Audit Optasi Sep 2014
description
Transcript of Audit Optasi Sep 2014
-
1
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR Nr. ________/___________
ORDIN DE SERVICIU
n conformitate cu prevederile art. 8, litera c. din Legea nr. 672/2002 privind auditul public intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice
generale privind exercitarea activitii de audit intern, cu modificrile i completrile ulterioare i a Planului de audit intern pentru anul 2014 (perioada 08.08-31.12.2014), se va efectua misiunea de audit intern privind Organizarea activitii sistemului informatic, n perioada 16.09.2014-19.09.2014.
Scopul misiunii de audit este de a da asigurri asupra activitii sistemului informatic i a conformitii cu cadrul legislativ i normativ aplicabil, fiind structurate pe urmtoarele domenii auditabile:
Planul sistemului informatic
Organizarea i funcionarea IT;
Implementarea sistemului IT;
Securitatea IT.
Menionm c se va efectua un audit al modului de organizare a activitii de tehnologia informaiei.
Ca auditori sunt desemnai d-l Tecuceanu Mircea i d-na Neagu Snziana, ef Compartiment Audit, supervizorul misiunii.
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
2
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
DECLARAIA DE INDEPENDEN
Nume i prenume: Neagu Snziana Misiunea de audit: Organizarea activitii sistemului informatic Data: 16.09.2014
Incompatibiliti n legtur cu entitatea/structura auditat DA NU
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel?
- X
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit?
- X
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat?
- X
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European?
- X
Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat?
- X
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv?
- X
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?
- X
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat?
- X
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat?
- X
Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai eful Serviciului de audit intern de urgen?
X -
Auditor supervizor:
Neagu Snziana
-
3
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
DECLARAIA DE INDEPENDEN
Nume i prenume: Tecuceanu Mircea Misiunea de audit: Organizarea activitii sistemului informatic Data: 16.09.2014
Incompatibiliti n legtur cu entitatea/structura auditat DA NU
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel?
- X
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit?
- X
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat?
- X
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European?
- X
Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat?
- X
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv?
- X
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?
- X
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat?
- X
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat?
- X
Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai eful Serviciului de audit intern de urgen?
X -
Auditor:
Tecuceanu Mircea
-
4
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR Nr. ________/___________
NOTIFICAREA
PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN
Misiunea de audit intern: Organizarea activitii sistemului informatic.
n conformitate cu Planul de audit intern pe anul 2014, urmeaz ca n perioada 16.09.2014-19.09.2014 s efectum o misiune de audit intern avnd ca tem Organizarea activitii sistemului informatic. Scopul misiunii de audit intern este acela de a furniza o asigurare independent conducerii n ceea ce privete funcionalitatea sistemului informatic i formularea de recomandri pentru mbuntirea acestuia. Perioada supus evalurii este 01.01.2013 - 30.06.2014 V rugm s desemnai o persoan de contact pentru a ne ajuta n timpul derulrii misiunii de audit intern, urmnd a stabili de comun acord data edinei de deschidere, avnd pe ordinea de zi urmtoarele:
- prezentarea i discutarea obiectivelor misiunii de audit intern; - discutarea programului interveniei la faa locului; - stabilirea persoanelor de legtur n cadrul compartimentelor auditate; - alte aspecte organizatorice necesare desfurrii misiunii.
Pentru o mai bun documentare a auditorului intern referitoare la activitatea entitii, v rugm sa ne punei la dispoziie urmtoarea documentaie necesar:
cadrul legal i de reglementare aplicabil domeniului IT;
Regulamentul de organizare i funcionare;
fiele posturilor;
rapoartele de audit intern anterioare;
alte rapoarte, note, dosare anterioare care se refer la aceasta tem. Pentru eventualele ntrebri privind aceasta aciune, v rugm s contactai pe
domnul Anton Florin, auditor intern.
