz;
- -
e. Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate, astfel:
- camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce
asigur paza cldirii; X
- senzori de micare; X - sistem de alarm n caz de incendiu; X
- sistem de stingere a incendiilor; X
- echipamente de aer condiionat; X
- ui neinflamabile echipate cu ncuietori adecvate. X
1.8. Sigurana accesului la reea i a comunicrii datelor n reea X
Verificarea alocrii numelui de utilizator i parolei aferente pentru accesul la reea
X Test nr.
1.8.
Foaie de
lucru nr.
1.8.
List de control
nr. 1.8.
FIAP nr.
1.8.
Monitorizarea conectrii la reea conform listei de logg-are X Analizai dac a fost elaborat documentaia tehnic adecvat privind conectarea la Internet.
- -
Verificai dac aceast documentaie este adecvat i actualizat sistematic.
- -
Determinai dac manualele de utilizare a reelei au n vedere asigurarea securitii comunicrii datelor n reea.
- -
Analizai aciunile ntreprinse n cazurile n care este ameninat integritatea i eficacitatea transmiterii datelor n reea.
- -
Analizai rapoartele de monitorizare a traficului datelor n reea. - -
1.9.
Programele anti-virus X
Verificai implementarea programelor anti-virus conform procedurilor:
X
Test nr.
1.9.
Foaie de
lucru nr. 1.9.
List de control nr.
1.9.
FIAP nr.
1.9.
- instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru;
X
- programul anti-virus s verifice staia de lucru la pornire; X - programul anti-virus s monitorizeze toate programele i
aplicaiile active, mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic);
X
- programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui
X
Monitorizarea sistematic a funcionalitii programelor anti-virus
X
Verificai sistemul de actualizare a programelor anti-virus
X
-
- 62 -
Nr.
Crt.
ACTIVITATEA DE AUDIT DA NU OBS.
1.10.
Recuperarea datelor n caz de dezastru X
Elaborarea planului de recuperare a datelor n caz de dezastru. X
Interviu
nr.1.10.
FIAP nr.
1.10.
a. Aprobarea planului de recuperare a datelor n caz de dezastru. X
b. Desemnarea echipei de implementare a planului i a responsabilitilor adecvate membrilor echipei
X
c. Comunicarea planului personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru.
X
d. Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii
X
e. Cuprinderea tuturor domeniilor de aciune importante ale entitii n structura planului.
X
f. Identificarea principalele procese i aplicaii IT ce trebuiesc recuperate
X
g. Analizarea implementrii cerinelor specifice privind recuperarea datelor n caz de dezastru la nivelul sistemului IT.
X
Verificai desemnarea responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru
X
Verificai efectuarea monitorizrii sistematice X Verificai luarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
X
a. Verificai dac datele stocate pentru a fi recuperate n caz de dezastru sunt actualizate sistematic.
X
b. Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat
X
1.11. Sistemul de arhivare - -
Verificarea modului de arhivare a datelor - -
Verificai evaluarea periodic a activitii de arhivare - -
Data: 01.04.2009
Auditor intern, Supervizor,
Barbu Mihai Grecu George
-
- 63 -
ALPHA BANK Serviciul Audit Intern
INTERVIU nr.1.5.
privind Politica de securitate IT
adresat
domnului Ptrulescu George.
Misiunea de audit: Securitatea IT
Perioada auditat: 01.01.2009 - 31.12.2009
Nr.
crt. ntrebri Da Nu Obs.
1. Exist o politic de securitate IT?
X
2. Exist preocupri pentru securitatea IT?
X
3. Politica de securitate IT este actualizat?
X
4. Este desemnat un responsabil cu monitorizarea
implementrii politicii de securitate IT?
X
5. Este desemnat un responsabil cu gestionarea
riscurilor la nivelul departamentului IT?
X .
6. Au fost ntocmite i transmise sistematic rapoarte de monitorizare?
X
7. Mai avei ceva de adugat?
X
Data: 03.04.2009 Auditori, Intervievat,
NOTA:
Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s nu se elaboreze FIAP. Informaiile primite n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.
