Ghid IT Ed II

MINISTERUL FINANELOR PUBLICE
UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN

GHID PRACTIC

MISIUNEA DE AUDIT INTERN
ACTIVITATEA IT

- ACTUALIZAT -

AVIZAT
GHI MARCEL
ef serviciu pentru Strategie i Metodologie General

ACTUALIZAT
CROITORU ION
Auditor superior

VOINEA DANIEL
Auditor principal

Ghidul practic privind realizarea unei misiuni de audit intern privind activitatea IT
constituie un model pentru desfurarea misiunilor n baza Legii nr. 672/2002 privind auditul
public intern i a Normelor generale pentru exercitarea auditului public intern aprobate prin
OMFP nr. 38/2003, cu modificrile i completrile ulterioare.

Ateptm sugestiile dumneavoastr pe adresa UCAAPI sau pe e-mail:
marcel.ghita@mfinante.ro
ion.croitoru@mfinante.ro
daniel.voinea@mfinante.ro

BUCURETI
2009

2

3

CUVNT NAINTE

Ghidul de audit intern privind auditarea activitii IT reprezint un model practic de
desfurare a unei misiuni de audit intern, prin parcurgerea in detaliu, a fiecrui pas,
ntr-o manier didactic. Ghidul poate fi utilizat de entitile din sectorul public i n
acelai timp va reprezenta suportul pentru realizarea, de ctre fiecare structur de audit
intern a propriului ghid practic specific activitii IT desfurate n cadrul entitii.

Actualizarea ghidului are la baz prevederile art. 8 lit. c) din Legea nr. 672/2002 privind
auditul public intern i punctul 4, Partea I din Normele generale de exercitare a auditului
public intern, aprobate prin OMFP nr. 38/2003 referitoare la dezvoltarea i implementarea
unor proceduri i metodologii uniforme, bazate pe standardele internaionale.

n conformitate cu prevederile punctului 4, Partea I din Normele generale de exercitare a
auditului public intern, aprobate prin OMFP nr. 38/2003 (Manualul de audit intern), misiunea
de audit intern are drept scop evaluarea sistemelor de management i control intern ale
entitii, urmrind transparena i conformitatea cu cadrul normativ.

Actualizarea ghidului practic a presupus respectarea procedurilor i documentelor
specifice structurate pe cele patru etape ale derulrii unei misiunii de audit public intern,
prezentate prin normele generale, respectiv:
n etapa de pregtire a misiunii de audit intern au fost elaborate i actualizate
documentele prevzute de normele generale, fiind aduse clarificri, n special, cu privire la
modul concret de dezvoltare a procedurii de Analiza riscurilor, succesiunea documentelor,
structura acestora i modul de completare, nivelul de apreciere i mprire a riscurilor n mari,
medii i mici, clasarea i ierarhizarea acestora n vederea finalizrii procedurii pe baza creia
se va elabora Programul interveniei la faa locului i se va concentra munca pe teren.
n etapa de intervenie la faa locului s-a realizat testarea pe teren a operaiilor
auditabile, pe baza Programului interveniei la faa locului, prin utilizarea diferitelor tehnici i
instrumente de audit, tehnici de eantionare, liste de verificare, teste, foi de lucru, interviuri
sau note de relaii, elemente care s-au constituit n probe de audit i care au stat la baza
ntocmirii FIAP-urilor i FCRI-urilor, documente avute n vedere la elaborarea raportului de
audit intern.
n etapa de elaborare a Raportului de audit intern s-a urmrit structurarea
acestuia pe Tematica n detaliu a misiunii de audit obinut n procedura de Analiza riscurilor
i ca acesta s comunice clar cititorului att obiectivele, perioada de timp acoperit de audit,
aria de cuprindere, constatrile, concluziile auditului, recomandrile formulate, ct i nivelul
de asigurare. Totodat s-a avut n vedere ca faptele prezentate s fie susinute cu dovezi de
audit suficiente, iar recomandrile s abordeze chestiunea performanei, a eficacitii
gestionrii i optimizrii utilizrii resurselor.
n etapa de urmrire a recomandrilor s-a urmrit caracterul adecvat,
eficacitatea i oportunitatea aciunilor ntreprinse pentru implementarea recomandrilor
formulate i n afara documentelor stabilite de normele generale au fost propuse unele modele
de documente pentru evaluarea intern i extern a activitii de audit intern.

4

Obiectivele misiunii de audit intern privind activitatea IT, stabilite prin planul de audit
au fost urmtoarele:
Strategia i planificarea sistemelor informatice;
Organizarea i funcionarea departamentului IT;
Operaii ale sistemului informatic;
Securitatea informaiilor;
Achiziionarea i testarea programelor i aplicaiilor;
Elaborarea i implementarea proiectelor IT;
Proiectarea i meninerea n funciune a unei reele.

n continuare, prezentm desfurarea misiunii de audit intern pentru Activitatea IT,
structurat pe etapele, procedurile i documentele care se elaboreaz pe baza acestora n
conformitate cu Schema de derulare a misiunilor de audit intern.

5
PROCEDURA P01 INIIEREA AUDITULUI

ENTITATEA PUBLIC
Serviciul Audit Intern
Nr. 11/12.08.2009

ORDIN DE SERVICIU

n conformitate cu prevederile art. 8, litera c) din Legea nr. 672/2002 privind auditul public
intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea
activitii de audit intern, cu modificrile i completrile ulterioare i a Planului de audit intern
pentru anul 2009, se va efectua o misiune de audit intern privind Activitatea IT, n perioada
01.09.2009 20.10.2009.

Scopul misiunii de audit este de a da asigurri asupra modului de organizare i desfurare a
activitii IT, n conformitate cu cadrul legislativ i normativ, iar obiectivele acestuia au n
vedere:
Proiectarea i testarea programelor i aplicaiilor;

Menionm c se va efectua un audit de conformitate privind modul de organizare i desfurare
a activitii IT.

Echipa de auditori interni este format din urmtorii auditori:
Popescu Sorin, auditor superior, coordonator
Radu George, auditor superior

ef Serviciu Audit Intern,
Dumitru Daniel

6

7
Procedura - P02: INIIEREA AUDITULUI

ENTITATEA PUBLIC

DECLARAIA DE INDEPENDEN

Nume i prenume: Popescu Sorin
Misiunea de audit : Activitatea IT Data: 14.08.2009

Incompatibiliti n legtur cu entitatea/structura auditat DA NU
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze
msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice
fel?
- X
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v
influeneze n misiunea de audit?
- X
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea
entitii/structurii ce va fi auditat?
X -
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de
Uniunea European?
- X
Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce
urmeaz a fi auditat?
X
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii
ce va fi auditat sau cu membrii organului de conducere colectiv?
- X
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene
de la vreun grup anume, sau organizaie sau nivel guvernamental?
- X
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce
va fi auditat?
X -
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi
auditat?
- X
Putei s selectai responsabilitile i problemele, s stabilii riscurile specifice activitilor supuse
auditri i s construii proceduri specifice de identificare a disfunciilor i abaterilor?
X -
Stpnii tehnicile i metodele de colectare, analiz i interpretare a datelor i informaiilor
specifice unui audit al conformitii?
X -
Dac n timpul misiunii de audit apare orice incompatibilitate personal, extern sau
organizaional care ar putea s v afecteze abilitatea de a lucra i a face rapoartele de audit
impariale, notificai eful Serviciului de audit intern de urgen?
X -

Auditor, ef serviciu
Popescu Sorin Dumitru Daniel

1. Incompatibiliti personale: Cu aproximativ 2 ani n urma am a lucrat la compartimentul
contabilitate i am realizat plata salariilor personalului IT.
2. Pot fi eliminate incompatibilitile: Da
3. Dac da, explicai cum anume: Misiunea planificata nu are nici o tangen cu activitatea de
salarizare a personalului departamentului. Totodat prezenta misiune are ca obiective modul de
funcionare a sistemelor IT.