Cu deosebit consideraie,
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
5
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
COLECTAREA INFORMAIILOR
Misiunea de audit: Organizarea activitii sistemului informatic Perioada auditat: 16.09.2014-19.09.2014
COLECTAREA INFORMAIILOR
DA NU OBSERVATII
Identificarea legilor si regulamentelor aplicabile
structurii auditate X -
Obinerea organigramei X -
Obinerea Regulamentului de organizare si funcionare X -
Obinerea fiselor posturilor X -
Obinerea procedurilor scrise si formalizate X -
Identificarea personalului responsabil X -
Obinerea Raportului de audit intern anterior X
Rapoarte elaborate de alte instituii X -
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
6
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE
Misiunea de audit: Organizarea activitii sistemului informatic Perioada auditat: 16.09.2014-19.09.2014
Nr.
crt. DOMENIUL OBIECTE AUDITABILE OBS.
I. Plan strategic
1. Politicile n domeniul IT
2. Modalitatea de elaborare a planului strategic i a planurilor anuale
3. Subsistemele informatice pentru funciile principale
4. Integrarea subsistemelor informatice
5. Stabilirea responsabililor cu elaborarea si actualizarea planului
6. Aprobarea planului
II. Organizarea i funcionarea IT
7. Organizarea IT
8. Stabilirea responsabilitilor prin fiele posturilor
9. Calificarea i pregtirea salariailor
10. Pregtirea profesional continu
11. Sistemul de evaluare a personalului
12. Sistemul de gestionare a riscurilor
III. Implementarea
sistemului
informatic
13. Gradul de realizare al obiectivelor stabilite prin plan
14. Existena controalelor generale IT
15. Funcionalitatea n reea
16. Situaia licenelor pentru programele de calculator
17. Asigurarea integrrii componente
18. Elaborarea manualelor de utilizare i a manualelor de operare
19. Instruirea utilizatorilor IT
IV. Securitatea IT
20. Politica de securitate IT
21. Monitorizarea implementrii politicii de securitate IT
22. Evaluarea controalelor fizice n domeniul IT
23. Sigurana accesului la reea i a comunicrii datelor n reea
24. Programe antivirus
25. Recuperarea datelor n caz de dezastru
26. Sistemul de arhivare
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
7
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
IDENTIFICAREA RISCURILOR
Misiunea de audit: Organizarea activitii sistemului informatic Perioada auditat: 16.09.2014-19.09.2014
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
I. Plan strategic 1. Politicile n domeniul IT 1. Inexistena unei atitudini favorabile n privina informatizrii activitii .
