Documente Academic
Documente Profesional
Documente Cultură
Ghid IT Ed II
Ghid IT Ed II
i
a
l
i
m
p
l
e
m
e
n
t
a
t
N
e
i
m
p
l
e
m
e
n
t
a
t
Data planificat/
Data implementrii
1 Reanalizarea atribuiilor Comisiei de planificare strategic n
domeniul IT i redefinirea acestora astfel nct s poat realiza
i monitorizarea implementrii proiectelor informatice i
informarea periodic a conducerii asupra realizrii acestora.
X 31.12.2009
2 Pregtirea profesional anticipat a personalului implicat n
elaborarea strategiei, de ctre managementul responsabil cu
aceasta. Reanalizarea strategiei definite la nivelul structurii
funcionale n conformitate cu procedura operaional
aprobat i actualizarea acesteia astfel nct implementarea sa
s contribuie la realizarea unui management modern in
domeniul de activitate i la atingerea obiectivelor strategice
ale organizaiei.
mbuntirea procedurilor operaionale de lucru privind
sistemul de fundamentare a necesarului de resurse pentru
elaborarea strategiei.
X 31.03.2010
3 Evaluarea performanelor actuale ale sistemului de organizare
i conducere a activitilor desfurate n cadrul structurii
funcionale, innd cont de influena factorilor de mediu,
interni i externi, n vederea redefinirii obiectivelor strategice.
Implicarea managementului pentru ca obiectivele strategice
redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai,
stabilite de metodologie. Totodat, la redefinirea acestora se
va urmri asigurarea resurselor necesare implementrii lor.
X 31.12.2009
4 Dezvoltarea unui sistem de instruire i pregtire a salariailor
astfel nct metodologia specific domeniului de activitate,
normativ i procedural, s fie aplicat corespunztor pentru
dezvoltarea i implementarea planurilor anuale. n baza
planurilor elaborate s se identifice toate atribuiile necesare
pentru atingerea obiectivelor stabilite, iar acestea s fie
repartizate corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii
resurselor umane pentru a obine competenele necesare
creterii economice n condiiile n care au loc reduceri de
personal, precum i evaluarea cuprinztoare a resurselor
X 31.12.2009
284
(financiare, instituionale, programe, personal) necesare
implementrii planurilor anuale de activitate i monitorizarea
eficient pentru a se asigura ncadrarea n limitele stabilite.
5 Coroborarea atribuiilor prezentate prin proceduri cu cele
stabilite prin fiele posturilor i inventarierea stadiului
implementrii subsistemelor IT la nivelul departamentelor
entitii publice i stabilirea necesitilor IT care trebuie
incluse n strategia IT.
X 31.12.2009
6 Contientizarea managementului responsabil cu procesul de
stabilire i definire a atribuiilor prin informri i consilieri
pentru clarificarea modalitilor practice de definire a unei
atribuii sau unui set de atribuii pentru asigurarea ariei de
competen necesar pentru realizarea activitilor.
X 31.12.2009
7 Realizarea unei analize riguroase a sarcinilor i
responsabilitilor fiecrui angajat, care s stea la baza oricrei
iniiative de organizare a activitii. Constituirea unei echipe,
pe baza deciziei managementului general, care s analizeze i
s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c
obiectivele vor fi realizate n totalitate. La stabilirea
obiectivelor se va urmri dac sunt ataate toate activitile
necesare obinerii rezultatelor stabilite, realizate efectiv n
cadrul compartimentului, formulate ca aciuni concrete.
X 31.03.2010
8 Analiza actului normativ de organizare i funcionare a
organizaiei i urmrirea atribuiilor definite departamentului
astfel nct s acopere n totalitate activitile desfurate.
X 31.12.2009
9 Desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul
departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale
necesare realizrii activitilor specifice celor dou servicii i
dac au pregtirea de baz, de nivel superior, n domeniul IT.
X 31.03.2010
10 Elaborarea mecanismelor procedurale i metodologice privind
identificarea riscurilor i gestionarea acestora, evaluarea
riscurilor identificate i diferenierea acestora n riscuri
inerente i riscuri acceptabile, precum i implementarea de
instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s
devin unul acceptabil.
X 31.03.2010
11 Stabilirea controalelor interne aferente riscurilor identificate i
determinarea gradului de funcionalitate al acestora i
proiectarea de instrumente sau msuri de introducere de
controale interne, fie individuale, fie n combinaie cu alte
controale, capabile s previn, detecteze i s corecteze n
mod eficient denaturrile semnificative.
X 31.12.2009
12 Analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului,
respectiv nivelul postului i urmrirea definirii aceluiai gen
de sarcini i atribuii numai dac posturile sunt de acelai
nivel.
X 31.12.2009
13 Identificarea i definirea corect n cadrul documentului de
organizare i funcionare, a atribuiilor specifice
departamentului, a relaiilor funcionale pe care
compartimentul la are cu alte structuri funcionale din cadrul
organizaiei.