Data: 14.08.2009 Semntura: Dumitru Daniel

8
ENTITATEA PUBLIC

DECLARAIA DE INDEPENDEN

Nume i prenume: Radu George Data: 14.08.2009
Misiunea de audit: Activitatea IT

Incompatibiliti n legtur cu entitatea/structura auditat DA NU
Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v
limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni
de audit n orice fel?
- X
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea
s v influeneze n misiunea de audit?
- X
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n
activitatea entitii/structurii ce va fi auditat?
X -
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau
parial de Uniunea European?
- X
Ai fost implicat n elaborarea i implementarea sistemelor de control ale
entitii/structurii ce urmeaz a fi auditat?
- X
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul
entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiva?
- X
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de
redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?
- X
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru
entitatea/structura ce va fi auditat?
- X
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? - X
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce
va fi auditat?
- X
Putei s selectai responsabilitile i problemele, s stabilii riscurile specifice
activitilor supuse auditri i s construii proceduri specifice de identificare a
disfunciilor i abaterilor?
X -
Stpnii tehnicile i metodele de colectare, analiz i interpretare a datelor i
informaiilor specifice unui audit al conformitii?
- X
Dac n timpul misiunii de audit apare orice incompatibilitate personal, extern sau
organizaional care ar putea s v afecteze abilitatea de a lucra i a face rapoartele de
audit impariale, notificai eful Serviciului de audit intern de urgen?
X -

Auditor, ef serviciu
Radu George Dumitru Daniel

1. Incompatibiliti personale:
a) nu am cunotine solide privind managementul IT, astfel nct s pot face o analiz
obiectiv a modului de funcionare a programelor i aplicaiilor.
2. Pot fi eliminate incompatibilitile:
a) Da;
3. Dac da, explicai cum anume:
a) pentru evaluarea sistemelor, aplicaiilor sau programelor echipa de audit se va
suplimenta cu un auditor cu experien n acest domeniu, respectiv Ionescu Gabriel, acesta va avea
ca responsabiliti s evalueze modul de funcionare a acestora n comparaie cu necesitile i s
formuleze constatrile de audit.
Data: 14.08.2009 Semntura: Dumitru Daniel

9

ENTITATEA PUBLIC
Nr. 3452 / 15.08.2009

NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Ctre: Departamentul Tehnologia Informaiei
De la: eful Serviciului Audit Intern

Referitor la misiunea de audit intern Activitatea IT

Stimate domnule director Ptrulescu George

n conformitate cu Planul de audit intern pe anul 2009, urmeaz ca n perioada 01.09.2009 -
30.09.2009 s efectum o misiune de audit intern avnd ca tem Activitatea IT.
Echipa de auditori va examina responsabilitile asumate de ctre Departamentul IT cu privire
la organizarea i realizarea activitilor i va determina dac acesta i ndeplinete obligaiile n mod
efectiv i eficient.

Perioada supus evalurii este 01.01.2008 30.06.2009;

Obiectivele misiuni de audit intern vor fi reprezentate de:
Testarea programelor i aplicaiilor;

V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea
discutrii diverselor aspecte ale misiunii de audit intern, cuprinznd:
- prezentarea auditorilor;
- prezentarea si discutarea obiectivelor misiunii de audit intern;
- scopul misiunii de audit intern;
- programul interveniei la faa locului;
- alte aspecte privind organizarea si desfurarea misiunii.

Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie
urmtoarea documentaie necesar:
cadrul legal si de reglementare aplicabil entitii;
organigrama departamentului;
Regulamentul de organizare i funcionare;
fiele posturilor;

10
procedurile scrise care descriu activitile ce se desfoar n cadrul
compartimentului;
rapoartele de audit intern anterioare;
alte rapoarte, note, dosarele anterioare care se refer la aceasta tem.

Dac avei unele ntrebri privind aceasta aciune, v rog s contactai pe domnul Popescu
Sorin auditor intern, coordonatorul misiunii sau pe eful structurii de audit intern.

ef Serviciu Audit Intern,
Dumitru Daniel

Data: 15.08.2009

11
Procedura P04: COLECTAREA I PRELUCRAREA INFORMAIILOR

ENTITATEA PUBLIC
Serviciul Audit Public Intern

COLECTAREA INFORMAIILOR

Perioada auditat: 01.01. 2008 30.06.2009
ntocmit: Popescu Sorin/Radu George Data: 02.09.2009
Avizat: Dumitru Daniel Data: 02.09.2009

Colectarea informaiilor
Nr.
crt.
Departamentul IT DA NU Observaii
1. Identificarea legilor i regulamentelor aplicabile
Departamentului IT;
X -

2. Obinerea organigramei departamentului IT; X -
3. Obinerea Regulamentului de organizare i
funcionare aferent departamentului IT;
X -
ROF-ul nu este actualizat n
conformitate cu noua
structur organizatoric a
departamentului.
4. Obinerea fielor posturilor pentru personalul
departamentului;
X

5. Obinerea procedurilor de lucru elaborate la nivelul
departamentului;
X
Procedurile de lucru sunt
elaborate doar pentru o
parte din activitile
desfurate la nivelul
departamentului.
6. Obinerea fielor postului pentru personalul
departamentului;
X -

7. Obinerea Raportului de audit intern anterior;
X -
Anterior nu au fost realizate
misiuni de audit intern
privind activitatea IT
8. Obinerea strategiei i politicilor de dezvoltare ale
departamentului;
X

9. Obinerea statului de funcii pentru personalul
departamentului;
X

10. Obinerea rapoartelor de evaluare pentru personalul
departamentului;
X

11. Obinerea planului de continuare a activitilor n caz
de dezastre;
X

12. Obinerea circuitului documentelor la nivelul
departamentului;
X
Nu exist stabilit un circuit
al documentelor.
13. Identificarea obiectivelor generale i specifice
definite la nivelul departamentului;
X

14. Obinerea planului de recuperare a activitilor n caz
de dezastre;
X

15 Obinerea listei tuturor aplicaiilor, programelor,
sistemelor achiziionate sau derulate n cadrul
entitii
X

12
16 Obinerea listei privind fiecare post IT i numele
utilizatorilor
X

17 Obinerea tuturor metodologiilor de lucru privind
funcionarea aplicaiilor i programelor instalate n
cadrul organizaiei
X

Not:
Colectarea i prelucrarea reprezint etapa de procurare a informaiilor n vederea efecturii
analizei de risc i pentru identificarea informaiilor necesare, fiabile, pertinente i utile pentru a atinge
obiectivele misiunii de audit intern.
Activitile realizate n aceast faz contribuie substanial la cunoaterea domeniului auditabil
care l ajut pe auditor s se familiarizeze cu entitatea auditat.

13
Procedura PO4 : COLECTAREA I PRELUCRAREA INFORMAIILOR
Entitatea Public
Serviciul de Audit Intern

CHESTIONAR DE LUARE LA CUNOTIN

Perioada auditat: 01.01.2008 30.06.2009

r.
rt.
NTREBAREA A U
BSERVAII
Cunoaterea contextului socio-economic de funcionare a departamentului IT
1 Care este numrul salariailor departamentului? 25 salariai.
2 Exist un buget al departamentului?
u
Exist buget la nivel de
organizaie, iar achiziiile IT
sunt stabilite separat.
3 Care sunt atribuiile generale ale compartimentului? Elaborarea strategiei de
informatizare a organizaiei
i realizarea sistemului
informatic integrat
4 Atribuiile generale sunt acoperite n totalitate de sarcinile
stabilite posturilor?