2. Modalitatea de elaborare a
planului strategic i a planurilor anuale
2. Fundamentarea insuficient a planului
3. Necorelarea planurilor anuale
4. Lipsa prioritizrii activitilor
3. Subsistemele informatice
pentru funciile principale 5. Neacoperirea domeniilor de activitate
informatice
6. Necorelarea termenelor previzionate
7. Nedefinirea responsabilitilor
8. Insuficienta previzionare a resurselor
4. Integrarea subsistemelor
informatice
9. Incompatibilitatea subsistemelor informatice
5. Stabilirea responsabililor cu
elaborarea si actualizarea
planului
10. Nedesemnarea responsabilului cu elaborarea
planului
11. Nestabilirea persoanei responsabile cu
actualizarea planului
6. Aprobarea planului 12. Planul nu este aprobat
13. Planul nu este aprobat de persoanele
competente
14. Coordonarea neadecvat a planurilor
II. Organizarea i funcionarea IT
7. Organizarea IT 15. Inexistena i/sau neaprobarea organigramei
16. Neformalizarea procedurilor specifice
activitilor desfurate
17. Personal de execuie neadecvat
18. Dotare cu hard i soft inadecvat pentru desfurarea activitilor specifice
19. Inexistena unui sistem de control .
20. Neefectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului
-
8
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
8. Stabilirea
responsabilitilor prin fiele posturilor
21. Neactualizarea fielor posturilor
22. Nerespectarea principiului segregrii sarcinilor de serviciu
23. Necuprinderea atribuiilor stabilite prin ROF n fiele posturilor
9. Calificarea i pregtirea salariailor
24. Calificarea necorespunztoare/insuficient a personalului
10. Pregtirea profesional continu
25. Inexistena planurilor de pregtire profesional continu
26. Neaprobarea planurilor de pregtire profesional continu
27. Nerealizarea activitilor previzionate prin planurile de pregtire profesional continu
11. Sistemul de evaluare a
personalului
28. Inexistena unui sistem de evaluare anual a salariailor
29. Nerealizarea evalurii pe parcursul anului a salariailor departamentului
30. Evaluarea formal a personalului
12. Sistemul de gestionare a
riscurilor conducerea Registrului riscurilor
31. Inexistena unei politici unitare privind gestionarea riscurilor
32. Inexistena unui responsabil privind gestionarea riscurilor
III. Implementarea
sistemului IT
13. Gradul de realizare a
subsistemelor informatice
stabilite prin plan
33. Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic
34. Evoluii tehnologice cu implicaii asupra ndeplinirii planului
35. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice
14. Influena cadrului legal i a evoluiei tehnologice n organizarea i implementarea sistemului IT
36. Implicaiile evoluiilor tehnologice n domeniul IT
37. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice
15. Funcionalitatea subsistemelor n reea
38. Inexistena unei politici de transmitere a datelor n reea
39. Implicaiile evoluiilor tehnologice n domeniul IT
16. Situaia licenelor pentru programele de calculator
40. Valabilitate licene
17. Situaia subsistemelor informatice
41. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice
42. Evoluii tehnologice cu implicaii asupra integrrii subsistemelor
-
9
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
43. Neconcordane n integrarea subsistemelor
18. Elaborarea manualelor de
utilizare i a manualelor de operare
44. Inexistena/Insuficiena manualelor de utilizare i a manualelor de operare
45. Lipsa unor componente i existena unor elemente neclarificate n coninutul manualelor
19. Instruirea utilizatorilor
subsistemelor IT
46. Inexistena unui program de instruire al utilizatorilor
47. Neefectuarea instruirii sistematice a
utilizatorilor subsistemelor IT
IV. Securitatea IT 20. Politica de securitate IT 48. Inexistena politicii de securitate
49. Neaplicarea politicii de securitatea n mod consecvent
21. Evaluarea controalelor
fizice n domeniul IT 50. Lipsa procedurilor privind implementarea
controalelor fizice n domeniul IT
51. Lipsa unor proceduri pentru realizarea
controalelor fizice
52. Neefectuarea controalelor fizice conform
procedurilor
22. Sigurana accesului la reea i a comunicrii datelor n reea
53. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea
54. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea
55. Neefectuarea monitorizrii sistematice
56. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor
23. Programe antivirus 57. Lipsa procedurilor privind implementarea
programelor antivirus
58. Neluarea msurilor necesare privind implementarea programelor antivirus conform
procedurilor
24. Recuperarea datelor n caz de dezastru
59. Lipsa procedurilor privind recuperarea
datelor n caz de dezastru
60. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru
61. Neefectuarea monitorizrii sistematice
62. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
25. Sistemul de arhivare 63. Lipsa procedurilor privind arhivarea datelor
64. Nedesemnarea responsabilitii pentru arhivarea datelor
-
10
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
65. Neefectuarea evalurii periodice a activitii de arhivare
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
11
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
STABILIREA FACTORILOR DE RISC, A PONDERILOR I NIVELURILOR DE APRECIERE AL RISCURILOR
Misiunea de audit: Organizarea activitii sistemului informatic Perioada auditat: 16.09.2014-19.09.2014
Factori de risc
(Fi)
Ponderea factorilor
de risc
(Pi)
Nivelul de apreciere al riscului (Ni)
N 1
N 2
N 3
Aprecierea
controlului intern
F1
P1 50%
Exist proceduri i se aplic
Exist proceduri, sunt cunoscute,
dar nu se aplic
Nu exist proceduri
Aprecierea
cantitativ F2
P2 30%
Impact
financiar
sczut
Impact financiar
mediu
Impact
financiar
ridicat
Aprecierea
calitativ F3
P3 20% Vulnerabilitate
mic Vulnerabilitate
medie
Vulnerabilitate
mare
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
12
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
TABELUL PUNCTE TARI I PUNCTE SLABE
Misiunea de audit: Organizarea activitii sistemului informatic Perioada auditat: 16.09.2014-19.09.2014
Nr.
crt.