-
- 64 -
Procedura P07: Colectarea dovezilor
ALPHA BANK
Serviciul Audit Public Intern TEST NR. 1.8.
Misiunea de audit: Securitatea IT
Perioada auditat: 01.01.2009- 31.12.2009
Obiectul testului: Securitatea IT.
Obiectivele testului: Sigurana accesului la reea i a comunicrii datelor n reea
Descrierea testului
Populaia statistic a fost constituit din cele 250 de calculatoare existente la nivelul entitii, conform Listei de inventariere a calculatoarelor personale.
Eantionul pentru realizarea testrii siguranei accesului la reea a fost stabilit pe baza unui procent de 2%, din totalul populaiei statistice, respectiv 5 calculatoare personale.
Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 1, poz. 1.8, i anume:
- Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la reea ;
- Monitorizarea conectrii la reea conform listei de logg-are. Constatri
Din analiza Listei de control nr. 1.2. rezultate, s-a constatat c: a. majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu,
trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare
subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul.
b. datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-
le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT.
c. practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului.
d. n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate. Concluzii n acest caz se va elabora FIAP nr. 1.8.
Data: 01.04.2009
Auditor intern, Georgescu Ion Supervizor,
Ionescu Mircea
-
- 65 -
FOAIE DE LUCRU NR. 1.8.
Obiectul 1.: Securitatea IT
Obiectivul : Sigurana accesului la reea i a comunicrii datelor n reea
Testarea se va realiza pe un eantion care a fost constituit astfel:
- populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor
calculatoarelor ce se conecteaz la reeaua entitii la poziiile: 35, 85, 135, 185, 235
- eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.
Data: 08.04.2009
Auditor, Supervizor,
Barbu Mihai Grecu George
-
- 66 -
Lista control nr. 1.8.
privind Accesul i comunicarea datelor n reea
Elemente
Testate
Eantion
Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la reea
Monitorizarea conectrii la reea conform listei de logg-are
Computer aflat la
poziia 35
FIAP X
Computer aflat la
poziia 85
X X
Computer aflat la
poziia 135
FIAP X
Computer aflat la
poziia 185
FIAP X
Computer aflat la
poziia 235
X X
Auditor, Supervizor,
Barbu Mihai Grecu George
-
- 67 -
Procedura - P07: Colectarea dovezilor
ALPHA BANK
Serviciul Audit Intern
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 1.8.
Misiunea de audit: Securitatea IT
Perioada auditat: 01.01.2009 01.01.2010
PROBLEMA
Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul IT.
CONSTATARE
Din evaluare s-a constatat c majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite.
Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT
trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul.
CAUZE
- Inexistena unor proceduri adecvate de conectare a utilizatorilor la reea; - Lips corelrii dintre atribuiile de serviciu i fiele de post ale salariailor.
CONSECINE - Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori
acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de
identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT.
- Practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului.
- n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.
RECOMANDRI - Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul
entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;
-
- 68 -
- Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT
- Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse;
- Instruirea adecvat a salariailor ce utilizeaz sistemul IT; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i
monitorizrii riscurilor.
ntocmit, Supervizat, Pentru conformitate,
Barbu Mihai Grecu George Eleodor Darius
-
- 69 -
Procedura P07: Colectarea dovezilor
ALPHA BANK
Serviciul Audit Public Intern
TEST NR. 1.9.
Misiunea de audit: Securitatea IT
Perioada auditat: 01.01.2009- 31.12.2009
Obiectul testului: Securitatea IT.
Obiectivele testului: Programele anti-virus
Descrierea testului
Populaia statistic testat a fost constituit din totalul calculatoarelor personale utilizate la nivelul entitii, adic 250 de computere.
Eantionul pentru realizarea testrii programelor anti-virus a fost stabilit pe baza unui procent de 2%, din totalul populaiei de 250 de calculatoare, respectiv 5 calculatoare personale, conform Foii de lucru nr. 1.9.
Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr.1, poz. 1.9, i anume:
Verificarea implementarea programelor anti-virus conform procedurilor: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de
lucru;
- programul anti-virus s verifice staia de lucru la pornire; - programul anti-virus s monitorizeze toate programele i aplicaiile active,
mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic); - programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient
datele electronice mpotriva viruilor nou-aprui.
Monitorizarea sistematic a funcionalitii programelor anti-virus;
Verificai sistemul de actualizare a programelor anti-virus.
Constatri O politic adecvat de securitate IT trebuie s prevad instalarea unui program
anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).
Echipa de auditori a verificat 5 de staii de lucru, selectate din cadrul tuturor departamentelor.
-
- 70 -
Din analiza Listei de control nr. 1.9. rezultate, s-a constatat c: - n cazul a 2 calculatoare din cadrul entitii configuraia programului anti-virus a fost
modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului;
- Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.
Concluzii n acest caz se va elabora FIAP.
Data: 01.04.2009
Auditor intern, Supervizor,
Barbu Mihai Grecu George
-
- 71 -
FOAIE DE LUCRU NR. 1.9.
Obiectul 1. : SECURITATEA IT
Obiectivul : Programele anti-virus
Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor
calculatoarelor ce se conecteaz la reeaua entitii la poziiile: 11, 61, 111, 161, 211
conform celor prezentate n Lista de control anexat la Testul nr. 1.9.: - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.
Data: 08.04.2009
Auditor, Supervizor,
Barbu Mihai Grecu George
-
- 60 -
Lista control nr. 4.9.
privind Programele anti-virus
Elemente
Testate
Eantion
Verificarea implementarea programelor anti-virus conform procedurilor
Monitorizarea
sistematic a funcionalitii
programelor anti-
virus
Verificarea
sistemului de
actualizare a
programelor
anti-virus
Instalarea unui program
anti-virus adecvat
necesitilor utilizatorilor staiilor de
lucru
Programul anti-virus s verific staia de lucru la
pornire
Programul anti-virus
monitorizeaz toate programele i aplicaiile active, mesajele primite
i verific automat actualizrile la intervale
regulate (zilnic)
Programul anti-virus se
actualizeaz n reea, astfel nct s protejeze
eficient datele
electronice mpotriva
viruilor nou-aprui
Computer
aflat la
poziia 11
X X X X X X
Computer
aflat la
poziia 61
X X X X X X
Computer
aflat la
poziia 111
FIAP FIAP FIAP FIAP FIAP FIAP
Computer
aflat la
poziia 161
FIAP FIAP FIAP FIAP FIAP FIAP
Computer
aflat la
poziia 211
NU X X X X X
Auditor, Supervizor,
Barbu Mihai Grecu George
-
- 61 -
Procedura - P07: Colectarea dovezilor
ALPHA BANK
Serviciul Audit Intern
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 1.9.
Misiunea de audit: Securitatea IT
Perioada auditat:
PROBLEMA
Neaplicarea n mod unitar a politicii de securitate IT a condus la infectarea cu
virui a unor staii de lucru din sistemul IT al entitii.
CONSTATARE
O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).
Echipa de auditori a verificat 15 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele:
- n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; - Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.
CAUZE
- Inexistena unei proceduri pentru aplicarea n mod unitar a politicii de securitate IT;
- Lipsa procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus.
CONSECINE
- Prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea utilizatorilor din cadrul departamentelor.
- Existena viruilor ridic numeroase semne de ntrebare n privina exactitii datelor stocate n sistemul IT.
-
- 62 -
RECOMANDRI
- Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus;
- Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor; - Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu
sarcinile stabilite prin proceduri;
- Monitorizarea aplicrii n mod unitar a politicii de securitate IT; - Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul
tuturor staiilor de lucru din cadrul entitii;
ntocmit, Supervizat, Pentru conformitate,
Barbu Mihai Grecu George Eleodor Darius
-
- 63 -
ALPHA BANK
Serviciul Audit Intern
INTERVIU nr.1.10.
privind recuperarea datelor n caz de dezastru
adresat
domnului Bloiu Gheorghe, Serviciul Asisten Tehnic
Misiunea de audit: Securitatea IT
Perioada auditat: 01.01.2009 - 31.12.2009 Nr.
crt. ntrebri Da Nu Obs.