5 Care este nivelul de competene al salariailor? Salariaii dein competene
privind funcionarea
echipamentelor, aplicaiilor
i programelor, n a realiza
testarea i implementarea
noilor aplicaii, n
soluionarea problemele
aprute n funcionarea
aplicaiilor.
6 Care este nivelul de calificare al personalului? 8 salariai sunt asisteni, 9
sunt principali i 8 sunt
superiori.
7 Tot personalul are calificare IT?
8 Personalul este evaluat cel puin anual?
9 Complexitatea obiectivele individuale este mbuntit
anual, n corelaie de cunotinele acumulate?
Sunt meninute anual la
acelai nivel.
10 Aprecierea realizrii obiectivelor este realizat n funcie de
nivelul de criteriile de performan?

11 Posturile existente asigur realizarea activitilor?

ns acestea au un grad de
ocupare de 85%.
12 Exist un sistem de motivare al salariailor? Da Motivarea se face financiar
13 Motivarea moral a salariailor exist n cadrul
compartimentului?
Nu
14 Exist un plan de carier definit pentru funcia de operator
IT?
Nu
15 Exist o politic elaborat la nivelul domeniului de
activitate?
Nu
16 Exist strategie elaborat privind dezvoltarea IT? Da
17 Exist o evaluare a funcionalitii compartimentului IT? Nu
18 Abilitile de comunicare i profesionale ale personalului se
urmresc a fi dezvoltate?
Nu

14
19 Relaiile de autoritate sunt definite i aplicate la nivelul
departamentului IT?
Da
20 Relaiile ierarhice asigur o bun colaborare ntre posturile
de conducere i cele de execuie?
Da
21 Sarcinile sunt astfel definite nct s asigure o bun
cooperare ntre posturile de acelai nivel n vederea
soluionrii problemelor?
Da
22 Relaiile de control stabilite personalului conduc la o
evaluare adecvat a modului de utilizare a echipamentelor i
aplicaiilor de ctre utilizatori?
Da
23 Capacitatea managerial a personalului asigur furnizarea
adecvat a informaiilor ctre utilizatorii aplicaiilor?
Da
24 Structura organizatoric este capabil s rspund cerinelor
organizaiei sau a mediului n care acioneaz?
Da
25 Exist o analiz SWOT la nivelul departamentului? Nu
B Cunoaterea contextului organizaional al departamentului IT
1 Care este subordonarea departamentului i compartimentelor
componente?
n subordinea
conductorului organizaiei.
2 Cu cine are relaii de colaborare? Cu toate celelalte
compartimente.
3 Care sunt relaiile ierarhice? Subordonat conductorului
instituiei, nu are
compartimente n subordine.
4 n cadrul compartimentului care sunt relaiile ierarhice? Directorul este subordonat
conductorului entitii,
efii de servicii sunt
subordonai directorului, iar
salariaii sunt subordonai
sefului de serviciu.
5 Mai exist i alte funcii de conducere? Nu
6 Exist organigram la nivelul departamentului? Da
7 Organigrama exprim corect relaiile ierarhice? Da
8 Organigrama exprim relaiile cu celelalte compartimente? Da
9 Exist obiective definite la nivelul departamentului i n
cadrul serviciilor?
Da
10 Exist obiective individuale la nivelul posturilor de lucru? Da
11 Exist fie ale posturilor pentru toate posturile existente n
cadrul compartimentului?
Da
12 Fiele posturilor sunt ntocmite n funcie de complexitatea
activitilor stabilite postului sau pregtirea persoanei care l
ocup?
n funcie de complexitatea
activitilor
13 Sarcinile sunt definite clar n cadrul postului? Da
14 n cadrul fielor posturilor sunt definite responsabiliti? Da
15 Atribuiile posturilor de conducere difer fa de cele ale
posturilor de execuie?
Da
16 Exist asigurat continuitatea activitilor n cadrul
compartimentului?
Da
17 Exist o diagram funcional la nivelul compartimentului? Nu
18 Nivelul de conducere are putere decizional? Doar n ce privete
asigurarea funcionrii
echipamentelor, aplicaiilor
sau programelor
19 Exist un circuit al documentelor n cadrul departamentului? Nu
20 Toate documentele elaborate la nivelul departamentului sunt
cuprinse n circuitul documentelor?
Da
21 Sarcinile sunt comunicate zilnic salariailor?
Da
22 Urmrirea realizrii sarcinilor de ctre salariai este realizat
Da

15
zilnic?
23 Structura organizatoric rspunde necesitilor activitilor
derulate?
Toi salariai sunt implicai
n realizarea tuturor
activitilor. Este necesar o
compartimentare a
activitilor i o specializare
pe acestea a salariailor
24 tatul de funcii corespunde posturilor existente? Da
25 Exist un sistem de promovare al salariailor? Promovare se face n
condiiile stabilite de lege
26 Posturile de lucru asigur flexibilitate n realizarea
activitilor alocate?
Da
27 Exist o situaie a raportrilor de efectuat? Da
28 Pentru fiecare raportare exist o metodologie de colectare,
prelucrare i transmitere a datelor?
Datele sunt preluate din
registrele de eviden i
dosarele de instan
29 Structura organizatoric corespunde scopurilor i
obiectivelor generale ale organizaiei?
Da
30
Nivelurile de conducere sunt reduse?
Exist dou nivele de
conducere
31 Funciile compartimentelor sunt definite clar i concis n
comparaie cu atribuiile alocate departamentului?
Da
32 Funciile managementului se regsesc n atribuiile
personalului de conducere?
Nu n totalitate
33 Atribuiile stabilite departamentului IT asigur realizarea
atribuiilor generale ale organizaiei?
Da
34 Activitile sunt identificate n totalitate la nivelul
departamentului?
Da
35 Realizarea activitilor are la baz un set de indicatori
stabilii?
Nu
36 Activitile asigur conformitatea cu reglementrile i
metodologiilor?
Da
37 Activitile asigur conformitatea cu procedurile elaborate? Da
38 Este respectat principiul echilibrului dintre sarcini i
competene?
Da
39 Concordana cerinelor postului cu caracteristicile titularului
asigur corespondena dintre volumul, natura i
complexitatea sarcinilor, competenelor i responsabilitilor
postului cu aptitudinile, deprinderile i experiena acestuia?
Da
40 Elaborarea rapoartelor de activitate respect coninutul
tematic?
Da
41 Lucrrile de sintez i raportare sunt aprobate de conducerea
entitii?
Da
C Cunoaterea funcionrii departamentului IT
1 Fisa postului definete clar cerinele postului? Da
2 Nivelul de cunotine al salariatului asigur realizarea
sarcinilor postului pe care l ocup?
Da
3 n cadrul departamentului sunt elaborate procedurile de
lucru?
Da
4 Procedurile de lucru acoper toate activitile? Da
5 Procedurile de lucru descriu corect activitile ce trebuie
desfurate?
Da
6 Procedurile de lucru definesc corect responsabilitile? Da
7 Procedurile de lucru sunt cunoscute i aplicate de salariai? Da
8 Procedurile de lucru asigur separarea sarcinilor? Da
9 Exist regulament de organizare i funcionare? Da
10 Regulamentul de organizare i funcionare definete corect Da

16
atribuiile compartimentului?
11 Exist registru de coresponden la nivelul departamentului? Da
12 Care sunt problemele la nivelul departamentului? Lipsa de personal.
Insuficiena bugetului
pentru achiziionarea
echipamentelor i integrarea
datelor
Tehnica nvechit, ceea ce
creeaz a serie de probleme
n exploatarea aplicaiilor
Instruirea insuficient a
utilizatorilor
13 Care sunt reformele la nivelul departamentului? Nu exist elaborat nici o
reform.
14 Exist a procedur de lucru prin care sunt stabilite sau
reglementate raporturile de lucru ntre compartimentele din
cadrul organizaiei?
Nu
15 Exist realizat n cadrul departamentului IT o analiz a
posturilor?
Nu
16 Exist un program de pregtire a personalului? Da
17
Programul de pregtire are la baz necesitile rezultate din
evaluarea performanelor individuale i nevoile individuale?
Programul este realizat pe
baza solicitrilor formulate
de salariai
18 Documentele primite la nivelul departamentului se
nregistreaz i repartizeaz pentru soluionare?
Da