Do
men
iul
Obiecte
auditabile Riscuri semnificative T/S
Consecinele funcionrii/
nefuncionrii controlului
intern
Grad de
ncredere al auditorului
n controlul intern
OBS.
I.
Pla
n s
tra
teg
ic
1. Politicile
entitii publice n domeniul IT
Inexistena unei atitudini favorabile n privina informatizrii activitii entitii publice
S Sczut
2. Modalitatea de
elaborare a
planului strategic
i a planurilor anuale
Fundamentarea insuficient a planului S Mediu
Necorelarea planurilor anuale S Sczut
Lipsa prioritizrii activitilor S Mediu
Necorelarea termenelor previzionate de
realizare a subsistemelor S Mediu
Nedefinirea responsabilitilor S Sczut
Insuficienta previzionare a resurselor S Sczut
II.
Ges
tio
na
rea
i
org
an
iza
rea s
iste
mu
lui
info
rma
tic
3. Organizarea
sistemului
informatic
Departamentului IT nu este subordonat
unui nivel managerial corespunztor S Mediu
Inexistena i/sau neaprobarea organigramei
T
Exist sistem de control intern
eficient
Ridicat NU
Neformalizarea procedurilor specifice
activitilor desfurate S Sczut
Existena unui numr mare de posturi de conducere deinute cu delegaie
S Sczut
Numr mare de posturi de execuie neocupate
S Mediu
Personal de execuie neadecvat S Sczut
Dotare cu hard i soft inadecvat pentru desfurarea activitilor specifice
T
Exist sistem de control intern
eficient
Ridicat NU
Inexistena unui sistem de control managerial la nivelul departamentului
S Mediu
Neefectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului
S Sczut
4. Pregtirea profesional continu
Inexistena planurilor de pregtire profesional continu
S Mediu
Neaprobarea planurilor de pregtire profesional continu
S Sczut
-
13
Nr.
crt.
Do
men
iul
Obiecte
auditabile Riscuri semnificative T/S
Consecinele funcionrii/
nefuncionrii controlului
intern
Grad de
ncredere al auditorului
n controlul intern
OBS.
Nerealizarea activitilor previzionate prin planurile de pregtire profesional continu
S Mediu
5. Sistemul de
gestionare a
riscurilor
Inexistena unei politici unitare privind gestionarea riscurilor
S Sczut
III.
Imp
lem
enta
rea
sis
tem
ulu
i IT
6. Gradul de
realizare a
sistemului
informatic
stabilite prin plan
Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic
S Sczut
Nealocarea corespunztoare a resurselor necesare realizrii subsistemelor informatice
S Sczut
Evoluii tehnologice cu implicaii asupra ndeplinirii planului
S Mediu
Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice
S Sczut
7. Existena controalelor
generale la
Implicaiile evoluiilor tehnologice n domeniul IT
S Sczut
Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice
S Sczut
8. Situaia licenelor pentru programele de
calculator
Limitri bugetare n privina achiziionrii licenelor
S Sczut
Disfuncionaliti n procesul de achiziionare al licenelor
S Mediu
9. Instruirea
utilizatorilor
Inexistena unui program de instruire al utilizatorilor
T
Exist sistem de control intern
eficient
Ridicat NU
Neefectuarea instruirii sistematice a
utilizatorilor subsistemelor IT S Mediu
IV.
Sec
uri
tate
a I
T
10. Politica de
securitate IT
Inexistena politicii de securitate S Sczut
Neaplicarea politicii de securitatea n mod consecvent
S Sczut
11. Monitorizarea
implementrii politicii de
securitate IT
Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT
S Mediu
Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare
S Sczut
Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic
T
Exist sistem de control intern
eficient
Ridicat NU
Lipsa procedurilor privind
implementarea controalelor fizice n domeniul IT
S Sczut
-
14
Nr.
crt.
