Ghid Practic Misiunea de Audit Privind Activitatea IT
-
Upload
aura-chirita -
Category
Documents
-
view
247 -
download
2
Transcript of Ghid Practic Misiunea de Audit Privind Activitatea IT
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
1/145
MINISTERUL FINANELOR PUBLICEUNITATEA CENTRALA DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN
GHID PRACTICMISIUNEA DE AUDIT INTERN
PRIVINDACTIVITATEA IT
AVIZATGHITA MARCEL
Sef serviciu pentru Strategie si Metodologie Generala
ELABORATCONSTANTIN VASILE NICOLAE
Auditor superior
Ghidul practic privind realizarea unei misiuni de audit intern pentruactivitatea Serviciului Juridic, constituie un model pentru desfasurarea misiunilor in
baza Legii nr. 672/2002 privind auditul public intern si a Normelor generale pentruexercitarea auditului public intern aprobate prin OMFP nr. 38/2003, cu modificarilesi completarile ulterioare.
Asteptam sugestiile dumneavoastra pe adresa UCAAPI sau pe e-mail:
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
2/145
CUVANT INAINTE
Ghidul de audit intern privind activitatea IT reprezinta un model practic dedesfasurare a unei misiuni, prin parcurgerea in detaliu, a fiecarui pas, intr-o maniera
didactica. Ghidul poate fi utilizat de entitatile din sectorul public si in acelasi timp vareprezenta suportul pentru realizarea propriului ghid practic specific entitatii.
Elaborarea ghidului are la baza prevederile art. 8 lit. c) din Legea nr. 672/2002privind auditul public intern, referitoare la dezvoltarea si implementarea unorproceduri si metodologii uniforme, bazate pe standardele internationale.
In conformitate cu prevederile punctului 4, Partea I din Normele generale de
exercitare a auditului public intern, aprobate prin OMF nr. 38/2003 (Manualul deaudit intern), misiunea de audit intern are drept scop evaluarea sistemelor demanagement si control intern ale entitatii, urmarind transparenta si conformitatea cucadrul normativ.
Realizarea ghidului practic presupune parcurgerea procedurilor si documentelorspecifice structurate pe cele patru etape prezentate prin normele generale.
-In etapa de pregatire a misiunii de audit intern au fost elaborate documenteleprevazute de normele generale si s-au adus clarificari, in special, cu privire la modulconcret de dezvoltare a procedurii de Analiza riscurilor, succesiunea documentelor,structura acestora si modul de completare, nivelul de apreciere si impartire al riscurilorin mari, medii si mici, clasarea si ierarhizarea acestora in vederea finalizarii procedurii
pe baza careia se va concentra munca pe teren si a Programului interventiei a fata
locului.- In etapa de interventie la fata locului s-au realizat testarea pe teren a
operatiilor auditabile, pe baza Programului interventiei a fata locului, prin utilizareadiferitelor tehnici de esantionare, liste de verificare, teste, foi de lucru, interviuri sinote de relatii, elemente care s-au constituit in probe de audit si au stat la baza
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
3/145
Procedura P01: Iniierea audituluiENTITATEA PUBLIC
Compartimentul Audit Intern
Nr. 25 din 08.01.2006
ORDIN DE SERVICIU
In conformitate cu prevederile Legii nr. 672/2002 privind auditul public intern,a O.M.F.P. nr. 38/2003 de aprobare a normelor metodologice generale privindexercitarea activitii de audit intern, a Ordinului managerului general nr. 1024/2003
prin care s-au aprobat Normele proprii de exercitare a auditului intern n cadrulentitii publice i a Planului de audit intern pentru anul 2006, se va efectua misiuneade audit intern la Direcia Tehnologia Informaiei n perioada 25.01.2006 17.04.2006.
Scopul misiunii de audit este de a da asigurri asupra activitii IT de lanivelul entitii publice i aconformitii cu cadrul legislativ i normativ aplicabil,
fiind structurate pe urmtoarele domenii auditabile: Plan strategic; Organizareai funcionarea Departamentului IT; Implementarea sistemului IT; Securitatea IT.
Menionm c se va efectua un audit de conformitate al modului de organizare aactivitii de tehnologia informaiei din entitatea public.
Echipa de auditori interni este format din urmtorii:
1 Popescu Sorin;
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
4/145
Procedura - P02: Iniierea audituluiENTITATEA PUBLICCompartimentul Audit Intern
DECLARAIA DE INDEPENDEN
Nume i prenume: Popescu SorinMisiunea de audit: Tehnologia Informatiei Data: 10.01.2006
Incompatibiliti n legtur cu entitatea/structura auditatDa Nu
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva carear putea s v limiteze msura n care putei s v interesai, s descoperiisau s constatai slbiciuni de audit n orice fel?
- X
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiectivecare ar putea s v influeneze n misiunea de audit?
- X
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-unalt mod n activitatea entitii/structurii ce va fi auditat?
- X
Avei responsabiliti n derularea programelor i proiectelor finanateintegral sau parial de Uniunea European?
- X
Ai fost implicat n elaborarea i implementarea sistemelor de control aleentitii/structurii ce urmeaz a fi auditat?
- X
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cuconductorul entitii/structurii ce va fi auditat sau cu membrii organuluide conducere colectiv?
- X
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajaresau primirea de redevene de la vreun grup anume, sau organizaie sau nivelguvernamental?
- X
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat
pentru entitatea/structura ce va fi auditat?
- X
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - XAvei vreun interes direct sau unul de fond financiar indirect laentitatea/structura ce va fi auditat?
- X
Dac n timpul misiunii de audit, apare orice incompatibilitate personal,extern sau organizaional care ar putea s v afecteze abilitatea dvs de a
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
5/145
Procedura - P02: Iniierea audituluiENTITATEA PUBLICCompartimentul Audit Intern
DECLARAIA DE INDEPENDEN
Nume i prenume: Radu GeorgeMisiunea de audit: Tehnologia Informatiei Data: 10.01.2006
Incompatibiliti n legtur cu entitatea/structura auditatDa Nu
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care arputea s v limiteze msura n care putei s v interesai, s descoperii saus constatai slbiciuni de audit n orice fel?
- X
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiectivecare ar putea s v influeneze n misiunea de audit?
- X
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-unalt mod n activitatea entitii/structurii ce va fi auditat?
- X
Avei responsabiliti n derularea programelor i proiectelor finanateintegral sau parial de Uniunea European?
- X
Ai fost implicat n elaborarea i implementarea sistemelor de control aleentitii/structurii ce urmeaz a fi auditat?
- X
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cuconductorul entitii/structurii ce va fi auditat sau cu membrii organului deconducere colectiv?
- X
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sauprimirea de redevene de la vreun grup anume, sau organizaie sau nivelguvernamental?
- X
Ai aprobat nainte facturi, ordine de plati alte instrumente de plat pentru
entitatea/structura ce va fi auditat?
- X
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - XAvei vreun interes direct sau unul de fond financiar indirect laentitatea/structura ce va fi auditat?
- X
Dac n timpul misiunii de audit, apare orice incompatibilitate personal,extern sau organizaional care ar putea s v afecteze abilitatea dvs de a
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
6/145
Procedura P03: Iniierea AudituluiENTITATEA PUBLICCompartimentul Audit Intern
Nr. 29 din 10.01.2006
NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN
Ctre: Direcia Tehnologia InformaieiDe la: Coordonatorul Compartimentului Audit Intern
Referitor la misiunea de audit intern Modul de organizare a activitii detehnologia informaiei din entitatea public
Stimate domnule Ptrulescu tefan,n conformitate cu Planul de audit intern pe anul 2006, urmeaz ca n perioada
25.01.2006 17.04.2006 s efectum o misiune de audit intern cu tema Tehnologiainformaiei.
V vom contacta ulterior pentru a stabili de comun acord edina de deschideren vederea discutrii diverselor aspecte ale misiunii de audit, cuprinznd:
- prezentarea auditorilor;- prezentarea principalelor obiective ale misiunii de audit intern;- programul interveniei la faa locului;- scopul misiunii de audit intern;- alte aspecte.
Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne puneila dispoziie urmtoarea documentaie necesar privind activitatea de tehnologie ainformaiei: legile i reglementrile ce se aplica activitilor dumneavoastr,organigrama direciei dumneavoastr, Regulamentul de organizare i funcionare,fiele posturilor, procedurile scrise care descriu sarcinile ce trebuie realizate pe liniaorgani rii acti itii n e emplar al rapoartelor de acti itate notelor misi nilor de
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
7/145
Procedura P04: Colectarea i prelucrarea informaiilorENTITATEA PUBLICCompartimentul Audit Intern
COLECTAREA INFORMAIILOR
Misiunea de audit: Tehnologia InformaieiPerioada auditat: 01.01- 31.12.2005ntocmit: Popescu Sorin / Radu George Data: 10.01.2006Avizat: Dumitru Daniel Data: 10.01.2006
COLECTAREA INFORMAIILORDIRECIA TEHNOLOGIA
INFORMAIEIDA NU Observaii
Identificarea legilori regulamenteloraplicabile structurii auditate
X -
Obinerea organigramei X -Obinerea Regulamentului de organizare ifuncionare
X -
Obinerea fielor posturilor X -Obinerea procedurilor scrise - X Exist doar parialIdentificarea personalului responsabil X -
Obinerea exemplarului de Raport de auditintern anterior
- X
Anterior nu au fost realizatemisiuni de audit internasupra tehnologiei
informaiei la nivelulentitii publice
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
8/145
Procedura P05 : Analiza riscurilorENTITATEA PUBLICCompartimentul Audit Intern
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE
Misiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006
Nr.crt.
DOMENIUL OBIECTE AUDITABILE OBS.
1. Politicile entitii publice n domeniul IT2. Modalitatea de elaborare a planului strategic i a planurilor anuale3. Subsistemele informatice pentru funciile principale4. Integrarea subsistemelor informatice5. Stabilirea responsabililor cu elaborarea si actualizarea planului
I. Plan strategic
6. Aprobarea planului7. Organizarea departamentului IT8. Stabilirea responsabilitilor prin fiele posturilor9. Calificarea i pregtirea salariailor10. Pregtirea profesional continu11. Sistemul de evaluare a personalului
II. Organizarea i funcionareadepartamentului IT
12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor13. Gradul de realizare a subsistemelor informatice stabilite prin plan14. Existena controalelor generale la nivelul subsistemelor IT15. Funcionalitatea subsistemelor n reea16. Situaia licenelor pentru programele de calculator17. Asigurarea integrrii subsistemelor componente18. Elaborarea manualelor de utilizare i a manualelor de operare
III. Implementarea sistemului IT
19. Instruirea utilizatorilor subsistemelor IT
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
9/145
Nr.crt.