Auditori interni,
Popescu Sorin
Radu George

17
Procedura PO5 : Analiza riscului

Entitatea Public

LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE


Nr.
crt.
Domeniul Activiti/obiective Obiecte auditabile Observaii
1.1.1. Strategia IT definete necesitile i prioritile
1.1.2. Strategia IT face trimitere la nevoile viitoare ale organizaiei
1.1. Strategia IT este
concordant cu scopurile
organizaiei 1.1.3. Strategia definete direciile i obiectivele de dezvoltare a IT
1.2.1. Strategia IT este transpus n planuri IT
1.2.2. Planurile IT ajut la ndeplinirea misiunii organizaiei
1.2. Planurile IT se adreseaz
ntregii organizaii
1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n
concordan cu necesitile

1.3.1. Strategia IT este concordant cu scopurile organizaiei
1.3.2. Planurile IT se adreseaz ntregii organizaii
1.3. Obiectivele IT ndeplinesc
obiectivele organizaiei
1.3.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1.4.1. Strategia IT este stabilit de un comitet IT
1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu
1.4. Comitetul IT determin
strategia IT
1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i
activitile realizate

1.5.1. Organizarea adecvat a funciei IT
1.5.2. Personalul IT are calificarea i competenele adecvate
1.5. Organizarea IT
corespunde necesitilor
organizaiei 1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente
1.6.1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT
1. Strategia i
planificarea
sistemelor
informatice
1.6. Elaborarea strategiei IT
corespunde strategiei entitii 1.6.2. Realizarea strategiei IT pe baza evalurii sistemelor existente
2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT 2. Organizarea i
funcionarea
departamentului IT
2.1. Definirea atribuiilor i
activitilor 2.1.2. Atribuiile specifice departamentului sunt stabilite n cadrul atribuiilor generale
ale entitii

18
Nr.
crt.
2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii
obiectivelor

2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului
2.1.6. Definirea activitilor n cadrul structurii organizatorice
2.2.1. Organizarea funcional a departamentului IT
2.2.2. Definirea relaiilor organizatorice ntre compartimente
2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul
departamentului IT

2.2. Stabilirea structurii
organizatorice
2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt
identificate i evaluate ct mai corect i complet

2.3.1. Definirea limitelor de competen
2.3.2. Definirea responsabilitilor n realizarea activitilor
2.3. Stabilirea
responsabilitilor
2.3.3. Definirea sarcinilor prin fia postului
3.1.1. Existena listei operaiunilor zilnice de realizat
3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este
monitorizat de administratori

3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine
administratorilor

3.1 Managementul
operaiunilor
3.1.4. Elaborarea Planului anual de activitate
3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau
prevenite n termen

3.2.2. Programele antivirus asigur protecia aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere
3.2.4. Implementarea subsistemelor IT
3.2. Managementul
problemelor
3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de
utilizare

3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a
departamentului

3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT
3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de
calitate

3.3.4. Evidena datelor aflate pe mediile de stocare
3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare
3. Operaii ale
sistemului
informatic

3.3. Funcionalitatea
activitilor n cadrul
departamentului IT
3.3.6. Asigurarea caracterului secret al datelor
19
Nr.
crt.
3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea,
planificarea, execuia, monitorizarea i analiza, ncheierea

3.4.1. Obinerea de rapoarte de activitate utile
3.4.2. ntreinerea calculatorului i a echipamentelor
3.4.3. Instalarea i configurarea calculatorului
3.4. Mentenana
echipamentelor
3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile
organizaiei

3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT
3.5.2. Identificarea i raportarea pericolelor
3.5.3. Administrarea eficient a aplicaiilor i programelor
3.5.4. Evaluarea problemelor i soluionarea acestora
3.5.5. Programele corespund cerinelor stabilite
3.5. Utilizarea echipamentelor
3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare
4.1.1. Crearea politicii de securitate a informaiei
4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei
4.1.3. Stabilirea responsabilitilor privind securitatea informaiei
4.1.4. Elaborarea politicii privind securitatea informaiei
4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate
4.1.6. Securitatea informaiilor asigur integritatea acestora
4.1. Organizarea securitii
informaiilor
4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori
autorizai

4.2.1. Protejarea mpotriva atacurilor informatice
4.2.2. Protejarea datelor mpotriva viruilor
4.2.3. Asigurarea continuitii activitilor
4.2.4. Recuperarea datelor n caz de dezastru
4.2. Disponibilitatea datelor
4.2.5. Protejarea mpotriva asumrii unei identitii false
4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare
4.3.2. Existena licenelor pentru programele utilizate
4.3.3. Prelucrarea datelor
4.3. Asigurarea funcionrii
programelor i aplicaiilor
4.3.4. Asigurarea securitii datelor i informaiilor
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
4. Securitatea
informaiilor
4.4. Implementarea
instrumentelor de control
4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz
accesul la aplicaii

20
Nr.
crt.
4.4.3. Introducerea instrumentelor de control fizic
4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie
4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea
informaiilor n cadrul reelei
4.5. Securitatea reelei
4.5.2. Monitorizarea securitii reelelor
4.6.1. Utilizatorii au parole de acces individuale
4.6.2. Schimbarea periodic a parolelor
4.6.3. Conturile i parolele generice sunt folosite pentru accesul la sisteme i aplicaii
4.6.4. Protejarea parolelor
4.6. Gestionarea parolelor
4.6.5. Persoanele autorizate au acces la sistemul de operare
4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor
4.7.2.Protejarea sistemelor informatice mpotriva factorilor de mediu !!
4.7. Securitatea logic
4.7.3. Protejarea informaiei din reea
5.1.1. Proiectarea programului informatic
5.1.2. Elaborarea programului informatic
5.1.3. Proiectarea unui program sau aplicaie tine cont de necesitile organizaiei
5.1.4. Proiectarea unui program sau aplicaie pe baza existenei resurselor financiare
5.1. Proiectarea i elaborarea
5.1.5. Respectarea cerinelor n achiziia unei aplicaii
5.2.1. Utilizarea de date ipotetice n testarea unui program
5.2.2. Testarea programului i aplicaiei
5.2.3. Asigurarea corectitudinii rezultatelor
5 Proiectarea i
testarea
programelor i
aplicaiilor
5.2. Testarea i implementarea
5.2.4. Implementarea unui program dup realizarea testrii acestuia
6.1.1. Metodologia pentru dezvoltarea i achiziia aplicaiei 6. Elaborarea i
implementarea
proiectelor IT
6.1. Dezvoltarea proiectelor IT
(programe i aplicaii)
6.1.2. Iniierea i elaborarea proiectelor IT
21
Nr.
crt.
6.1.3. Monitorizarea performanelor soluiilor IT implementate
6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii
6.2.2. Implementarea adecvat a aplicaiilor
6.2. Implementarea i
funcionarea programelor i
aplicaiilor
6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea
reelei de calculatoare

7.1.2. Monitorizarea performanelor reelelor
7.1.3. Administrarea serverelor
7.1. Proiectarea, instalarea i
administrarea reelei de
calculatoare
7.1.4. Reeaua de calculatoare corespunde cerinelor funcionale
7.2.1. Interconectarea reelelor
7.2.2. Proiectarea i asigurarea securitii reelei
7. Proiectarea i
meninerea n
funciune a unei
reele
7.2. Interconectarea i
securitatea reelei
7.2.3. Urmrirea adecvrii performanelor unei reele

