Audit Optasi Sep 2014

1

COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR Nr. ________/___________

ORDIN DE SERVICIU

n conformitate cu prevederile art. 8, litera c. din Legea nr. 672/2002 privind auditul public intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice

generale privind exercitarea activitii de audit intern, cu modificrile i completrile ulterioare i a Planului de audit intern pentru anul 2014 (perioada 08.08-31.12.2014), se va efectua misiunea de audit intern privind Organizarea activitii sistemului informatic, n perioada 16.09.2014-19.09.2014.

Scopul misiunii de audit este de a da asigurri asupra activitii sistemului informatic i a conformitii cu cadrul legislativ i normativ aplicabil, fiind structurate pe urmtoarele domenii auditabile:

Planul sistemului informatic

Organizarea i funcionarea IT;

Implementarea sistemului IT;

Securitatea IT.

Menionm c se va efectua un audit al modului de organizare a activitii de tehnologia informaiei.

Ca auditori sunt desemnai d-l Tecuceanu Mircea i d-na Neagu Snziana, ef Compartiment Audit, supervizorul misiunii.

Auditor: Avizat ef compartiment

Tecuceanu Mircea Neagu Snziana

2

COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR

DECLARAIA DE INDEPENDEN

Nume i prenume: Neagu Snziana Misiunea de audit: Organizarea activitii sistemului informatic Data: 16.09.2014

Incompatibiliti n legtur cu entitatea/structura auditat DA NU

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel?

- X

Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit?

- X

Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat?

- X

Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European?

- X

Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat?

- X

Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv?

- X

Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?

- X

Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat?

- X

Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X

Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat?

- X

Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai eful Serviciului de audit intern de urgen?

X -

Auditor supervizor:

Neagu Snziana

3


DECLARAIA DE INDEPENDEN

Nume i prenume: Tecuceanu Mircea Misiunea de audit: Organizarea activitii sistemului informatic Data: 16.09.2014

Incompatibiliti n legtur cu entitatea/structura auditat DA NU

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel?

- X

Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit?

- X

Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat?

- X

Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European?

- X

Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat?

- X

Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv?

- X

Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?

- X

Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat?

- X

Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X

Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat?

- X

Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai eful Serviciului de audit intern de urgen?

X -

Auditor:

Tecuceanu Mircea

4

COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR Nr. ________/___________

NOTIFICAREA

PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Misiunea de audit intern: Organizarea activitii sistemului informatic.

n conformitate cu Planul de audit intern pe anul 2014, urmeaz ca n perioada 16.09.2014-19.09.2014 s efectum o misiune de audit intern avnd ca tem Organizarea activitii sistemului informatic. Scopul misiunii de audit intern este acela de a furniza o asigurare independent conducerii n ceea ce privete funcionalitatea sistemului informatic i formularea de recomandri pentru mbuntirea acestuia. Perioada supus evalurii este 01.01.2013 - 30.06.2014 V rugm s desemnai o persoan de contact pentru a ne ajuta n timpul derulrii misiunii de audit intern, urmnd a stabili de comun acord data edinei de deschidere, avnd pe ordinea de zi urmtoarele:

- prezentarea i discutarea obiectivelor misiunii de audit intern; - discutarea programului interveniei la faa locului; - stabilirea persoanelor de legtur n cadrul compartimentelor auditate; - alte aspecte organizatorice necesare desfurrii misiunii.

Pentru o mai bun documentare a auditorului intern referitoare la activitatea entitii, v rugm sa ne punei la dispoziie urmtoarea documentaie necesar:

cadrul legal i de reglementare aplicabil domeniului IT;

Regulamentul de organizare i funcionare;

fiele posturilor;

rapoartele de audit intern anterioare;

alte rapoarte, note, dosare anterioare care se refer la aceasta tem. Pentru eventualele ntrebri privind aceasta aciune, v rugm s contactai pe

domnul Anton Florin, auditor intern.

Cu deosebit consideraie,



5


COLECTAREA INFORMAIILOR

Misiunea de audit: Organizarea activitii sistemului informatic Perioada auditat: 16.09.2014-19.09.2014

COLECTAREA INFORMAIILOR

DA NU OBSERVATII

Identificarea legilor si regulamentelor aplicabile

structurii auditate X -

Obinerea organigramei X -

Obinerea Regulamentului de organizare si funcionare X -

Obinerea fiselor posturilor X -

Obinerea procedurilor scrise si formalizate X -

Identificarea personalului responsabil X -

Obinerea Raportului de audit intern anterior X

Rapoarte elaborate de alte instituii X -



6


LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE


Nr.

crt. DOMENIUL OBIECTE AUDITABILE OBS.