DOMENIUL OBIECTE AUDITABILE OBS.
20. Politica de securitate IT
21. Monitorizarea implementrii politicii de securitate IT22. Evaluarea controalelor fizice n domeniul IT23. Sigurana accesului la reea i a comunicrii datelor n reea24. Programe antivirus25. Recuperarea datelor n caz de dezastru
IV. Securitatea IT
26. Sistemul de arhivare
Nota:
Lista centralizatoare a obiectelor auditabile reprezint primul document care se elaboreaz n cadrulproceduriiAnaliza riscurilor icuprinde, pentru acest studiu de caz, 26 de obiecte auditabile, structurate pe 4 obiective, care vor fi analizate pe parcursul derulrii misiuniide audit intern.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
10/145
Procedura - P05 : Analiza riscurilorENTITATEA PUBLICCompartimentul Audit Intern
IDENTIFICAREA RISCURILORMisiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006
Nr.crt
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
1. Politicile entitii publice n domeniul IT 1. Inexistena unei atitudini favorabile n privina informatizriiactivitii entitii publice2. Fundamentarea insuficient a planului3. Necorelarea planurilor anuale
2. Modalitatea de elaborare a planuluistrategic i a planurilor anuale
4. Lipsa prioritizrii activitilor5. Neacoperirea domeniilor de activitate ale entitii publice cusubsisteme informatice
6. Necorelarea termenelor previzionate de realizare a subsistemelor7. Nedefinirea responsabilitilor
3. Subsistemele informatice pentru funciileprincipale
8. Insuficienta previzionare a resurselor4. Integrarea subsistemelor informatice 9. Incompatibilitatea subsistemelor informatice
10. Nedesemnarea responsabilului cu elaborarea planului5. Stabilirea responsabililor cu elaborarea siactualizarea planului 11. Nestabilirea persoanei responsabile cu actualizarea planului
12. Planul nu este aprobat
13. Planul nu este aprobat de persoanele competente
I. Plan strategic
6. Aprobarea planului
14. Coordonarea neadecvat a planurilor15. Departamentului IT nu este subordonat unui nivel managerialcorespunztor16. Inexistena i/sau neaprobarea organigramei17. Neformalizarea procedurilor specifice activitilor desfurate18. Existena unui numr mare de posturi de conducere deinute cudelegaie19. Numr mare de posturi de execuie neocupate
II. Organizarea ifuncionareadepartamentului IT
7. Organizarea departamentului IT
20. Personal de execuie neadecvat
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
11/145
Nr.crt
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
21. Dotare cu hard i soft inadecvat pentru desfurarea activitilorspecifice22. Inexistena unui sistem de control managerial la nivelul
departamentului23. Neefectuarea monitorizrii modului de realizare a obiectivelorgenerale i specifice ale departamentului24. Neactualizarea fielor posturilor25. Nerespectarea principiului segregrii sarcinilor de serviciu
8. Stabilirea responsabilitilor prin fieleposturilor
26. Necuprinderea atribuiilor stabilite prin ROF n fiele posturilor9. Calificarea i pregtirea salariailor 27. Calificarea necorespunztoare/insuficient a personalului
28. Inexistena planurilor de pregtire profesional continu29. Neaprobarea planurilor de pregtire profesional ontinu10. Pregtirea profesional continu
30. Nerealizarea activitilor previzionate prin planurile de pregtireprofesional continu31. Inexistena unui sistem de evaluare anual a salariailor32. Nerealizarea evalurii pe parcursul anului a salariailordepartamentului
11. Sistemul de evaluare a personalului
33. Evaluarea formal a personalului34. Inexistena unei politici unitare privind gestionarea riscurilor35. Inexistena unui responsabil privind gestionarea riscurilor36. Nedesemnarea unei persoane responsabil cu elaborarea imonitorizarea Registrului riscurilor
12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor
37. Neactualizarea sistematic a Registrului riscurilor38. Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic
39. Nealocarea corespunztoare a resurselor necesare realizriisubsistemelor informatice40. Evoluii tehnologice cu implicaii asupra ndeplinirii planului
13. Gradul de realizare a subsistemelor
informatice stabilite prin plan
41. Modificarea cadrului legal i procedural ce reglementeazactivitile pentru care se realizeaz subsistemele informatice42. Implicaiile evoluiilor tehnologice n domeniul IT14. Complementaritatea subsistemelor
informatice 43. Modificarea cadrului legal i procedural ce reglementeaz
activitile pentru care se realizeaz subsistemele informatice
III. Implementarea
sistemului IT
15. Funcionalitatea subsistemelor n reea 44. Inexistena unei politici de transmitere a datelor n reea
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
12/145
Nr.crt
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
45. Implicaiile evoluiilor tehnologice n domeniul IT46. Limitri bugetare n privina achiziionrii licenelor16. Situaia licenelor pentru programele de
calculator 47. Disfuncionaliti n procesul de achiziionare al licenelor
48. Modificarea cadrului legal i procedural ce reglementeazactivitile pentru care se realizeaz subsistemele informatice49. Evoluii tehnologice cu implicaii asupra integrrii subsistemelor
17. Asigurarea integrrii subsistemelorcomponente
50. Neconcordane n integrarea subsistemelor51. Inexistena/Insuficiena manualelor de utilizare i a manualelor deoperare
18. Elaborarea manualelor de utilizare i amanualelor de operare
52. Lipsa unor componente i existena unor elemente neclarificate n
coninutul manualelor53. Inexistena unui program de instruire al utilizatorilor19. Instruirea utilizatorilor subsistemelor IT54. Neefectuarea instruirii sistematice a utilizatorilor subsistemelor IT55. Inexistena politicii de securitate20. Politica de securitate IT56. Neaplicarea politicii de securitatea n mod consecvent57. Inexistena unui responsabil desemnat cu monitorizareaimplementrii politicii de securitate IT58. Nentocmirea i netransmiterea sistematic a rapoartelor demonitorizare
21. Monitorizarea implementrii politicii desecuritate IT
59. Inexistena unui sistem de clasificare i protejare adecvat ainformaiilor confideniale existente n format electronic60. Lipsa procedurilor privind implementarea controalelor fizice ndomeniul IT61. Nedesemnarea responsabilitii pentru monitorizarea controalelorfizice
62. Lipsa unor proceduri pentru realizarea controalelor fizice
22. Evaluarea controalelor fizice ndomeniul IT
63. Neefectuarea controalelor fizice conform procedurilor64. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea65. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind sigurana accesului utilizatorilor nreea66. Neefectuarea monitorizrii sistematice
IV. Securitatea IT
23. Sigurana accesului la reea i acomunicrii datelor n reea
67. Neimplementarea msurilor privind sigurana accesuluiutilizatorilor n reea conform procedurilor
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
13/145
Nr.crt
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.
68. Lipsa procedurilor privind implementarea programelor antivirus69. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind implementarea programelor
antivirus70. Neefectuarea monitorizrii sistematice
24. Programe antivirus
71. Neluarea msurilor necesare privind implementarea programelorantivirus conform procedurilor72. Lipsa procedurilor privind recuperarea datelor n caz de dezastru73. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind recuperarea datelor n caz de
dezastru74. Neefectuarea monitorizrii sistematice
25. Recuperarea datelor n caz de dezastru
75. Neluarea msurilor necesare privind recuperarea datelor n caz dedezastru conform procedurilor76. Lipsa procedurilor privind arhivarea datelor77. Nedesemnarea responsabilitii pentru arhivarea datelor
26. Sistemul de arhivare
78. Neefectuarea evalurii periodice a activitii de arhivare
Nota:
Identificarea riscurilor este al doilea document care se elaboreaz n cadrul proceduriiAnaliza riscurilor i presupune asocierea riscurilorsemnificative la operaiilor stabilite n Lista centralizatoare a obiectelor auditabile. De regul, se asociaz unul sau mai multe riscuri posibile,determinate de auditorii interni pe baza informaiilor colectate dar si din riscurile practice reieite din propria experien. n situaia n care laoperaiile auditabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte sau pe total operaie/obiectauditabil.
n acest studiu de caz, au fost identificate 26 de operaii auditabile, prezentate n Lista centralizatoare a obiectelor auditabile, crora le-au fostataate 78 riscuri, aa cum rezult din documentulIdentificarea riscurilor.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
14/145
Procedura P08: Colectarea dovezilorENTITATEA PUBLICCompartimentul Audit Intern
CHESTIONAR DE CONTROL INTERNMisiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005 01.05.2006ntocmit: Popescu Sorin / Radu George Data: 25.01.2006Avizat: Dumitru Daniel Data: 25.01.2006
ACTIVITATEA DE AUDIT DA NU OBS.
Obiectivul I. PLAN STRATEGIC
1.1 Procedurile privind planul strategic- Activitile ntreprinse concur la realizarea planului strategic? X
1.2 Definirea responsabilitatilor n mod oficial- n politicile entitii publice sunt definite clar obiectivele i care
sunt msurile necesare ce trebuiesc implementate?X
- Exist structuri manageriale care s administreze i s monitorizezeatingerea acestor obiective?
X
- Este desemnat un grup de lucru responsabil pentru actualizareaplanului?
X
1.3 Acoperirea prin plan a tuturor domeniilor entitii publice Entitatea public a elaborat un plan strategic ? X Exist strategii elaborate de fiecare departament i susin aceste
strategii planul?X Departamentele
nfiinate dup
elaborarea planuluistrategic nu sunt
luate n calcul prinplanul strategic
Au fost corelate prin plan termenele de realizare a subsistemelorIT?
X
1.4 Existena unui sistem IT prevzut pentru fiecare activitate principal- Planul strategic IT acoper toate procesele care se desfoar n cadrul
entitii publice? X
Planul trebuie
actualizat potrivitschimbrilor
legislative aprute1.4 Aprobarea planului de managementul general
A fost planul aprobat de managementul general? X
Este personalul de conducere al departamentelor implicat nX
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
15/145
ACTIVITATEA DE AUDIT DA NU OBS.
- Exist resursele necesare? X1.8 Documentarea i fundamentarea planului strategic
- Este planul documentat i fundamentat? XObiectivul II. MANAGEMENT I ORGANIZARE IT2.1 Organizarea departamentului IT- Exist o organigram oficial aprobat de management? X- Sunt toate posturile de conducere ocupate? X- Sunt toate posturile de execuie ocupate? X- Se iau msuri de ocupare a posturilor vacante? X2.2 Definirea responsabilitilor salariailor n fiele posturilor
- Exist fie ale posturilor pentru ntregul personal care s defineasc nmod clar sfera obligaiilor?X
- Cuprind fiele posturilor atribuiile i responsabilitile ce le revinsalariailor n activitatea de zi cu zi?