Auditori,
Popescu Sorin
Radu George

22

23
Procedura PO5 : ANALIZA RISCULUI
Entitatea Public

IDENTIFICAREA RISCURILOR

ntocmit: Popescu Sorin/ Radu George Data: 04.09.2009

Nr.
crt.
Domeniul
Activiti/
obiective
Obiecte auditabile Riscuri semnificative Obs.
1.1.1. Strategia IT definete necesitile i prioritile Achiziia i implementarea programelor i aplicaiilor nu
este corelat cu obiectivele propuse;

1.1.2. Strategia IT face trimitere la nevoile viitoare
ale organizaiei
Sistemele nu sunt dezvoltate ntr-o manier planificat i
controlat

1.1. Strategia
IT este concordant
cu scopurile
organizaiei
1.1.3. Strategia definete direciile i obiectivele de
dezvoltare a IT
Strategia IT nu are o viziune orientat spre viitor, fiind o
extrapolare a tendinelor trecute

1.2.1. Strategia IT este transpus n planuri IT Dezvoltarea IT nu acoper toate procesele;
1.2.2. Planurile IT ajut la ndeplinirea misiunii
organizaiei
Planurile IT nu contribuie la realizarea scopului entitii
n domeniul IT;

1.2. Planurile IT se
adreseaz ntregii
organizaii
1.2.3. Planurile IT ofer asigurare cu privire la faptul
c resursele IT sunt alocate n concordan cu
necesitile
Resursele IT nu sunt identificate pentru fiecare element
al planului;

1.3.1. Strategia IT este concordant cu scopurile
organizaiei
Utilizatorii i IT nu au aceleai opinii cu privire la
responsabilitile i autoritatea lor

1.3.2. Planurile IT se adreseaz ntregii organizaii Planul IT nu acoper cerinele pe termen mediu;
1.3. Obiectivele IT
ndeplinesc
obiectivele
organizaiei 1.3.3. Obiectivele IT ndeplinesc obiectivele
organizaiei
Obiectivele n domeniul IT nu deriv i nu contribuie la
realizarea obiectivelor entitii;

1.4.1. Strategia IT este stabilit de un comitet IT Strategia IT este definit de departamentul IT;
1.4.2. Comitetul IT transpune strategia n planuri pe
termen scurt i pe termen mediu
Comitetul IT nu contribuie la dezvoltarea i
implementarea strategiei n domeniu;

1.4. Comitetul IT
determin strategia
IT
1.4.3. Comitetul IT stabilete prioritile proiectelor
ntre dezvoltarea sistemelor i operaiile realizate
Stabilirea dezvoltrii IT de ctre departamentul IT;
1. Strategia i
planificarea
sistemelor
informatice
1.5. Organizarea IT
corespunde
1.5.1. Organizarea adecvat a funciei IT Responsabilitile nu sunt definite clar n cadrul
compartimentelor i posturilor;

24
Nr.
crt.
Domeniul
Activiti/
obiective
1.5.2. Personalul IT are calificarea i competenele
adecvate
Lipsa calificrilor necesare; necesitilor
organizaiei
1.5.3. Adecvarea practicilor i procedurilor IT la
procesele existente
Programele i aplicaiile nu sunt integrate i nu rspund
cerinelor activitilor;

1.6.1. Dotarea actual cu tehnic de calcul a stat la
baza elaborrii strategiei IT
Infrastructura IT existent nu asigur implementarea
strategiei IT;
1.6. Elaborarea
strategiei IT
corespunde strategiei
entitii
1.6.2. Realizarea strategiei IT pe baza evalurii
sistemelor existente
Elaborarea strategiei nu are la baz i o evaluare i
identificare a posibilitilor financiare;

2.1.1. Definirea atribuiilor i responsabilitilor n
cadrul departamentului IT
Lipsa ariei de competen pentru realizarea activitilor
stabilite structurii funcionale

2.1.2. Atribuiile specifice departamentului sunt
stabilite n cadrul atribuiilor generale ale entitii
Definirea de atribuii care nu se regsesc in ROF
2.1.3. Atribuiile stabilite asigur realizarea
activitilor necesare implementrii obiectivelor
Definirea atribuiilor sub form de sarcini
2.1.4. Identificarea tuturor activitilor care concur la
realizarea obiectivelor
Activiti stabilite incorect pentru realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i
competenele ocupantului postului
Stabilirea de sarcini diferite pentru aceleai funcii sau
aceleai sarcini pentru funcii diferite

2.1. Definirea
atribuiilor i
activitilor
2.1.6. Definirea activitilor n cadrul structurii
organizatorice
Activitile realizate la nivelul structurii funcionale nu
se regsesc n totalitate n cadrul sarcinilor stabilite
posturilor

2.2.1. Organizarea funcional a departamentului IT Structura funcional nu este adaptat complexitii
activitilor derulate

2.2.2. Definirea relaiilor organizatorice ntre
compartimente
Repartizarea activitilor i relaiilor organizatorice fr
a se ine cont de natur organizrii compartimentului

2.2.3. Examinarea sistemului de gestionare a
riscurilor generale la nivelul departamentului IT
Riscurile nu sunt identificate i gestionate la nivelul
structurii funcionale

2.2. Stabilirea
structurii
organizatorice
2.2.4. Riscurile legate de securitatea datelor,
programelor i echipamentelor sunt identificate i
evaluate ct mai corect i complet
Gestionarea slab a riscurilor privind securitatea
informaiilor

2.3.1. Definirea limitelor de competen Autoritatea formal n realizarea activitilor este
insuficient stabilit postului

2.3.2. Definirea responsabilitilor n realizarea
activitilor
Definirea doar a atribuiilor, nu i a limitei pn unde
rspunde ocupantul postului n realizarea activitilor

2 Organizarea i
funcionarea
departamentului
IT
2.3. Stabilirea
responsabilitilor
2.3.3. Definirea sarcinilor prin fia postului Sarcinile stabilite postului potrivit fiei postului nu
corespund cu aciunile efectiv realizate de ocupantul
postului

Operaii ale 3.1 Managementul 3.1.1. Existena listei operaiunilor zilnice de realizat Activitile se realizeaz fr o prioritizare a operaiilor

25
Nr.
crt.
Domeniul
Activiti/
obiective
3.1.2. Performana, capacitatea i disponibilitatea
sistemelor informatice este monitorizat de
administratori
Lipsa analizelor privind scopul i cerinele de realizare a
activitilor i calitatea aplicaiilor sau programelor
utilizate

3.1.3. Responsabilitatea pentru supravegherea
sarcinilor pe seturi de programe revine
administratorilor
Responsabilitile operatorilor nu sunt delimitate i
stabilite n funcie de specializarea fiecruia i tipurile de
aplicaii i programe utilizate

operaiunilor
3.1.4. Elaborarea Planului anual de activitate Activitile sunt derulate n cadrul departamentului fr a
exista o planificare anual sau periodic

3.2.1. Incidentele privind funcionarea normal a
serviciilor IT sunt rezolvate sau prevenite n termen
Soluionarea cu ntrziere a problemelor aprute n
utilizarea aplicaiilor i programelor

3.2.2. Programele antivirus asigur protecia
aplicaiilor
Utilizarea neadecvat a programelor antivirus
3.2.3. Problemele aprute sunt prioritizate i luate n
calcul pentru remediere
Soluionarea problemelor aprute nu este realizat
potrivit gravitii i asigurnd eficiena realizrii
activitilor entitii

3.2.4. Implementarea subsistemelor IT Programele i aplicaiile derulate la nivelul organizaiei
nu sunt actualizate potrivit noilor necesiti ca urmare a
modificrii aciunilor de realizare a activitilor

3.2. Managementul
problemelor
3.2.5. Activitile operaionale sunt conforme cu
instruciunile din manualele de utilizare
Neconcordane ntre utilizarea unei aplicaii sau program
i precizrile din caietul tehnic, privind execuia acelei
operaii

3.3.1. Activitile sunt bine organizate pentru
asigurarea bunei funcionrii a departamentului
Lipsa revizuirii i urmrii contractelor la nivel de service
i a celor la nivel operativ