I. Plan strategic

1. Politicile n domeniul IT

2. Modalitatea de elaborare a planului strategic i a planurilor anuale

3. Subsistemele informatice pentru funciile principale

4. Integrarea subsistemelor informatice

5. Stabilirea responsabililor cu elaborarea si actualizarea planului

6. Aprobarea planului

II. Organizarea i funcionarea IT

7. Organizarea IT

8. Stabilirea responsabilitilor prin fiele posturilor

9. Calificarea i pregtirea salariailor

10. Pregtirea profesional continu

11. Sistemul de evaluare a personalului

12. Sistemul de gestionare a riscurilor

III. Implementarea

sistemului

informatic

13. Gradul de realizare al obiectivelor stabilite prin plan

14. Existena controalelor generale IT

15. Funcionalitatea n reea

16. Situaia licenelor pentru programele de calculator

17. Asigurarea integrrii componente

18. Elaborarea manualelor de utilizare i a manualelor de operare

19. Instruirea utilizatorilor IT

IV. Securitatea IT

20. Politica de securitate IT

21. Monitorizarea implementrii politicii de securitate IT

22. Evaluarea controalelor fizice n domeniul IT

23. Sigurana accesului la reea i a comunicrii datelor n reea

24. Programe antivirus

25. Recuperarea datelor n caz de dezastru

26. Sistemul de arhivare



7


IDENTIFICAREA RISCURILOR


Nr.

crt.

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.

I. Plan strategic 1. Politicile n domeniul IT 1. Inexistena unei atitudini favorabile n privina informatizrii activitii .

2. Modalitatea de elaborare a

planului strategic i a planurilor anuale

2. Fundamentarea insuficient a planului

3. Necorelarea planurilor anuale

4. Lipsa prioritizrii activitilor

3. Subsistemele informatice

pentru funciile principale 5. Neacoperirea domeniilor de activitate

informatice

6. Necorelarea termenelor previzionate

7. Nedefinirea responsabilitilor

8. Insuficienta previzionare a resurselor

4. Integrarea subsistemelor

informatice

9. Incompatibilitatea subsistemelor informatice

5. Stabilirea responsabililor cu

elaborarea si actualizarea

planului

10. Nedesemnarea responsabilului cu elaborarea

planului

11. Nestabilirea persoanei responsabile cu

actualizarea planului

6. Aprobarea planului 12. Planul nu este aprobat

13. Planul nu este aprobat de persoanele

competente

14. Coordonarea neadecvat a planurilor

II. Organizarea i funcionarea IT

7. Organizarea IT 15. Inexistena i/sau neaprobarea organigramei

16. Neformalizarea procedurilor specifice

activitilor desfurate

17. Personal de execuie neadecvat

18. Dotare cu hard i soft inadecvat pentru desfurarea activitilor specifice

19. Inexistena unui sistem de control .

20. Neefectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului

8

Nr.

crt.


8. Stabilirea

responsabilitilor prin fiele posturilor

21. Neactualizarea fielor posturilor

22. Nerespectarea principiului segregrii sarcinilor de serviciu

23. Necuprinderea atribuiilor stabilite prin ROF n fiele posturilor

9. Calificarea i pregtirea salariailor

24. Calificarea necorespunztoare/insuficient a personalului


25. Inexistena planurilor de pregtire profesional continu

26. Neaprobarea planurilor de pregtire profesional continu

27. Nerealizarea activitilor previzionate prin planurile de pregtire profesional continu

11. Sistemul de evaluare a

personalului

28. Inexistena unui sistem de evaluare anual a salariailor

29. Nerealizarea evalurii pe parcursul anului a salariailor departamentului

30. Evaluarea formal a personalului

12. Sistemul de gestionare a

riscurilor conducerea Registrului riscurilor

31. Inexistena unei politici unitare privind gestionarea riscurilor

32. Inexistena unui responsabil privind gestionarea riscurilor

III. Implementarea

sistemului IT

13. Gradul de realizare a

subsistemelor informatice

stabilite prin plan

33. Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic

34. Evoluii tehnologice cu implicaii asupra ndeplinirii planului

35. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice

14. Influena cadrului legal i a evoluiei tehnologice n organizarea i implementarea sistemului IT

36. Implicaiile evoluiilor tehnologice n domeniul IT


15. Funcionalitatea subsistemelor n reea

38. Inexistena unei politici de transmitere a datelor n reea

39. Implicaiile evoluiilor tehnologice n domeniul IT

16. Situaia licenelor pentru programele de calculator

40. Valabilitate licene

17. Situaia subsistemelor informatice


42. Evoluii tehnologice cu implicaii asupra integrrii subsistemelor

9

Nr.

crt.