X
2.3 Exist o separare a sarcinilor de serviciu?- Exist o separare a sarcinilor pentru funciile de:
Proiectare a sistemelor? X Testare a sistemelor? X
Implementare a sistemelor? X Sisteme de operare curente? X
2.4 Asigurarea pregtirii profesionale continue a salariailor- Exist planuri de pregtire profesional continu? X- Salariaii participa la cursuri de perfecionare? X- Pregtirea profesionala a salariailor se realizeaz conform atribuiilori responsabilitilor stabilite prin fia postului?
X
2.5 Managementul riscului
- Exist un proces fo rmalizat de management al riscului? X- Au fost riscurile identificate i evaluate? X- S-au adoptat msuri adecvate de gestionare a riscurilor majore? X- Este Registrul riscurilorinut la zi? X
Obiectivul III. IMPLEMENTAREA SISTEMULUI IT3.1 Gradul de realizare al subsistemelor IT stabilite prin plan- Exist un sistem procedurat de realizare a subsistemelor IT? X- Subsistemele IT au fost realizate la termenele stabilite? X
3.2 Asigurarea integrrii subsistemelor IT- Specificaiile privind cerinele sistemului IT in cont de subsistemele
existente i de necesitatea de a le integra?X
- Exist un administrator de sistem care s asigure dezvoltarea,ntreinerea i integrarea sistemelor?
X
- Se efectueaz testarea implementrii tuturor subsistemelor IT noi? X
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
16/145
ACTIVITATEA DE AUDIT DA NU OBS.
- Exist orare clare pentru introducerea datelori sunt acestearespectate?
X
- Avei un sistem pentru detectarea posibilelor nregistrri duble? X- Exist o planificare a procesrii i este aceasta neleas de utilizatori ipersonalul operativ?
X
- Sunt toate datele, inclusiv cele transferate din alte sisteme, supusevalidrii n timpul prelucrrii?
X
- Programele furnizeaz confirmri cu privire la finalizarea cu succes aprocesrii sau exist proceduri de recuperare i de reintroducere ncazul opririlor anormale?
X
Programele nufurnizeaz n toatecazurile confirmri
cu privire lafinalizarea cusucces a procesrii
- Se confirm prelucrarea integral a procesrilor? X- Exist proceduri pentru gestionarea nregistrrilor respinse de
programele de aplicaii?X
- Exist personal responsabil de gestionarea rezultatelor, de verificarea ide asigurarea caracterului complet i acceptabil al acestora?
X
-
Cnd nregistrrile sunt trecute dintr-un subsistem IT n altul, sunt celeintroduse n al doilea armonizate cu cele produse de primul? X- Atunci cnd nregistrrile sunt respinse la transferarea ntre sisteme,
pot ele fi identificate i cercetate?X
- Sunt utilizatorii responsabili de introducerea, modificarea sau tergereanregistrrilor n cadrul sistemului?
X
- n cazul existenei unor rapoarte privind pista de audit sunt acesteacomplete iar rapoartele indic daci cnd sunt oprite mecanismele deurmrire?
XNu exist rapoarte
privind pista deaudit
- Sunt fiierele salvate n back up la intervale regulate n timpulprelucrrii pentru a permite recuperarea operaiunilor?
X
- Sunt efectuate verificri periodice ale integritii bazelor de date i serein copii de siguran ale bazelor de date de la o verificare la alta?
X
- Instruciunile operatorilori utilizatorilor specific n mod clarprocedurile de urmat n cazul unei deficiene a aplicaiei n timpulprelucrrii?
X
3.4 Funcionalitatea subsistemelor IT n reea- Sunt pstrate statistici cu privire la funcionare i performan? X- Sunt statisticile analizate n mod regulat pentru a identifica problemele
de funcionare?X
- Exist procese prin care s se asigure remedierea deficienelor defuncionare?
X
3 5 Situaia licenelor pentru aplicaii
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
17/145
ACTIVITATEA DE AUDIT DA NU OBS.
Exist persoane responsabile cu monitorizarea respectrii politicii? XPolitica definete securitatea informaiei i principiile de securitate care
trebuie urmate de ctre personal?X
Securitatea informaiei impune:- Realizarea unei analize de risc n mod regulat- Desemnarea unui responsabil cu instalarea computerelori/sausistemelor- Ca personalul s fie contient cu privire la sigurana informaiei- Respectarea licenelor pentru programe, i a obligaiilor legale,reglementare i contractuale
- Raportarea nclcrii politicii de securitate i a deficienelor securitii- Protejarea informaiei n termenii cerinelor acestora deconfidenialitate, integritate i disponibilitate?
X
Politica de securitate interzice:- utilizarea informaiilori sistemelor organizaiei fr autorizaie i
pentru scopuri care nu au legtur cu munca- afirmaiile cu conotaii obscene, discriminatorii sau abuzive, care pot fiilegale (ex prin utilizarea e-mail sau Internet)- descrcarea unor materiale ilegale (ex cu coninut obscen saudiscriminatoriu)- scoaterea informaiei sau echipamentelor din sediu fr autorizare- utilizarea neautorizat a informaiei, infrastucturii sau echipamentelor- copierea neautorizat a informaiei/programelor- compromiterea parolelor (ex prin notarea lor pe documente lsate pe
birou sau divulgarea lor ctre alte persoane)- utilizarea informaiilor prin care pot fi identificate persoane n scopuri deafaceri i fr autorizare expres
- discutarea informaiilor legate de afaceri n locuri publice- falsificarea probelor n cazul unui incident
X
Politica de securitate a informaiei specific faptul c utilizatorii suntobligai:
- s nchid mijloacele sau documentaia important cnd nu sunt utilizate(adic se respect politica mesei de lucru curate)- s ias din sistem atunci cnd un terminal urmeaz s fie lsatnesupravegheat (ex n timpul unor ntlniri, a pauzei de mas, sau pe
timpul nopii)?
X
Politica de securitate a informaiei este:- comunicat ntregului personal i prilor externe cu acces lainformaiile i sistemele ntreprinderii- revizuit periodic conform unui proces de revizuire definit- complectat prin asimilarea modificrilor aprute?
X
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
18/145
ACTIVITATEA DE AUDIT DA NU OBS.
- persoane din conducere superioar (adic un director al consiliului sau alunui organism echivalent)
- unul sau mai muli responsabili de activiti (adic persoanensrcinate cu diferite arii funcionale)- eful securitii informaiei sau echivalent- reprezentani ai altor funcii interesate (ex. audit intern, asigurri,
personal, securitate fizic)- seful IT, sau echivalent?
Grupul de lucru de nivel nalt este responsabil pentru:- luarea n considerare a intereselor privind securitatea informaiei pentru
toate prile organizaiei- asigurarea tratrii intereselor privind securitatea informaiei ntr-omanier coerenti consecvent
- aprobarea politicilori standardelor / procedurilor de securitate ainformaiei
- monitorizarea performanelor securitii informaiei i a expuneriiorganizaiei la ameninri la adresa securitii informaiei
- aprobarea i stabilirea prioritilor activitii de mbuntire asecuritii informaiei
- asigurarea cuprinderii securitii informaiei n procesul de planificarea informaiei la nivel de organizaie
- coordonarea implementrii instrumentelor de control aferentesecuritii informaiei n noile sisteme i servicii
- accentuarea importanei securitii informaiei n cadrul organizaiei?
X
4.3 Exist instrumente de contro fizice aplicate mediului IT? Este proiectarea instalaiei susinut de standarde/proceduri
documentate, care necesit:
- ca modul de concepere sin cont de cerinele activitii utilizatoriloris fie consecvent cu alte sisteme utilizate de organizaie- ca sistemul s fie conceput n aa fel nct s suporte situaii previzibilen utilizarea sistemului IT de ctre organizaie?
X
Sunt mediile de lucru curente separate de activitatea de testarea dezvoltrii i recepiei prin depozitarea utilitilor sistemuluideparte de mediul curent atunci cnd nu sunt n uz, i prinutilizarea unor camere pentru calculatoare, procesoare,
domenii i partiii separate?
X
Este accesul fizic restricionat la sistemele de calculatoarerestricionat personalului autorizat prin:
- Instalarea de ncuietori acionate cu carduri sau echivalent- ncuierea uilor/ferestrelor atunci cnd mediul este eliberat- Instalarea de alarme mpotriva efraciei
X
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
19/145
ACTIVITATEA DE AUDIT DA NU OBS.
permanent a echipamentelor vulnerabile sau fixarea calculatoarelor pemese sau pe standurile de echipamente).
- vizitatorii sistemului:- au acces numai pentru scopuri clare i autorizate- sunt monitorizai prin nregistrarea orei sosirii i a plecrii- sunt supravegheai permanent- sunt instruii cu privire la cerinele de siguran ale zonei,detaliindu-se procedurile de urgeni li se atrage atenia c oricetimp de nregistrare (ex. filmare sau fotografiere) este interzis.
- Sunt echipamentele i facilitile critice protejate prin situarea lor nafara zonelor de acces public i prin pstrarea confidenialitiidetaliilor cu privire la acestea?
X
- Este accesul fizic n camerele care adpostesc echipamente i faciliticritice protejate prin:
- definirea i ntrirea perimetrului de securitate fizic- pstrarea camerelor sub supraveghere continu- poziionarea echipamentelor (ex. PC-uri) astfel nct informaiile
critice s nu poat fi observate
X
- Autorizaiile pentru acces fizic la instalaii sunt:- emise n conformitate cu standardele /procedurile documentate- revizuite periodic pentru a se asigura accesul la acestea numai a
persoanelor potrivite- revocate imediat ce nu mai sunt necesare?
X
4.4 Comunicaiile de date n format electronic sunt sigure?- Exist o strategie pentru utilizarea continuu eficient, eficace i sigur
a facilitilor reelei?X
- Este responsabilitatea pentru administrarea reelei definit clar? X
- Sunt utilizatorii reelei instruii cu privire la utilizarea reelei isecuritatea acesteia?
X
- Administratorii de reea primesc instruire adecvati potrivit cuprivire la sigurana i controlul reelei?
X
- Sunt informaiile privind standardele tehnice i configurareafacilitilor reelei documentate n mod clar?
X
- Este activitatea n reea monitorizat pentru a se asigura c securitateatransferului de date nu a fost afectat?
X
- Sunt prevederile de service pentru reea complet documentate,susinute, monitorizate i acceptate de toate prile?
X
- Exist proceduri pentru aprobarea i instalarea conexiunilor la reea? X- Pot doar utilizatorii autorizai s efectueze conexiuni la reea i exist
proceduri pentru verificarea conexiunilor neautorizate?X
- Este utilizarea reelei monitorizat pentru a verifica conexiunile
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
20/145
ACTIVITATEA DE AUDIT DA NU OBS.
eventualitatea defectrii a liniilori nodurilor de reea?- Este accesul fizic la domeniile critice ale reelei (ex. centrele de
operare a reelei, camerele echipamentelor, camerele de echipamente,firewalls) restricionat numai la personalul autorizat. Terii, cum ar fifurnizorii sau inginerii de service ar trebui supravegheai atunci cndau acces la echipamentele de comunicaii.