1. Elaborarea planului de recuperare a datelor n caz de dezastru. X a. Aprobarea planului de recuperare a datelor n caz de
dezastru. X
b. Desemnarea echipei de implementare a planului i a responsabilitilor adecvate membrilor echipei
X
c. Comunicarea planului personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru. X
FIAP
nr.
4.10.
d. Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii X
FIAP
nr.
4.10.
e. Cuprinderea tuturor domeniilor de aciune importante ale entitii n structura planului.
X
f. Identificarea principalele procese i aplicaii IT ce trebuiesc recuperate
X
g. Analizarea implementrii cerinelor specifice privind recuperarea datelor n caz de dezastru la nivelul sistemului IT.
X
2. Desemnarea responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru
X
3. Luarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
X
a. Verificai dac datele stocate pentru a fi recuperate n caz de dezastru sunt actualizate sistematic.
X
b. Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat X
FIAP
nr.
4.10.
Data: 03.04.2009 Auditori, Intervievat,
NOTA:
Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s se elaboreze FIAP nr. 1.4. Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.
-
- 64 -
Procedura - P07: Colectarea dovezilor
ALPHA BANK
Serviciul Audit Intern
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 1.10.
Misiunea de audit: Securitatea IT
Perioada auditat:
PROBLEMA
Nerecuperarea datelor n cazul producerii unui eventual dezastru.
CONSTATARE
Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.
Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate.
CAUZE
- Inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru;
- Neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru.
CONSECINE
- Incapacitatea de recuperare complet a datelor n caz de dezastru, conform cerinelor planificate;
- ntr-o situaia producerii unui dezastru activitile stabilite prin planul de recuperare a datelor se pot dovedi insuficiente pentru atingerea obiectivelor
stabilite.
-
- 65 -
RECOMANDRI
- Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile;
- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.
- Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate
procedurilor privind recuperarea datelor n caz de dezastru.
ntocmit, Supervizat, Pentru conformitate,
Barbu Mihai Grecu George Badea tefan
-
- 66 -
Procedura P08: edina de nchidere
ALPHA BANK
Compartimentul Audit Intern
MINUTA EDINEI DE NCHIDERE
Misiunea de audit: Securitatea IT
Perioada auditat: 01.01.2009-01.01.2010 ntocmit: Ionescu Daniel/Barbu Mihai Data: 15.03.2010
Avizat: Grecu George Data: 15.03.2010
Lista participanilor:
Numele Funcia Direcia/ Serviciul
Nr.
telefon E-mail Semntura
Dumitru Daniel
Coordonat
or
CAPI
Popescu Sorin Auditor SAPI
Radu George Auditor SAPI
Ptrulescu George Conductor DIT
Voiculescu Alin ef STDAM
Boerescu Ilie ef SCD
Teodorescu Rodica ef SEE
Eleodor Darius ef SAPP
Iordache Camelia ef SRC
Pun Elena ef SSD
Badea tefan ef SAT
Stenograma edinei:
Prezentarea obiectivelor auditate si constatrilor pentru fiecare obiect auditat; a fost discutat fiecare deficien n parte, au fost analizate cauzele care au contribuit la realizarea disfunctionalitii, au fost prezentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate.
In cadrul Sedintei de inchidere structura auditata si-a insusit in totalitate constatarile si recomandarile formulate de echipa de auditori.
In consecinta, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregatit pentru aprobare si transmitere structurii auditate. Raportul de audit
intern va fi insotit de o SINTEZA care va contine concluziile echipei de auditori
interni cu prezentarea principalelor recomandari si opinia generala a acesteia.
Structura auditata se angajeaza sa completeze Planul de actiune si calendarul implementarii recomandarilor, cu termenele de realizare si persoanele responsabile cu
implementare acestora, pe care il vor discuta cu echipa de auditori.
