Ghid Practic Misiunea de Audit Privind Activitatea IT

8/2/2019 Ghid Practic Misiunea de Audit Privind Activitatea IT

1/145

MINISTERUL FINANELOR PUBLICEUNITATEA CENTRALA DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN

GHID PRACTICMISIUNEA DE AUDIT INTERN

PRIVINDACTIVITATEA IT

AVIZATGHITA MARCEL

Sef serviciu pentru Strategie si Metodologie Generala

ELABORATCONSTANTIN VASILE NICOLAE

Auditor superior

Ghidul practic privind realizarea unei misiuni de audit intern pentruactivitatea Serviciului Juridic, constituie un model pentru desfasurarea misiunilor in

baza Legii nr. 672/2002 privind auditul public intern si a Normelor generale pentruexercitarea auditului public intern aprobate prin OMFP nr. 38/2003, cu modificarilesi completarile ulterioare.

Asteptam sugestiile dumneavoastra pe adresa UCAAPI sau pe e-mail:


2/145

CUVANT INAINTE

Ghidul de audit intern privind activitatea IT reprezinta un model practic dedesfasurare a unei misiuni, prin parcurgerea in detaliu, a fiecarui pas, intr-o maniera

didactica. Ghidul poate fi utilizat de entitatile din sectorul public si in acelasi timp vareprezenta suportul pentru realizarea propriului ghid practic specific entitatii.

Elaborarea ghidului are la baza prevederile art. 8 lit. c) din Legea nr. 672/2002privind auditul public intern, referitoare la dezvoltarea si implementarea unorproceduri si metodologii uniforme, bazate pe standardele internationale.

In conformitate cu prevederile punctului 4, Partea I din Normele generale de

exercitare a auditului public intern, aprobate prin OMF nr. 38/2003 (Manualul deaudit intern), misiunea de audit intern are drept scop evaluarea sistemelor demanagement si control intern ale entitatii, urmarind transparenta si conformitatea cucadrul normativ.

Realizarea ghidului practic presupune parcurgerea procedurilor si documentelorspecifice structurate pe cele patru etape prezentate prin normele generale.

-In etapa de pregatire a misiunii de audit intern au fost elaborate documenteleprevazute de normele generale si s-au adus clarificari, in special, cu privire la modulconcret de dezvoltare a procedurii de Analiza riscurilor, succesiunea documentelor,structura acestora si modul de completare, nivelul de apreciere si impartire al riscurilorin mari, medii si mici, clasarea si ierarhizarea acestora in vederea finalizarii procedurii

pe baza careia se va concentra munca pe teren si a Programului interventiei a fata

locului.- In etapa de interventie la fata locului s-au realizat testarea pe teren a

operatiilor auditabile, pe baza Programului interventiei a fata locului, prin utilizareadiferitelor tehnici de esantionare, liste de verificare, teste, foi de lucru, interviuri sinote de relatii, elemente care s-au constituit in probe de audit si au stat la baza


3/145

Procedura P01: Iniierea audituluiENTITATEA PUBLIC

Compartimentul Audit Intern

Nr. 25 din 08.01.2006

ORDIN DE SERVICIU

In conformitate cu prevederile Legii nr. 672/2002 privind auditul public intern,a O.M.F.P. nr. 38/2003 de aprobare a normelor metodologice generale privindexercitarea activitii de audit intern, a Ordinului managerului general nr. 1024/2003

prin care s-au aprobat Normele proprii de exercitare a auditului intern n cadrulentitii publice i a Planului de audit intern pentru anul 2006, se va efectua misiuneade audit intern la Direcia Tehnologia Informaiei n perioada 25.01.2006 17.04.2006.

Scopul misiunii de audit este de a da asigurri asupra activitii IT de lanivelul entitii publice i aconformitii cu cadrul legislativ i normativ aplicabil,

fiind structurate pe urmtoarele domenii auditabile: Plan strategic; Organizareai funcionarea Departamentului IT; Implementarea sistemului IT; Securitatea IT.

Menionm c se va efectua un audit de conformitate al modului de organizare aactivitii de tehnologia informaiei din entitatea public.

Echipa de auditori interni este format din urmtorii:

1 Popescu Sorin;


4/145

Procedura - P02: Iniierea audituluiENTITATEA PUBLICCompartimentul Audit Intern

DECLARAIA DE INDEPENDEN

Nume i prenume: Popescu SorinMisiunea de audit: Tehnologia Informatiei Data: 10.01.2006

Incompatibiliti n legtur cu entitatea/structura auditatDa Nu

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva carear putea s v limiteze msura n care putei s v interesai, s descoperiisau s constatai slbiciuni de audit n orice fel?

- X

Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiectivecare ar putea s v influeneze n misiunea de audit?

- X

Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-unalt mod n activitatea entitii/structurii ce va fi auditat?

- X

Avei responsabiliti n derularea programelor i proiectelor finanateintegral sau parial de Uniunea European?

- X

Ai fost implicat n elaborarea i implementarea sistemelor de control aleentitii/structurii ce urmeaz a fi auditat?

- X

Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cuconductorul entitii/structurii ce va fi auditat sau cu membrii organuluide conducere colectiv?

- X

Avei vreo legtur politic, social care ar rezulta dintr-o fost angajaresau primirea de redevene de la vreun grup anume, sau organizaie sau nivelguvernamental?

- X

Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat

pentru entitatea/structura ce va fi auditat?

- X

Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - XAvei vreun interes direct sau unul de fond financiar indirect laentitatea/structura ce va fi auditat?

- X

Dac n timpul misiunii de audit, apare orice incompatibilitate personal,extern sau organizaional care ar putea s v afecteze abilitatea dvs de a


5/145

Procedura - P02: Iniierea audituluiENTITATEA PUBLICCompartimentul Audit Intern

DECLARAIA DE INDEPENDEN

Nume i prenume: Radu GeorgeMisiunea de audit: Tehnologia Informatiei Data: 10.01.2006

Incompatibiliti n legtur cu entitatea/structura auditatDa Nu

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care arputea s v limiteze msura n care putei s v interesai, s descoperii saus constatai slbiciuni de audit n orice fel?

- X

Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiectivecare ar putea s v influeneze n misiunea de audit?

- X

Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-unalt mod n activitatea entitii/structurii ce va fi auditat?

- X

Avei responsabiliti n derularea programelor i proiectelor finanateintegral sau parial de Uniunea European?

- X

Ai fost implicat n elaborarea i implementarea sistemelor de control aleentitii/structurii ce urmeaz a fi auditat?

- X

Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cuconductorul entitii/structurii ce va fi auditat sau cu membrii organului deconducere colectiv?

- X

Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sauprimirea de redevene de la vreun grup anume, sau organizaie sau nivelguvernamental?

- X

Ai aprobat nainte facturi, ordine de plati alte instrumente de plat pentru

entitatea/structura ce va fi auditat?

- X

Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - XAvei vreun interes direct sau unul de fond financiar indirect laentitatea/structura ce va fi auditat?

- X

Dac n timpul misiunii de audit, apare orice incompatibilitate personal,extern sau organizaional care ar putea s v afecteze abilitatea dvs de a


6/145

Procedura P03: Iniierea AudituluiENTITATEA PUBLICCompartimentul Audit Intern

Nr. 29 din 10.01.2006

NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Ctre: Direcia Tehnologia InformaieiDe la: Coordonatorul Compartimentului Audit Intern

Referitor la misiunea de audit intern Modul de organizare a activitii detehnologia informaiei din entitatea public

Stimate domnule Ptrulescu tefan,n conformitate cu Planul de audit intern pe anul 2006, urmeaz ca n perioada

25.01.2006 17.04.2006 s efectum o misiune de audit intern cu tema Tehnologiainformaiei.

V vom contacta ulterior pentru a stabili de comun acord edina de deschideren vederea discutrii diverselor aspecte ale misiunii de audit, cuprinznd:

- prezentarea auditorilor;- prezentarea principalelor obiective ale misiunii de audit intern;- programul interveniei la faa locului;- scopul misiunii de audit intern;- alte aspecte.

Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne puneila dispoziie urmtoarea documentaie necesar privind activitatea de tehnologie ainformaiei: legile i reglementrile ce se aplica activitilor dumneavoastr,organigrama direciei dumneavoastr, Regulamentul de organizare i funcionare,fiele posturilor, procedurile scrise care descriu sarcinile ce trebuie realizate pe liniaorgani rii acti itii n e emplar al rapoartelor de acti itate notelor misi nilor de


7/145

Procedura P04: Colectarea i prelucrarea informaiilorENTITATEA PUBLICCompartimentul Audit Intern

COLECTAREA INFORMAIILOR

Misiunea de audit: Tehnologia InformaieiPerioada auditat: 01.01- 31.12.2005ntocmit: Popescu Sorin / Radu George Data: 10.01.2006Avizat: Dumitru Daniel Data: 10.01.2006

COLECTAREA INFORMAIILORDIRECIA TEHNOLOGIA

INFORMAIEIDA NU Observaii

Identificarea legilori regulamenteloraplicabile structurii auditate

X -

Obinerea organigramei X -Obinerea Regulamentului de organizare ifuncionare

X -

Obinerea fielor posturilor X -Obinerea procedurilor scrise - X Exist doar parialIdentificarea personalului responsabil X -

Obinerea exemplarului de Raport de auditintern anterior

- X

Anterior nu au fost realizatemisiuni de audit internasupra tehnologiei

informaiei la nivelulentitii publice


8/145

Procedura P05 : Analiza riscurilorENTITATEA PUBLICCompartimentul Audit Intern

LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Misiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006

Nr.crt.

DOMENIUL OBIECTE AUDITABILE OBS.

1. Politicile entitii publice n domeniul IT2. Modalitatea de elaborare a planului strategic i a planurilor anuale3. Subsistemele informatice pentru funciile principale4. Integrarea subsistemelor informatice5. Stabilirea responsabililor cu elaborarea si actualizarea planului

I. Plan strategic

6. Aprobarea planului7. Organizarea departamentului IT8. Stabilirea responsabilitilor prin fiele posturilor9. Calificarea i pregtirea salariailor10. Pregtirea profesional continu11. Sistemul de evaluare a personalului

II. Organizarea i funcionareadepartamentului IT

12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor13. Gradul de realizare a subsistemelor informatice stabilite prin plan14. Existena controalelor generale la nivelul subsistemelor IT15. Funcionalitatea subsistemelor n reea16. Situaia licenelor pentru programele de calculator17. Asigurarea integrrii subsistemelor componente18. Elaborarea manualelor de utilizare i a manualelor de operare

III. Implementarea sistemului IT

19. Instruirea utilizatorilor subsistemelor IT


9/145

Nr.crt.