X
- Sunt zonele critice, cum ar fi centrele de operare a reelei i camerelecare adpostesc echipamente importante ale reelei (inclusiv cele aflatela distan), protejate mpotriva:
- Riscurilor naturale, cum ar fi incendiul i inundaiile- Penelor de curent (ex. prin utilizarea unor surse de curent
permanente i a acumulatorilor)- Accesului neautorizat (ex. prin instalarea de ncuietori la ui i a
jaluzelelor la ferestre).
X
- Sunt cablurile de comunicaii protejate prin intermediul: ascunderiisistemului, tevilor, puncte de inspecie/nchidere ncuiate, alimentare irutare alternative, evitarea rutelor prin spaii accesibile publicului?
X
- Exist proceduri implementate pentru monitorizarea i cercetareancercrilor de acces neautorizat?
X
- Performana sistemelor este monitorizat comparativ cu obiectiveleagreate prin revizuirea utilizrii curente n orele normale i de vrfutiliznd programe de monitorizare automat prin revizuirea jurnalelor
de activitate ale sistemului, n mod regulat prin investigareaobstacolelor/ suprancrcrii.
X
- Exist activiti de planificare a capacitii efectuate pentru a permiteasigurarea unei capaciti suplimentare nainte de apariia obstacolelor /suprancrcrii
X
- Este disponibilitatea sistemului (adic timp de rspuns i defuncionare) msurat din punctul de vedere al utilizatorilor activitii,spre exemplu prin monitorizarea performanei staiilor de lucru.
X
- Este monitorizarea efectuat periodic, inclusiv: scanarea sistemelor gazd pentru punctele vulnerabile
cunoscute, cum ar fi prin utilizarea instrumentelor automate(de exemplu programe: Nessus, Pingware)
dac utilitile /comenzile puternice au fost dezactivate pe
sistemele gazd corelate (ex. prin utilizarea unui sniffer) - verificarea existenei unor configurri de reele wireless
neautorizate.
X
- Sunt utilizate mecanismele de detectare a accesului neautorizat,inclusiv:
-detectarea caracteristicilor atacurilor cunoscute (ex. refuzul
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
21/145
ACTIVITATEA DE AUDIT DA NU OBS.
serviciile.- Exist jurnale de nregistrare a activitilor pentru identificarea
modificrilor neautorizate?- Sunt nregistrate toate evenimentele cheie n cadrul reelei? X- Conducerea IT autorizeaz nregistrarea activitilori revizuirea
procesului care urmeaz a fi aplicat (ex. frecvena revizuirilorirspunderea pentru efectuarea acestora).
X
- Sunt nregistrrile active tot timpul i protejate de suprascriereintenionat sau accidental? Mecanismele trebuie s fie stabilite astfelnct atunci cnd nregistrrile privind evenimentele devin sisteme
depline acestea nu sunt oprite din lips de spaiu pe disc i nregistrareava continua cu minim oprire sau chiar fr.
X
- nregistrrile evenimentelor conin detalii ale: timpilor de pornire/oprire pentru sisteme i procese cheie, nregistrarea cu succes autilizatorilor autorizai n sistem i ncercrile euate de nregistrare,situaii de eroare i de excepie, acces sau schimbri ale fiierelori
programelor, acces la capacitile privilegiate.
X
- Exist informaii suficiente nregistrate pentru a identifica: Nume deutilizator individuale, programe speciale i informaii accesatedata/ora accesrii, cile de acces (inclusiv calculatoare/porturi de lacare a fost obinut accesul), modele de acces pentru a permiteurmrirea tranzaciilor sau activitatea unui anumit utilizatorschimbarea parametrilor de nregistrare n sistem
X
- Sunt nregistrrile pstrate destul timp pentru a respecta cerinelelegale/ale organismelor de reglementare i pentru a fi revizuite
periodic. Revizuirea nregistrrilor va fi: susinut de proceduri/standarde documentate, fundamentat pe o evaluare avizat a
impactului unor evenimente individuale asupra activitii efectuat cuinstrumente automate.
X
4.5 Exist un program antivirus?- Exist standarde /proceduri documentate pentru protecie mpotriva
viruilor care s specifice:- modul de configurare a programului antivirus- mecanismele de actualizare a programului antivirus- proces pentru gestionarea atacurilor cu virus
X
- Este programul de protecie mpotriva viruilor configurat pentru a: scana memoria calculatoarelor, fiierele executabile (inclusiv
fiierele macro de pe programul desktop), fiierele protejate(ex. fiierele comprimate i cele protejate de parole) i mediilede nmagazinare amovibile
scana traficul de date (intrare/ieire) inclusiv e-mail i
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
22/145
ACTIVITATEA DE AUDIT DA NU OBS.
- Sunt utilizatorii:- avertizai cu privire la pericolul reprezentat de virui
-
atenionai rapid cu privire la noi riscuri de virusare (ex. prine-mail)- ndrumai s raporteze atacuri suspectate sau reale ale unor
virui ctre un singur punct de contact i asisten- permanent susinui de experi tehnici i specialiti
X
4.6 Planul de recuperare a datelor n caz de dezastru- A fost efectuat o cercetare i o evaluare cu privire la impactul
riscurilor asupra activitii?X
- A fost pregtit
i aprobat de conducere un plan de recuperare n caz de
dezastru ? X- Au fost pregtite planuri pentru situaii neprevzute, cum ar fi
defeciuni de importan redus?X
- Au fost planurile documentate i transmise personalului cheie ? X- A fost responsabilitatea privind recuperarea n caz de dezastru delegat
unei echipe i rolurile membrilor acesteia nregistrate?X
- Este planul de recuperare n caz de dezastru verificat periodic,reevaluat i actualizat n lumina noilor schimbrilor intervenite nevaluarea riscurilor?
X
- Au fost stabilite faciliti de recuperare n caz de dezastru i suntacestea verificate periodic pentru a se asigura eficiena, caracteruloperaional i curent al acestora?
X
- Sunt procedurile de recuperare luate n considerare n specificaiiletehnice ale unei noi aplicaii pentru calculatori pentru a protejasistemele n dezvoltare?
X
- Sunt msurile de salvare a informaiilor eseniale i a programelorluate destul de frecvent pentru a ndeplini cerinele activitii? X- Msurile de realizare a copiilor de siguran permit programelori
informaiilor s fie restaurate in perioada de timp critic pentruaplicaie (adic n punctul dup care vor fi suferite pierderiinacceptabile).
X
- Sunt copiile de siguran protejate mpotriva pierderii, deteriorrii iaccesului neautorizat prin: stocarea lor n seifuri ignifuge, aflate nlocaie, pentru a permite restaurarea rapid a informaiilor ; susinerealor prin copii pstrate n alte locaii pentru a permite restaurareasistemului prin utilizarea unor faciliti alternative n caz de dezastru;restricionarea accesului numai la personalul autorizat?
X
4.7 Este arhivarea efectuat ntr-un mod sigur?- Exist politici /standarde pentru arhivarea datelor din sistemul de
ti l?X
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
23/145
ENTITATEA PUBLICServiciul Audit Intern
STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORAI APRECIEREA NIVELURILOR RISCURILOR
Misiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 20.01.2006Avizat: Ionescu Mircea Data: 20.01.2006
Nivelul de apreciere al riscului (Ni)Factori de risc
(Fi)
Pondereafactorilor de risc
(Pi)N 1 N 2 N 3
Aprecierea
controluluiintern F1 P1 50%Exist proceduri
i se aplic
Existproceduri, sunt
cunoscute, darnu se aplic
Nu exist
proceduri
Apreciereacantitativ
F2P2 30%
Impactfinanciar
sczut
Impact financiarmediu
Impact financiarridicat
Apreciereacalitativ
F3P3 20%
Vulnerabilitatemic
Vulnerabilitatemedie
Vulnerabilitatemare
Procedura - P05: Analiza riscurilor
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
24/145
Procedura - P05 : Analiza riscurilorENTITATEA PUBLICCompartimentul Audit Intern
STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCULUI
Misiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005 01.01.2006ntocmit: Popescu Sorin / Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006
Criterii de analiza a riscurilor
Apreciereacontroluluiintern (F1)
Apreciereacantitativ
(F2)
Apreciereacalitativ
(F3)
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE
P150%
N1 P230%
N2 P320%
N3
Punctajtotal
1. Politicile entitii publice ndomeniul IT
Inexistena unei atitudini favorabile nprivina informatizrii activitii entitii
publice
0,5 2 0,3 3 0,2 2 2,3
Fundamentarea insuficient a planului 0,5 2 0,3 2 0,2 3 2,2Necorelarea planurilor anuale 0,5 2 0,3 2 0,2 2 2,0
2. Modalitatea de elaborare aplanului strategic i a planuriloranuale Lipsa prioritizrii activitilor 0.5 2 0.3 2 0.2 2 2,0
Neacoperirea domeniilor de activitate aleentitii publice cu subsisteme informatice
0,5 3 0,3 3 0,2 2 2,8
Necorelarea termenelor previzionate de
realizare a subsistemelor
0,5 2 0,3 2 0,2 3 2,2
Nedefinirea responsabilitilor 0,5 2 0,3 3 0,2 1 2,1
3. Subsistemele informaticepentru funciile principale
Insuficienta previzionare a resurselor 0,5 2 0,3 2 0,2 2 2,04. Integrarea subsistemelorinformatice
Incompatibilitatea subsistemelorinformatice
0,5 1 0,3 2 0,2 2 1,5
Nedesemnarea responsabilului cuelaborarea planului
0,5 2 0,3 3 0,2 3 2,5
I. Plan strategic
5. Stabilirea responsabililor cuelaborarea si actualizarea
planului Nestabilirea persoanei responsabile cu
actualizarea planului
0,5 2 0,3 2 0,2 2 2,0
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
25/145
Criterii de analiza a riscurilor
Apreciereacontroluluiintern (F1)
Apreciereacantitativ
(F2)
Apreciereacalitativ
(F3)
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE
P150% N1 P230% N
2 P320% N3
Punctajtotal
Planul nu este aprobat 0,5 3 0,3 2 0,2 3 2,7Planul nu este aprobat de persoanelecompetente
0,5 3 0,3 3 0,2 2 2,86. Aprobarea planului
Coordonarea neadecvat a planurilor 0,5 1 0,3 3 0,2 2 1,8Departamentului IT nu este subordonatunui nivel managerial corespunztor
0,5 2 0,3 2 0,2 2 2,0
Inexistena i/sau neaprobareaorganigramei
0,5 3 0,3 3 0,2 2 2,8
Neformalizarea procedurilor specificeactivitilor desfurate
0,5 2 0,3 2 0,2 3 2,2
Existena unui numr mare de posturi deconducere deinute cu delegaie
0,5 2 0,3 3 0,2 1 2,1
Numr mare de posturi de execuie
neocupate
0,5 3 0,3 1 0,2 2 2,3
Personal de execuie neadecvat 0,5 2 0,3 2 0,2 3 2.2Dotare cu hard i soft inadecvat pentrudesfurarea activitilor specifice
0,5 2 0,3 2 0,2 2 2,0
Inexistena unui sistem de controlmanagerial la nivelul departamentului
0,5 2 0,3 2 0,2 2 2,0
7. Organizarea departamentuluiIT
Neefectuarea monitorizrii modului de
realizare a obiectivelor generale ispecifice ale departamentului
0,5 1 0,3 3 0,2 2 1,8
Neactualizarea fielor posturilor 0,5 1 0,3 1 0,2 2 1,2Nerespectarea principiului segregriisarcinilor de serviciu
0,5 1 0,3 3 0,2 2 1,58. Stabilirea responsabilitilor
prin fiele posturilor
Necuprinderea atribuiilor stabilite prinROF n fiele posturilor
0,5 1 0,3 2 0,2 1 1,3
II. Organizarea ifuncionareadepartamentuluiIT
9. Calificarea i pregtirea
salariailor
Calificarea necorespunztoare/insuficient
a personalului
0,5 1 0,3 2 0,2 1 1,3
C it ii d li i ilN DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE P t j
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
26/145
Criterii de analiza a riscurilor
Apreciereacontroluluiintern (F1)
Apreciereacantitativ
(F2)
Apreciereacalitativ
(F3)
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE
P150% N1 P230% N
2 P320% N3
Punctajtotal
Inexistena planurilor de pregtireprofesional continu
0,5 2 0,3 2 0,2 1 1,8
Neaprobarea planurilor de pregtireprofesional continu
0,5 2 0,3 2 0,2 2 2,0
10. Pregtirea profesionalcontinu
Nerealizarea activitilor previzionate prinplanurile de pregtire profesionalcontinu
0,5 3 0,3 2 0,2 1 2,3
Inexistena unui sistem de evaluare anuala salariailor
0,5 1 0,3 2 0,2 2 1,5
Nerealizarea evalurii pe parcursul anuluia salariailor departamentului
0,5 1 0,3 1 0,2 2 1,2
11. Sistemul de evaluare apersonalului
Evaluarea formal a personalului 0,5 1 0,3 2 0,2 1 1,3Inexistena unei politici unitare privind
gestionarea riscurilor
0,5 2 0,3 2 0,2 2 2,0
Inexistena unui responsabil privindgestionarea riscurilor
0,5 2 0,3 3 0,2 2 2,3
Nedesemnarea unei persoane responsabilcu elaborarea i monitorizarea Registruluiriscurilor
0,5 2 0,3 2 0,2 2 2,0
12. Sistemul de gestionare a
riscurilor conducereaRegistrului riscurilor
Neactualizarea sistematic a Registruluiriscurilor
0,5 3 0,3 2 0,2 1 2,3
Lips de coordonare a aplicaiilor ceruleaz n sistemul informatic
0,5 2 0,3 2 0,2 2 2,0
Nealocarea corespunztoare a resurselornecesare realizrii subsistemelorinformatice
0,5 3 0,3 3 0,2 1 2,6
III. Implementareasistemului IT
13. Gradul de realizare asubsistemelor informaticestabilite prin plan
Evoluii tehnologice cu implicaii asuprandeplinirii planului
0,5 2 0,3 2 0,2 1 1,8
Criterii de analiza a riscurilorNr DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Punctaj
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
27/145
Criterii de analiza a riscurilor
Apreciereacontroluluiintern (F1)
Apreciereacantitativ
(F2)
Apreciereacalitativ
(F3)
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE
P150% N1 P230% N
2 P320% N3
Punctajtotal
Modificarea cadrului legal i procedural cereglementeaz activitile pentru care serealizeaz subsistemele informatice
0,5 3 0,3 1 0,2 1 2,0
Implicaiile evoluiilor tehnologice ndomeniul IT
0,5 2 0,3 2 0,2 2 2,014. Existena controalelorgenerale la nivelul subsistemelorIT Modificarea cadrului legal i procedural ce
reglementeaz activitile pentru care serealizeaz subsistemele informatice
0,5 2 0,3 1 0.2 3 1,9
Inexistena unei politici de transmitere adatelor n reea
0,5 1 0,3 2 0,2 1 1,315. Funcionalitateasubsistemelor n reea
Implicaiile evoluiilor tehnologice ndomeniul IT
0,5 1 0,3 2 0,2 2 1,5
Limitri bugetare n privina achiziionrii
licenelor
0,5 3 0,3 3 0,2 1 2,616. Situaia licenelor pentru
programele de calculator Disfuncionaliti n procesul deachiziionare al licenelor
0,5 3 0,3 2 0,2 1 2,3
Modificarea cadrului legal i procedural cereglementeaz activitile pentru care serealizeaz subsistemele informatice
0,5 1 0,3 2 0,2 1 1,3
Evoluii tehnologice cu implicaii asupraintegrrii subsistemelor
0,5 1 0,3 3 0,2 1 1,6
17. Asigurarea integrriisubsistemelor componente
Neconcordane n integrarea subsistemelor 0,5 1 0,3 2 0,2 3 1,7Inexistena/Insuficiena manualelor deutilizare i a manualelor de operare
0,5 2 0,3 1 0,2 1 1,518. Elaborarea manualelor deutilizare i a manualelor deoperare
Lipsa unor componente i existena unorelemente neclarificate n coninutulmanualelor
0,5 1 0,3 2 0,2 2 1,5
19. Instruirea utilizatorilorsubsistemelor IT
Inexistena unui program de instruire alutilizatorilor
0,5 2 0,3 3 0,2 3 2,5
Criterii de analiza a riscurilorNr DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Punctaj
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
28/145
Criterii de analiza a riscurilor
Apreciereacontroluluiintern (F1)
Apreciereacantitativ
(F2)
Apreciereacalitativ
(F3)
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE
P150% N1 P230% N
2 P320% N3
Punctajtotal
Neefectuarea instruirii sistematice autilizatorilor subsistemelor IT
0,5 2 0,3 2 0,2 1 1,8
Inexistena politicii de securitate 0,5 2 0,3 3 0,2 2 2,320. Politica de securitate ITNeaplicarea politicii de securitatea n modconsecvent
0,5 2 0,3 2 0,2 3 2,2
Inexistena unui responsabil desemnat cumonitorizarea implementrii politicii desecuritate IT
0,5 3 0,3 3 0,2 2 2,5
Nentocmirea i netransmiterea sistematica rapoartelor de monitorizare
0,5 2 0,3 2 0,2 2 2,0
21. Monitorizarea implementriipoliticii de securitate IT
Inexistena unui sistem de clasificare iprotejare adecvat a informaiilor
confideniale existente n format electronic
0,5 2 0,3 1 0,2 3 1,9
Lipsa procedurilor privind implementareacontroalelor fizice n domeniul IT
0,5 2 0,3 2 0,2 2 2,0
Nedesemnarea responsabilitii pentrumonitorizarea controalelor fizice
0,5 3 0,3 2 0,2 2 2,5
Lipsa unor proceduri pentru realizareacontroalelor fizice
0,5 2 0,3 3 0,2 3 2,5
22. Evaluarea controalelor fizicen domeniul IT
Neefectuarea controalelor fizice conformprocedurilor
0,5 3 0,3 3 0,2 1 2,6
Lipsa procedurilor privind siguranaaccesului utilizatorilor n reea
0,5 2 0,3 2 0,2 1 1,8
Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor
privind sigurana accesului utilizatorilor nreea
0,5 2 0,3 2 0,2 2 2,0
IV. Securitatea IT
23. Sigurana accesului la reeai a comunicrii datelor n reea
Neefectuarea monitorizrii sistematice 0,5 3 0,3 1 0,2 3 2,4
Criterii de analiza a riscurilorNr DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Punctaj
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
29/145
Criterii de analiza a riscurilor
Apreciereacontroluluiintern (F1)
Apreciereacantitativ
(F2)
Apreciereacalitativ
(F3)
Nr.
crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE
P150% N1 P230% N
2 P320% N3
Punctajtotal
Neimplementarea msurilor privindsigurana accesului utilizatorilor n reeaconform procedurilor
0,5 2 0,3 3 0,2 2 2,3
Lipsa procedurilor privind implementareaprogramelor antivirus
0,5 3 0,3 2 0,2 3 2,7
Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor
privind implementarea programelorantivirus
0,5 2 0,3 2 0,2 2 2,0
Neefectuarea monitorizrii sistematice 0,5 2 0,3 2 0,2 1 1,8
24. Programe antivirus
Neluarea msurilor necesare privindimplementarea programelor antivirusconform procedurilor
0,5 2 0,3 3 0,2 3 2,5
Lipsa procedurilor privind recuperareadatelor n caz de dezastru0,5 2 0,3 2 0,2 2 2,0
Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor
privind recuperarea datelor n caz dedezastru
0,5 2 0,3 3 0,2 1 2,1
Neefectuarea monitorizrii sistematice 0,5 3 0,3 1 0,2 2 2,2
25. Recuperarea datelor n caz dedezastru
Neluarea msurilor necesare privindrecuperarea datelor n caz de dezastruconform procedurilor
0,5 3 0,3 2 0,2 1 2,3
Lipsa procedurilor privind arhivareadatelor
0,5 1 0,3 2 0,2 2 1,5
Nedesemnarea responsabilitii pentruarhivarea datelor
0,5 1 0,3 2 0,2 3 1,7
26. Sistemul de arhivare
Neefectuarea evalurii periodice a
activitii de arhivare
0,5 1 0,3 1 0,2 3 1,4
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
30/145
NOTA:
Elaborarea documentului Stabilirea nivelului risculuii a punctajului total al risculuicomport dou etape: n prima faz se realizeazevaluarea nivelelor riscurilor asociate operaiilor auditabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele
metodologice privind auditul intern, respectiv:n
T= Pi x Nii = 1
Unde:T = punctaj total;
Pi = ponderea riscului pentru fiecare criteriu;Ni = nivelul riscurilor pentru fiecare criteriu utilizat;
Evaluarea riscurilor asociate operaiilor auditabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acestmoment, din documentele primite de la entitate i din rapoarte anterioare, dari din expertiza personal n domeniu i este o evaluare cuun oarecare grad de subiectivitate.