X 31.12.2009
14 Implementarea unei aplicaii care s monitorizeze alocarea i
utilizarea resurselor n funcie de gradul de complexitate al
operaiilor efectuate. Urmrirea n permanen a echilibrului
ntre necesitile IT i resursele alocate acestor scopuri.
Protejarea mediile sau locaiile de stocare mpotriva
deteriorrii sau accesului neautorizat.
Realizarea corect i la intervale de timp stabilite n funcie de
X 31.03.2010
285
specificul fiecrei componente, numai de ctre personal
autorizat n acest sens, a procedurilor de mentenan a
echipamentelor s fie
Constituirea n cadrul departamentului IT a unui colectiv
specializat n raportarea i rezolvarea operativ a problemelor
de ordin tehnic (Help Desk), care s asigure i acordarea
suportului tehnic de specialitate ctre utilizatori, fie prin linii
telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
Elaborarea i implementarea unor programe care s
automatizeze pe ct posibil verificrile efectuate asupra
operaiilor informatice.
15 Constituirea unor echipe pentru efectuarea de verificri anti-
virus la nivelul tuturor staiilor de lucru din cadrul entitii
publice, configurarea corecta n cazurile n care aceste
programe au fost dezactivate, stabilirea de responsabiliti n
cazul n care acestea sunt dezactivate i produc disfuncii n
cadrul organizaiei.
X 31.12.2009
16 Analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru
finalizarea acestora, stabilirea de termene de finalizare i
urmrirea respectrii acestora. Noile aplicaii i programe vor
fi aprobate i achiziionate numai dac sunt compatibile cu
cele deja implementate sau aflate n faza de implementare i
numai dac exista resursele necesare aprobate prin buget.
X 31.-03.2010
17 Identificarea riscurilor care guverneaz toate subsistemele IT,
stabilirea controalelor interne care ar trebui s existe pentru ca
acestea s funcioneze corect, urmrirea controalelor interne
care exist i funcioneaz, identificarea i implementarea de
instrumente de control pentru controalele interne care nu sunt
implementate sau nu funcioneaz.
X 31.12.2009
18 Implementarea procedurilor operaionale de lucru cu elemente
care s asigure actualizarea n timp util a situaiilor privind
reelele IT; Tratarea securitii reelelor ca pe un proces
continuu, astfel nct schimbrile n cadrul utilizatorilor,
echipamentelor sau aplicaiilor s se realizeze evitnd
expunerile la riscuri;
Prioritizarea aplicaiilor informatice, n funcie de importana
acestora, n vederea alocrii corespunztoare a msurilor de
securitate, avnd n vedere c acestea necesit de cele mai
multe ori resurse considerabile, care trebuie s fie direct
proporionale cu valoarea datelor sau echipamentelor de
protejat;
Implementarea unui sistem de management al
vulnerabilitilor, care s identifice precis, cuprinztor i
actualizat la zi, ultimele vulnerabiliti ale sistemului sau a
greelilor de configurare.
Corelarea rapoartelor ntocmite n urma identificrii i
soluionrii vulnerabilitilor reelelor i aducerea lor la
cunotina conducerii entitii publice.
X 31.03.2010
19 Prioritizarea aplicaiilor informatice, n funcie de importana
acestora, n vederea alocrii corespunztoare a msurilor de
securitate i tratarea securitii reelelor ca pe un proces
continuu. Implementarea unui sistem de management al
vulnerabilitilor, care s identifice vulnerabilitile i
greelile de configurare i s dispun msurile operative de
soluionare. Rapoartele ntocmite n urma identificrii i
soluionrii vulnerabilitilor reelelor s fie corelate i aduse
la cunotina conducerii organizaiei.
X 31.12.2009
20 Introducerea de instrumente de control adecvate astfel incit
orice acces la echipamentele sau datele si informaiile
organizaiei sa fie limitat, sau in cazurile in care acesta este
permis sa fie supravegheat in totalitate.
X 31.12.2009
286
21 Schimbarea sistematic a parolelor de acces de ctre
utilizatorii sistemului informatic, precum i stabilirea unei
persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de
acces.
X 31.12.2009
22 Organizarea datelor n baze de date, respectiv un fiier format
din nregistrri, care conin cmpuri i operaii de cutare,
sortare sau recombinare. Pentru aceasta este necesar realizarea
urmtoarelor: definirea, structurarea, ordonarea i gruparea
datelor n colecii de date omogene; stabilirea legturilor ntre
date, ntre elementele unei colecii de date i ntre coleciile de
date, dup o ierarhie bine precizat, precum i memorarea
datelor pe un suport informaional prelucrabil ntr-un sistem
de calcul.
X 31.03.2010
23 Inventarierea tuturor staiilor de lucru pentru a stabili situaia
real privind utilizarea programelor fr licen i
dezinstalarea tuturor programelor neliceniate din pachetul
Microsoft Office. Totodat, s-a recomandat i realizarea unei
analize complexe n urma creia managementul entitii
publice s decid asupra oportunitii schimbrii programelor
existente i achiziionarea unui numr adecvat de licene
Microsoft Office.