3.3.2. Organizarea funcional a activitilor n cadrul
departamentului IT
Activitile i aciunile necesare realizrii acestora nu
sunt repartizate eficient i omogen pe compartimente n

3.3.3. Activitile n cadrul departamentului sunt
definite respectnd criteriile de calitate
Activiti i aciuni neresponsabilizate
3.3.4. Evidena datelor aflate pe mediile de stocare Acces nerestricionat la date i informaii
3.3.5. Distribuirea cu precizie a informaiei ctre
utilizatori i mediile de stocare
Dependena de tere pri n centralizarea informaiei i
oferirea rapoartelor

3.3.6. Asigurarea caracterului secret al datelor Accesul la datele i informaiile organizaiei nu este
limitat doar pentru persoanele ndreptite

departamentului IT
3.3.7. Soluionarea problemelor presupune
parcurgerea etapelor: iniierea, planificarea, execuia,
monitorizarea i analiza, ncheierea
Soluionarea unei probleme prin luarea n calcul doar a
execuiei acesteia

3. sistemului
informatic

3.4. Mentenana
echipamentelor
3.4.1. Obinerea de rapoarte de activitate utile Rapoartele obinute nu ofer informaii suficiente pentru
luarea deciziilor

26
Nr.
crt.
Domeniul
Activiti/
obiective
3.4.2. ntreinerea calculatorului i a echipamentelor Disfunciile identificate nu sunt analizate i nlturate n
conformitate cu instruciunile i manualele de ntreinere

3.4.3. Instalarea i configurarea calculatorului Echipamentele periferice nu sunt instalate i conectate
conform documentaiei

3.1.1. Sistemul este ntreinut pentru a se asigura c
este conform cu nevoile organizaiei
ntreinerea sistemului doar la solicitrile utilizatorilor;
3.5.1. Realizarea eficient a operaiilor n cadrul
departamentului IT
Suportul tehnic cu privire la utilizarea programelor nu
este furnizat n mod corespunztor utilizatorilor;

3.5.2. Identificarea i raportarea pericolelor Costuri ridicate cu remedierea defeciunilor, frecven
mare a acestora, timpi mari pn la reluarea lucrului;

3.5.3. Administrarea eficient a aplicaiilor i
programelor
Controlul intern asupra datelor de intrare nu este asigurat
corespunztor;

3.5.4. Evaluarea problemelor i soluionarea acestora Lipsa revizuirii i urmrii msurilor privind corectarea
erorilor conduce la persistena unora dintre acestea;

3.5.5. Programele corespund cerinelor stabilite Neadaptarea la schimbrile rapide ale tehnologiei
informaiei;

3.5. Utilizarea
echipamentelor
3.5.6. Echipamentele sunt utilizate adecvat asigurnd
un confort n exploatare
Lipsa cunotinelor privind exploatarea echipamentelor
la potenialul maxim;

4.1.1. Crearea politicii de securitate a informaiei Organizarea i responsabilitile privind securitatea
informaiilor nu constituie o prioritate a politicii de
securitate

4.1.2. Crearea standardelor i practicilor pentru
securitatea informaiei
Standardele privind securitatea informaiei nu sunt
definite formal

4.1.3. Stabilirea responsabilitilor privind securitatea
informaiei
Responsabilitile nu sunt separate clar ntre cele ale
administratorilor i cele ale operatorilor;

4.1.4. Elaborarea politicii privind securitatea
informaiei
Datele i informaiile prelucrate i stocate nu sunt
asigurate n condiii de confidenialitate, integritate i
disponibilitate

4.1.5. Stabilirea responsabilitilor n cadrul politicii
de securitate
Politica de securitate nu definete responsabilitile cu
privire la securitatea datelor i informaiilor

4.1.6. Securitatea informaiilor asigur integritatea
acestora
Datele i informaiile nu sunt stocate n condiii de
securitate;

4.1. Organizarea
securitii
informaiilor
4.1.7. Securitatea datelor asigur disponibilitatea
acestora doar pentru utilizatori autorizai
Accesul la informaii i pentru persoanele neautorizate;
4.2.1. Protejarea mpotriva atacurilor informatice Lipsa programelor de protecie adecvate pentru aplicaii
i programe;

4.2.2. Protejarea datelor mpotriva viruilor Vulnerabilitate sporit n faa viruilor;
4. Securitatea
informaiilor
4.2. Disponibilitatea
datelor
4.2.3. Asigurarea continuitii activitilor Planurile privind continuitatea activitilor nu stabilesc
msuri concrete pentru reluarea activitii;

27
Nr.
crt.
Domeniul
Activiti/
obiective
4.2.4. Recuperarea datelor n caz de dezastru Lipsa planurilor de recuperare a datelor i informaiilor
4.2.5. Protejarea mpotriva asumrii unei identitii
false
Sustragerea informaiilor sau echipamentelor, fr
autorizare;

4.3.1. Asigurarea introducerii corecte a datelor i
informaiilor pentru prelucrare
Aplicaiile informatice nu sunt utilizate n conformitate
cu instruciunile de exploatare

4.3.2. Existena licenelor pentru programele utilizate Plata unor despgubiri urmare implementrii unor
programe fr licen

4.3.3. Prelucrarea datelor Introducerea incorect a datelor i informaiilor n cadrul

4.3. Asigurarea
funcionrii
programelor i
aplicaiilor
4.3.4. Asigurarea securitii datelor i informaiilor Accesul la datele i informaiile stocate nu este
restricionat i autorizat pe niveluri ierarhice

4.4.1. Accesul la aplicaie este oferit pe baza
necesitilor utilizatorului
Accesul la program, aplicaie este oferit pentru ntregul
personal ce posed o parol

4.4.2. Mecanismele de securitate configurate i
implementate verific i limiteaz accesul la aplicaii
Pentru vulnerabilitile sistemelor nu sunt stabilite i
implementate instrumente de control;

asupra echipamentelor IT
Accesul fizic la echipamente i aplicaii este restricionat
4.4. Implementarea
instrumentelor de
control
4.4.4. Stabilirea de chei de control pentru fiecare
program sau aplicaie
Posibilitatea de a obine i utiliza rezultate nesigure,
neverificate;

implementate asigur securitatea informaiilor n
cadrul reelei
Metodele de criptare nu asigur protecia integritii i
confidenialitii datelor sensibile
4.5. Securitatea
reelei
4.5.2. Monitorizarea securitii reelelor Comunicarea n reea nu este monitorizat;
4.6.1. Utilizatorii au parole de acces individuale Accesul la aplicaii se realizeaz direct, fr a fi permis
doar pentru personalul ndreptit;

4.6.2. Schimbarea periodic a parolelor Risc crescut de spargere a parolei;
4.6.3. Conturile i parolele generice sunt folosite
pentru accesul la sisteme i aplicaii
Conturile i parolele generice iniiale nu sunt
personalizate, dup nceperea prelucrrilor de ctre
utilizatori;

4.6.4. Protejarea parolelor Descrcarea ilegal a unor informaii;
4.6. Gestionarea
parolelor
4.6.5. Persoanele autorizate au acces la sistemul de
operare
Accesul la servere este permis ntregului personal,
nefiind nregistrat i monitorizat;

4.7.1. Asigurarea securitii funcionrii programelor
i aplicaiilor
Lipsa controalelor sau controale slabe de acces 4.7. Securitatea
logic
4.7.2.Protejarea sistemelor informatice mpotriva
factorilor de mediu
Lipsa controalelor de mediu, respectiv detectoare de foc,
incendiu etc.