Din aceste motive se recomand ca auditorii interni s aib n vedere posibilitatea mbuntirii acestei lucrri pe durata misiunii de audit
i n special n etapa Interveniei la faa locului, funcie de informaiile, documentele i probele de audit pe care le realizeaz.ProceduraAnaliza riscurilorse consider a fi un document viu care poate fi actualizat permanent pe parcursul desfurrii misiunii de auditintern.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
31/145
Procedura - P05 : Analiza riscurilorENTITATEA PUBLICCompartimentul Audit Intern
CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCULUI
Misiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005 31.12.2005ntocmit: Popescu Sorin / Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006
Nr.crt.
DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJTOTAL CLASARE OBS.
1. Politicile entitii publicen domeniul IT
1. Inexistena unei atitudini favorabile n privinainformatizrii activitii entitii publice
2,3 Mare
2. Fundamentarea insuficient a planului 2,2 Mediu3. Necorelarea planurilor anuale 2,0 Mediu
2. Modalitatea de elaborare aplanului strategic i aplanurilor anuale 4. Lipsa prioritizrii activitilor 2,0 Mediu
5. Neacoperirea domeniilor de activitate ale entitii publicecu subsisteme informatice
2,8 Mare
6. Necorelarea termenelor previzionate de realizare asubsistemelor
2,2 Mediu
7. Nedefinirea responsabilitilor 2,1 Mediu
3. Subsistemele informaticepentru funciile principale
8. Insuficienta previzionare a resurselor 2,0 Mediu4. Integrarea subsistemelor
informatice
9. Incompatibilitatea subsistemelor informatice 1,5 Mic Nu
10. Nedesemnarea responsabilului cu elaborarea planului 2,5 Mare5. Stabilirea responsabililorcu elaborarea si actualizarea
planului11. Nestabilirea persoanei responsabile cu actualizarea
planului2,0 Mediu
12. Planul nu este aprobat 2,7 Mare13. Planul nu este aprobat de persoanele competente 2,8 Mare
I. Plan strategic
6. Aprobarea planului
14. Coordonarea neadecvat a planurilor 1,8 Mediu
II. Gestionarea iorganizarea 7. Organizareadepartamentului IT 15. Departamentului IT nu este subordonat unui nivelmanagerial corespunztor 2,0 Mediu
Nr. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ CLASARE OBS.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
32/145
crt.TOTAL
16. Inexistena i/sau neaprobarea organigramei 2,8 Mare17. Neformalizarea procedurilor specifice activitilordesfurate
2,2 Mediu
18. Existena unui numr mare de posturi de conduceredeinute cu delegaie
2,1 Mediu
19. Numr mare de posturi de execuie neocupate 2,3 Mare20. Personal de execuie neadecvat 2.2 Mediu21. Dotare cu hard i soft inadecvat pentru desfurareaactivitilor specifice
2,0 Mediu
22. Inexistena unui sistem de control managerial la nivelul
departamentului
2,0 Mediu
23. Neefectuarea monitorizrii modului de realizare aobiectivelor generale i specifice ale departamentului
1,8 Mediu
24. Neactualizarea fielor posturilor 1,2 Mic Nu25. Nerespectarea principiului segregrii sarcinilor deserviciu
1,5 Mic Nu8. Stabilirearesponsabilitilor prin fiele
posturilor26. Necuprinderea atribuiilor stabilite prin ROF n fiele
posturilor1,3 Mic Nu
9. Calificarea i pregtireasalariailor
27. Calificarea necorespunztoare/insuficient a personalului 1,3 Mic Nu
28. Inexistena planurilor de pregtire profesional continu 1,8 Mediu29. Neaprobarea planurilor de pregtire profesionalcontinu
2,0 Mediu10. Pregtirea profesionalcontinu
30. Nerealizarea activitilor previzionate prin planurile depregtire profesional continu
2,3 Mare
31. Inexistena unui sistem de evaluare anual a salariailor 1,5 Mic Nu32. Nerealizarea evalurii pe parcursul anului a salariailordepartamentului
1,2 Mic Nu11. Sistemul de evaluare a
personalului
33. Evaluarea formal a personalului 1,3 Mic Nu34. Inexistena unei politici unitare privind gestionareariscurilor
2,0 Mediu
depart. IT
12. Sistemul de gestionare ariscurilor conducereaRegistrului riscurilor 35. Inexistena unui responsabil privind gestionarea
riscurilor
2,3 Mare
Nr. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJTOTAL
CLASARE OBS.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
33/145
crt.TOTAL
36. Nedesemnarea unei persoane responsabil cu elaborareai monitorizarea Registrului riscurilor
2,0 Mediu
37. Neactualizarea sistematic a Registrului riscurilor 2,3 Mare
38. Lips de coordonare a aplicaiilor ce ruleaz n sistemulinformatic
2,0 Mediu
39. Nealocarea corespunztoare a resurselor necesarerealizrii subsistemelor informatice
2,6 Mare
40. Evoluii tehnologice cu implicaii asupra ndepliniriiplanului
1,8 Mediu
13. Gradul de realizare asubsistemelor informaticestabilite prin plan
41. Modificarea cadrului legal i procedural ce
reglementeaz activitile pentru care se realizeazsubsistemele informatice
2,0 Mediu
42. Implicaiile evoluiilor tehnologice n domeniul IT 2,0 Mediu14. Existena controalelorgenerale la nivelulsubsistemelor IT
43. Modificarea cadrului legal i procedural cereglementeaz activitile pentru care se realizeazsubsistemele informatice
1,9 Mediu
44. Inexistena unei politici de transmitere a datelor n reea 1,3 Mic Nu15. Funcionalitateasubsistemelor n reea 45. Implicaiile evoluiilor tehnologice n domeniul IT 1,5 Mic Nu
46. Limitri bugetare n privina achiziionrii licenelor 2,6 Mare16. Situaia licenelor pentruprogramele de calculator 47. Disfuncionaliti n procesul de achiziionare al
licenelor2,3 Mare
48. Modificarea cadrului legal i procedural cereglementeaz activitile pentru care se realizeazsubsistemele informatice
1,3 Mic Nu
49. Evoluii tehnologice cu implicaii asupra integrrii
subsistemelor
1,6 Mic Nu
17. Asigurarea integrriisubsistemelor componente
50. Neconcordane n integrarea subsistemelor 1,7 Mic Nu51. Inexistena/Insuficiena manualelor de utilizare i amanualelor de operare
1,5 Mic Nu18. Elaborarea manualelor deutilizare i a manualelor deoperare 52. Lipsa unor componente i existena unor elemente
neclarificate n coninutul manualelor1,5 Mic Nu
III. Implementareasistemului IT
19. Instruirea utilizatorilor 53. Inexistena unui program de instruire al utilizatorilor 2,5 Mare
Nr. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJTOTAL
CLASARE OBS.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
34/145
crt.TOTAL
subsistemelor IT 54. Neefectuarea instruirii sistematice a utilizatorilorsubsistemelor IT
1,8 Mediu
55. Inexistena politicii de securitate 2,3 Mare20. Politica de securitate IT
56. Neaplicarea politicii de securitatea n mod consecvent 2,2 Mediu57. Inexistena unui responsabil desemnat cu monitorizareaimplementrii politicii de securitate IT
2,5 Mare
58. Nentocmirea i netransmiterea sistematic a rapoartelorde monitorizare
2,0 Mediu
21. Monitorizareaimplementrii politicii desecuritate IT
59. Inexistena unui sistem de clasificare i protejareadecvat a informaiilor confideniale existente n format
electronic
1,9 Mediu
60. Lipsa procedurilor privind implementarea controalelorfizice n domeniul IT
2,0 Mediu
61. Nedesemnarea responsabilitii pentru monitorizareacontroalelor fizice
2,5 Mare
62. Lipsa unor proceduri pentru realizarea controalelor fizice 2,5 Mare
22. Evaluarea controalelorfizice n domeniul IT
63. Neefectuarea controalelor fizice conform procedurilor 2,6 Mare64. Lipsa procedurilor privind sigurana accesuluiutilizatorilor n reea
1,8 Mediu
65. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind sigurana accesuluiutilizatorilor n reea
2,0 Mediu
66. Neefectuarea monitorizrii sistematice 2,4 Mare
23. Sigurana accesului lareea i a comunicriidatelor n reea
67. Neimplementarea msurilor privind sigurana accesuluiutilizatorilor n reea conform procedurilor
2,3 Mare
68. Lipsa procedurilor privind implementarea programelorantivirus 2,7 Mare
69. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind implementarea
programelor antivirus
2,0 Mediu
70. Neefectuarea monitorizrii sistematice 1,8 Mediu
IV. Securitatea IT
24. Programe antivirus
71. Neluarea msurilor necesare privind implementareaprogramelor antivirus conform procedurilor
2,5 Mare
Nr. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJTOTAL
CLASARE OBS.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
35/145
crt.TOTAL
72. Lipsa procedurilor privind recuperarea datelor n caz dedezastru
2,0 Mediu
73. Inexistena responsabilului desemnat cu monitorizarea
implementrii procedurilor privind recuperarea datelor n cazde dezastru
2,1 Mediu
74. Neefectuarea monitorizrii sistematice 2,2 Mediu
25. Recuperarea datelor ncaz de dezastru
75. Neluarea msurilor necesare privind recuperarea datelorn caz de dezastru conform procedurilor
2,3 Mare
76. Lipsa procedurilor privind arhivarea datelor 1,5 Mic Nu77. Nedesemnarea responsabilitii pentru arhivarea datelor 1,7 Mic Nu
26. Sistemul de arhivare
78. Neefectuarea evalurii periodice a activitii de arhivare 1,4 Mic Nu
Nota:
Pentru continuarea analizei, auditorii interni au mprit cele 78 de riscuri structurate pe cele 26 de obiecte auditabile, din documentulStabilirea nivelului risculuii a punctajului total,innd conti de resursele alocate misiunii (numr de persoane, timpul aferent.a.), astfel:
Riscuri mici 1,0 - 1,7Riscuri medii 1,8 - 2,2Riscuri mari 2,3 - 3,0
Pentru moment, riscurile mici vor fi ignorate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie cu care se vaelabora documentulTabelul puncte tarii puncte slabe.
Procedura - P05 : Analiza riscurilor
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
36/145
Procedura - P05 : Analiza riscurilorENTITATEA PUBLICCompartimentul Audit Intern
TABELUL PUNCTE TARI I PUNCTE SLABE
Misiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005 31.12.2005ntocmit: Popescu Sorin / Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006
Nr.crt.
Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinelefuncionrii/
nefuncionriicontrolului intern
Grad dencredere alauditorului n
controlulintern
OBS.