X 31.12.2009
24 Realizarea unui proces de reenginering la nivelul sistemului
IT din cadrul entitii publice, astfel nct salariaii s poat
accesa subsistemele IT de care au nevoie utiliznd un singur
nume de utilizator i o singur parol;
X 31.03.2010
Instruciuni
1. Introducei recomandrile de audit dup cum
sunt prezentate n Raportul de audit intern.
2. Verificai coloana corespunztoare:
implementat, parial implementat, neimplementat
3. Introducei data planificat pentru implementare
n Raportul de audit intern i data implementrii
Structura auditat: Departamentul Tehnologia
Informaiei
Data: 28.10.2009
Semntura conductorului .
Auditori: Popescu Sorin/ Radu George
Data i semntura
Auditori interni, Supervizor,
Popescu Sorin Dumitru Daniel
Radu George
Not:
Aceast etap a misiunii de audit presupune asigurarea c recomandrile din raportul de audit intern
sunt implementate ntocmai la termenele stabilite i n mod eficace, iar conducerea a evaluat riscul de
neaplicare a acestor recomandri.
Structura de audit intern va evalua eficacitatea i oportunitatea aciunilor stabilite i ntreprinse n
vederea implementrii recomandrilor, respectarea termenelor i va determina progresele nregistrate de
structura auditat i modul de mbuntire a activitilor stabilind valoarea nou creat de auditul intern.
Responsabilul entitii auditate asigur monitorizarea implementrii planului de aciune i l
informeaz periodic pe auditor.
Responsabilul din cadrul structurii de audit intern cu urmrirea recomandrilor trebuie s
implementeze i s actualizeze un proces de urmrire a implementrii recomandrilor care s permit
supravegherea i s garanteze c msurile au fost efectiv implementate de ctre management
287
Procedura P18: URMRIREA RECOMANDRILOR
Entitatea public
Serviciul audit intern
PLANUL DE ACIUNE I CALENDARUL
IMPLEMENTRII RECOMANDRILOR
Nr.
crt.
Recomandarea Plan de aciune
Calendar
implementa
re
Responsabil
cu
implementar
ea
1. Reanalizarea atribuiilor Comisiei de
planificare strategic n domeniul IT i
redefinirea acestora astfel nct s poat
realiza i monitorizarea implementrii
proiectelor informatice i informarea
periodic a conducerii asupra realizrii
acestora.
Identificarea atribuiilor Comisiei
de planificare strategic
Revizuirea atribuiilor i includerea
de atribuii i cu privire la
monitorizarea implementrii
proiectelor informatice, precum i
cu privire la raportarea stadiilor de
realizare.
Cuprinderea acestor atribuii n
cadrul procedurilor de lucru.
31.12.2009
eful Depart.
IT
2. Pregtirea profesional anticipat a
personalului implicat n elaborarea
strategiei, de ctre managementul
responsabil cu aceasta. Reanalizarea
strategiei definite la nivelul structurii
funcionale n conformitate cu procedura
operaional aprobat i actualizarea
acesteia astfel nct implementarea sa s
contribuie la realizarea unui management
modern in domeniul de activitate i la
atingerea obiectivelor strategice ale
organizaiei.
mbuntirea procedurilor operaionale de
lucru privind sistemul de fundamentare a
necesarului de resurse pentru elaborarea
strategiei.
Stabilirea temei de curs
Elaborarea cursului
Stabilirea grupului int
Organizarea i desfurarea
cursului
Revizuirea strategiei
Actualizarea strategiei
Revizuirea procedurilor de lucru
privind fundamentarea i
elaborarea strategiei IT
31.03.2010
eful Depart.
IT
3. Evaluarea performanelor actuale ale
sistemului de organizare i conducere a
activitilor desfurate n cadrul structurii
funcionale, innd cont de influena
factorilor de mediu, interni i externi, n
vederea redefinirii obiectivelor strategice.
Implicarea managementului pentru ca
obiectivele strategice redefinite s
ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi
nelese de salariai, stabilite de
metodologie. Totodat, la redefinirea
acestora se va urmri asigurarea resurselor
necesare implementrii lor.
Realizarea analizei diagnostic la
nivelul entitii
Identificarea punctelor forte
Identificarea punctelor slabe
Identificarea oportunitilor
Identificarea ameninrilor
Identificarea factorilor de influen
interni i externi n realizarea
strategiei
Redefinirea obiectivelor strategice
Urmrirea ca obiectivele strategice
s fie realiste, mobilizatoare,
stimulative i s fie nelese de
salariaii care particip la
implementarea lor.
Identificarea i aprobarea resurselor
necesare realizrii obiectivelor
strategice.
Responsabilizarea managementului
cu privire la urmrirea i
coordonarea activitilor n vederea
31.12.2009
eful Depart.