DOMENIUL OBIECTE AUDITABILE OBS.

20. Politica de securitate IT

21. Monitorizarea implementrii politicii de securitate IT22. Evaluarea controalelor fizice n domeniul IT23. Sigurana accesului la reea i a comunicrii datelor n reea24. Programe antivirus25. Recuperarea datelor n caz de dezastru

IV. Securitatea IT

26. Sistemul de arhivare

Nota:

Lista centralizatoare a obiectelor auditabile reprezint primul document care se elaboreaz n cadrulproceduriiAnaliza riscurilor icuprinde, pentru acest studiu de caz, 26 de obiecte auditabile, structurate pe 4 obiective, care vor fi analizate pe parcursul derulrii misiuniide audit intern.


10/145

Procedura - P05 : Analiza riscurilorENTITATEA PUBLICCompartimentul Audit Intern

IDENTIFICAREA RISCURILORMisiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006

Nr.crt

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE OBS.

1. Politicile entitii publice n domeniul IT 1. Inexistena unei atitudini favorabile n privina informatizriiactivitii entitii publice2. Fundamentarea insuficient a planului3. Necorelarea planurilor anuale

2. Modalitatea de elaborare a planuluistrategic i a planurilor anuale

4. Lipsa prioritizrii activitilor5. Neacoperirea domeniilor de activitate ale entitii publice cusubsisteme informatice

6. Necorelarea termenelor previzionate de realizare a subsistemelor7. Nedefinirea responsabilitilor

3. Subsistemele informatice pentru funciileprincipale

8. Insuficienta previzionare a resurselor4. Integrarea subsistemelor informatice 9. Incompatibilitatea subsistemelor informatice

10. Nedesemnarea responsabilului cu elaborarea planului5. Stabilirea responsabililor cu elaborarea siactualizarea planului 11. Nestabilirea persoanei responsabile cu actualizarea planului

12. Planul nu este aprobat

13. Planul nu este aprobat de persoanele competente

I. Plan strategic

6. Aprobarea planului

14. Coordonarea neadecvat a planurilor15. Departamentului IT nu este subordonat unui nivel managerialcorespunztor16. Inexistena i/sau neaprobarea organigramei17. Neformalizarea procedurilor specifice activitilor desfurate18. Existena unui numr mare de posturi de conducere deinute cudelegaie19. Numr mare de posturi de execuie neocupate

II. Organizarea ifuncionareadepartamentului IT

7. Organizarea departamentului IT

20. Personal de execuie neadecvat


11/145

Nr.crt


21. Dotare cu hard i soft inadecvat pentru desfurarea activitilorspecifice22. Inexistena unui sistem de control managerial la nivelul

departamentului23. Neefectuarea monitorizrii modului de realizare a obiectivelorgenerale i specifice ale departamentului24. Neactualizarea fielor posturilor25. Nerespectarea principiului segregrii sarcinilor de serviciu

8. Stabilirea responsabilitilor prin fieleposturilor

26. Necuprinderea atribuiilor stabilite prin ROF n fiele posturilor9. Calificarea i pregtirea salariailor 27. Calificarea necorespunztoare/insuficient a personalului

28. Inexistena planurilor de pregtire profesional continu29. Neaprobarea planurilor de pregtire profesional ontinu10. Pregtirea profesional continu

30. Nerealizarea activitilor previzionate prin planurile de pregtireprofesional continu31. Inexistena unui sistem de evaluare anual a salariailor32. Nerealizarea evalurii pe parcursul anului a salariailordepartamentului

11. Sistemul de evaluare a personalului

33. Evaluarea formal a personalului34. Inexistena unei politici unitare privind gestionarea riscurilor35. Inexistena unui responsabil privind gestionarea riscurilor36. Nedesemnarea unei persoane responsabil cu elaborarea imonitorizarea Registrului riscurilor

12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor

37. Neactualizarea sistematic a Registrului riscurilor38. Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic

39. Nealocarea corespunztoare a resurselor necesare realizriisubsistemelor informatice40. Evoluii tehnologice cu implicaii asupra ndeplinirii planului

13. Gradul de realizare a subsistemelor

informatice stabilite prin plan

41. Modificarea cadrului legal i procedural ce reglementeazactivitile pentru care se realizeaz subsistemele informatice42. Implicaiile evoluiilor tehnologice n domeniul IT14. Complementaritatea subsistemelor

informatice 43. Modificarea cadrului legal i procedural ce reglementeaz

activitile pentru care se realizeaz subsistemele informatice

III. Implementarea

sistemului IT

15. Funcionalitatea subsistemelor n reea 44. Inexistena unei politici de transmitere a datelor n reea


12/145

Nr.crt


45. Implicaiile evoluiilor tehnologice n domeniul IT46. Limitri bugetare n privina achiziionrii licenelor16. Situaia licenelor pentru programele de

calculator 47. Disfuncionaliti n procesul de achiziionare al licenelor

48. Modificarea cadrului legal i procedural ce reglementeazactivitile pentru care se realizeaz subsistemele informatice49. Evoluii tehnologice cu implicaii asupra integrrii subsistemelor

17. Asigurarea integrrii subsistemelorcomponente

50. Neconcordane n integrarea subsistemelor51. Inexistena/Insuficiena manualelor de utilizare i a manualelor deoperare

18. Elaborarea manualelor de utilizare i amanualelor de operare

52. Lipsa unor componente i existena unor elemente neclarificate n

coninutul manualelor53. Inexistena unui program de instruire al utilizatorilor19. Instruirea utilizatorilor subsistemelor IT54. Neefectuarea instruirii sistematice a utilizatorilor subsistemelor IT55. Inexistena politicii de securitate20. Politica de securitate IT56. Neaplicarea politicii de securitatea n mod consecvent57. Inexistena unui responsabil desemnat cu monitorizareaimplementrii politicii de securitate IT58. Nentocmirea i netransmiterea sistematic a rapoartelor demonitorizare

21. Monitorizarea implementrii politicii desecuritate IT

59. Inexistena unui sistem de clasificare i protejare adecvat ainformaiilor confideniale existente n format electronic60. Lipsa procedurilor privind implementarea controalelor fizice ndomeniul IT61. Nedesemnarea responsabilitii pentru monitorizarea controalelorfizice

62. Lipsa unor proceduri pentru realizarea controalelor fizice

22. Evaluarea controalelor fizice ndomeniul IT

63. Neefectuarea controalelor fizice conform procedurilor64. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea65. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind sigurana accesului utilizatorilor nreea66. Neefectuarea monitorizrii sistematice

IV. Securitatea IT

23. Sigurana accesului la reea i acomunicrii datelor n reea

67. Neimplementarea msurilor privind sigurana accesuluiutilizatorilor n reea conform procedurilor


13/145

Nr.crt


68. Lipsa procedurilor privind implementarea programelor antivirus69. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind implementarea programelor

antivirus70. Neefectuarea monitorizrii sistematice

24. Programe antivirus

71. Neluarea msurilor necesare privind implementarea programelorantivirus conform procedurilor72. Lipsa procedurilor privind recuperarea datelor n caz de dezastru73. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind recuperarea datelor n caz de

dezastru74. Neefectuarea monitorizrii sistematice

25. Recuperarea datelor n caz de dezastru

75. Neluarea msurilor necesare privind recuperarea datelor n caz dedezastru conform procedurilor76. Lipsa procedurilor privind arhivarea datelor77. Nedesemnarea responsabilitii pentru arhivarea datelor


78. Neefectuarea evalurii periodice a activitii de arhivare

Nota:

Identificarea riscurilor este al doilea document care se elaboreaz n cadrul proceduriiAnaliza riscurilor i presupune asocierea riscurilorsemnificative la operaiilor stabilite n Lista centralizatoare a obiectelor auditabile. De regul, se asociaz unul sau mai multe riscuri posibile,determinate de auditorii interni pe baza informaiilor colectate dar si din riscurile practice reieite din propria experien. n situaia n care laoperaiile auditabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte sau pe total operaie/obiectauditabil.

n acest studiu de caz, au fost identificate 26 de operaii auditabile, prezentate n Lista centralizatoare a obiectelor auditabile, crora le-au fostataate 78 riscuri, aa cum rezult din documentulIdentificarea riscurilor.


14/145

Procedura P08: Colectarea dovezilorENTITATEA PUBLICCompartimentul Audit Intern

CHESTIONAR DE CONTROL INTERNMisiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005 01.05.2006ntocmit: Popescu Sorin / Radu George Data: 25.01.2006Avizat: Dumitru Daniel Data: 25.01.2006

ACTIVITATEA DE AUDIT DA NU OBS.

Obiectivul I. PLAN STRATEGIC

1.1 Procedurile privind planul strategic- Activitile ntreprinse concur la realizarea planului strategic? X

1.2 Definirea responsabilitatilor n mod oficial- n politicile entitii publice sunt definite clar obiectivele i care

sunt msurile necesare ce trebuiesc implementate?X

- Exist structuri manageriale care s administreze i s monitorizezeatingerea acestor obiective?

X

- Este desemnat un grup de lucru responsabil pentru actualizareaplanului?

X

1.3 Acoperirea prin plan a tuturor domeniilor entitii publice Entitatea public a elaborat un plan strategic ? X Exist strategii elaborate de fiecare departament i susin aceste

strategii planul?X Departamentele

nfiinate dup

elaborarea planuluistrategic nu sunt

luate n calcul prinplanul strategic

Au fost corelate prin plan termenele de realizare a subsistemelorIT?

X

1.4 Existena unui sistem IT prevzut pentru fiecare activitate principal- Planul strategic IT acoper toate procesele care se desfoar n cadrul

entitii publice? X

Planul trebuie

actualizat potrivitschimbrilor

legislative aprute1.4 Aprobarea planului de managementul general

A fost planul aprobat de managementul general? X

Este personalul de conducere al departamentelor implicat nX


15/145


- Exist resursele necesare? X1.8 Documentarea i fundamentarea planului strategic

- Este planul documentat i fundamentat? XObiectivul II. MANAGEMENT I ORGANIZARE IT2.1 Organizarea departamentului IT- Exist o organigram oficial aprobat de management? X- Sunt toate posturile de conducere ocupate? X- Sunt toate posturile de execuie ocupate? X- Se iau msuri de ocupare a posturilor vacante? X2.2 Definirea responsabilitilor salariailor n fiele posturilor

- Exist fie ale posturilor pentru ntregul personal care s defineasc nmod clar sfera obligaiilor?X

- Cuprind fiele posturilor atribuiile i responsabilitile ce le revinsalariailor n activitatea de zi cu zi?