Do
men
iul
Obiecte
auditabile Riscuri semnificative T/S
Consecinele funcionrii/
nefuncionrii controlului
intern
Grad de
ncredere al auditorului
n controlul intern
OBS.
Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice
T
Exist sistem de control intern
eficient
Ridicat NU
Lipsa unor proceduri pentru realizarea
controalelor fizice S Mediu
Neefectuarea controalelor fizice
conform procedurilor S Sczut
Lipsa procedurilor privind sigurana accesului utilizatorilor n reea
S Sczut
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea
S Sczut
Neefectuarea monitorizrii sistematice T Exist sistem de control intern
eficient
Ridicat NU
Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor
S Mediu
12. Programe
antivirus
Lipsa procedurilor privind
implementarea programelor antivirus S Sczut
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea
programelor antivirus
S Sczut
Neefectuarea monitorizrii sistematice S Sczut
Neluarea msurilor necesare privind implementarea programelor antivirus
conform procedurilor
S Mediu
13. Recuperarea
datelor n caz de dezastru
Lipsa procedurilor privind recuperarea
datelor n caz de dezastru S Sczut
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor
n caz de dezastru
S Sczut
Neefectuarea monitorizrii sistematice S Sczut
Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
S Sczut
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
15
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI (F.I.A.P.) NR. 1
Misiunea de audit: Organizarea activitii sistemului informatic Perioada auditat: 16.09.2014-19.09.2014
Problema
Inexistena unui sistem de identificare, evaluare i riscurilor.
Constatare:
Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor.
Cauze:
Inexistena procedurilor scrise i formalizate.
Consecine: Posibilitatea producerii unor evenimente nedorite.
Exist pericolul de a nu identifica riscuri majore i de a nu fi asociate controale interne adecvate pentru reducerea efectului riscurilor la un nivel acceptabil.
Recomandri: Stabilirea unei strategii de gestionare a riscurilor.
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
16
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
MINUTA EDINEI DE NCHIDERE
Misiunea de audit: Organizarea activitii sistemului informatic Perioada auditat: 16.09.2014-19.09.2014
Stenograma edinei:
Prezentarea obiectivelor auditate i a constatrilor pentru fiecare obiect auditat; au fost discutate deficienele, au fost analizate cauzele care au contribuit la realizarea disfuncionalitii, au fost prezentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate.
n cadrul edinei de nchidere structura auditat i-a nsuit n totalitate constatrile i recomandrile formulate de auditor.
n consecin, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregtit pentru aprobare i transmitere structurii auditate. Raportul de audit intern va fi nsoit de o SINTEZ care va conine concluziile auditorului intern cu prezentarea principalelor recomandri i opinia general a acestuia.
Structura auditat se angajeaz s completeze Planul de aciune i calendarul implementrii recomandrilor, cu termenele de realizare i persoanele responsabile cu implementarea acestora, pe care l vor discuta cu auditorul.
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
17
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
RAPORT DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit: Organizarea activitii sistemului informatic Ordinul de efectuare a misiunii de audit - Ordinul de serviciu nr. ______/_______.
Baza legal a aciunii de auditare: - Planul de audit intern pe anul 2014, aprobat de conducerea primriei;
- Legea nr. 672/2002 privind auditul public intern, cu modificrile i completrile ulterioare;
- OMFP nr. 38/15.01.2003 prin care se aprob Normele metodologice de aplicare a Legii nr. 672/2002, cu modificrile i completrile ulterioare;
Durata misiunii de audit: 16.09.2014-19.09.2014.
Perioada auditat: 01.01.2013 - 30.06.2014
Scopul misiunii de audit intern este acela de evaluare a activitii sistemului informatic, n ceea ce privete respectarea condiiilor de legalitate, economicitate, eficacitate, de a aduga valoare prin formularea recomandrilor, iar n cazul identificrii unor probleme/iregulariti, de corectare a acestora.