IT
288
realizrii obiectivelor strategice
4. Dezvoltarea unui sistem de instruire i
pregtire a salariailor astfel nct
metodologia specific domeniului de
activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea
i implementarea planurilor anuale. n baza
planurilor elaborate s se identifice toate
atribuiile necesare pentru atingerea
obiectivelor stabilite, iar acestea s fie
repartizate corespunztor n cadrul
compartimentelor.
Totodat, s-a mai recomandat promovarea
dezvoltrii resurselor umane pentru a
obine competenele necesare creterii
economice n condiiile n care au loc
reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare,
instituionale, programe, personal)
necesare implementrii planurilor anuale
de activitate i monitorizarea eficient
pentru a se asigura ncadrarea n limitele
stabilite.
Identificarea temelor de curs
necesare pentru ca personalul din
cadrul departamentului IT s
deprind cunotinele necesare
realizrii sarcinilor stabilite
posturilor.
Organizarea i cuprinderea n
cadrul seminarilor a ntregului
personal din cadrul departamentului
IT n funcie de nevoile identificate
Asigurarea c temele de curs
cuprind n mod adecvat
metodologia domeniului de
activitate
Analiza comparativ a atribuiilor
stabilite posturilor i a celor
necesare realizrii obiectivelor i
urmrirea dac acestea sunt
suficiente sau este necesar
completarea lor.
Redefinirea atribuiilor acolo unde
este necesar.
Urmrirea repartizrii n mod
omogen a atribuiilor n cadrul
posturilor
Pregtirea i instruirea personalului
n vederea dezvoltrii
competenelor necesare astfel nct
s contribuie la dezvoltarea
entitii.
Reevaluarea resurselor i urmrirea
ca acestea s fie suficiente pentru
implementarea planurilor de
activitate.
Monitorizarea resurselor astfel nct
s se asigure ncadrarea n limitele
stabilite
31.12.2009
eful Depart.
IT
5. Coroborarea atribuiilor prezentate prin
proceduri cu cele stabilite prin fiele
posturilor i inventarierea stadiului
implementrii subsistemelor IT la nivelul
departamentelor entitii publice i
stabilirea necesitilor IT care trebuie
incluse n strategia IT.
Compararea atribuiilor stabilite n
fiele posturilor cu activitile i
responsabilitile definite n cadrul
procedurilor i urmrirea ca acestea
s asigure aria necesar realizrii
lor.
Inventarierea stadiului
implementrii programelor i
aplicailor IT, analiza nerealizrilor
conform programelor i stabilirea
de msuri necesare a fi cuprinse n
cadrul strategiei.
31.12.2009
eful Depart.
IT
6. Contientizarea managementului
responsabil cu procesul de stabilire i
definire a atribuiilor prin informri i
consilieri pentru clarificarea modalitilor
practice de definire a unei atribuii sau
unui set de atribuii pentru asigurarea ariei
de competen necesar pentru realizarea
activitilor.
Organizarea de grupuri de lucru n
vederea contientizrii
managementului cu privire la
definirea i stabilirea atribuiilor
31.12.2009
eful
Depart.IT
7. Realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui
angajat, care s stea la baza oricrei
iniiative de organizare a activitii.
Constituirea unei echipe, pe baza deciziei
Evaluarea sarcinilor i
responsabilitilor stabilite
posturilor
Urmrirea dac sarcinile i
responsabilitile stabilite postului
31.03.2010
eful Depart.
IT
289
managementului general, care s analizeze
i s redefineasc activitile i aciunile
realizate n cadrul compartimentelor i
serviciilor, astfel nct s se asigure c
obiectivele vor fi realizate n totalitate. La
stabilirea obiectivelor se va urmri dac
sunt ataate toate activitile necesare
obinerii rezultatelor stabilite, realizate
efectiv n cadrul compartimentului,
formulate ca aciuni concrete.
individualizeaz n mod adecvat
postul respectiv.
Numirea comisiei cu atribuii de
evaluare a activitilor stabilite
fiecrui compartimente
Examinarea dac atribuiile stabilite
comisiei sunt suficiente i adecvate
pentru a evalua dac posturile
existente contribuie n mod adecvat
la realizarea obiectivelor
8. Analiza actului normativ de organizare i
funcionare a organizaiei i urmrirea
atribuiilor definite departamentului astfel
nct s acopere n totalitate activitile
desfurate.
Examinarea ROF-ului entitii i
urmrirea dac atribuiile
menionate pentru departamentul IT
asigur aria de competen necesar
realizrii activitilor desfurate n
cadrul acestuia.
31.12.2009
eful Depart.
IT
9. Desfurarea procesului de selecie i
recrutarea n vederea ocuprii posturilor de
conducere existente la nivelul
departamentului IT. n acelai timp se va
urmri dac persoanele selectate dein
abilitile i aptitudinile manageriale
necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de
baz, de nivel superior, n domeniul IT.
Stabilirea unei proceduri de lucru
cu privire la selecia i recrutarea
personalului n cadrul
departamentului IT.
Examinarea dac persoanele
selectate n posturile de conducere
dein abiliti i aptitudini
manageriale i dac specialitatea
studiilor corespunde necesitilor
postului.