-
- 67 -
ALPHA BANK
Serviciul Audit Intern
RAPORT DE AUDIT INTERN
STRUCTURA AUDITAT:
ALPHA BANK
MISIUNE DE AUDIT INTERN: SISTEMUL INFORMATIC
BUCURESTI
2010
-
- 68 -
I. INTRODUCERE
Echipa de auditare a fost formata din :
Ionescu Daniel - auditor superior, cooordonator al misiunii;
Barbu Mihai - auditor superior. Auditorii fac parte din Compartimentul de Audit Intern al ALPHA BANK.
Ordinul de efectuare a misiunii de audit - Ordinul de serviciu nr. 25/08.01.2010 aprobat de
conductorul entitii.
Baza legal a aciunii de auditare:
- Planul de audit intern pentru anul 2010, aprobat de conducerea instituiei;
- Legea nr. 672/2002 privind auditul public intern, cu modificarile si completarile ulterioare;
- OMFP nr. 38/15.01.2003 prin care se aproba Normele metodologice de aplicare a Legii nr. 672/2002, cu modificarile si completarile ulterioare;
- Ordinul prin care se aproba Normele proprii de exercitare a auditului intern n cadrul entitatii publice.
Durata aciunii de auditare 25.01.2010 17.04.2010.
Perioada supus auditrii 01.01.2009 31.12.2009
Scopul misiunii de audit intern este acela de evaluare a activitii IT de la nivelul entitatii, in ceea ce priveste respectarea conditiilor de legalitate, economicitate, eficacitate, de a adauga
valoare prin formularea recomandarilor, iar in cazul identificarii unor probleme/iregulariti, de corectare a acestora.
Obiectivele misiunii de audit intern:
Securitatea IT.
Tipul de auditare Echipa de auditori interni a efectuat un audit de conformitate/regularitate privind respectarea principiilor, regulilor metodologice si procedurale in ceea ce priveste
securitatea IT de la nivelul entitii.
Principalele tehnici si instrumente de audit utilizate:
interviul pentru lmurirea de aspecte legate de organizarea i desfurarea activitilor;
testarea pentru urmairea detectarii erorilor sau a iregularitatilor;
eantionarea pentru analiza ntocmirii documentelor i efectuarea plilor;
observarea fizic n vederea formrii unei preri proprii privind modul de ntocmire i emitere a documentelor;
-
- 69 -
liste de verificare pentru a stabili condiiile pe care trebuie s le ndeplineasc fiecare domeniu auditabil;
liste de control;
chestionare;
FIAP-uri intocmite pentru fiecare disfunctionalitate constatata;
Documente i materiale examinate n cadrul ALPHA BANK- verificarea la faa locului a vizat urmtoarele materiale i documente:
legislatia in vigoare privind activitatea IT;
manuale de utilizare i manuale de operare;
planul de recuperare n caz de dezastru;
procedurile aplicabile activitii IT;
alte documente.
Materialele ntocmite pe timpul auditrii au fost urmtoarele:
teste si foi de lucru privind descrierea activitilor auditate;
fie de identificare si analiz a problemelor constatate (FIAP);
liste de verificare pe obiective (LV);
documente de lucru;
tabel Puncte tari i puncte slabe,
Tematica in detaliu;
Programul de audit, Programul interveniei la faa locului;
Chestionarul de control intern;
raport de audit, minutele edinelor de deschidere, nchidere etc.
II. CONSTATRI SI RECOMANDARI
Evaluarea respectarii conditiilor de conformitate si regularitate a activitii de tehnologie a informaiei la nivelul entitii a pornint de la elaborarea planului strategic, defalcarea acestuia n planuri anuale, organizarea i funcionarea departamentului IT, implementarea sistemului informatic si securitatea datelor din acest sistem i s-a materializat in elaborarea listelor de verificare, testelor bazate pe esantionare, verificarilor prin listele de control, observari fizice pe
teren, interviurilor care au condus la solicitarea unor note de relatii, prin care s-au identificat o
serie de probleme si defcienelor care au fost inscrise in formularele de constatare (FIAP-uri). Analiza activitatii de achizitii publice a impus evaluarea cadrului procedural existent care
sta la baza organizarii si functionarii sistemului.