X

2.3 Exist o separare a sarcinilor de serviciu?- Exist o separare a sarcinilor pentru funciile de:

Proiectare a sistemelor? X Testare a sistemelor? X

Implementare a sistemelor? X Sisteme de operare curente? X

2.4 Asigurarea pregtirii profesionale continue a salariailor- Exist planuri de pregtire profesional continu? X- Salariaii participa la cursuri de perfecionare? X- Pregtirea profesionala a salariailor se realizeaz conform atribuiilori responsabilitilor stabilite prin fia postului?

X

2.5 Managementul riscului

- Exist un proces fo rmalizat de management al riscului? X- Au fost riscurile identificate i evaluate? X- S-au adoptat msuri adecvate de gestionare a riscurilor majore? X- Este Registrul riscurilorinut la zi? X

Obiectivul III. IMPLEMENTAREA SISTEMULUI IT3.1 Gradul de realizare al subsistemelor IT stabilite prin plan- Exist un sistem procedurat de realizare a subsistemelor IT? X- Subsistemele IT au fost realizate la termenele stabilite? X

3.2 Asigurarea integrrii subsistemelor IT- Specificaiile privind cerinele sistemului IT in cont de subsistemele

existente i de necesitatea de a le integra?X

- Exist un administrator de sistem care s asigure dezvoltarea,ntreinerea i integrarea sistemelor?

X

- Se efectueaz testarea implementrii tuturor subsistemelor IT noi? X


16/145


- Exist orare clare pentru introducerea datelori sunt acestearespectate?

X

- Avei un sistem pentru detectarea posibilelor nregistrri duble? X- Exist o planificare a procesrii i este aceasta neleas de utilizatori ipersonalul operativ?

X

- Sunt toate datele, inclusiv cele transferate din alte sisteme, supusevalidrii n timpul prelucrrii?

X

- Programele furnizeaz confirmri cu privire la finalizarea cu succes aprocesrii sau exist proceduri de recuperare i de reintroducere ncazul opririlor anormale?

X

Programele nufurnizeaz n toatecazurile confirmri

cu privire lafinalizarea cusucces a procesrii

- Se confirm prelucrarea integral a procesrilor? X- Exist proceduri pentru gestionarea nregistrrilor respinse de

programele de aplicaii?X

- Exist personal responsabil de gestionarea rezultatelor, de verificarea ide asigurarea caracterului complet i acceptabil al acestora?

X

-

Cnd nregistrrile sunt trecute dintr-un subsistem IT n altul, sunt celeintroduse n al doilea armonizate cu cele produse de primul? X- Atunci cnd nregistrrile sunt respinse la transferarea ntre sisteme,

pot ele fi identificate i cercetate?X

- Sunt utilizatorii responsabili de introducerea, modificarea sau tergereanregistrrilor n cadrul sistemului?

X

- n cazul existenei unor rapoarte privind pista de audit sunt acesteacomplete iar rapoartele indic daci cnd sunt oprite mecanismele deurmrire?

XNu exist rapoarte

privind pista deaudit

- Sunt fiierele salvate n back up la intervale regulate n timpulprelucrrii pentru a permite recuperarea operaiunilor?

X

- Sunt efectuate verificri periodice ale integritii bazelor de date i serein copii de siguran ale bazelor de date de la o verificare la alta?

X

- Instruciunile operatorilori utilizatorilor specific n mod clarprocedurile de urmat n cazul unei deficiene a aplicaiei n timpulprelucrrii?

X

3.4 Funcionalitatea subsistemelor IT n reea- Sunt pstrate statistici cu privire la funcionare i performan? X- Sunt statisticile analizate n mod regulat pentru a identifica problemele

de funcionare?X

- Exist procese prin care s se asigure remedierea deficienelor defuncionare?

X

3 5 Situaia licenelor pentru aplicaii


17/145


Exist persoane responsabile cu monitorizarea respectrii politicii? XPolitica definete securitatea informaiei i principiile de securitate care

trebuie urmate de ctre personal?X

Securitatea informaiei impune:- Realizarea unei analize de risc n mod regulat- Desemnarea unui responsabil cu instalarea computerelori/sausistemelor- Ca personalul s fie contient cu privire la sigurana informaiei- Respectarea licenelor pentru programe, i a obligaiilor legale,reglementare i contractuale

- Raportarea nclcrii politicii de securitate i a deficienelor securitii- Protejarea informaiei n termenii cerinelor acestora deconfidenialitate, integritate i disponibilitate?

X

Politica de securitate interzice:- utilizarea informaiilori sistemelor organizaiei fr autorizaie i

pentru scopuri care nu au legtur cu munca- afirmaiile cu conotaii obscene, discriminatorii sau abuzive, care pot fiilegale (ex prin utilizarea e-mail sau Internet)- descrcarea unor materiale ilegale (ex cu coninut obscen saudiscriminatoriu)- scoaterea informaiei sau echipamentelor din sediu fr autorizare- utilizarea neautorizat a informaiei, infrastucturii sau echipamentelor- copierea neautorizat a informaiei/programelor- compromiterea parolelor (ex prin notarea lor pe documente lsate pe

birou sau divulgarea lor ctre alte persoane)- utilizarea informaiilor prin care pot fi identificate persoane n scopuri deafaceri i fr autorizare expres

- discutarea informaiilor legate de afaceri n locuri publice- falsificarea probelor n cazul unui incident

X

Politica de securitate a informaiei specific faptul c utilizatorii suntobligai:

- s nchid mijloacele sau documentaia important cnd nu sunt utilizate(adic se respect politica mesei de lucru curate)- s ias din sistem atunci cnd un terminal urmeaz s fie lsatnesupravegheat (ex n timpul unor ntlniri, a pauzei de mas, sau pe

timpul nopii)?

X

Politica de securitate a informaiei este:- comunicat ntregului personal i prilor externe cu acces lainformaiile i sistemele ntreprinderii- revizuit periodic conform unui proces de revizuire definit- complectat prin asimilarea modificrilor aprute?

X


18/145


- persoane din conducere superioar (adic un director al consiliului sau alunui organism echivalent)

- unul sau mai muli responsabili de activiti (adic persoanensrcinate cu diferite arii funcionale)- eful securitii informaiei sau echivalent- reprezentani ai altor funcii interesate (ex. audit intern, asigurri,

personal, securitate fizic)- seful IT, sau echivalent?

Grupul de lucru de nivel nalt este responsabil pentru:- luarea n considerare a intereselor privind securitatea informaiei pentru

toate prile organizaiei- asigurarea tratrii intereselor privind securitatea informaiei ntr-omanier coerenti consecvent

- aprobarea politicilori standardelor / procedurilor de securitate ainformaiei

- monitorizarea performanelor securitii informaiei i a expuneriiorganizaiei la ameninri la adresa securitii informaiei

- aprobarea i stabilirea prioritilor activitii de mbuntire asecuritii informaiei

- asigurarea cuprinderii securitii informaiei n procesul de planificarea informaiei la nivel de organizaie

- coordonarea implementrii instrumentelor de control aferentesecuritii informaiei n noile sisteme i servicii

- accentuarea importanei securitii informaiei n cadrul organizaiei?

X

4.3 Exist instrumente de contro fizice aplicate mediului IT? Este proiectarea instalaiei susinut de standarde/proceduri

documentate, care necesit:

- ca modul de concepere sin cont de cerinele activitii utilizatoriloris fie consecvent cu alte sisteme utilizate de organizaie- ca sistemul s fie conceput n aa fel nct s suporte situaii previzibilen utilizarea sistemului IT de ctre organizaie?

X

Sunt mediile de lucru curente separate de activitatea de testarea dezvoltrii i recepiei prin depozitarea utilitilor sistemuluideparte de mediul curent atunci cnd nu sunt n uz, i prinutilizarea unor camere pentru calculatoare, procesoare,

domenii i partiii separate?

X

Este accesul fizic restricionat la sistemele de calculatoarerestricionat personalului autorizat prin:

- Instalarea de ncuietori acionate cu carduri sau echivalent- ncuierea uilor/ferestrelor atunci cnd mediul este eliberat- Instalarea de alarme mpotriva efraciei

X


19/145


permanent a echipamentelor vulnerabile sau fixarea calculatoarelor pemese sau pe standurile de echipamente).

- vizitatorii sistemului:- au acces numai pentru scopuri clare i autorizate- sunt monitorizai prin nregistrarea orei sosirii i a plecrii- sunt supravegheai permanent- sunt instruii cu privire la cerinele de siguran ale zonei,detaliindu-se procedurile de urgeni li se atrage atenia c oricetimp de nregistrare (ex. filmare sau fotografiere) este interzis.

- Sunt echipamentele i facilitile critice protejate prin situarea lor nafara zonelor de acces public i prin pstrarea confidenialitiidetaliilor cu privire la acestea?

X

- Este accesul fizic n camerele care adpostesc echipamente i faciliticritice protejate prin:

- definirea i ntrirea perimetrului de securitate fizic- pstrarea camerelor sub supraveghere continu- poziionarea echipamentelor (ex. PC-uri) astfel nct informaiile

critice s nu poat fi observate

X

- Autorizaiile pentru acces fizic la instalaii sunt:- emise n conformitate cu standardele /procedurile documentate- revizuite periodic pentru a se asigura accesul la acestea numai a

persoanelor potrivite- revocate imediat ce nu mai sunt necesare?

X

4.4 Comunicaiile de date n format electronic sunt sigure?- Exist o strategie pentru utilizarea continuu eficient, eficace i sigur

a facilitilor reelei?X

- Este responsabilitatea pentru administrarea reelei definit clar? X

- Sunt utilizatorii reelei instruii cu privire la utilizarea reelei isecuritatea acesteia?

X

- Administratorii de reea primesc instruire adecvati potrivit cuprivire la sigurana i controlul reelei?

X

- Sunt informaiile privind standardele tehnice i configurareafacilitilor reelei documentate n mod clar?

X

- Este activitatea n reea monitorizat pentru a se asigura c securitateatransferului de date nu a fost afectat?