43. Neconcordane n integrarea subsistemelor

18. Elaborarea manualelor de

utilizare i a manualelor de operare

44. Inexistena/Insuficiena manualelor de utilizare i a manualelor de operare

45. Lipsa unor componente i existena unor elemente neclarificate n coninutul manualelor

19. Instruirea utilizatorilor

subsistemelor IT

46. Inexistena unui program de instruire al utilizatorilor

47. Neefectuarea instruirii sistematice a

utilizatorilor subsistemelor IT

IV. Securitatea IT 20. Politica de securitate IT 48. Inexistena politicii de securitate

49. Neaplicarea politicii de securitatea n mod consecvent

21. Evaluarea controalelor

fizice n domeniul IT 50. Lipsa procedurilor privind implementarea

controalelor fizice n domeniul IT

51. Lipsa unor proceduri pentru realizarea

controalelor fizice

52. Neefectuarea controalelor fizice conform

procedurilor

22. Sigurana accesului la reea i a comunicrii datelor n reea

53. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea

54. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea

55. Neefectuarea monitorizrii sistematice

56. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor

23. Programe antivirus 57. Lipsa procedurilor privind implementarea

programelor antivirus

58. Neluarea msurilor necesare privind implementarea programelor antivirus conform

procedurilor

24. Recuperarea datelor n caz de dezastru

59. Lipsa procedurilor privind recuperarea

datelor n caz de dezastru

60. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru

61. Neefectuarea monitorizrii sistematice

62. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor

25. Sistemul de arhivare 63. Lipsa procedurilor privind arhivarea datelor

64. Nedesemnarea responsabilitii pentru arhivarea datelor

10

Nr.

crt.


65. Neefectuarea evalurii periodice a activitii de arhivare



11


STABILIREA FACTORILOR DE RISC, A PONDERILOR I NIVELURILOR DE APRECIERE AL RISCURILOR


Factori de risc

(Fi)

Ponderea factorilor

de risc

(Pi)

Nivelul de apreciere al riscului (Ni)

N 1

N 2

N 3

Aprecierea

controlului intern

F1

P1 50%

Exist proceduri i se aplic

Exist proceduri, sunt cunoscute,

dar nu se aplic

Nu exist proceduri

Aprecierea

cantitativ F2

P2 30%

Impact

financiar

sczut

Impact financiar

mediu

Impact

financiar

ridicat

Aprecierea

calitativ F3

P3 20% Vulnerabilitate

mic Vulnerabilitate

medie

Vulnerabilitate

mare



12


TABELUL PUNCTE TARI I PUNCTE SLABE


Nr.

crt.

Do

men

iul

Obiecte

auditabile Riscuri semnificative T/S

Consecinele funcionrii/

nefuncionrii controlului

intern

Grad de

ncredere al auditorului

n controlul intern

OBS.

I.

Pla

n s

tra

teg

ic

1. Politicile

entitii publice n domeniul IT

Inexistena unei atitudini favorabile n privina informatizrii activitii entitii publice

S Sczut

2. Modalitatea de

elaborare a

planului strategic

i a planurilor anuale

Fundamentarea insuficient a planului S Mediu

Necorelarea planurilor anuale S Sczut

Lipsa prioritizrii activitilor S Mediu

Necorelarea termenelor previzionate de

realizare a subsistemelor S Mediu

Nedefinirea responsabilitilor S Sczut

Insuficienta previzionare a resurselor S Sczut

II.