1. Politicile entitiipublice n domeniul IT
Inexistena unei atitudini favorabile n privinainformatizrii activitii entitii publice S
Sczut
Fundamentarea insuficient a planului S MediuNecorelarea planurilor anuale S Sczut2. Modalitatea deelaborare a planuluistrategic i a planuriloranuale
Lipsa prioritizrii activitilor S Mediu
Neacoperirea domeniilor de activitate ale entitiipublice cu subsisteme informatice
S Sczut
Necorelarea termenelor previzionate de realizarea subsistemelor
S Mediu
Nedefinirea responsabilitilor S Sczut
3. Subsistemeleinformatice pentrufunciile principale
Insuficienta previzionare a resurselor S Sczut
I. Plan strategic
5. Stabilirearesponsabililor cuelaborarea siactualizarea planului
Nedesemnarea responsabilului cu elaborareaplanului
S Mediu
Nr. Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinelefuncionrii/
Grad dencredere al
OBS.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
37/145
crt. funcionrii/nefuncionrii
controlului intern
ncredere alauditorului n
controlulintern
Nestabilirea persoanei responsabile cuactualizarea planului T Exist sistem decontrol interneficient
Ridicat NU
Planul nu este aprobat S Sczut
Planul nu este aprobat de persoanele competente S Mediu
6. Aprobarea planului
Coordonarea neadecvat a planurilor S Sczut
Departamentului IT nu este subordonat unui nivel
managerial corespunztor
S Mediu
Inexistena i/sau neaprobarea organigramei T Exist sistem decontrol intern
eficient
Ridicat NU
Neformalizarea procedurilor specificeactivitilor desfurate
S Sczut
Existena unui numr mare de posturi deconducere deinute cu delegaie
S Sczut
Numr mare de posturi de execuie neocupate S MediuPersonal de execuie neadecvat S SczutDotare cu hard i soft inadecvat pentrudesfurarea activitilor specifice
T Exist sistem decontrol intern
eficient
Ridicat NU
Inexistena unui sistem de control managerial lanivelul departamentului
S Mediu
7. Organizarea
departamentului IT
Neefectuarea monitorizrii modului de realizare aobiectivelor generale i specifice aledepartamentului
S Sczut
Inexistena planurilor de pregtire profesionalcontinu
S Mediu
Neaprobarea planurilor de pregtire profesionalcontinu
S Sczut
II. Gestionarea i
organizareadepart. IT
10. Pregtireaprofesional continu
Nerealizarea activitilor previzionate prinplanurile de pregtire profesional continu
S Mediu
Nr. Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinelefuncionrii/
Grad dencredere al
OBS.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
38/145
crt. funcionrii/nefuncionrii
controlului intern
ncredere alauditorului n
controlulintern
Inexistena unei politici unitare privindgestionarea riscurilor S SczutInexistena unui responsabil privind gestionareariscurilor
S Sczut
Nedesemnarea unei persoane responsabil cuelaborarea i monitorizarea Registrului riscurilor
S Sczut
12. Sistemul degestionare a riscurilor conducereaRegistrului riscurilor
Neactualizarea sistematic a Registrului riscurilor S MediuLips de coordonare a aplicaiilor ce ruleaz nsistemul informatic
S Sczut
Nealocarea corespunztoare a resurselor necesarerealizrii subsistemelor informatice
S Sczut
Evoluii tehnologice cu implicaii asuprandeplinirii planului
S Mediu
13. Gradul de realizarea subsistemelorinformatice stabilite
prin plan
Modificarea cadrului legal i procedural cereglementeaz activitile pentru care se
realizeaz subsistemele informatice
S Sczut
Implicaiile evoluiilor tehnologice n domeniul IT S Sczut14. Existenacontroalelor generalela nivelulsubsistemelor IT
Modificarea cadrului legal i procedural cereglementeaz activitile pentru care serealizeaz subsistemele informatice
S Sczut
Limitri bugetare n privina achiziionriilicenelor
S Sczut
III. Implementareasistemului IT
16. Situaia licenelorpentru programele de
calculator Disfuncionaliti n procesul de achiziionare allicenelor S MediuInexistena unui program de instruire alutilizatorilor
T Exist sistem decontrol intern
eficient
Ridicat NU19. Instruireautilizatorilorsubsistemelor IT
Neefectuarea instruirii sistematice a utilizatorilorsubsistemelor IT
S Mediu
IV. Securitatea IT 20. Politica de Inexistena politicii de securitate S Sczut
Nr.
t
Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinelefuncionrii/
Grad dencredere al
OBS.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
39/145
crt. funcionrii/nefuncionrii
controlului intern
ncredere alauditorului n
controlulintern
securitate IT Neaplicarea politicii de securitatea n modconsecvent S SczutInexistena unui responsabil desemnat cumonitorizarea implementrii politicii de securitateIT
S Mediu
Nentocmirea i netransmiterea sistematic arapoartelor de monitorizare
S Sczut
21. Monitorizareaimplementrii politiciide securitate IT
Inexistena unui sistem de clasificare i protejare
adecvat a informaiilor confideniale existente nformat electronic
T Exist sistem de
control interneficient
Ridicat NU
Lipsa procedurilor privind implementareacontroalelor fizice n domeniul IT
S Sczut
Nedesemnarea responsabilitii pentrumonitorizarea controalelor fizice
T Exist sistem decontrol intern
eficient
Ridicat NU
Lipsa unor proceduri pentru realizareacontroalelor fizice S Mediu
22. Evaluareacontroalelor fizice ndomeniul IT
Neefectuarea controalelor fizice conformprocedurilor
S Sczut
Lipsa procedurilor privind sigurana accesuluiutilizatorilor n reea
S Sczut
Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor privind
sigurana accesului utilizatorilor n reea
S Sczut
Neefectuarea monitorizrii sistematice T Exist sistem decontrol intern
eficient
Ridicat NU
23. Siguranaaccesului la reea i acomunicrii datelor nreea
Neimplementarea msurilor privind siguranaaccesului utilizatorilor n reea conform
procedurilor
S Mediu
24. Programe antivirus Lipsa procedurilor privind implementareaprogramelor antivirus S Sczut
Nr.
crt
Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinelefuncionrii/
Grad dencredere al
OBS.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
40/145
crt. nefuncionrii
controlului internauditorului n
controlulintern
Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor privindimplementarea programelor antivirus
S Sczut
Neefectuarea monitorizrii sistematice S SczutNeluarea msurilor necesare privindimplementarea programelor antivirus conform
procedurilor
S Mediu
Lipsa procedurilor privind recuperarea datelor n
caz de dezastru
S Sczut
Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor privindrecuperarea datelor n caz de dezastru
S Sczut
Neefectuarea monitorizrii sistematice S Sczut
25. Recuperarea
datelor n caz dedezastru
Neluarea msurilor necesare privind recuperareadatelor n caz de dezastru conform procedurilor
S Sczut
Nota:n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin transferarea operaiilor auditabile cu riscuri
semnificative (marii medii) din documentulClasarea operaiilor n funcie de analiza riscului care cuprinde un numr de 18 obiecte auditabilei60 de riscuri asociate acestora.
Ierarhizarea obiectelor auditabile const n evaluarea funcionalitii sistemelor de control intern, care limiteaz efectele riscurilori care dauposibilitatea auditorilor interni s aprecieze acele obiecte auditabile ca fiind puncte tari, celelalte riscuri pentru care nu exist activiti de controlsau acestea sunt nefuncionale vor fi n continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 7 riscuri asociate obiectelor
auditabile care au fost evaluate ca fiind puncte tarii vor fi eliminate, pentru moment, din auditare.Pornind de la documentulTabelul puncte tarii puncte slabe se va elabora documentulTematica n detaliu a misiunii de auditn care vor fi
preluate numai operaiile considerate ca fiindpuncte slabe , ocazie cu care vor fi renumerotate.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
41/145
Procedura - P05 : Analiza riscurilor
ENTITATEA PUBLICCompartimentul Audit Intern
TEMATICA IN DETALIU A OPERAIILOR AUDITABILE
Misiunea de audit: Tehnologia informaiei
Perioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006
Nr.crt.
DOMENIUL OBIECTE AUDITABILE Nr. paragrafdin Raportul
de audit intern
1. Politicile entitii publice n domeniul IT2. Modalitatea de elaborare a planului strategici a planurilor anuale3. Subsistemele informatice pentru funciile
principale4. Stabilirea responsabililor cu elaborarea siactualizarea planului
I. Plan strategic
5. Aprobarea planului6. Organizarea departamentului IT7. Pregtirea profesional continu
II. Organizarea ifuncionareadepartamentului IT 8. Sistemul de gestionare a riscurilor
conducerea Registrului riscurilor9. Gradul de realizare a subsistemelor
informatice stabilite prin plan
10.Existena controalelor generale la nivelulsubsistemelor IT
11.Situaia licenelor pentru programele decalculator
III. Implementareasistemului IT
12 Instruirea utilizatorilor subsistemelor IT
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
42/145
Nota:
Procedura Analiza riscurilor a nceput cu elaborarea documentuluiLista centralizatoare aobiectelor auditabile, care a cuprins 26 de operaii/obiecte auditabile, i s-afinalizat cu Tematica ndetaliu a misiunii de audit, n care au fost selectate numai 18 de obiecte auditabile.
n continuare, cele 18 de operaii/obiecte auditabile, vor fi avute n vedere n activitatea deauditare, deoarece reprezint riscuri semnificative pentru domeniul auditati vor fi supuse diferitelortestri, stabilite pe bazaProgramului interveniei la faa locului, care se vor materializa n F.I.A.P.-urii F.C.R.I.-uri, acolo unde este cazul, i n final vor fi transferate i comentate n Raportul de auditintern, n ordinea din Tematica n detaliu a misiunii de audit.
Menionm,totui, c proceduraAnaliza riscurilortrebuie s rmn un document viu care nfuncie de constatrile rezultate n Etapa de intervenie la faa locului s fie actualizat ori de cte orise impune.
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
43/145
Procedura P06: Elaborarea programului de audit internENTITATEA PUBLICServiciul Audit Intern
PROGRAMUL DE AUDIT INTERNMisiunea de audit: Audit ITPerioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 27.03.2006Avizat: Dumitru Daniel Data: 27.03.2006
ETAPELEMISIUNII
DOMENIUL ACTIVITI DURATA(H)
PERSOANELEIMPLICATE
LOCULDESF.