X

- Sunt prevederile de service pentru reea complet documentate,susinute, monitorizate i acceptate de toate prile?

X

- Exist proceduri pentru aprobarea i instalarea conexiunilor la reea? X- Pot doar utilizatorii autorizai s efectueze conexiuni la reea i exist

proceduri pentru verificarea conexiunilor neautorizate?X

- Este utilizarea reelei monitorizat pentru a verifica conexiunile


20/145


eventualitatea defectrii a liniilori nodurilor de reea?- Este accesul fizic la domeniile critice ale reelei (ex. centrele de

operare a reelei, camerele echipamentelor, camerele de echipamente,firewalls) restricionat numai la personalul autorizat. Terii, cum ar fifurnizorii sau inginerii de service ar trebui supravegheai atunci cndau acces la echipamentele de comunicaii.

X

- Sunt zonele critice, cum ar fi centrele de operare a reelei i camerelecare adpostesc echipamente importante ale reelei (inclusiv cele aflatela distan), protejate mpotriva:

- Riscurilor naturale, cum ar fi incendiul i inundaiile- Penelor de curent (ex. prin utilizarea unor surse de curent

permanente i a acumulatorilor)- Accesului neautorizat (ex. prin instalarea de ncuietori la ui i a

jaluzelelor la ferestre).

X

- Sunt cablurile de comunicaii protejate prin intermediul: ascunderiisistemului, tevilor, puncte de inspecie/nchidere ncuiate, alimentare irutare alternative, evitarea rutelor prin spaii accesibile publicului?

X

- Exist proceduri implementate pentru monitorizarea i cercetareancercrilor de acces neautorizat?

X

- Performana sistemelor este monitorizat comparativ cu obiectiveleagreate prin revizuirea utilizrii curente n orele normale i de vrfutiliznd programe de monitorizare automat prin revizuirea jurnalelor

de activitate ale sistemului, n mod regulat prin investigareaobstacolelor/ suprancrcrii.

X

- Exist activiti de planificare a capacitii efectuate pentru a permiteasigurarea unei capaciti suplimentare nainte de apariia obstacolelor /suprancrcrii

X

- Este disponibilitatea sistemului (adic timp de rspuns i defuncionare) msurat din punctul de vedere al utilizatorilor activitii,spre exemplu prin monitorizarea performanei staiilor de lucru.

X

- Este monitorizarea efectuat periodic, inclusiv: scanarea sistemelor gazd pentru punctele vulnerabile

cunoscute, cum ar fi prin utilizarea instrumentelor automate(de exemplu programe: Nessus, Pingware)

dac utilitile /comenzile puternice au fost dezactivate pe

sistemele gazd corelate (ex. prin utilizarea unui sniffer) - verificarea existenei unor configurri de reele wireless

neautorizate.

X

- Sunt utilizate mecanismele de detectare a accesului neautorizat,inclusiv:

-detectarea caracteristicilor atacurilor cunoscute (ex. refuzul


21/145


serviciile.- Exist jurnale de nregistrare a activitilor pentru identificarea

modificrilor neautorizate?- Sunt nregistrate toate evenimentele cheie n cadrul reelei? X- Conducerea IT autorizeaz nregistrarea activitilori revizuirea

procesului care urmeaz a fi aplicat (ex. frecvena revizuirilorirspunderea pentru efectuarea acestora).

X

- Sunt nregistrrile active tot timpul i protejate de suprascriereintenionat sau accidental? Mecanismele trebuie s fie stabilite astfelnct atunci cnd nregistrrile privind evenimentele devin sisteme

depline acestea nu sunt oprite din lips de spaiu pe disc i nregistrareava continua cu minim oprire sau chiar fr.

X

- nregistrrile evenimentelor conin detalii ale: timpilor de pornire/oprire pentru sisteme i procese cheie, nregistrarea cu succes autilizatorilor autorizai n sistem i ncercrile euate de nregistrare,situaii de eroare i de excepie, acces sau schimbri ale fiierelori

programelor, acces la capacitile privilegiate.

X

- Exist informaii suficiente nregistrate pentru a identifica: Nume deutilizator individuale, programe speciale i informaii accesatedata/ora accesrii, cile de acces (inclusiv calculatoare/porturi de lacare a fost obinut accesul), modele de acces pentru a permiteurmrirea tranzaciilor sau activitatea unui anumit utilizatorschimbarea parametrilor de nregistrare n sistem

X

- Sunt nregistrrile pstrate destul timp pentru a respecta cerinelelegale/ale organismelor de reglementare i pentru a fi revizuite

periodic. Revizuirea nregistrrilor va fi: susinut de proceduri/standarde documentate, fundamentat pe o evaluare avizat a

impactului unor evenimente individuale asupra activitii efectuat cuinstrumente automate.

X

4.5 Exist un program antivirus?- Exist standarde /proceduri documentate pentru protecie mpotriva

viruilor care s specifice:- modul de configurare a programului antivirus- mecanismele de actualizare a programului antivirus- proces pentru gestionarea atacurilor cu virus

X

- Este programul de protecie mpotriva viruilor configurat pentru a: scana memoria calculatoarelor, fiierele executabile (inclusiv

fiierele macro de pe programul desktop), fiierele protejate(ex. fiierele comprimate i cele protejate de parole) i mediilede nmagazinare amovibile

scana traficul de date (intrare/ieire) inclusiv e-mail i


22/145


- Sunt utilizatorii:- avertizai cu privire la pericolul reprezentat de virui

-

atenionai rapid cu privire la noi riscuri de virusare (ex. prine-mail)- ndrumai s raporteze atacuri suspectate sau reale ale unor

virui ctre un singur punct de contact i asisten- permanent susinui de experi tehnici i specialiti

X

4.6 Planul de recuperare a datelor n caz de dezastru- A fost efectuat o cercetare i o evaluare cu privire la impactul

riscurilor asupra activitii?X

- A fost pregtit

i aprobat de conducere un plan de recuperare n caz de

dezastru ? X- Au fost pregtite planuri pentru situaii neprevzute, cum ar fi

defeciuni de importan redus?X

- Au fost planurile documentate i transmise personalului cheie ? X- A fost responsabilitatea privind recuperarea n caz de dezastru delegat

unei echipe i rolurile membrilor acesteia nregistrate?X

- Este planul de recuperare n caz de dezastru verificat periodic,reevaluat i actualizat n lumina noilor schimbrilor intervenite nevaluarea riscurilor?

X

- Au fost stabilite faciliti de recuperare n caz de dezastru i suntacestea verificate periodic pentru a se asigura eficiena, caracteruloperaional i curent al acestora?

X

- Sunt procedurile de recuperare luate n considerare n specificaiiletehnice ale unei noi aplicaii pentru calculatori pentru a protejasistemele n dezvoltare?

X

- Sunt msurile de salvare a informaiilor eseniale i a programelorluate destul de frecvent pentru a ndeplini cerinele activitii? X- Msurile de realizare a copiilor de siguran permit programelori

informaiilor s fie restaurate in perioada de timp critic pentruaplicaie (adic n punctul dup care vor fi suferite pierderiinacceptabile).

X

- Sunt copiile de siguran protejate mpotriva pierderii, deteriorrii iaccesului neautorizat prin: stocarea lor n seifuri ignifuge, aflate nlocaie, pentru a permite restaurarea rapid a informaiilor ; susinerealor prin copii pstrate n alte locaii pentru a permite restaurareasistemului prin utilizarea unor faciliti alternative n caz de dezastru;restricionarea accesului numai la personalul autorizat?

X

4.7 Este arhivarea efectuat ntr-un mod sigur?- Exist politici /standarde pentru arhivarea datelor din sistemul de

ti l?X


23/145

ENTITATEA PUBLICServiciul Audit Intern

STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORAI APRECIEREA NIVELURILOR RISCURILOR

Misiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 20.01.2006Avizat: Ionescu Mircea Data: 20.01.2006

Nivelul de apreciere al riscului (Ni)Factori de risc

(Fi)

Pondereafactorilor de risc

(Pi)N 1 N 2 N 3

Aprecierea

controluluiintern F1 P1 50%Exist proceduri

i se aplic

Existproceduri, sunt

cunoscute, darnu se aplic

Nu exist

proceduri

Apreciereacantitativ

F2P2 30%

Impactfinanciar

sczut

Impact financiarmediu

Impact financiarridicat

Apreciereacalitativ

F3P3 20%

Vulnerabilitatemic

Vulnerabilitatemedie

Vulnerabilitatemare

Procedura - P05: Analiza riscurilor


24/145


STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCULUI

Misiunea de audit: Tehnologia informaieiPerioada auditat: 01.01.2005 01.01.2006ntocmit: Popescu Sorin / Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006

Criterii de analiza a riscurilor

Apreciereacontroluluiintern (F1)


(F2)

Apreciereacalitativ

(F3)

Nr.

crt.

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE

P150%

N1 P230%

N2 P320%

N3

Punctajtotal

1. Politicile entitii publice ndomeniul IT

Inexistena unei atitudini favorabile nprivina informatizrii activitii entitii

publice

0,5 2 0,3 3 0,2 2 2,3

Fundamentarea insuficient a planului 0,5 2 0,3 2 0,2 3 2,2Necorelarea planurilor anuale 0,5 2 0,3 2 0,2 2 2,0

2. Modalitatea de elaborare aplanului strategic i a planuriloranuale Lipsa prioritizrii activitilor 0.5 2 0.3 2 0.2 2 2,0

Neacoperirea domeniilor de activitate aleentitii publice cu subsisteme informatice

0,5 3 0,3 3 0,2 2 2,8

Necorelarea termenelor previzionate de

realizare a subsistemelor

0,5 2 0,3 2 0,2 3 2,2

Nedefinirea responsabilitilor 0,5 2 0,3 3 0,2 1 2,1

3. Subsistemele informaticepentru funciile principale

Insuficienta previzionare a resurselor 0,5 2 0,3 2 0,2 2 2,04. Integrarea subsistemelorinformatice

Incompatibilitatea subsistemelorinformatice

0,5 1 0,3 2 0,2 2 1,5

Nedesemnarea responsabilului cuelaborarea planului

0,5 2 0,3 3 0,2 3 2,5

I. Plan strategic

5. Stabilirea responsabililor cuelaborarea si actualizarea

planului Nestabilirea persoanei responsabile cu

actualizarea planului

0,5 2 0,3 2 0,2 2 2,0


25/145




(F2)

Apreciereacalitativ

(F3)

Nr.

crt.