Obiectivele misiunii de audit intern:
Planul strategic;
Organizarea i funcionarea sistemului informatic,
Implementarea sistemului IT;
Securitatea IT.
Principalele tehnici i instrumente de audit utilizate:
interviul pentru lmurirea de aspecte legate de organizarea i desfurarea activitilor;
observarea fizic n vederea formrii unei preri proprii privind modul de ntocmire i emitere a documentelor;
liste de verificare pentru a stabili condiiile pe care trebuie s le ndeplineasc fiecare domeniu auditabil;
liste de control;
chestionare;
-
18
FIAP-uri ntocmite pentru fiecare disfuncionalitate constatat;
Documente i materiale examinate - verificarea la faa locului a vizat urmtoarele materiale i documente:
Politica n domeniul IT;
Organigrama;
Regulamentul de Organizare i Funcionare i fiele posturilor;
legislaia n vigoare privind activitatea IT;
manuale de utilizare i manuale de operare;
planul de recuperare n caz de dezastru;
procedurile aplicabile activitii IT;
alte documente.
Materialele ntocmite pe timpul auditrii au fost urmtoarele:
fie de identificare i analiz a problemelor constatate (FIAP);
documente de lucru;
tabel Puncte tari i puncte slabe,
tematica n detaliu;
raport de audit, minutele edinelor de deschidere, nchidere etc.
Activiti desfurate n cadrul sistemului informatic:
comunicaii date n format electronic;
asisten tehnic a utilizatorilor.
II. CONSTATRI I RECOMANDRI
Evaluarea respectrii condiiilor de conformitate i regularitate a activitii sistemului informatic a pornit de la elaborarea planului strategic, defalcarea acestuia
n planuri anuale, organizarea i funcionarea sistemului informatic, implementarea sistemului informatic i securitatea datelor din acest sistem i s-a materializat n elaborarea listelor de verificare, testelor bazate pe eantionare, verificrilor prin listele de control, observri fizice pe teren, interviurilor care au condus la solicitarea unor note de relaii, prin care s-au identificat deficiene care au fost nscrise n formularele de constatare (FIAP-uri).
n continuare, prezentm principalele constatri, consecinele care s-au produs sau care ar putea s apar n perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor semnalate sau ale celor care pot s survin urmare acestora, diminurii riscurilor existente i mbuntirii sistemelor de management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
-
19
1.1. Elaborarea planului strategic i a planurilor anuale
Pentru mbuntirea activitii desfurate i eliminarea deficienelor constatate, au fost elaborate urmtoarele recomandri:
- Elaborarea unei proceduri scrise i formalizate pentru actualizarea strategiei IT. - Stabilirea responsabilitii pentru actualizarea strategiei IT; - Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele
posturilor.
2. Organizarea i funcionarea IT
Pentru mbuntirea activitii desfurate i eliminarea deficienelor constatate, au fost elaborate urmtoarele recomandri:
- Elaborarea procedurilor scrise i formalizate pentru suplinirea posturilor vacante i delegarea funciilor de conducere precum i stabilirea responsabililor pentru elaborarea i actualizarea acestor proceduri;
- Realizarea unui program de pregtire profesional.
2.1. Analizarea pregtirii profesionale continue a salariailor
Pentru mbuntirea activitii desfurate i eliminarea deficienelor constatate, au fost elaborate urmtoarele recomandri:
Elaborarea unui sistem de pregtire profesional continu a salariailor;
Elaborarea procedurilor scrise i formalizate pentru pregtirea profesional continu;
Stabilirea unor responsabiliti cu elaborarea procedurilor i actualizarea acestora;
Coroborarea atribuiilor i responsabilitilor stabilite prin proceduri cu fiele posturilor;
Analiza planului de pregtire profesional continu i al gradului de realizare al acestuia n vederea elaborrii planului pentru anul viitor;
Stabilirea responsabilitilor cu monitorizarea acestora, o atenie deosebit fiind pentru utilizatorii noi care trebuie s primeasc instruire special pentru toate subsistemele IT pe care le vor utiliza, conform unui program bine stabilit.