31.03.2010
eful Depart.
IT
10. Elaborarea mecanismelor procedurale i
metodologice privind identificarea
riscurilor i gestionarea acestora, evaluarea
riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri
acceptabile, precum i implementarea de
instrumente de control pentru riscurile
inerente, astfel nct manifestarea acestora
s fie limitat i nivelul acestora s devin
unul acceptabil.
Responsabilizarea persoanelor cu
privire la gestiunea riscurilor
Identificarea riscurilor n cadrul
departamentului
Evaluarea i analiza riscurilor
Tratarea riscurilor
Controlul riscurilor
31.03.2010
eful Depart.
IT
11. Stabilirea controalelor interne aferente
riscurilor identificate i determinarea
gradului de funcionalitate al acestora i
proiectarea de instrumente sau msuri de
introducere de controale interne, fie
individuale, fie n combinaie cu alte
controale, capabile s previn, detecteze i
s corecteze n mod eficient denaturrile
semnificative.
Identificarea tuturor riscurilor
inerente n cadrul departamentului
Stabilirea instrumentelor de control
necesare limitrii riscurilor
Implementarea instrumentelor de
control
Urmrirea eficienei i
funcionalitii instrumentelor de
control i dac acestea au limitat
riscul i-l menin n limite
acceptabile.
31.12.2009
eful Depart.
IT
12. Analiza sarcinilor i atribuiilor definite n
fiele posturilor i stabilirea acestora n
funcie de caracteristicile postului,
respectiv nivelul postului i urmrirea
definirii aceluiai gen de sarcini i atribuii
numai dac posturile sunt de acelai nivel.
Reevaluarea sarcinilor stabilite
fiecrui post din cadrul
departamentului
Redefinirea acestora pe posturi n
funcie de caracteristicile i
cerinele acestora
Stabilirea de sarcini fiecrui post n
funcie de nivelul postului i natura
acestuia
31.12.2009
eful Depart.
IT
13. Identificarea i definirea corect n cadrul
documentului de organizare i funcionare,
a atribuiilor specifice departamentului, a
relaiilor funcionale pe care
compartimentul la are cu alte structuri
funcionale din cadrul organizaiei.
Revizuirea atribuiilor din cadrul
ROF-ului i redefinirea n mod
adecvat a acestora
Revizuirea relaiilor funcionale n
cadrul i n afara departamentului i
redefinirea adecvat a acestora
31.12.2009
eful Depart.
IT
290
14. Implementarea unei aplicaii care s
monitorizeze alocarea i utilizarea
resurselor n funcie de gradul de
complexitate al operaiilor efectuate.
Urmrirea n permanen a echilibrului
ntre necesitile IT i resursele alocate
acestor scopuri.
Protejarea mediile sau locaiile de stocare
mpotriva deteriorrii sau accesului
neautorizat.
Realizarea corect i la intervale de timp
stabilite n funcie de specificul fiecrei
componente, numai de ctre personal
autorizat n acest sens, a procedurilor de
mentenan a echipamentelor.
Constituirea n cadrul departamentului IT a
unui colectiv specializat n raportarea i
rezolvarea operativ a problemelor de
ordin tehnic (Help Desk), care s asigure i
acordarea suportului tehnic de specialitate
ctre utilizatori, fie prin linii telefonice
dedicate, fie prin e-mail sau deplasri ale
echipelor specializate.
Elaborarea i implementarea unor
programe care s automatizeze pe ct
posibil verificrile efectuate asupra
operaiilor informatice.
Conceperea i implementarea unei
aplicaii care va monitoriza alocarea
resurselor financiare pentru fiecare
activitate desfurat i care va
genera rapoarte cu privire la
utilizarea acestora.
Analiza comparativ a resurselor
consumate pentru realizarea
activitilor, n raport cu cele
aprobate
Examinarea locaiilor de stocare a
informaiilor i urmrirea dac
exist condiii adecvate de stocare.
Crearea de aplicaii care s
prentmpine accesul neautorizat la
programe i aplicaii.
Realizarea procedurilor de
mentenan la intervalele de timp
planificate
Numirea comisiei cu atribuii n
raportarea operativ a problemelor
tehnice
Stabilirea atribuiilor comisiei
numite.
Conceperea i implementarea unei
aplicaii care s monitorizeze
operaiile efectuate n cadrul
programelor i aplicaiilor derulate
n cadrul entitii.
31.03.2010
eful Depart.
IT
15. Constituirea unor echipe pentru efectuarea
de verificri anti-virus la nivelul tuturor
staiilor de lucru din cadrul entitii
publice, configurarea corecta n cazurile n
care aceste programe au fost dezactivate,
stabilirea de responsabiliti n cazul n
care acestea sunt dezactivate i produc
disfuncii n cadrul organizaiei.
Numirea unui responsabil cu
examinarea staiilor de lucru
virusate.
Examinarea fiecrei staii de lucru
i devirusarea acestora
Configurarea programelor anti-
virus pe fiecare staie de lucru pe
baz de licen.