P150% N1 P230% N

2 P320% N3

Punctajtotal

Planul nu este aprobat 0,5 3 0,3 2 0,2 3 2,7Planul nu este aprobat de persoanelecompetente

0,5 3 0,3 3 0,2 2 2,86. Aprobarea planului

Coordonarea neadecvat a planurilor 0,5 1 0,3 3 0,2 2 1,8Departamentului IT nu este subordonatunui nivel managerial corespunztor

0,5 2 0,3 2 0,2 2 2,0

Inexistena i/sau neaprobareaorganigramei

0,5 3 0,3 3 0,2 2 2,8

Neformalizarea procedurilor specificeactivitilor desfurate

0,5 2 0,3 2 0,2 3 2,2

Existena unui numr mare de posturi deconducere deinute cu delegaie

0,5 2 0,3 3 0,2 1 2,1

Numr mare de posturi de execuie

neocupate

0,5 3 0,3 1 0,2 2 2,3

Personal de execuie neadecvat 0,5 2 0,3 2 0,2 3 2.2Dotare cu hard i soft inadecvat pentrudesfurarea activitilor specifice

0,5 2 0,3 2 0,2 2 2,0

Inexistena unui sistem de controlmanagerial la nivelul departamentului

0,5 2 0,3 2 0,2 2 2,0

7. Organizarea departamentuluiIT

Neefectuarea monitorizrii modului de

realizare a obiectivelor generale ispecifice ale departamentului

0,5 1 0,3 3 0,2 2 1,8

Neactualizarea fielor posturilor 0,5 1 0,3 1 0,2 2 1,2Nerespectarea principiului segregriisarcinilor de serviciu

0,5 1 0,3 3 0,2 2 1,58. Stabilirea responsabilitilor

prin fiele posturilor

Necuprinderea atribuiilor stabilite prinROF n fiele posturilor

0,5 1 0,3 2 0,2 1 1,3

II. Organizarea ifuncionareadepartamentuluiIT

9. Calificarea i pregtirea

salariailor

Calificarea necorespunztoare/insuficient

a personalului

0,5 1 0,3 2 0,2 1 1,3

C it ii d li i ilN DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE P t j


26/145




(F2)

Apreciereacalitativ

(F3)

Nr.

crt.


P150% N1 P230% N

2 P320% N3

Punctajtotal

Inexistena planurilor de pregtireprofesional continu

0,5 2 0,3 2 0,2 1 1,8

Neaprobarea planurilor de pregtireprofesional continu

0,5 2 0,3 2 0,2 2 2,0

10. Pregtirea profesionalcontinu

Nerealizarea activitilor previzionate prinplanurile de pregtire profesionalcontinu

0,5 3 0,3 2 0,2 1 2,3

Inexistena unui sistem de evaluare anuala salariailor

0,5 1 0,3 2 0,2 2 1,5

Nerealizarea evalurii pe parcursul anuluia salariailor departamentului

0,5 1 0,3 1 0,2 2 1,2

11. Sistemul de evaluare apersonalului

Evaluarea formal a personalului 0,5 1 0,3 2 0,2 1 1,3Inexistena unei politici unitare privind

gestionarea riscurilor

0,5 2 0,3 2 0,2 2 2,0

Inexistena unui responsabil privindgestionarea riscurilor

0,5 2 0,3 3 0,2 2 2,3

Nedesemnarea unei persoane responsabilcu elaborarea i monitorizarea Registruluiriscurilor

0,5 2 0,3 2 0,2 2 2,0

12. Sistemul de gestionare a

riscurilor conducereaRegistrului riscurilor

Neactualizarea sistematic a Registruluiriscurilor

0,5 3 0,3 2 0,2 1 2,3

Lips de coordonare a aplicaiilor ceruleaz n sistemul informatic

0,5 2 0,3 2 0,2 2 2,0

Nealocarea corespunztoare a resurselornecesare realizrii subsistemelorinformatice

0,5 3 0,3 3 0,2 1 2,6

III. Implementareasistemului IT

13. Gradul de realizare asubsistemelor informaticestabilite prin plan

Evoluii tehnologice cu implicaii asuprandeplinirii planului

0,5 2 0,3 2 0,2 1 1,8

Criterii de analiza a riscurilorNr DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE Punctaj


27/145




(F2)

Apreciereacalitativ

(F3)

Nr.

crt.


P150% N1 P230% N

2 P320% N3

Punctajtotal

Modificarea cadrului legal i procedural cereglementeaz activitile pentru care serealizeaz subsistemele informatice

0,5 3 0,3 1 0,2 1 2,0

Implicaiile evoluiilor tehnologice ndomeniul IT

0,5 2 0,3 2 0,2 2 2,014. Existena controalelorgenerale la nivelul subsistemelorIT Modificarea cadrului legal i procedural ce

reglementeaz activitile pentru care serealizeaz subsistemele informatice

0,5 2 0,3 1 0.2 3 1,9

Inexistena unei politici de transmitere adatelor n reea

0,5 1 0,3 2 0,2 1 1,315. Funcionalitateasubsistemelor n reea

Implicaiile evoluiilor tehnologice ndomeniul IT

0,5 1 0,3 2 0,2 2 1,5

Limitri bugetare n privina achiziionrii

licenelor

0,5 3 0,3 3 0,2 1 2,616. Situaia licenelor pentru

programele de calculator Disfuncionaliti n procesul deachiziionare al licenelor

0,5 3 0,3 2 0,2 1 2,3


0,5 1 0,3 2 0,2 1 1,3

Evoluii tehnologice cu implicaii asupraintegrrii subsistemelor

0,5 1 0,3 3 0,2 1 1,6

17. Asigurarea integrriisubsistemelor componente

Neconcordane n integrarea subsistemelor 0,5 1 0,3 2 0,2 3 1,7Inexistena/Insuficiena manualelor deutilizare i a manualelor de operare

0,5 2 0,3 1 0,2 1 1,518. Elaborarea manualelor deutilizare i a manualelor deoperare

Lipsa unor componente i existena unorelemente neclarificate n coninutulmanualelor

0,5 1 0,3 2 0,2 2 1,5

19. Instruirea utilizatorilorsubsistemelor IT

Inexistena unui program de instruire alutilizatorilor

0,5 2 0,3 3 0,2 3 2,5



28/145




(F2)

Apreciereacalitativ

(F3)

Nr.

crt.


P150% N1 P230% N

2 P320% N3

Punctajtotal

Neefectuarea instruirii sistematice autilizatorilor subsistemelor IT

0,5 2 0,3 2 0,2 1 1,8

Inexistena politicii de securitate 0,5 2 0,3 3 0,2 2 2,320. Politica de securitate ITNeaplicarea politicii de securitatea n modconsecvent

0,5 2 0,3 2 0,2 3 2,2

Inexistena unui responsabil desemnat cumonitorizarea implementrii politicii desecuritate IT

0,5 3 0,3 3 0,2 2 2,5

Nentocmirea i netransmiterea sistematica rapoartelor de monitorizare

0,5 2 0,3 2 0,2 2 2,0

21. Monitorizarea implementriipoliticii de securitate IT

Inexistena unui sistem de clasificare iprotejare adecvat a informaiilor

confideniale existente n format electronic

0,5 2 0,3 1 0,2 3 1,9

Lipsa procedurilor privind implementareacontroalelor fizice n domeniul IT

0,5 2 0,3 2 0,2 2 2,0

Nedesemnarea responsabilitii pentrumonitorizarea controalelor fizice

0,5 3 0,3 2 0,2 2 2,5

Lipsa unor proceduri pentru realizareacontroalelor fizice

0,5 2 0,3 3 0,2 3 2,5

22. Evaluarea controalelor fizicen domeniul IT

Neefectuarea controalelor fizice conformprocedurilor

0,5 3 0,3 3 0,2 1 2,6

Lipsa procedurilor privind siguranaaccesului utilizatorilor n reea

0,5 2 0,3 2 0,2 1 1,8

Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor

privind sigurana accesului utilizatorilor nreea

0,5 2 0,3 2 0,2 2 2,0

IV. Securitatea IT

23. Sigurana accesului la reeai a comunicrii datelor n reea

Neefectuarea monitorizrii sistematice 0,5 3 0,3 1 0,2 3 2,4



29/145




(F2)

Apreciereacalitativ

(F3)

Nr.

crt.


P150% N1 P230% N

2 P320% N3

Punctajtotal

Neimplementarea msurilor privindsigurana accesului utilizatorilor n reeaconform procedurilor

0,5 2 0,3 3 0,2 2 2,3

Lipsa procedurilor privind implementareaprogramelor antivirus

0,5 3 0,3 2 0,2 3 2,7


privind implementarea programelorantivirus

0,5 2 0,3 2 0,2 2 2,0



Neluarea msurilor necesare privindimplementarea programelor antivirusconform procedurilor

0,5 2 0,3 3 0,2 3 2,5

Lipsa procedurilor privind recuperareadatelor n caz de dezastru0,5 2 0,3 2 0,2 2 2,0


privind recuperarea datelor n caz dedezastru

0,5 2 0,3 3 0,2 1 2,1


25. Recuperarea datelor n caz dedezastru

Neluarea msurilor necesare privindrecuperarea datelor n caz de dezastruconform procedurilor

0,5 3 0,3 2 0,2 1 2,3

Lipsa procedurilor privind arhivareadatelor

0,5 1 0,3 2 0,2 2 1,5

Nedesemnarea responsabilitii pentruarhivarea datelor

0,5 1 0,3 2 0,2 3 1,7


Neefectuarea evalurii periodice a

activitii de arhivare

0,5 1 0,3 1 0,2 3 1,4


30/145

NOTA:

Elaborarea documentului Stabilirea nivelului risculuii a punctajului total al risculuicomport dou etape: n prima faz se realizeazevaluarea nivelelor riscurilor asociate operaiilor auditabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele

metodologice privind auditul intern, respectiv:n

T= Pi x Nii = 1

Unde:T = punctaj total;

Pi = ponderea riscului pentru fiecare criteriu;Ni = nivelul riscurilor pentru fiecare criteriu utilizat;

Evaluarea riscurilor asociate operaiilor auditabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acestmoment, din documentele primite de la entitate i din rapoarte anterioare, dari din expertiza personal n domeniu i este o evaluare cuun oarecare grad de subiectivitate.