Ges

tio

na

rea

i

org

an

iza

rea s

iste

mu

lui

info

rma

tic

3. Organizarea

sistemului

informatic

Departamentului IT nu este subordonat

unui nivel managerial corespunztor S Mediu

Inexistena i/sau neaprobarea organigramei

T

Exist sistem de control intern

eficient

Ridicat NU

Neformalizarea procedurilor specifice

activitilor desfurate S Sczut

Existena unui numr mare de posturi de conducere deinute cu delegaie

S Sczut

Numr mare de posturi de execuie neocupate

S Mediu

Personal de execuie neadecvat S Sczut

Dotare cu hard i soft inadecvat pentru desfurarea activitilor specifice

T


eficient

Ridicat NU

Inexistena unui sistem de control managerial la nivelul departamentului

S Mediu

Neefectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului

S Sczut


Inexistena planurilor de pregtire profesional continu

S Mediu

Neaprobarea planurilor de pregtire profesional continu

S Sczut

13

Nr.

crt.

Do

men

iul

Obiecte




intern

Grad de


n controlul intern

OBS.

Nerealizarea activitilor previzionate prin planurile de pregtire profesional continu

S Mediu

5. Sistemul de

gestionare a

riscurilor

Inexistena unei politici unitare privind gestionarea riscurilor

S Sczut

III.

Imp

lem

enta

rea

sis

tem

ulu

i IT

6. Gradul de

realizare a

sistemului

informatic

stabilite prin plan

Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic

S Sczut

Nealocarea corespunztoare a resurselor necesare realizrii subsistemelor informatice

S Sczut

Evoluii tehnologice cu implicaii asupra ndeplinirii planului

S Mediu

Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice

S Sczut

7. Existena controalelor

generale la

Implicaiile evoluiilor tehnologice n domeniul IT

S Sczut

Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice

S Sczut

8. Situaia licenelor pentru programele de

calculator

Limitri bugetare n privina achiziionrii licenelor

S Sczut

Disfuncionaliti n procesul de achiziionare al licenelor

S Mediu

9. Instruirea

utilizatorilor

Inexistena unui program de instruire al utilizatorilor

T


eficient

Ridicat NU

Neefectuarea instruirii sistematice a

utilizatorilor subsistemelor IT S Mediu

IV.

Sec

uri

tate

a I

T

10. Politica de

securitate IT

Inexistena politicii de securitate S Sczut

Neaplicarea politicii de securitatea n mod consecvent

S Sczut

11. Monitorizarea

implementrii politicii de

securitate IT

Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT

S Mediu

Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare

S Sczut

Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic

T


eficient

Ridicat NU

Lipsa procedurilor privind

implementarea controalelor fizice n domeniul IT

S Sczut

14

Nr.

crt.

Do

men

iul

Obiecte




intern

Grad de


n controlul intern

OBS.

Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice

T


eficient

Ridicat NU

Lipsa unor proceduri pentru realizarea

controalelor fizice S Mediu

Neefectuarea controalelor fizice

conform procedurilor S Sczut

Lipsa procedurilor privind sigurana accesului utilizatorilor n reea

S Sczut

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea

S Sczut

Neefectuarea monitorizrii sistematice T Exist sistem de control intern

eficient

Ridicat NU

Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor

S Mediu

12. Programe

antivirus

Lipsa procedurilor privind

implementarea programelor antivirus S Sczut

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea

programelor antivirus

S Sczut

Neefectuarea monitorizrii sistematice S Sczut

Neluarea msurilor necesare privind implementarea programelor antivirus

conform procedurilor

S Mediu

13. Recuperarea

datelor n caz de dezastru

Lipsa procedurilor privind recuperarea

datelor n caz de dezastru S Sczut

Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor

n caz de dezastru

S Sczut

Neefectuarea monitorizrii sistematice S Sczut

Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor

S Sczut



15


FI DE IDENTIFICARE I ANALIZ A PROBLEMEI (F.I.A.P.) NR. 1


Problema

Inexistena unui sistem de identificare, evaluare i riscurilor.

Constatare:

Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor.

Cauze:

Inexistena procedurilor scrise i formalizate.

Consecine: Posibilitatea producerii unor evenimente nedorite.

Exist pericolul de a nu identifica riscuri majore i de a nu fi asociate controale interne adecvate pentru reducerea efectului riscurilor la un nivel acceptabil.

Recomandri: Stabilirea unei strategii de gestionare a riscurilor.