Stabilirea rspunderilor n sarcina
utilizatorilor n cazul n care
programele antivirus sunt
dezactivate, iar aplicaiile sau
informaiile coninute de acestea
sufer denaturri.
31.12.2009
eful Depart.
IT
16. Analiza tuturor aplicaiilor i programelor
ncepute i nefinalizate, identificarea
resurselor financiare necesare pentru
finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii
acestora. Noile aplicaii i programe vor fi
aprobate i achiziionate numai dac sunt
compatibile cu cele deja implementate sau
aflate n faza de implementare i numai
dac exista resursele necesare aprobate
prin buget.
Identificarea tuturor aplicaiilor i
programelor din cadrul entitii
ncepute i neimplementate.
Identificarea resurselor financiare
pentru implementarea lor i
aprobarea acestora.
Stabilirea de grafice de
implementare i urmrirea
implementrii acestora.
Examinarea noilor programe i
aplicaii de achiziionat.
Achiziionarea acestora numai dac
sunt compatibile cu cele existente
i contribuie la integrarea
informaiilor
31.-03.2010
eful Depart.
IT
17. Identificarea riscurilor care guverneaz
toate subsistemele IT, stabilirea
controalelor interne care ar trebui s existe
pentru ca acestea s funcioneze corect,
urmrirea controalelor interne care exist
Identificarea riscurilor aferente
subsistemelor IT
Evaluarea instrumentelor de control
existente i urmrirea dac acestea
asigur un nivel acceptat al
31.12.2009
eful Depart.
IT
291
i funcioneaz, identificarea i
implementarea de instrumente de control
pentru controalele interne care nu sunt
implementate sau nu funcioneaz.
riscurilor
Stabilirea instrumentelor de control
de implementat astfel nct s
asigure funcionalitatea acestora
18. Implementarea procedurilor operaionale
de lucru cu elemente care s asigure
actualizarea n timp util a situaiilor
privind reelele IT; Tratarea securitii
reelelor ca pe un proces continuu, astfel
nct schimbrile n cadrul utilizatorilor,
echipamentelor sau aplicaiilor s se
realizeze evitnd expunerile la riscuri;
Revizuirea procedurilor de lucru
Elaborarea unei proceduri de lucru
cu privire la tratarea securitii
reelelor.
Securizarea tuturor aplicaiilor i
programelor cu privire la accesul la
acestea, inclusiv la informaiile
coninute.
31.03.2010
eful Depart.
IT
19 Prioritizarea aplicaiilor informatice, n
funcie de importana acestora, n vederea
alocrii corespunztoare a msurilor de
securitate i tratarea securitii reelelor ca
pe un proces continuu. Implementarea unui
sistem de management al vulnerabilitilor,
care s identifice vulnerabilitile i
greelile de configurare i s dispun
msurile operative de soluionare.
Rapoartele ntocmite n urma identificrii
i soluionrii vulnerabilitilor reelelor s
fie corelate i aduse la cunotina
conducerii organizaiei.
Elaborarea unei proceduri de lucru
cu privire la tratarea
vulnerabilitilor.
Responsabilizarea unei persoane cu
privire la tratarea vulnerabilitilor.
Analiza periodic a
vulnerabilitilor i elaborarea de
rapoarte
Informarea conducerii cu privire la
vulnerabilitile identificate i
propunerea de soluii de remediere
31.12.2009
eful Depart.
IT
20 Introducerea de instrumente de control
adecvate astfel incit orice acces la
echipamentele sau datele si informaiile
organizaiei sa fie limitat, sau in cazurile in
care acesta este permis sa fie supravegheat
in totalitate.
Examinarea tuturor echipamentelor
i aplicaiilor
Identificarea celor care nu prezint
un sistem adecvat de accesare
Stabilirea unui sistem de parole n
vederea limitrii accesului
Stabilirea accesului la informaii pe
nivele de autorizare, n funcie de
nivelul i cerinele posturilor.
31.12.2009
eful Depart.
IT
21 Schimbarea sistematic a parolelor de
acces de ctre utilizatorii sistemului
informatic, precum i stabilirea unei
persoane care s aib n responsabilitate
atribuii i competene de verificare a
schimbrii periodice a parolelor de acces.
Responsabilizarea unei persoane
care s urmreasc schimbarea
periodic a parolelor.
Urmrirea schimbrii periodice a
parolelor.
31.12.2009
eful Depart.
IT
22 Organizarea datelor n baze de date,
respectiv un fiier format din nregistrri,
care conin cmpuri i operaii de cutare,
sortare sau recombinare. Pentru aceasta
este necesar realizarea urmtoarelor:
definirea, structurarea, ordonarea i
gruparea datelor n colecii de date
omogene; stabilirea legturilor ntre date,
ntre elementele unei colecii de date i
ntre coleciile de date, dup o ierarhie bine
precizat, precum i memorarea datelor pe
un suport informaional prelucrabil ntr-un
sistem de calcul.