2.2. Examinarea sistemului de gestionare a riscurilor generale
Echipa de auditori interni a verificat existena unei politici unitare privind gestionarea riscurilor, constatnd inexistena unui sistem de identificare, evaluare i management al riscurilor la nivelul entitii publice.
Din analiz a reieit c nu exist preocupri pentru gestionarea riscurilor din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern asociate pentru limitarea riscurilor. De asemenea, s-a evideniat neacordarea ateniei cuvenite managementului riscurilor de ctre personalul entitii publice, fapt
-
20
ce ar putea avea drept consecin producerea unor evenimente nedorite pentru care entitatea public nu este pregtit s acioneze. Mai mult, exist pericolul de a nu fi identificate riscuri majore i de a nu fi asociate controale interne adecvate pentru reducerea efectului riscurilor la un nivel acceptabil pentru entitatea public.
Pentru mbuntirea activitii desfurate i eliminarea deficienelor constatate, au fost elaborate urmtoarele recomandri:
- Stabilirea unei strategii de gestionare a riscurilor la nivelul entitii publice; - Stabilirea responsabililor pentru elaborarea i actualizarea sistematic a
procedurilor privind ntocmirea Registrului riscurilor; - Coroborarea atribuiilor i responsabilitilor din proceduri cu cele din fia
postului referitor la gestionarea riscurilor;
- Organizarea i inerea la zi a Registrului riscurilor cuprinznd msurile de control intern care sunt luate pentru limitarea acestora;
- Monitorizarea sistematic, la cererea managerului responsabil cu probleme administrative, a modului de respectare n activitatea zilnic a procedurilor scrise i formalizate menite s asigure gestionare a riscului;
- Instruirea personalului pentru completarea Registrului Riscurilor de ctre responsabilul cu inerea acestuia;
- Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor.
2.3. Evaluarea controalelor fizice n domeniul sistemului informatic
Pentru protecia echipamentelor sistemului informatic precum i a datelor n format electronic prelucrate, transferate i/sau stocate la nivelul acestor echipamente au fost implementate controale fizice, astfel:
senzori de micare;
sistem de alarm n caz de incendiu;
sistem de stingere a incendiilor;
echipamente de aer condiionat;
2.4. Programele anti-virus
Auditorul interni a verificat:
- instalarea unui program antivirus adecvat necesitilor utilizatorilor staiilor de lucru;
- dac programul antivirus monitorizeaz toate programele i aplicaiile active, mesajele primite i verific automat actualizrile la intervale regulate (zilnic);
- dac programul antivirus s se actualizeaz n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui.
De asemenea a fost analizat modul de monitorizare sistematic a funcionalitii programelor antivirus.
S-a constatat neaplicarea n mod unitar a politicii de securitate IT, fapt ce a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. O politic adecvat de securitate IT trebuie s prevad instalarea unui program
-
21
antivirus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic).
Considerm c aspectele negative constatate se datoreaz lipsei procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus.
Pentru mbuntirea activitii desfurate i eliminarea deficienelor constatate, au fost elaborate urmtoarele recomandri:
Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus;
Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor;
Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin proceduri;
Monitorizarea aplicrii n mod unitar a politicii de securitate IT;
Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice;
2.5. Recuperarea datelor n caz de dezastru
Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii publice, crora li se va cere s pun planul n aplicare n caz de dezastru. Astfel, este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.
Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate. Practic, inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru face posibil neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru. Din aceste considerente n situaia producerii unui dezastru activitile stabilite prin plan se pot dovedi insuficiente pentru atingerea obiectivelor stabilite.
Pentru mbuntirea activitii desfurate i eliminarea deficienelor constatate, au fost elaborate urmtoarele recomandri:
- Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile;
- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.
- Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate
procedurilor privind recuperarea datelor n caz de dezastru.