Temageneral:
Tehnologia Informatiei 376
1521. Intocmirea i procesarea Ordinului de serviciu 2 Popescu Sorin SAI2. Intocmirea si validarea Declaraiei de independen 2 Popescu Sorin SAI
3. Pregtirea i transmiterea Notificrii privinddeclanarea misiunii de audit intern ctre prileinteresate
2 Radu George SAI
4. Colectarea i prelucrarea informaiilor30 Popescu Sorin
SAIAUDITAT
5. Elaborarea Chestionarului de control intern16
Popescu Sorin/Radu George
SAI
6. ntocmirea Listelor de verificare
40
Popescu Sorin/
Radu George SAI7. Analiza riscurilor 32 Popescu Sorin SAI8. ntocmirea Programului de audit intern 8 Popescu Sorin SAI9.Intocmirea Programului preliminar al interveniei lafaa locului
4 Radu George SAI
1.PREGTIREA MISIUNII
DE AUDIT
10. Organizarea edinei de deschidere cu Direcia IT.4 Radu George SAI
ETAPELEDOMENIUL ACTIVITI
DURATA PERSOANELE LOCUL
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
44/145
MISIUNIIDOMENIUL ACTIVITI
(H) IMPLICATE DESF.11. Redactarea Minutei edinei de deschidere. 4 Radu George SAI
AUDITAT
12. Organizarea edinei de inchidere cu Direcia IT. 4 Radu George SAIAUDITAT13. Redactarea Minutei edinei de inchidere. 4 Radu George AUDITAT
14038
1.1. Efectuarea testrilor, detaliateProgramulinterveniei la faa locului
16 Popescu Sorin AUDITAT
1.2. Discutarea constatrilor cu conducatorul
departamentului IT 2 Popescu Sorin SAI1.3. Elaborarea F.I.A.P. urilor 8 Popescu Sorin SAI1.4. Colectarea dovezilor 4 Radu George AUDITAT
OBIECTIVUL 1.Plan strategic
1.5. Revizuirea documentelor de lucru din punct devedere al coninutului i al formei i ntocmirea Noteicentralizatoare a documentelor de lucru
8 Radu George AUDITAT
32
2.1. Efectuarea testrilor, detaliateProgramulinterveniei la faa locului 16 Popescu Sorin AUDITAT
2.2. Discutarea constatrilor cu conducatoruldepartamentului IT
2 Popescu Sorin SAI
2.3. Elaborarea F.I.A.P. - urilor 4 Popescu Sorin SAI2.4. Colectarea dovezilor 2 Radu George AUDITAT
OBIECTIVUL 2.
Organizarea ifuncionareadepartamentuluiIT
2.5. Revizuirea documentelor de lucru din punct devedere al coninutului i al formei i ntocmirea Notei
centralizatoare a documentelor de lucru
8 Radu George AUDITAT
283.1. Efectuarea testrilor, detaliateProgramulinterveniei la faa locului
16Popescu Sorin
AUDITAT
3.2. Discutarea constatrilor cu conducatoruldepartamentului IT
2Popescu Sorin
SAI
3.3. Elaborarea F.I.A.P. - urilor 4 Popescu Sorin SAI
II.INTERVENIA LA FAALOCULUI
OBIECTIVUL 3.Implementareasistemului IT
3.4. Colectarea dovezilor 4 Radu George AUDITAT
ETAPELEDOMENIUL ACTIVITI
DURATA PERSOANELE LOCUL
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
45/145
MISIUNIIDOMENIUL ACTIVITI
(H) IMPLICATE DESF.3.5. Revizuirea documentelor de lucru din punct devedere al coninutului i al formei i ntocmirea Notei
centralizatoare a documentelor de lucru
2Radu George
AUDITAT
424.1. Efectuarea testrilor, detaliateProgramulinterveniei la faa locului
8Popescu Sorin
AUDITAT
4.2. Discutarea constatrilor cu eful de serviciu 2 Popescu Sorin SAI4.3. Elaborarea F.I.A.P. - urilor 8 Popescu Sorin SAI4.4. Colectarea dovezilor 16 Radu George AUDITAT
OBIECTIVUL 4.Securitatea IT
4.5. Revizuirea documentelor de lucru din punct de
vedere al coninutului i al formei i ntocmirea Noteicentralizatoare a documentelor de lucru
8 Radu George AUDITAT
III. RAPORTUL DE AUDIT INTERN 8014. Redactarea si revizuirea proiectului de Raport deaudit intern
40Popescu Sorin SAI
15. Transmiterea proiectului de Raport de audit intern laauditat i solicitarea rspunsului asupra coninutului n 15
zile
4Radu George SAI
16. Organizarea Reuniunii de conciliere, dac este cazul 8 Radu George AUDITAT17. Includerea n Raportul de audit intern a aspectelorsesizate de structura auditata si reinute de auditori,finalizarea si intocmirea sintezei raportului
16Popescu Sorin SAI
18. Obinerea avizarii Raportului de audit intern aprobatde conducerea instituiei
8Radu George SAI
19. Transmiterea recomandrilor aprobate ctre auditat 4 Radu George AUDITAT
IV. URMRIREA RECOMANDRILOR 420. Intocmirea fisei de urmarire a recomandarilor 4 Popescu Sorin SAI
Auditorii, Supervizorul,Popescu Sorin Dumitru DanielRadu George
Procedura - P06: Elaborarea programului de audit intern
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
46/145
ENTITATEA PUBLICServiciul Audit Intern
PROGRAMUL INTERVENIEI LA FAA LOCULUI
Misiunea de audit: Tehnologia InformatieiPerioada auditat: 01.01.2005- 31.12.2005ntocmit:Popescu Sorin/Radu George Data: 27.03.2006Avizat: Dumitru Daniel Data: 27.03.2006
Obiectivul I. Plan strategic
Nr.crt.
OBIECTE AUDITABILE TIPUL TESTRII Locul Durata(h)
Nr.test
Nr. listaverificare
Auditori
1. Politicile entitii publice n
domeniul IT
- Analiza politicii entitii publice n
domeniul IT
DIT 8 LV 1 Popescu Sorin
2. Modalitatea de elaborare aplanului strategic i a planuriloranuale
- Verificarea elaborrii i aprobareaplanului strategic i a planurilor anuale;- Analiza corelrii planurilor strategicecu planurile anuale
DIT 4 LV 1 Radu George
3. Subsistemele IT pentru funciileprincipale
- Examinarea faptului dac subsistemeleIT acoper n totalitate nevoile pentrufunciile principale- Analizarea acoperirii cu subsisteme ITa nevoilor funciilor principale nou-create- Analizarea corelrii ntre termenele derealizare a subsistemelor IT
DIT 8 T1.7LV 1 Radu George
4. Stabilirea responsabililor cuelaborarea si actualizarea
planului
- Examinarea definirii clare aresponsabilitilor DIT 6 LV 1 Radu George
5. Aprobarea planului - Examinarea conformitatii planului culiti il tit tii bli i d i l IT
DIT 8 LV 1 Radu George
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
47/145
politicile entitatii publice in domeniul ITg
Obiectivul II. Organizarea i funcionarea departamentului IT
6. Organizarea departamentului IT -Analizarea organigramei depart. IT
- Analizarea managementului resurselorumane la nivelul Departamentului IT
DIT 16T
2.5 LV 2 Popescu Sorin
7. Pregatirea profesionala continua - Analizarea planurilor de pregatireprofesionala continua- Verificarea existenei unui sistem deverificare a cunotinelor dobndite dupefectuarea cursurilor- Analizarea realizrii pregtiriiprofesionale a salariailor conformatribuiilori responsabilitilor stabiliteprin fia postului
DIT 10 LV 2 Popescu Sorin
8. Sistemul de gestionare ariscurilor conducereaRegistrului riscurilor
- Analizarea sistemului de evaluare ariscurilor- Verificarea existena i actualizareaRegistrului riscurilor
DIT 10 LV 2 Popescu Sorin
Obiectivul III. Implementarea sistemului IT9. Gradul de realizare a
subsistemelor informaticestabilite prin plan
- Verificarea realizrii la termenelestabilite a subsistemelor IT;- Analizai activitatea de monitorizare aimplementrii subsistemelor IT
DIT 4 LV 3 Popescu Sorin
10. Existena controalelor generalela nivelul subsistemelor IT
-Evaluarea controlului datelorintroduse n aplicaii;
-Evaluarea controlului pe parcursulprocesrii datelor;-Evaluarea controlului datelorrezultate n urma procesrii;-Analizai validarea datelor transferatedin alte aplicaii;-Evaluarea controalelor care verificnregistrrile duble;
DIT 8T
3.6.LV 3 Popescu Sorin
-Verificarea autorizrii electronicei/sau manuale a tranzaciilor;
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
48/145
i/sau manuale a tranzaciilor;-Analizarea efectuarea tranzaciilornumai de la computere definite n
prealabil;11. Situaia licenelor pentruprogramele de calculator
- Verificarea situaia licenelor deinuteatt pentru sistemul de operareWindows- Verificarea situaia licenelor deinuteatt pentru pachetul de programeMicrosoft Office- Verificarea existena controalelor de
sistem ce alerteaz administratorul ncazul utilizrii de soft-uri pentru carenu s-au achiziionat licene
DIT 8T
3.8.LV 3
Popescu Sorin
12. Instruirea utilizatorilorsubsistemelor IT
- Verificarea existenei i respectriiprogramelor de instruirea autilizatorilor subsistemelor IT
DIT 4 LV 3Popescu Sorin
Obiectivul IV. Securitatea IT
13. Politica de securitate IT -Verificarea existena politicii desecuritate IT-Verificarea actualizarea politicii desecuritate IT
DIT 6 LV 4 Radu George
14. Monitorizarea implementriipoliticii de securitate IT
- Analizarea ntocmirea i transmitereasistematic a rapoartelor de monitorizare
DIT 6 LV 4 Radu George
15. Evaluarea controalelor fizice ndomeniul IT
- Verificai dotarea camerelor n care seafl servere-le cu echipamente adecvate.
DIT 8
T
4.7. LV 4 Radu George
16. Sigurana accesului la reea i acomunicrii datelor n reea
- Verificarea alocrii numelui deutilizatori parolei aferente pentruaccesul la reea- Monitorizarea conectrii la reeaconform listei de logg-are
DIT 8T
4.8.LV 4 Radu George
17. Programe antivirus - Verificarea implementrii programeloranti virus conform procedurilor
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
49/145
anti-virus conform procedurilor- Monitorizarea sistematic afuncionalitii programelor anti-virus
- Verificarea sistemului de actualizare aprogramelor anti-virus
DIT 16T
4.9.LV 4 Radu George
18. Recuperarea datelor n caz dedezastru
-Verificarea elaborrii planului derecuperare a datelor n caz de dezastru-Verificarea desemnrii responsabililorcu monitorizarea implementriiprocedurilor privind recuperarea datelorn caz de dezastru-Verificarea efecturii monitorizriisistematice
DIT 16 LV 4 Radu George
Auditorii, Supervizorul,Popescu Sorin Dumitru DanielRadu George
-
8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT
50/145
ENTITATEA PUBLICAServiciul Audit Intern
MINU