Revizuirea bazelor de date
constituite
Organizarea informaiilor n cadrul
acestora n mod adecvat, respectiv:
- definirea datelor coninute;
- structurarea datelor n funcie de
importan;
- ordonarea i gruparea datelor
- stabilirea legturilor ntre date i
informaii;
- stabilirea nivelurilor de acces la
date i informaii
- organizarea sistemului de
securitate, protecie i acces la
datele i informaiile stocate.
31.03.2010
eful Depart.
IT
23 Inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind
utilizarea programelor fr licen i
dezinstalarea tuturor programelor
neliceniate din pachetul Microsoft Office.
Totodat, s-a recomandat i realizarea unei
analize complexe n urma creia
Identificarea staiilor de lucru
Examinarea aplicaiilor i
programelor utilizate de fiecare
staie de lucru i stabilirea celor
care sunt utilizate fr a exista
licene.
Dezinstalarea tuturor programelor
31.12.2009
eful Depart.
IT
292
managementul entitii publice s decid
asupra oportunitii schimbrii
programelor existente i achiziionarea
unui numr adecvat de licene Microsoft
Office.
utilizate fr licene.
Instalarea de programe i aplicaii
adecvate pentru care exist licene.
Analiza eficienei i eficacitii
aplicaiilor utilizate i a
oportunitii schimbrii acestora cu
unele cu caliti i performane
ridicate.
24 Realizarea unui proces de reenginering la
nivelul sistemului IT din cadrul entitii
publice, astfel nct salariaii s poat
accesa subsistemele IT de care au nevoie
utiliznd un singur nume de utilizator i o
singur parol;
Realizarea procesului de
reenginering la nivelul
departamentului IT i asigurarea c
salariaii pot accesa subsistemele IT
utiliznd un singur nume i o
singur parol de acces.
31.03.2010
eful Depart.
IT
293
PROGRAMUL DE ASIGURARE I MBUNTIRE A CALITII
eful structurii de audit intern trebuie s elaboreze un Program de asigurare i mbuntire
a calitii activitii de audit, adic respectarea normelor metodologice, a Codului privind conduita
etica a auditorului intern, a Standardelor i a bunei practici internaionale de ctre toi auditorii
interni.
Prin Programul de asigurare i mbuntire a calitii se realizeaz o evaluare prin adoptarea
unui proces permanent de supraveghere a eficacitii globale a programului de calitate.
Evaluarea const n supervizarea realizrii misiunii de audit intern, prin efectuarea de
controale permanente de ctre eful structurii de audit intern, prin care acesta examineaz
eficacitatea normelor de audit intern i dac procedurile de asigurare a calitii misiunii de audit
sunt aplicate n mod corespunztor garantnd calitatea Raportului de audit intern.
Supervizarea va permite depistarea deficienelor n anumite etape din derularea misiunii i va
permite iniierea de activiti de mbuntire a viitoarelor misiuni de audit intern i asigurarea
perfecionrii profesionale a auditorilor.
Evaluarea se realizeaz dup fiecare misiune de audit intern. Este formalizat prin ntocmirea
Fiei de evaluare a misiunii de audit intern.
EVALUAREA INTERN
Procedura P19: PROGRAMUL DE ASIGURARE A CALITII
Entitatea Public
Serviciul de Audit Intern
FIA DE EVALUARE A MISIUNII DE AUDIT INTERN
Misiunea de audit: Tehnologia informaiei
Perioada auditat: 01.01.2008 30.06.2009
ntocmit: Popescu Sorin/Radu George Data: 28.09.2009
Avizat: Dumitru Daniel Data: 28.09.2009
Bugetul de timp planificat: 260
Bugetul de timp efectiv: 264 ore
1 2 3 4 5 Observaii
n etapa de pregtire a misiunii, auditorul a identificat
riscurile i controalele prevzute pentru procesele legate de
obiectivele de audit i a estimat corespunztor riscurile
activitii
X
Programele de audit au fost elaborate n vederea ndeplinirii
obiectivelor misiunii n cadrul bugetului de timp alocat
X
A fost necesar s se
lucreze peste orele
de program
Obiectivul auditului, scopul, procedurile i bugetul au fost
reanalizate n mod constant pentru a asigura o eficient
folosire a resurselor de audit
X
A existat o bun comunicare ntre auditor i auditat i ntre X
294
Bugetul de timp planificat: 260
Bugetul de timp efectiv: 264 ore
1 2 3 4 5 Observaii
auditor i conducerea structurii de audit intern;
A existat o bun comunicare ntre auditor i conducerea
structurii de audit intern
X
Au fost luate n considerare perspectivele i nevoile audiailor
n procesul de audit
X
Au fost atinse obiectivele de audit ntr-o manier eficient i
la timp
X
Auditaii au avut posibilitatea s revad constatrile i
recomandrile cnd au fost identificate problemele
X
Normele de audit intern, au fost respectate X
Constatrile de audit demonstreaz analize profunde i
concluzii, respectiv sunt formulate recomandri practice
pentru probleme identificate
X
Comunicrile scrise au fost clare, concise, obiective i corecte X
Exist probe de audit care s susin concluziile auditorului X
Procedurile de audit utilizate au avut ca rezultat dovezi
suficiente, competente, relevante i folositoare
X
Documentele au fost completate n mod corespunztor i n
conformitate cu normele de audit intern
X
Bugetul de timp a fost respectat X
Nivel de productivitate personal al auditorului intern. X
EVALUAREA EXTERN
Evaluarea misiunii de audit intern mai poate fi realizat i de conducerea structurii auditate creia i
se nainteaz un chestionar de evaluare prin care i se solicit s prezinte o apreciere asupra desfurrii
misiunii de audit i a modului de implicare al auditorilor interni pe parcursul misiunii.