16


MINUTA EDINEI DE NCHIDERE


Stenograma edinei:

Prezentarea obiectivelor auditate i a constatrilor pentru fiecare obiect auditat; au fost discutate deficienele, au fost analizate cauzele care au contribuit la realizarea disfuncionalitii, au fost prezentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate.

n cadrul edinei de nchidere structura auditat i-a nsuit n totalitate constatrile i recomandrile formulate de auditor.

n consecin, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregtit pentru aprobare i transmitere structurii auditate. Raportul de audit intern va fi nsoit de o SINTEZ care va conine concluziile auditorului intern cu prezentarea principalelor recomandri i opinia general a acestuia.

Structura auditat se angajeaz s completeze Planul de aciune i calendarul implementrii recomandrilor, cu termenele de realizare i persoanele responsabile cu implementarea acestora, pe care l vor discuta cu auditorul.



17


RAPORT DE AUDIT INTERN

I. INTRODUCERE

Misiunea de audit: Organizarea activitii sistemului informatic Ordinul de efectuare a misiunii de audit - Ordinul de serviciu nr. ______/_______.

Baza legal a aciunii de auditare: - Planul de audit intern pe anul 2014, aprobat de conducerea primriei;

- Legea nr. 672/2002 privind auditul public intern, cu modificrile i completrile ulterioare;

- OMFP nr. 38/15.01.2003 prin care se aprob Normele metodologice de aplicare a Legii nr. 672/2002, cu modificrile i completrile ulterioare;

Durata misiunii de audit: 16.09.2014-19.09.2014.

Perioada auditat: 01.01.2013 - 30.06.2014

Scopul misiunii de audit intern este acela de evaluare a activitii sistemului informatic, n ceea ce privete respectarea condiiilor de legalitate, economicitate, eficacitate, de a aduga valoare prin formularea recomandrilor, iar n cazul identificrii unor probleme/iregulariti, de corectare a acestora.

Obiectivele misiunii de audit intern:

Planul strategic;

Organizarea i funcionarea sistemului informatic,

Implementarea sistemului IT;

Securitatea IT.

Principalele tehnici i instrumente de audit utilizate:

interviul pentru lmurirea de aspecte legate de organizarea i desfurarea activitilor;

observarea fizic n vederea formrii unei preri proprii privind modul de ntocmire i emitere a documentelor;

liste de verificare pentru a stabili condiiile pe care trebuie s le ndeplineasc fiecare domeniu auditabil;

liste de control;

chestionare;

18

FIAP-uri ntocmite pentru fiecare disfuncionalitate constatat;

Documente i materiale examinate - verificarea la faa locului a vizat urmtoarele materiale i documente:

Politica n domeniul IT;

Organigrama;

Regulamentul de Organizare i Funcionare i fiele posturilor;

legislaia n vigoare privind activitatea IT;

manuale de utilizare i manuale de operare;

planul de recuperare n caz de dezastru;

procedurile aplicabile activitii IT;

alte documente.

Materialele ntocmite pe timpul auditrii au fost urmtoarele:

fie de identificare i analiz a problemelor constatate (FIAP);

documente de lucru;

tabel Puncte tari i puncte slabe,

tematica n detaliu;

raport de audit, minutele edinelor de deschidere, nchidere etc.

Activiti desfurate n cadrul sistemului informatic:

comunicaii date n format electronic;

asisten tehnic a utilizatorilor.

II. CONSTATRI I RECOMANDRI

Evaluarea respectrii condiiilor de conformitate i regularitate a activitii sistemului informatic a pornit de la elaborarea planului strategic, defalcarea acestuia

n planuri anuale, organizarea i funcionarea sistemului informatic, implementarea sistemului informatic i securitatea datelor din acest sistem i s-a materializat n elaborarea listelor de verificare, testelor bazate pe eantionare, verificrilor prin listele de control, observri fizice pe teren, interviurilor care au condus la solicitarea unor note de relaii, prin care s-au identificat deficiene care au fost nscrise n formularele de constatare (FIAP-uri).

n continuare, prezentm principalele constatri, consecinele care s-au produs sau care ar putea s apar n perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor semnalate sau ale celor care pot s survin urmare acestora, diminurii riscurilor existente i mbuntirii sistemelor de management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.

19

1.1. Elaborarea planului strategic i a planurilor anuale

Pentru mbuntirea activitii desfurate i eliminarea deficienelor constatate, au fost elaborate urmtoarele recomandri:

- Elaborarea unei proceduri scrise i formalizate pentru actualizarea strategiei IT. - Stabilirea responsabilitii pentru actualizarea strategiei IT; - Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele

posturilor.