In continuare, prezentam principalele constatari, consecintele care s-au produs sau care ar
putea sa apara in perioada imediat urmatoare, precum si recomandarile formulate in vederea
corectarii disfunctionalitatilor semnalate sau ale celor care pot sa survina urmare acestora,
diminuarii riscurilor existente si imbunatatirii sistemelor de management si control intern al
activitatilor auditate cu scopul facilitarii atingerii obiectivelor prestabilite.
1.1. Evaluarea controalelor fizice n domeniul IT
-
- 70 -
Pentru protecia echipamentelor IT precum i a datelor n format electronic prelucrate, transferate i/sau stocate la nivelul acestor echipamente n cadrul entitii au fost implementate controale fizice, astfel:
camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii;
senzori de micare;
sistem de alarm n caz de incendiu;
sistem de stingere a incendiilor;
echipamente de aer condiionat;
ui neinflamabile echipate cu ncuietori adecvate. Practic s-a constatat c nu au fost instalate nici camere de supraveghere care acoper zona
de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii precum i nici senzori de micare la nivelul Departamentul Resurse Umane. Acast situaie a fost remediat n timpul misiunii de audit.
1.2. Sigurana accesului la reea i a comunicrii datelor n reea
n urma misiunii de audit efectuate, s-a constatat c majoritatea salariailor din cadrul entitii, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT, fapt pentru care folosesc nume de utilizator i parole diferite.
Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc
folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul.
Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT.
Practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului, iar n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.
Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri:
- Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol;
- Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT
- Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse;
- Instruirea adecvat a salariailor ce utilizeaz sistemul IT; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii
riscurilor.
1.3. Programele anti-virus
-
- 71 -
Echipa de auditori interni a verificat:
- instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - dac programul anti-virus verific staia de lucru la pornire; - dac programul anti-virus monitorizeaz toate programele i aplicaiile active,
mesajele primite i verific automat actualizrile la intervale regulate (zilnic); - dac programul anti-virus s se actualizeaz n reea, astfel nct s protejeze eficient
datele electronice mpotriva viruilor nou-aprui. De asemenea a fost analizat modul de monitorizare sistematic a funcionalitii programelor anti-virus.
S-a constatat neaplicarea n mod unitar a politicii de securitate IT, fapt ce a condus la
infectarea cu virui a unor staii de lucru din sistemul IT al entitii. O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).
n urma verificrii la faa locului a unui eantion din staiile de lucru ce funcioneaz n sistemul IT al entitii, s-au constatat urmtoarele deficiene:
n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului;
Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.
Considerm c aspectele negative constatate se datoreaz lipsei procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus.
Practic, prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea utilizatorilor din cadrul departamentelor. De asemenea, existena viruilor ridic numeroase semne de ntrebare n privina exactitii datelor stocate n sistemul IT.
Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri:
Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus;
Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor; Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu
sarcinile stabilite prin proceduri;
Monitorizarea aplicrii n mod unitar a politicii de securitate IT; Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul
tuturor staiilor de lucru din cadrul entitii;
1.4. Recuperarea datelor n caz de dezastru
Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Astfel, este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.
-
- 72 -
Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate.
Practic, inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru face posibil neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru. Din aceste considerente n situaia producerii unui dezastru activitile stabilite prin plan se pot dovedi insuficiente pentru atingerea obiectivelor stabilite.
Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri:
- Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile;
- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.
- Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate
procedurilor privind recuperarea datelor n caz de dezastru.
III. CONCLUZII
Prezentul proiect de Raport de audit intern a fost ntocmit n baza Listei centralizatoare a
obiectelor auditabile, a Programului de audit i a Programuui de intervenie la faa locului, a constatrilor efectuate, n timpul colectrii i prelucrrii informaiilor, i n timpul muncii pe teren. Toate constatrile au la baza probe de audit obtinute pe baza testelor efectuate consemnate in documentele de lucru (liste de control, foi de lucru, interviuri, note de relatii) intocmite de
auditorii interni si insusite de factorii de management ai entitatii.