-
22
III. CONCLUZII
Prezentul Raport de audit intern a fost ntocmit n baza Listei centralizatoare a obiectelor auditabile, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor efectuate, n timpul colectrii i prelucrrii informaiilor i n timpul muncii pe teren. Toate constatrile au la baza probe de audit obinute pe baza testelor efectuate consemnate n documentele de lucru (foi de lucru, interviuri, note de relaii) ntocmite de auditorii interni i nsuite de factorii de management ai entitii.
Evaluarea are la baza discuiile care au avut loc, cu privire la recomandrile auditorilor interni, n edina de nchidere a misiunii, apreciate de ctre participani, ca fiind realiste i fezabile.
De asemenea, consideram ca rezultatele evalurii auditorilor interni privind Organizarea activitii sistemului informatic se nscriu n parametri normali pentru aceasta perioad de implementare a funciei de tehnologia informaiei n entitile publice.
n consecin, apreciem ca prin implementarea recomandrilor echipei de audit intern activitatea IT va cunoate o ameliorare semnificativ.
Structura auditat are obligaia s ntocmeasc Programul de aciune n vederea implementrii recomandrilor i s raporteze echipei de auditori interni, periodic, stadiul de implementare al acestora.
Data: 19.09.2014
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
23
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
SINTEZA
RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit intern Organizarea activitii sistemului informatic s-a desfurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, Normelor generale privind exercitarea activitii de audit public intern, aprobate prin OMFP nr. 38/2003 i a Normelor specifice aprobate de conducerea entitii. Misiunea a fost cuprinsa n Planul de audit intern pe anul 2014, i a fost realizat de d-l auditor Anton Florin i supervizat de eful compartimentului d-na Neagu Snziana.
II. CONCLUZII
Auditorul intern, n baza Programului de audit intern i a analizei efectuate evalueaz Organizarea activitii sistemului informatic, dup cum urmeaz:
Nr.
crt. OBIECTIVUL
APRECIERE
FUNCIONAL DE
MBUNTIT CRITIC
1. PLAN
STRATEGIC X
2. ORGANIZAREA I FUNCIONAREA
X
3. IMPLEMENTAREA
SISTEMULUI IT X
4. SECURITATEA IT X
III. CONSTATRI I RECOMANDRI
Principalele constatri i recomandri rezultate din realizarea misiunii de audit sunt:
- CONSTATAREA nr. 1:
Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale
-
24
i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern asociate pentru limitarea riscurilor.
- RECOMANDAREA nr. 1:
- Stabilirea unei strategii de gestionare a riscurilor la nivelul entitii publice;
- CONSTATAREA nr. 2:
Auditorul a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii publice, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare.
Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate.
- RECOMANDAREA nr. 2:
- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes.
- RECOMANDARE GENERAL Elaborarea procedurilor, scrise i formalizate, pentru toate activitile care se
desfoar n cadrul sistemului informatic. De asemenea, pentru activitile de elaborare a procedurilor s se stabileasc responsabilii cu realizarea, monitorizarea implementrii lor i actualizarea periodic.
Precizam ca n Sintez au fost prezentate FIAP-urile reprezentative, Raportul de audit intern cuprinde FIAP-ul nr. 1.
Data: 19.09.2014
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana
-
25
COMPARTIMENT AUDIT PRIMRIA OPTAI-MGURA PRIMRIA PIATRA OLT AVIZAT PRIMAR
PLANUL DE ACIUNE I
CALENDARUL IMPLEMENTRII RECOMANDRILOR
Nr.
ob. Recomandarea Plan de aciune
Calendarul
implementrii Responsabil cu
implementarea
1 Implementarea unui sistem de
pregtire profesional a personalului.
Activitatea se va
desfura n termen de 90
zile.
Termen
31.12.2014
Responsabilul
compartimentului
2
Stabilirea unor atribuii concrete coroborate cu atribuiunile i fisele postului, implementarea unui sistem
de pregtire profesional privind utilizarea sistemului informatic
Activitatea se va
desfura n termen de 90
zile.
Termen
31.12.2014
Responsabilul
compartimentului
Data: 19.09.2014
Auditor: Avizat ef compartiment
Tecuceanu Mircea Neagu Snziana