2. Organizarea i funcionarea IT


- Elaborarea procedurilor scrise i formalizate pentru suplinirea posturilor vacante i delegarea funciilor de conducere precum i stabilirea responsabililor pentru elaborarea i actualizarea acestor proceduri;

- Realizarea unui program de pregtire profesional.

2.1. Analizarea pregtirii profesionale continue a salariailor


Elaborarea unui sistem de pregtire profesional continu a salariailor;

Elaborarea procedurilor scrise i formalizate pentru pregtirea profesional continu;

Stabilirea unor responsabiliti cu elaborarea procedurilor i actualizarea acestora;

Coroborarea atribuiilor i responsabilitilor stabilite prin proceduri cu fiele posturilor;

Analiza planului de pregtire profesional continu i al gradului de realizare al acestuia n vederea elaborrii planului pentru anul viitor;

Stabilirea responsabilitilor cu monitorizarea acestora, o atenie deosebit fiind pentru utilizatorii noi care trebuie s primeasc instruire special pentru toate subsistemele IT pe care le vor utiliza, conform unui program bine stabilit.

2.2. Examinarea sistemului de gestionare a riscurilor generale

Echipa de auditori interni a verificat existena unei politici unitare privind gestionarea riscurilor, constatnd inexistena unui sistem de identificare, evaluare i management al riscurilor la nivelul entitii publice.

Din analiz a reieit c nu exist preocupri pentru gestionarea riscurilor din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern asociate pentru limitarea riscurilor. De asemenea, s-a evideniat neacordarea ateniei cuvenite managementului riscurilor de ctre personalul entitii publice, fapt

20

ce ar putea avea drept consecin producerea unor evenimente nedorite pentru care entitatea public nu este pregtit s acioneze. Mai mult, exist pericolul de a nu fi identificate riscuri majore i de a nu fi asociate controale interne adecvate pentru reducerea efectului riscurilor la un nivel acceptabil pentru entitatea public.


- Stabilirea unei strategii de gestionare a riscurilor la nivelul entitii publice; - Stabilirea responsabililor pentru elaborarea i actualizarea sistematic a

procedurilor privind ntocmirea Registrului riscurilor; - Coroborarea atribuiilor i responsabilitilor din proceduri cu cele din fia

postului referitor la gestionarea riscurilor;

- Organizarea i inerea la zi a Registrului riscurilor cuprinznd msurile de control intern care sunt luate pentru limitarea acestora;

- Monitorizarea sistematic, la cererea managerului responsabil cu probleme administrative, a modului de respectare n activitatea zilnic a procedurilor scrise i formalizate menite s asigure gestionare a riscului;

- Instruirea personalului pentru completarea Registrului Riscurilor de ctre responsabilul cu inerea acestuia;

- Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor.

2.3. Evaluarea controalelor fizice n domeniul sistemului informatic

Pentru protecia echipamentelor sistemului informatic precum i a datelor n format electronic prelucrate, transferate i/sau stocate la nivelul acestor echipamente au fost implementate controale fizice, astfel:

senzori de micare;

sistem de alarm n caz de incendiu;

sistem de stingere a incendiilor;

echipamente de aer condiionat;

2.4. Programele anti-virus

Auditorul interni a verificat:

- instalarea unui program antivirus adecvat necesitilor utilizatorilor staiilor de lucru;

- dac programul antivirus monitorizeaz toate programele i aplicaiile active, mesajele primite i verific automat actualizrile la intervale regulate (zilnic);

- dac programul antivirus s se actualizeaz n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui.

De asemenea a fost analizat modul de monitorizare sistematic a funcionalitii programelor antivirus.

S-a constatat neaplicarea n mod unitar a politicii de securitate IT, fapt ce a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. O politic adecvat de securitate IT trebuie s prevad instalarea unui program

21

antivirus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).

Considerm c aspectele negative constatate se datoreaz lipsei procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus.


Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus;

Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor;

Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin proceduri;

Monitorizarea aplicrii n mod unitar a politicii de securitate IT;

Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice;

2.5. Recuperarea datelor n caz de dezastru

Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii publice, crora li se va cere s pun planul n aplicare n caz de dezastru. Astfel, este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.

Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate. Practic, inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru face posibil neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru. Din aceste considerente n situaia producerii unui dezastru activitile stabilite prin plan se pot dovedi insuficiente pentru atingerea obiectivelor stabilite.


- Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile;

- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.

- Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate

procedurilor privind recuperarea datelor n caz de dezastru.

22

III. CONCLUZII

Prezentul Raport de audit intern a fost ntocmit n baza Listei centralizatoare a obiectelor auditabile, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor efectuate, n timpul colectrii i prelucrrii informaiilor i n timpul muncii pe teren. Toate constatrile au la baza probe de audit obinute pe baza testelor efectuate consemnate n documentele de lucru (foi de lucru, interviuri, note de relaii) ntocmite de auditorii interni i nsuite de factorii de management ai entitii.

Evaluarea are la baza discuiile care au avut loc, cu privire la recomandrile auditorilor interni, n edina de nchidere a misiunii, apreciate de ctre participani, ca fiind realiste i fezabile.

De asemenea, consideram ca rezultatele evalurii auditorilor interni privind Organizarea activitii sistemului informatic se nscriu n parametri normali pentru aceasta perioad de implementare a funciei de tehnologia informaiei n entitile publice.

n consecin, apreciem ca prin implementarea recomandrilor echipei de audit intern activitatea IT va cunoate o ameliorare semnificativ.

Structura auditat are obligaia s ntocmeasc Programul de aciune n vederea implementrii recomandrilor i s raporteze echipei de auditori interni, periodic, stadiul de implementare al acestora.

Data: 19.09.2014



23


SINTEZA

RAPORTULUI DE AUDIT INTERN

I. INTRODUCERE

Misiunea de audit intern Organizarea activitii sistemului informatic s-a desfurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, Normelor generale privind exercitarea activitii de audit public intern, aprobate prin OMFP nr. 38/2003 i a Normelor specifice aprobate de conducerea entitii. Misiunea a fost cuprinsa n Planul de audit intern pe anul 2014, i a fost realizat de d-l auditor Anton Florin i supervizat de eful compartimentului d-na Neagu Snziana.

II. CONCLUZII

Auditorul intern, n baza Programului de audit intern i a analizei efectuate evalueaz Organizarea activitii sistemului informatic, dup cum urmeaz:

Nr.

crt. OBIECTIVUL

APRECIERE

FUNCIONAL DE

MBUNTIT CRITIC

1. PLAN

STRATEGIC X

2. ORGANIZAREA I FUNCIONAREA

X

3. IMPLEMENTAREA

SISTEMULUI IT X

4. SECURITATEA IT X

III. CONSTATRI I RECOMANDRI

Principalele constatri i recomandri rezultate din realizarea misiunii de audit sunt:

- CONSTATAREA nr. 1:

Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale

24

i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern asociate pentru limitarea riscurilor.

- RECOMANDAREA nr. 1:

- Stabilirea unei strategii de gestionare a riscurilor la nivelul entitii publice;

- CONSTATAREA nr. 2:

Auditorul a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii publice, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.

Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate.

- RECOMANDAREA nr. 2:

- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.

- RECOMANDARE GENERAL Elaborarea procedurilor, scrise i formalizate, pentru toate activitile care se

desfoar n cadrul sistemului informatic. De asemenea, pentru activitile de elaborare a procedurilor s se stabileasc responsabilii cu realizarea, monitorizarea implementrii lor i actualizarea periodic.

Precizam ca n Sintez au fost prezentate FIAP-urile reprezentative, Raportul de audit intern cuprinde FIAP-ul nr. 1.

Data: 19.09.2014



25


PLANUL DE ACIUNE I

CALENDARUL IMPLEMENTRII RECOMANDRILOR

Nr.

ob. Recomandarea Plan de aciune

Calendarul

implementrii Responsabil cu

implementarea

1 Implementarea unui sistem de

pregtire profesional a personalului.

Activitatea se va

desfura n termen de 90

zile.

Termen

31.12.2014

Responsabilul

compartimentului

2

Stabilirea unor atribuii concrete coroborate cu atribuiunile i fisele postului, implementarea unui sistem

de pregtire profesional privind utilizarea sistemului informatic

Activitatea se va

desfura n termen de 90

zile.

Termen

31.12.2014

Responsabilul

compartimentului

Data: 19.09.2014



Audit Optasi Sep 2014

Documents

Transcript of Audit Optasi Sep 2014