Evaluarea are la baza discutiile care au avut loc, cu privire la recomandarile auditorilor
interni, in sedina de inchidere a misiunii, apreciate de catre participanti, ca fiind realiste si fezabile.
De asemenea, consideram ca rezultatele evaluarii auditorilor interni privind Securitatea
IT se inscriu in parametri normali pentru aceasta perioada de implementare a functiei de
tehnologia informaiei n entitile publice. n consecinta, apreciem ca prin implementarea recomandarilor echipei de audit intern
securitatea IT va cunoaste o ameliorare semnificativa.
Structura auditat are obligaia s ntocmeasc Programul de aciune n vederea implementrii recomandrilor i s raporteze echipei de auditori interni, periodic, stadiul de implementare al acestora.
Data: 15.03.2010
Auditori interni, Supervizat,
Ionescu Daniel Grecu George
Barbu Mihai
-
- 73 -
S I N T E Z A
RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit intern privind Securitateaa IT din cadrul entitatii publice s-a
desfasurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, Normelor
generale privind exercitarea activitatii de audit public intern, aprobate prin OMFP nr. 38/2003
si a Normelor specifice aprobate de conducerea entitatii. Misiunea a fost cuprinsa in Planul de
audit intern pe anul 2006, si a fost realizata de auditorii interni: Popescu Sorin, auditor superior
si Radu George, auditor superior.
II. CONCLUZII
Echipa de auditori interni in baza Programului de audit intern, a testarilor si analizei
efectuate evalueaza Activitatea de achizitii publice din cadrul entitatii, dupa cum urmeaza:
Nr.
Crt
.
OBIECTIVUL APRECIERE
FUNCTIONAL DE IMBUNATATIT CRITIC
1. SECURITATEA IT X
III. CONSTATARI SI RECOMANDARI
CONSTATARE nr. 1: O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus
pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).
Echipa de auditori a verificat 15 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele:
- n 5 departamente din cadrul entitii configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului;
- Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.
-
- 74 -
RECOMANDARE nr. 1:
- Monitorizarea aplicrii n mod unitar a politicii de securitate IT;
- Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii;
CONSTATARE nr. 2: Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru
aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.
Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate.
RECOMANDARE nr. 2:
- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.
Data: 15.03.2010
Auditori interni, Supervizat,
Ionescu Daniel Grecu George
Barbu Mihai
-
- 76 -
ALPHA BANK
Serviciul Audit Intern
PLANUL DE ACIUNE I CALENDARUL IMPLEMENTRII RECOMANDRILOR
Nr.
ob.
Recomandarea Plan de aciune
Calendarul
implementrii Responsabil cu
implementarea
1.
Realizarea unui proces de reenginering
la nivelul sistemului IT din cadrul
entitii, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie
utiliznd un singur nume de utilizator i o singur parol
Realizarea procesului de
reenginering la nivelul
sistemului IT
08.05.2010 Badea tefan, Serviciul asisten tehnic
Stabilirea unui responsabil pentru
derularea acestui proces reenginering al
sistemului IT
Stabilirea responsabilului 20.04.2010 Badea tefan, Serviciul asisten tehnic
Implementarea unui sistem de raportare
potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii prin care s specifice aciunile ntreprinse pentru facilitarea accesului la
subsistemele IT
Implementarea sistemului de
raportare
27.04.2010 Ptrulescu tefan, director Direcia Tehnologia Informaiei
Instruirea adecvat a salariailor ce utilizeaz sistemul IT
Realizarea instruirii
utilizatorilor
30.11.2010 Ptrulescu tefan, director Direcia Tehnologia Informaiei
Elaborarea procedurilor formalizate care
s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului antivirus
Elaborarea procedurilor 02.05.2010 Teodorescu Rodica,
Serviciul exploatarea
echipamentelor
Stabilirea unui responsabil pentru
elaborarea i actualizarea procedurilor Stabilirea responsabilului 20.04.2010 Teodorescu Rodica,
Serviciul exploatarea
-
- 77 -
echipamentelor
Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin
proceduri
Analiza