Din aceste motive se recomand ca auditorii interni s aib n vedere posibilitatea mbuntirii acestei lucrri pe durata misiunii de audit

i n special n etapa Interveniei la faa locului, funcie de informaiile, documentele i probele de audit pe care le realizeaz.ProceduraAnaliza riscurilorse consider a fi un document viu care poate fi actualizat permanent pe parcursul desfurrii misiunii de auditintern.


31/145


CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCULUI


Nr.crt.

DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJTOTAL CLASARE OBS.

1. Politicile entitii publicen domeniul IT

1. Inexistena unei atitudini favorabile n privinainformatizrii activitii entitii publice

2,3 Mare

2. Fundamentarea insuficient a planului 2,2 Mediu3. Necorelarea planurilor anuale 2,0 Mediu

2. Modalitatea de elaborare aplanului strategic i aplanurilor anuale 4. Lipsa prioritizrii activitilor 2,0 Mediu

5. Neacoperirea domeniilor de activitate ale entitii publicecu subsisteme informatice

2,8 Mare

6. Necorelarea termenelor previzionate de realizare asubsistemelor

2,2 Mediu

7. Nedefinirea responsabilitilor 2,1 Mediu

3. Subsistemele informaticepentru funciile principale

8. Insuficienta previzionare a resurselor 2,0 Mediu4. Integrarea subsistemelor

informatice

9. Incompatibilitatea subsistemelor informatice 1,5 Mic Nu

10. Nedesemnarea responsabilului cu elaborarea planului 2,5 Mare5. Stabilirea responsabililorcu elaborarea si actualizarea

planului11. Nestabilirea persoanei responsabile cu actualizarea

planului2,0 Mediu

12. Planul nu este aprobat 2,7 Mare13. Planul nu este aprobat de persoanele competente 2,8 Mare

I. Plan strategic


14. Coordonarea neadecvat a planurilor 1,8 Mediu

II. Gestionarea iorganizarea 7. Organizareadepartamentului IT 15. Departamentului IT nu este subordonat unui nivelmanagerial corespunztor 2,0 Mediu

Nr. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJ CLASARE OBS.


32/145

crt.TOTAL

16. Inexistena i/sau neaprobarea organigramei 2,8 Mare17. Neformalizarea procedurilor specifice activitilordesfurate

2,2 Mediu

18. Existena unui numr mare de posturi de conduceredeinute cu delegaie

2,1 Mediu

19. Numr mare de posturi de execuie neocupate 2,3 Mare20. Personal de execuie neadecvat 2.2 Mediu21. Dotare cu hard i soft inadecvat pentru desfurareaactivitilor specifice

2,0 Mediu

22. Inexistena unui sistem de control managerial la nivelul

departamentului

2,0 Mediu

23. Neefectuarea monitorizrii modului de realizare aobiectivelor generale i specifice ale departamentului

1,8 Mediu

24. Neactualizarea fielor posturilor 1,2 Mic Nu25. Nerespectarea principiului segregrii sarcinilor deserviciu

1,5 Mic Nu8. Stabilirearesponsabilitilor prin fiele

posturilor26. Necuprinderea atribuiilor stabilite prin ROF n fiele

posturilor1,3 Mic Nu

9. Calificarea i pregtireasalariailor

27. Calificarea necorespunztoare/insuficient a personalului 1,3 Mic Nu

28. Inexistena planurilor de pregtire profesional continu 1,8 Mediu29. Neaprobarea planurilor de pregtire profesionalcontinu

2,0 Mediu10. Pregtirea profesionalcontinu

30. Nerealizarea activitilor previzionate prin planurile depregtire profesional continu

2,3 Mare

31. Inexistena unui sistem de evaluare anual a salariailor 1,5 Mic Nu32. Nerealizarea evalurii pe parcursul anului a salariailordepartamentului

1,2 Mic Nu11. Sistemul de evaluare a

personalului

33. Evaluarea formal a personalului 1,3 Mic Nu34. Inexistena unei politici unitare privind gestionareariscurilor

2,0 Mediu

depart. IT

12. Sistemul de gestionare ariscurilor conducereaRegistrului riscurilor 35. Inexistena unui responsabil privind gestionarea

riscurilor

2,3 Mare

Nr. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE PUNCTAJTOTAL

CLASARE OBS.


33/145

crt.TOTAL

36. Nedesemnarea unei persoane responsabil cu elaborareai monitorizarea Registrului riscurilor

2,0 Mediu

37. Neactualizarea sistematic a Registrului riscurilor 2,3 Mare

38. Lips de coordonare a aplicaiilor ce ruleaz n sistemulinformatic

2,0 Mediu

39. Nealocarea corespunztoare a resurselor necesarerealizrii subsistemelor informatice

2,6 Mare

40. Evoluii tehnologice cu implicaii asupra ndepliniriiplanului

1,8 Mediu

13. Gradul de realizare asubsistemelor informaticestabilite prin plan

41. Modificarea cadrului legal i procedural ce

reglementeaz activitile pentru care se realizeazsubsistemele informatice

2,0 Mediu

42. Implicaiile evoluiilor tehnologice n domeniul IT 2,0 Mediu14. Existena controalelorgenerale la nivelulsubsistemelor IT

43. Modificarea cadrului legal i procedural cereglementeaz activitile pentru care se realizeazsubsistemele informatice

1,9 Mediu

44. Inexistena unei politici de transmitere a datelor n reea 1,3 Mic Nu15. Funcionalitateasubsistemelor n reea 45. Implicaiile evoluiilor tehnologice n domeniul IT 1,5 Mic Nu

46. Limitri bugetare n privina achiziionrii licenelor 2,6 Mare16. Situaia licenelor pentruprogramele de calculator 47. Disfuncionaliti n procesul de achiziionare al

licenelor2,3 Mare

48. Modificarea cadrului legal i procedural cereglementeaz activitile pentru care se realizeazsubsistemele informatice

1,3 Mic Nu

49. Evoluii tehnologice cu implicaii asupra integrrii

subsistemelor

1,6 Mic Nu

17. Asigurarea integrriisubsistemelor componente

50. Neconcordane n integrarea subsistemelor 1,7 Mic Nu51. Inexistena/Insuficiena manualelor de utilizare i amanualelor de operare

1,5 Mic Nu18. Elaborarea manualelor deutilizare i a manualelor deoperare 52. Lipsa unor componente i existena unor elemente

neclarificate n coninutul manualelor1,5 Mic Nu


19. Instruirea utilizatorilor 53. Inexistena unui program de instruire al utilizatorilor 2,5 Mare


CLASARE OBS.


34/145

crt.TOTAL

subsistemelor IT 54. Neefectuarea instruirii sistematice a utilizatorilorsubsistemelor IT

1,8 Mediu

55. Inexistena politicii de securitate 2,3 Mare20. Politica de securitate IT

56. Neaplicarea politicii de securitatea n mod consecvent 2,2 Mediu57. Inexistena unui responsabil desemnat cu monitorizareaimplementrii politicii de securitate IT

2,5 Mare

58. Nentocmirea i netransmiterea sistematic a rapoartelorde monitorizare

2,0 Mediu

21. Monitorizareaimplementrii politicii desecuritate IT

59. Inexistena unui sistem de clasificare i protejareadecvat a informaiilor confideniale existente n format

electronic

1,9 Mediu

60. Lipsa procedurilor privind implementarea controalelorfizice n domeniul IT

2,0 Mediu

61. Nedesemnarea responsabilitii pentru monitorizareacontroalelor fizice

2,5 Mare

62. Lipsa unor proceduri pentru realizarea controalelor fizice 2,5 Mare

22. Evaluarea controalelorfizice n domeniul IT

63. Neefectuarea controalelor fizice conform procedurilor 2,6 Mare64. Lipsa procedurilor privind sigurana accesuluiutilizatorilor n reea

1,8 Mediu

65. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind sigurana accesuluiutilizatorilor n reea

2,0 Mediu

66. Neefectuarea monitorizrii sistematice 2,4 Mare

23. Sigurana accesului lareea i a comunicriidatelor n reea

67. Neimplementarea msurilor privind sigurana accesuluiutilizatorilor n reea conform procedurilor

2,3 Mare

68. Lipsa procedurilor privind implementarea programelorantivirus 2,7 Mare

69. Inexistena responsabilului desemnat cu monitorizareaimplementrii procedurilor privind implementarea

programelor antivirus

2,0 Mediu

70. Neefectuarea monitorizrii sistematice 1,8 Mediu

IV. Securitatea IT


71. Neluarea msurilor necesare privind implementareaprogramelor antivirus conform procedurilor

2,5 Mare


CLASARE OBS.


35/145

crt.TOTAL

72. Lipsa procedurilor privind recuperarea datelor n caz dedezastru

2,0 Mediu

73. Inexistena responsabilului desemnat cu monitorizarea

implementrii procedurilor privind recuperarea datelor n cazde dezastru

2,1 Mediu

74. Neefectuarea monitorizrii sistematice 2,2 Mediu

25. Recuperarea datelor ncaz de dezastru

75. Neluarea msurilor necesare privind recuperarea datelorn caz de dezastru conform procedurilor

2,3 Mare

76. Lipsa procedurilor privind arhivarea datelor 1,5 Mic Nu77. Nedesemnarea responsabilitii pentru arhivarea datelor 1,7 Mic Nu


78. Neefectuarea evalurii periodice a activitii de arhivare 1,4 Mic Nu

Nota:

Pentru continuarea analizei, auditorii interni au mprit cele 78 de riscuri structurate pe cele 26 de obiecte auditabile, din documentulStabilirea nivelului risculuii a punctajului total,innd conti de resursele alocate misiunii (numr de persoane, timpul aferent.a.), astfel:

Riscuri mici 1,0 - 1,7Riscuri medii 1,8 - 2,2Riscuri mari 2,3 - 3,0

Pentru moment, riscurile mici vor fi ignorate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie cu care se vaelabora documentulTabelul puncte tarii puncte slabe.

Procedura - P05 : Analiza riscurilor


36/145


TABELUL PUNCTE TARI I PUNCTE SLABE


Nr.crt.

Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinelefuncionrii/

nefuncionriicontrolului intern

Grad dencredere alauditorului n

controlulintern

OBS.