28
Nr.
crt.
Domeniul
Activiti/
obiective
4.7.3. Protejarea informaiei din reea Funcii de siguran sau control nu sunt prevzute n
cadrul sistemelor de aplicaii

5.1.1. Proiectarea programului informatic n proiectarea programului/aplicaiei, fluxul de date nu
este stabilit adecvat rezultatelor ateptate

5.1.2. Elaborarea programului informatic Graficul de realizare a programului i bugetul aprobat nu
sunt respectate

5.1.3. Proiectarea unui program sau aplicaie tine cont
de necesitile organizaiei
Elaborarea de programe i aplicaii fr o analiz
strategic la nivelul utilizatorilor

5.1.4. Proiectarea unui program sau aplicaie pe baza
existenei resurselor financiare
Lipsa resurselor financiare n elaborarea i
implementarea unui program sau aplicaie

5.1. Proiectarea i
elaborarea
programelor i
aplicaiilor
5.1.5. Respectarea cerinelor n achiziia unei aplicaii Costuri suplimentare n achiziia unui program sau
aplicaie

5.2.1. Utilizarea de date ipotetice n testarea unui
program
Efectuarea de prelucrri asupra datelor reale, n cadrul
testrii programelor;

5.2.2. Testarea programului i aplicaiei Neconformitile i erorile constatate n cursul testrii
unui program nu sunt analizate cu atenie

5.2.3. Asigurarea corectitudinii rezultatelor Opiunile i parametrii de lucru ai programului/aplicaiei
nu sunt stabilii conform specificaiilor din
documentaiile tehnice

5 Proiectarea i
testarea
programelor i
aplicaiilor
5.2. Testarea i
implementarea
programelor i
aplicaiilor
5.2.4. Implementarea unui program dup realizarea
testrii acestuia
Programele sau aplicaiile achiziionate sunt
implementate fr a fi testate

6.1.1. Metodologia pentru dezvoltarea i achiziia
aplicaiei
Lipsa proiectelor de dezvoltare a achiziiilor
6.1.2. Iniierea i elaborarea proiectelor IT Obiectivele generale ale proiectului nu sunt stabilite cu
respectarea strategiei generale a organizaiei

6.1. Dezvoltarea
proiectelor IT
(programe i
aplicaii)
6.1.3. Monitorizarea performanelor soluiilor IT
implementate
Parametri de referin i valorile etalon ale programelor
elaborate nu respect specificaiile i nu se ncadreaz n
standarde

6.2.1. Reproiectarea soluiilor IT pentru programe i
aplicaii
Soluiile privind mbuntirea programelor i
aplicaiilor nu in cont de punctele slabe i critice,
precum i evoluiile tehnologice

6.2.2. Implementarea adecvat a aplicaiilor Rapoartele nu corespund cerinelor;
6. Elaborarea i
implementarea
proiectelor IT
funcionarea
programelor i
aplicaiilor
6.2.3. ntreinerea aplicaiilor garanteaz funcionarea
proceselor la parametrii optimi
Supravegherea proceselor aflate n execuie i a
performanelor aplicaiilor, sistemelor sau programelor
nu respect procedurile i instruciunile

7. Proiectarea i
meninerea n
funciune a unei
7.1. Proiectarea,
instalarea i
administrarea reelei
7.1.1. Asigurarea bunei funcionri a sistemelor
bazate pe existena i funcionarea reelei de
calculatoare
Subsistemele existente nu sunt configurate i
supravegheate individual

29
Nr.
crt.
Domeniul
Activiti/
obiective
7.1.2. Monitorizarea performanelor reelelor. Scderea performanelor reelelor;
7.1.3. Administrarea serverelor Accesul i utilizarea datelor i informaiilor stocate pe
server nu respect strategia de securitate a reelei

de calculatoare
7.1.4. Reeaua de calculatoare corespunde cerinelor
funcionale
Reeaua de calculatoare nu asigur integrarea
informaiilor i elaborarea rapoartelor

7.2.1. Interconectarea reelelor Conexiunile dintre reele nu sunt conforme cu arhitectura
prevzut de instruciuni i nu respect standardele

7.2.2. Proiectarea i asigurarea securitii reelei Vulnerabilitile i ameninrile nu sunt identificate i
prioritizate

reele
7.2. Interconectarea
i securitatea reelei
7.2.3. Urmrirea adecvrii performanelor unei reele
de calculatoare
Proiectarea reelei de calculatoare nu asigur integrarea
programelor.

Auditori,
Popescu Sorin
Radu George

Not:
Identificarea riscurilor asociate obiectelor auditabile presupune ataarea riscurilor semnificative la operaiile stabilite n Lista centralizatoare a obiectelor
auditabile, n prima faz a procedurii Analiza riscurilor.
Lista privind identificarea riscurilor reprezint documentul prin care pe baza obiectelor audiabile identificate, a funcionalitii controalelor interne stabilite
i implementate de entitate sunt identificate i stabilite riscurile aferente pentru fiecare obiect audiabil.
La un obiect auditabil se pot asocia unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate, dar si din propria
experien. n situaia n care la operaiile audiabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte, pe grupe de riscuri sau
pe total operaie/obiect audiabil.

30

31


Entitatea Public

CHESTIONAR DE CONTROL INTERN


A. INTREBRI ADRESATE MANAGEMENTULUI
GENERAL
DA NU OBSERVAII
Exist un sistem de proceduri care sa reglementeze activitatea departamentului IT? X
Procedurile de lucru sunt scrise si formalizate? X
Exist proceduri scrise privind achiziionarea programelor i aplicaiilor
informatice?
X

Exist proceduri scrise privind ntreinerea aplicaiilor informatice?
X
Sunt realizate pe baz de
contracte de prestri de
servicii
Exist o strategie clar i obiective stabilite pentru IT? X
Strategia IT are viziunea orientat spre viitor? X
Managementul este mulumit cu rolul sau valoarea IT n cadrul organizaiei? X
Sistemul IT este dezvoltat ntr-o manier planificat i controlat?
X
Anual se realizeaz o
evaluare a indicatorilor
Este supravegheat respectarea strategiei? X
Utilizatorii contribuie la prioritile i la dezvoltarea n domeniul IT?
X
Exist un sistem prin care
utilizatorii pot formula
propuneri si soluii, care
apoi sunt analizate
Planurile IT sunt aplicate n practic?
X
Numai n caz de
necesitate
Rspunderea i responsabilitatea pentru sistemele de informaii aparine
personalului de conducere?
X

Utilizatorii au o bun percepie asupra capacitilor sau performanei
departamentului IT?
X

Rotaie personalului este redus n cadrul departamentului IT? X
Ocuparea posturilor este adecvat n cadrul departamentului? Grad de ocupare 95%
Managementul are cunotin asupra tehnologiilor prezente i viitoare necesare
entitii pentru asigurarea realizrii activitilor i mandatului?
X

Exist capacitate adecvat de a planifica i implementa resursele IT? X
Exist capacitate de a monitoriza performana IT? X
Exist o strategie adecvat de achiziii IT? X
Exist concordan ntre obiective i strategii de achiziii IT? X
Riscurile legate de achiziii IT sunt administrate att de entitate, ct i de furnizori?
X
Nu exist un proces de
identificare i gestionare a
riscurilor la nivelul
entitii
B. INTREBARI ADRESATE MANAGEMENTULUI DE LINIE DA NU Auditorii
Strategia i planificarea sistemelor informatice
Strategia definete principalele direcii n IT? X
Strategia definete principalele obiective ale entitii?
X
Definete obiectivele
strategice
Strategia IT este concordant cu strategia entitii? X
Exist planuri de dezvoltare IT?
X
Planuri de continuitate a
activitii i planuri de
recuperare a datelor
32