Evaluarea misiunii de audit intern de ctre structura auditat este formalizat prin Fia de evaluare a
misiunii de audit intern ntocmit de ctre structura auditat.
295
Procedura P19: PROGRAMUL DE ASIGURARE A CALITII
Entitatea public
Serviciul Audit Intern
FIA DE EVALUARE A MISIUNII DE AUDIT INTERN
DE CTRE STRUCTURA AUDITAT
Misiunea de audit: Tehnologia informaiei
Perioada auditat: 01.01.2008 30.06.2009
ntocmit: Popescu Sorin/Radu George Data: 28.09.2009
Avizat: Dumitru Daniel Data: 28.09.2009
Note Nr.
crt.
Obiectiv auditat
1 2 3 4 5
Obs.
1. Obiectivele de audit au fost comunicate clar la
nceputul misiunii
X
2. Au fost furnizate suficiente informaii privind
misiunea de efectuat
X
3. Misiunea a contribuit la obinerea de rezultate sau la
mbuntirea unora deja existente
X
4. Misiunea a beneficiat de direcii clare i precise
privind modul de desfurare
X
5. Obiectivele de audit stabilite au fost n concordanta
cu activitile desfurate
X
6. Constatrile au fost prezentate ntr-o maniera logic,
structurat, dinamic i interesant
X
7. S-a rspuns n toate cazurile la ntrebrile legate de
misiunea de audit, iar rspunsurile au condus la
obinerea de concluzii relevante
X
8. Misiunea a fost desfurat adecvat, intervenia la
fata locului a privit doar obiectivele stabilite i
comunicate
X
9. A existat un feed-back pe tot parcursul misiunii, iar
acesta a fost util n gsirea de soluii la probleme
X
10. Cum evaluai n general misiunea de audit X
11. Considerai ca obiectivele de audit stabilite au privit
activitile cu riscuri majore
X
12. In desfurarea misiunii de audit au fost prezentate
constatrile i recomandrile cnd au fost identificate
probleme
X
13. A existat o buna comunicare intre auditor i auditat X
14. Auditorii au avut un comportament adecvat i
profesional
X
15. Ce v-a plcut cel mai mult pe timpul misiunii de audit descriei cel puin 3 aspecte care v-
au plcut cel mai mult
claritatea recomandrilor
conduita auditorilor interni
calitatea discuiilor
296
16. Ce v-a plcut cel mai puin pe timpul misiunii de audit descriei cel puin 3 aspecte care v-
au plcut cel mai puin
ntlnirile pe parcursul misiunii au fost limitate, nu ntotdeauna din vina auditatului.
17. Ce obiective de audit considerai c nu au fost atinse n totalitate din cele comunicate
Nu sunt comentarii.
18. Ce obiective de audit considerai c ar fi necesar a fi cuprinse n programul viitor de audit
Calitatea procedurilor privind achiziiile publice elaborate n urma recomandrilor.
19. Alte comentarii
Tabelele de mai sus vor fi completate innd cont de urmtorul sistem de punctaj:
1 pentru nesatisfctor;
2 pentru slab;
3 pentru satisfctor;
4 pentru bine;
5 pentru foarte bine.
Not: n practic se va urmri ca pentru orice notare sub 3 s se solicite explicaii scrise.
Evaluarea extern a funcionalitii activitii de audit intern se realizeaz i de U.C.A.A.P.I. i
organul ierarhic superior pentru structurile din subordine prin verificarea respectrii normelor metodologice
generale i specifice, a Standardelor de audit intern, a bunei practici recunoscute n domeniu i a Codului
etic al profesiei.
Activitatea de evaluare extern a activitii de audit intern, n Romnia, conform cadrului normativ
general, se realizeaz o dat la 5 ani, ocazie cu care, n funcie de necesiti, se iniiaz msuri corective n
colaborare cu conductorul entitii evaluate n cauz.
Documentele de evaluare intern i extern se arhiveaz n Dosarul permanent, Seciunea -
Supervizarea.
n sperana c prezentul ghid practic va constitui pentru cei interesai un
suport pentru realizarea misiunilor de audit intern la un nivel corespunztor bunei
practici recunoscut n domeniu, ateptm aprecierile i eventual sugestiile
dumneavoastr, de care vom ncerca s inem cont cu ocazia elaborrii viitoarelor
lucrri.