1. Politicile entitiipublice n domeniul IT

Inexistena unei atitudini favorabile n privinainformatizrii activitii entitii publice S

Sczut

Fundamentarea insuficient a planului S MediuNecorelarea planurilor anuale S Sczut2. Modalitatea deelaborare a planuluistrategic i a planuriloranuale

Lipsa prioritizrii activitilor S Mediu

Neacoperirea domeniilor de activitate ale entitiipublice cu subsisteme informatice

S Sczut

Necorelarea termenelor previzionate de realizarea subsistemelor

S Mediu

Nedefinirea responsabilitilor S Sczut

3. Subsistemeleinformatice pentrufunciile principale

Insuficienta previzionare a resurselor S Sczut

I. Plan strategic

5. Stabilirearesponsabililor cuelaborarea siactualizarea planului

Nedesemnarea responsabilului cu elaborareaplanului

S Mediu

Nr. Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinelefuncionrii/

Grad dencredere al

OBS.


37/145

crt. funcionrii/nefuncionrii

controlului intern

ncredere alauditorului n

controlulintern

Nestabilirea persoanei responsabile cuactualizarea planului T Exist sistem decontrol interneficient

Ridicat NU

Planul nu este aprobat S Sczut

Planul nu este aprobat de persoanele competente S Mediu


Coordonarea neadecvat a planurilor S Sczut

Departamentului IT nu este subordonat unui nivel

managerial corespunztor

S Mediu

Inexistena i/sau neaprobarea organigramei T Exist sistem decontrol intern

eficient

Ridicat NU

Neformalizarea procedurilor specificeactivitilor desfurate

S Sczut

Existena unui numr mare de posturi deconducere deinute cu delegaie

S Sczut

Numr mare de posturi de execuie neocupate S MediuPersonal de execuie neadecvat S SczutDotare cu hard i soft inadecvat pentrudesfurarea activitilor specifice

T Exist sistem decontrol intern

eficient

Ridicat NU

Inexistena unui sistem de control managerial lanivelul departamentului

S Mediu

7. Organizarea

departamentului IT

Neefectuarea monitorizrii modului de realizare aobiectivelor generale i specifice aledepartamentului

S Sczut

Inexistena planurilor de pregtire profesionalcontinu

S Mediu

Neaprobarea planurilor de pregtire profesionalcontinu

S Sczut

II. Gestionarea i

organizareadepart. IT

10. Pregtireaprofesional continu

Nerealizarea activitilor previzionate prinplanurile de pregtire profesional continu

S Mediu

Nr. Domeniul Obiecte auditabile Riscuri semnificative T/S Consecinelefuncionrii/

Grad dencredere al

OBS.


38/145


controlului intern


controlulintern

Inexistena unei politici unitare privindgestionarea riscurilor S SczutInexistena unui responsabil privind gestionareariscurilor

S Sczut

Nedesemnarea unei persoane responsabil cuelaborarea i monitorizarea Registrului riscurilor

S Sczut

12. Sistemul degestionare a riscurilor conducereaRegistrului riscurilor

Neactualizarea sistematic a Registrului riscurilor S MediuLips de coordonare a aplicaiilor ce ruleaz nsistemul informatic

S Sczut

Nealocarea corespunztoare a resurselor necesarerealizrii subsistemelor informatice

S Sczut

Evoluii tehnologice cu implicaii asuprandeplinirii planului

S Mediu

13. Gradul de realizarea subsistemelorinformatice stabilite

prin plan

Modificarea cadrului legal i procedural cereglementeaz activitile pentru care se

realizeaz subsistemele informatice

S Sczut

Implicaiile evoluiilor tehnologice n domeniul IT S Sczut14. Existenacontroalelor generalela nivelulsubsistemelor IT


S Sczut

Limitri bugetare n privina achiziionriilicenelor

S Sczut


16. Situaia licenelorpentru programele de

calculator Disfuncionaliti n procesul de achiziionare allicenelor S MediuInexistena unui program de instruire alutilizatorilor


eficient

Ridicat NU19. Instruireautilizatorilorsubsistemelor IT

Neefectuarea instruirii sistematice a utilizatorilorsubsistemelor IT

S Mediu

IV. Securitatea IT 20. Politica de Inexistena politicii de securitate S Sczut

Nr.

t


Grad dencredere al

OBS.


39/145


controlului intern


controlulintern

securitate IT Neaplicarea politicii de securitatea n modconsecvent S SczutInexistena unui responsabil desemnat cumonitorizarea implementrii politicii de securitateIT

S Mediu

Nentocmirea i netransmiterea sistematic arapoartelor de monitorizare

S Sczut

21. Monitorizareaimplementrii politiciide securitate IT

Inexistena unui sistem de clasificare i protejare

adecvat a informaiilor confideniale existente nformat electronic

T Exist sistem de

control interneficient

Ridicat NU

Lipsa procedurilor privind implementareacontroalelor fizice n domeniul IT

S Sczut

Nedesemnarea responsabilitii pentrumonitorizarea controalelor fizice


eficient

Ridicat NU

Lipsa unor proceduri pentru realizareacontroalelor fizice S Mediu

22. Evaluareacontroalelor fizice ndomeniul IT

Neefectuarea controalelor fizice conformprocedurilor

S Sczut

Lipsa procedurilor privind sigurana accesuluiutilizatorilor n reea

S Sczut

Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor privind

sigurana accesului utilizatorilor n reea

S Sczut

Neefectuarea monitorizrii sistematice T Exist sistem decontrol intern

eficient

Ridicat NU

23. Siguranaaccesului la reea i acomunicrii datelor nreea

Neimplementarea msurilor privind siguranaaccesului utilizatorilor n reea conform

procedurilor

S Mediu

24. Programe antivirus Lipsa procedurilor privind implementareaprogramelor antivirus S Sczut

Nr.

crt


Grad dencredere al

OBS.


40/145

crt. nefuncionrii

controlului internauditorului n

controlulintern

Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor privindimplementarea programelor antivirus

S Sczut

Neefectuarea monitorizrii sistematice S SczutNeluarea msurilor necesare privindimplementarea programelor antivirus conform

procedurilor

S Mediu

Lipsa procedurilor privind recuperarea datelor n

caz de dezastru

S Sczut

Inexistena responsabilului desemnat cumonitorizarea implementrii procedurilor privindrecuperarea datelor n caz de dezastru

S Sczut

Neefectuarea monitorizrii sistematice S Sczut

25. Recuperarea

datelor n caz dedezastru

Neluarea msurilor necesare privind recuperareadatelor n caz de dezastru conform procedurilor

S Sczut

Nota:n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin transferarea operaiilor auditabile cu riscuri

semnificative (marii medii) din documentulClasarea operaiilor n funcie de analiza riscului care cuprinde un numr de 18 obiecte auditabilei60 de riscuri asociate acestora.

Ierarhizarea obiectelor auditabile const n evaluarea funcionalitii sistemelor de control intern, care limiteaz efectele riscurilori care dauposibilitatea auditorilor interni s aprecieze acele obiecte auditabile ca fiind puncte tari, celelalte riscuri pentru care nu exist activiti de controlsau acestea sunt nefuncionale vor fi n continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 7 riscuri asociate obiectelor

auditabile care au fost evaluate ca fiind puncte tarii vor fi eliminate, pentru moment, din auditare.Pornind de la documentulTabelul puncte tarii puncte slabe se va elabora documentulTematica n detaliu a misiunii de auditn care vor fi

preluate numai operaiile considerate ca fiindpuncte slabe , ocazie cu care vor fi renumerotate.


41/145

Procedura - P05 : Analiza riscurilor

ENTITATEA PUBLICCompartimentul Audit Intern

TEMATICA IN DETALIU A OPERAIILOR AUDITABILE

Misiunea de audit: Tehnologia informaiei

Perioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 20.01.2006Avizat: Dumitru Daniel Data: 20.01.2006

Nr.crt.

DOMENIUL OBIECTE AUDITABILE Nr. paragrafdin Raportul

de audit intern

1. Politicile entitii publice n domeniul IT2. Modalitatea de elaborare a planului strategici a planurilor anuale3. Subsistemele informatice pentru funciile

principale4. Stabilirea responsabililor cu elaborarea siactualizarea planului

I. Plan strategic

5. Aprobarea planului6. Organizarea departamentului IT7. Pregtirea profesional continu

II. Organizarea ifuncionareadepartamentului IT 8. Sistemul de gestionare a riscurilor

conducerea Registrului riscurilor9. Gradul de realizare a subsistemelor

informatice stabilite prin plan

10.Existena controalelor generale la nivelulsubsistemelor IT

11.Situaia licenelor pentru programele decalculator


12 Instruirea utilizatorilor subsistemelor IT


42/145

Nota:

Procedura Analiza riscurilor a nceput cu elaborarea documentuluiLista centralizatoare aobiectelor auditabile, care a cuprins 26 de operaii/obiecte auditabile, i s-afinalizat cu Tematica ndetaliu a misiunii de audit, n care au fost selectate numai 18 de obiecte auditabile.

n continuare, cele 18 de operaii/obiecte auditabile, vor fi avute n vedere n activitatea deauditare, deoarece reprezint riscuri semnificative pentru domeniul auditati vor fi supuse diferitelortestri, stabilite pe bazaProgramului interveniei la faa locului, care se vor materializa n F.I.A.P.-urii F.C.R.I.-uri, acolo unde este cazul, i n final vor fi transferate i comentate n Raportul de auditintern, n ordinea din Tematica n detaliu a misiunii de audit.

Menionm,totui, c proceduraAnaliza riscurilortrebuie s rmn un document viu care nfuncie de constatrile rezultate n Etapa de intervenie la faa locului s fie actualizat ori de cte orise impune.


43/145

Procedura P06: Elaborarea programului de audit internENTITATEA PUBLICServiciul Audit Intern

PROGRAMUL DE AUDIT INTERNMisiunea de audit: Audit ITPerioada auditat: 01.01.2005- 31.12.2005ntocmit: Popescu Sorin/Radu George Data: 27.03.2006Avizat: Dumitru Daniel Data: 27.03.2006

ETAPELEMISIUNII

DOMENIUL ACTIVITI DURATA(H)

PERSOANELEIMPLICATE

LOCULDESF.

Temageneral:

Tehnologia Informatiei 376

1521. Intocmirea i procesarea Ordinului de serviciu 2 Popescu Sorin SAI2. Intocmirea si validarea Declaraiei de independen 2 Popescu Sorin SAI

3. Pregtirea i transmiterea Notificrii privinddeclanarea misiunii de audit intern ctre prileinteresate

2 Radu George SAI

4. Colectarea i prelucrarea informaiilor30 Popescu Sorin

SAIAUDITAT

5. Elaborarea Chestionarului de control intern16

Popescu Sorin/Radu George

SAI

6. ntocmirea Listelor de verificare

40

Popescu Sorin/

Radu George SAI7. Analiza riscurilor 32 Popescu Sorin SAI8. ntocmirea Programului de audit intern 8 Popescu Sorin SAI9.Intocmirea Programului preliminar al interveniei lafaa locului

4 Radu George SAI

1.PREGTIREA MISIUNII

DE AUDIT

10. Organizarea edinei de deschidere cu Direcia IT.4 Radu George SAI

ETAPELEDOMENIUL ACTIVITI

DURATA PERSOANELE LOCUL


44/145

MISIUNIIDOMENIUL ACTIVITI

(H) IMPLICATE DESF.11. Redactarea Minutei edinei de deschidere. 4 Radu George SAI

AUDITAT

12. Organizarea edinei de inchidere cu Direcia IT. 4 Radu George SAIAUDITAT13. Redactarea Minutei edinei de inchidere. 4 Radu George AUDITAT

14038

1.1. Efectuarea testrilor, detaliateProgramulinterveniei la faa locului

16 Popescu Sorin AUDITAT

1.2. Discutarea constatrilor cu conducatorul

departamentului IT 2 Popescu Sorin SAI1.3. Elaborarea F.I.A.P. urilor 8 Popescu Sorin SAI1.4. Colectarea dovezilor 4 Radu George AUDITAT

OBIECTIVUL 1.Plan strategic

1.5. Revizuirea documentelor de lucru din punct devedere al coninutului i al formei i ntocmirea Noteicentralizatoare a documentelor de lucru

8 Radu George AUDITAT

32

2.1. Efectuarea testrilor, detaliateProgramulinterveniei la faa locului 16 Popescu Sorin AUDITAT

2.2. Discutarea constatrilor cu conducatoruldepartamentului IT

2 Popescu Sorin SAI

2.3. Elaborarea F.I.A.P. - urilor 4 Popescu Sorin SAI2.4. Colectarea dovezilor 2 Radu George AUDITAT

OBIECTIVUL 2.

Organizarea ifuncionareadepartamentuluiIT

2.5. Revizuirea documentelor de lucru din punct devedere al coninutului i al formei i ntocmirea Notei

centralizatoare a documentelor de lucru



16Popescu Sorin

AUDITAT

3.2. Discutarea constatrilor cu conducatoruldepartamentului IT

2Popescu Sorin

SAI

3.3. Elaborarea F.I.A.P. - urilor 4 Popescu Sorin SAI

II.INTERVENIA LA FAALOCULUI

OBIECTIVUL 3.Implementareasistemului IT

3.4. Colectarea dovezilor 4 Radu George AUDITAT

ETAPELEDOMENIUL ACTIVITI

DURATA PERSOANELE LOCUL


45/145

MISIUNIIDOMENIUL ACTIVITI

(H) IMPLICATE DESF.3.5. Revizuirea documentelor de lucru din punct devedere al coninutului i al formei i ntocmirea Notei

centralizatoare a documentelor de lucru

2Radu George

AUDITAT


8Popescu Sorin

AUDITAT

4.2. Discutarea constatrilor cu eful de serviciu 2 Popescu Sorin SAI4.3. Elaborarea F.I.A.P. - urilor 8 Popescu Sorin SAI4.4. Colectarea dovezilor 16 Radu George AUDITAT

OBIECTIVUL 4.Securitatea IT

4.5. Revizuirea documentelor de lucru din punct de

vedere al coninutului i al formei i ntocmirea Noteicentralizatoare a documentelor de lucru


III. RAPORTUL DE AUDIT INTERN 8014. Redactarea si revizuirea proiectului de Raport deaudit intern

40Popescu Sorin SAI

15. Transmiterea proiectului de Raport de audit intern laauditat i solicitarea rspunsului asupra coninutului n 15

zile

4Radu George SAI

16. Organizarea Reuniunii de conciliere, dac este cazul 8 Radu George AUDITAT17. Includerea n Raportul de audit intern a aspectelorsesizate de structura auditata si reinute de auditori,finalizarea si intocmirea sintezei raportului

16Popescu Sorin SAI

18. Obinerea avizarii Raportului de audit intern aprobatde conducerea instituiei

8Radu George SAI

19. Transmiterea recomandrilor aprobate ctre auditat 4 Radu George AUDITAT

IV. URMRIREA RECOMANDRILOR 420. Intocmirea fisei de urmarire a recomandarilor 4 Popescu Sorin SAI

Auditorii, Supervizorul,Popescu Sorin Dumitru DanielRadu George

Procedura - P06: Elaborarea programului de audit intern


46/145

ENTITATEA PUBLICServiciul Audit Intern

PROGRAMUL INTERVENIEI LA FAA LOCULUI

Misiunea de audit: Tehnologia InformatieiPerioada auditat: 01.01.2005- 31.12.2005ntocmit:Popescu Sorin/Radu George Data: 27.03.2006Avizat: Dumitru Daniel Data: 27.03.2006

Obiectivul I. Plan strategic

Nr.crt.

OBIECTE AUDITABILE TIPUL TESTRII Locul Durata(h)

Nr.test

Nr. listaverificare

Auditori

1. Politicile entitii publice n

domeniul IT

- Analiza politicii entitii publice n

domeniul IT

DIT 8 LV 1 Popescu Sorin

2. Modalitatea de elaborare aplanului strategic i a planuriloranuale

- Verificarea elaborrii i aprobareaplanului strategic i a planurilor anuale;- Analiza corelrii planurilor strategicecu planurile anuale

DIT 4 LV 1 Radu George

3. Subsistemele IT pentru funciileprincipale

- Examinarea faptului dac subsistemeleIT acoper n totalitate nevoile pentrufunciile principale- Analizarea acoperirii cu subsisteme ITa nevoilor funciilor principale nou-create- Analizarea corelrii ntre termenele derealizare a subsistemelor IT

DIT 8 T1.7LV 1 Radu George

4. Stabilirea responsabililor cuelaborarea si actualizarea

planului

- Examinarea definirii clare aresponsabilitilor DIT 6 LV 1 Radu George

5. Aprobarea planului - Examinarea conformitatii planului culiti il tit tii bli i d i l IT



47/145

politicile entitatii publice in domeniul ITg

Obiectivul II. Organizarea i funcionarea departamentului IT

6. Organizarea departamentului IT -Analizarea organigramei depart. IT

- Analizarea managementului resurselorumane la nivelul Departamentului IT

DIT 16T

2.5 LV 2 Popescu Sorin

7. Pregatirea profesionala continua - Analizarea planurilor de pregatireprofesionala continua- Verificarea existenei unui sistem deverificare a cunotinelor dobndite dupefectuarea cursurilor- Analizarea realizrii pregtiriiprofesionale a salariailor conformatribuiilori responsabilitilor stabiliteprin fia postului


8. Sistemul de gestionare ariscurilor conducereaRegistrului riscurilor

- Analizarea sistemului de evaluare ariscurilor- Verificarea existena i actualizareaRegistrului riscurilor


Obiectivul III. Implementarea sistemului IT9. Gradul de realizare a

subsistemelor informaticestabilite prin plan

- Verificarea realizrii la termenelestabilite a subsistemelor IT;- Analizai activitatea de monitorizare aimplementrii subsistemelor IT


10. Existena controalelor generalela nivelul subsistemelor IT

-Evaluarea controlului datelorintroduse n aplicaii;

-Evaluarea controlului pe parcursulprocesrii datelor;-Evaluarea controlului datelorrezultate n urma procesrii;-Analizai validarea datelor transferatedin alte aplicaii;-Evaluarea controalelor care verificnregistrrile duble;

DIT 8T

3.6.LV 3 Popescu Sorin

-Verificarea autorizrii electronicei/sau manuale a tranzaciilor;


48/145

i/sau manuale a tranzaciilor;-Analizarea efectuarea tranzaciilornumai de la computere definite n

prealabil;11. Situaia licenelor pentruprogramele de calculator

- Verificarea situaia licenelor deinuteatt pentru sistemul de operareWindows- Verificarea situaia licenelor deinuteatt pentru pachetul de programeMicrosoft Office- Verificarea existena controalelor de

sistem ce alerteaz administratorul ncazul utilizrii de soft-uri pentru carenu s-au achiziionat licene

DIT 8T

3.8.LV 3

Popescu Sorin

12. Instruirea utilizatorilorsubsistemelor IT

- Verificarea existenei i respectriiprogramelor de instruirea autilizatorilor subsistemelor IT

DIT 4 LV 3Popescu Sorin

Obiectivul IV. Securitatea IT

13. Politica de securitate IT -Verificarea existena politicii desecuritate IT-Verificarea actualizarea politicii desecuritate IT


14. Monitorizarea implementriipoliticii de securitate IT

- Analizarea ntocmirea i transmitereasistematic a rapoartelor de monitorizare


15. Evaluarea controalelor fizice ndomeniul IT

- Verificai dotarea camerelor n care seafl servere-le cu echipamente adecvate.

DIT 8

T

4.7. LV 4 Radu George

16. Sigurana accesului la reea i acomunicrii datelor n reea

- Verificarea alocrii numelui deutilizatori parolei aferente pentruaccesul la reea- Monitorizarea conectrii la reeaconform listei de logg-are

DIT 8T

4.8.LV 4 Radu George

17. Programe antivirus - Verificarea implementrii programeloranti virus conform procedurilor


49/145

anti-virus conform procedurilor- Monitorizarea sistematic afuncionalitii programelor anti-virus

- Verificarea sistemului de actualizare aprogramelor anti-virus

DIT 16T

4.9.LV 4 Radu George

18. Recuperarea datelor n caz dedezastru

-Verificarea elaborrii planului derecuperare a datelor n caz de dezastru-Verificarea desemnrii responsabililorcu monitorizarea implementriiprocedurilor privind recuperarea datelorn caz de dezastru-Verificarea efecturii monitorizriisistematice


Auditorii, Supervizorul,Popescu Sorin Dumitru DanielRadu George


50/145

ENTITATEA PUBLICAServiciul Audit Intern

MINU

Ghid Practic Misiunea de Audit Privind Activitatea IT

Documents

Transcript of Ghid Practic Misiunea de Audit Privind Activitatea IT