Planurile IT pe termen scurt sau mediu asigur dezvoltarea informaional la
nivelul entitii?
X
Obiectivele IT ndeplinesc planurile entitii? X
Competenele i funcionarea comitetului IT sunt definite clar?
X
nu exist un regulament
de organizare i
funcionare al acestui
comitat
Comitetul IT determin strategia IT?
X
Realizeaz doar o
evaluare a necesitilor de
achiziii IT
Comitetul IT transpune strategia IT n planuri IT?
X
Realizeaz doar o
achiziii IT
Comitetul IT stabilete prioritile proiectelor de dezvoltare?
X
Realizeaz doar o
achiziii IT
Funcia IT este organizat adecvat n concordan cu strategia IT? X
Personalul IT asigur calitatea serviciilor IT? X
Personalul IT asigur competena necesar continuitii activitilor? X
Separarea sarcinilor exist ntre dezvoltarea sistemelor i deservirea acestora? X
Separarea sarcinilor exist ntre dezvoltarea sistemelor i operaii? X
Separarea sarcinilor exist ntre deservirea sistemelor i securitatea informaiei? X
Separarea sarcinilor exist ntre operaii i utilizatori? X
Personalul a luat la cunotin de sarcinile posturilor? X
Exist cooperare interdepartamental pentru dezvoltarea sistemelor integrate? X
Achiziiile electronice sunt legate cu profilurile performanei ateptate?
X
Sunt legate doar de
necesitile de
mbuntire a activitilor
Sistemele informatice achiziionate asigur calitatea informaiilor potrivit nevoilor? X
Planificarea continuitii activitilor
Scopul planului de continuitate a activitii este de a limita pierderile? X
Toate activitile critice i resursele sunt incluse n planul de continuitate a
activitilor?
X
n cadrul planului de continuitate a activitilor sunt stabilite responsabiliti clare? X
Planurile de continuitate a activitilor sunt comunicate ?
X
Sunt cunoscute doar de
departamentul IT
Eficiena planurilor de continuitate a activitilor a fost testat? X
Planul de continuitate a activitilor este testat regulat? X
Planul de continuitate a activitilor este aprobat de conducere? X
Planul de continuitate a activitilor a fost realizat urmare unei analize a riscurilor? X
Planul de continuitate a activitilor are la baz i o evaluare a impactului? X
Prioritile sunt stabilite corect n cadrul planului de continuitate a activitilor? X
Locaia de recuperare este disponibil? X
Infrastructura locaiei de recuperare permite recuperarea la timp a activitilor? X
Echipamentul necesar este instalat n cadrul locaiei de recuperare? X
Exist o bun relaie ntre utilizatori i personalul IT? X
Exist prghii de siguran sau control prevzute n funcionarea sistemelor? X
Cerinele de recuperare ale activitilor sunt revizuite periodic? X
Planul de continuitate cuprinde ntregul sistem informatic din entitate? X
Sunt realizate informrii periodice ale coninutului planului de continuitate? X
Exist o gestiune adecvat a riscurilor legate de departamentul IT?
X
nu exist o gestionare a
riscurilor legate de IT
Impactul materializrii riscurilor legate de IT este cunoscut i evaluat?
X
nu sunt cunoscute
consecinele materializrii
riscurilor
Personalul entitii este pregtit i capabil s rspund Planurilor de continuitate? X nu cunoate aceste planuri
Implementarea software i hardware este conceput i realizat conform
programelor?
X
Implementarea software i hardware este realizat dup testarea corespunztoare? X
IT asigur continuitatea i eficiena operaiilor n derularea activitilor entitii? X
Planurile de rezerv sunt actuale, comprehensive i complet testate? X
Securitatea informaiilor
33

Exist o politic de securitatea informaiei? X
Exist o practic privind securitatea informaiei? X
Exist proceduri privind securitatea informaiei? X
Politica de securitate este definit i aprobat de conducere? X
Securitatea informaiei este cunoscut i nsuit de conducere? X
Politica de securitate a informaiei este cunoscut de utilizatori? X
Doar n legtur cu
obligaiile cei revin
postului respectiv
Descrierile i responsabilitile posturilor n raport cu securitatea informaiilor este
clar definit i cunoscut?
X
Exist disponibile descrieri clare ale sarcinilor? X
Responsabilitile sunt clar definite privind securitatea informaiei? X
Responsabilitile i sarcinile sunt comunicate corespunztor? X
Administrarea utilizatorilor este adecvat? X
Drepturile de acces sunt alocate corect? X
Drepturile de acces sunt alocate pe baza nevoii utilizatorului de a executa sarcinile
atribuite?
X
Drepturile de acces sunt alocate/schimbate corect i la timp? X
Exist cazuri n care
dreptul de acces este lsat
i dup eliberarea postului
Drepturile de acces sunt verificate regulat? X Numai la solicitri
Utilizatorii au parole de autorizare individuale? X
Parolele au lungimea adecvat i sunt greu de aflat? X
Parolele sunt regulat schimbate? X
Exist cazuri n care
aceeai parol este
meninut i chiar un an
de zile
Parolele i profilurile utilizatorilor privilegiai sunt folosite la accesul la sisteme i
aplicaii cu un grad nalt de securitate?
X

Utilizarea parolelor i profilurilor utilizatorilor privilegiai este urmrita cu
strictee?
X

Mecanismele de securitate logic au fost implementate i configurate pentru a
verifica i limita accesul la sistemul de operare?
X

La sistemele de operare au acces doar persoanele autorizate? X
Accesul la funciile aplicaiei este permis pe baza necesitilor utilizatorului de a-i
realiza sarcinile?
X

Mecanismele de securitate logic verific i limiteaz accesul la aplicaie? X
Confidenialitatea i integritatea datelor este suficient de securizat? X
Mecanismele de securitate logic implementate i configurate asigur securitatea
informaiilor din cadrul reelei?
X

Informaia din reea este protejat de virui? X
Accesul neautorizat la reea este blocat suficient? X
Criptarea este folosit ca protecie necesar integritii i confidenialitii datelor? X
Sistemele informatice sunt adecvat protejate mpotriva factorilor de catastrof? X
Securitatea informaiei impune o analiz de risc n mod regulat? X
Securitatea informaiei asigur protejarea informaiei i raportarea deficienelor?
X
Raportarea deficienelor
numai n caz de probleme
la aplicaii, programe etc.
Securitatea informaiei permite protejarea informaiei prin respectarea cerinelor de
confidenialitate, integritate i disponibilitate?
X
Politica de securitate a informaiei interzice utilizarea informaiilor i sistemelor
fr autorizaie i pentru scopuri care nu au legtur cu munca?
X
Politica de securitate interzice copierea sau scoaterea neautorizat din sediu a
informaiei fr autorizare?
X
Ieirea din sistem este realizat ori de cte ori un terminal este lsat
nesupravegheat? X
Ieirea din sistem este
realizat pentru fiecare
terminal manual
Politica de securitate este comunicat i cunoscut de ntregul personal i prile
externe cu acces la informaiile i sistemele entitii?
X
Accesul fizic la sistemele de calculatoare este restricionat pentru personalul
autorizat n afara programului de lucru?
X
Mijloacele i documentaia critic este asigurat atunci cnd nu este n uz? X
34

Echipamentele sunt protejate mpotriva furtului?
X
Se afl n gestiunea
utilizatorului
Utilizatorii sistemului au acces numai pentru scopuri clare i autorizate?
X
Accesul le este permis
doar dac sunt autorizai
Utilizatorii sistemului sunt instruii cu privire la cerinele de siguran i sunt
supravegheai permanent?
X
Informaiile critice sunt
securizate suplimentar
Implementarea aplicaiilor i administrarea lor
Metodologia de achiziionare sau dezvoltare a noilor aplicaii este conform cu
scopurile entitii?
X
Metodologia aplicat garanteaz c aplicaiile corespund nevoilor? X
Achiziia de noi aplicaii este aprobat de conducere? X
Aplicaiile sunt testate suficient i eficient? X
Testrile aplicaiei garanteaz c aceasta funcioneaz corect i corespunde
cerinelor?
X
Implementarea unei aplicaii asigur continuitatea activitilor? X
ntreinerea unei aplicaii garanteaz funcionalitatea proceselor? X
Modificrile aplicaiilor sunt autorizate? X
Exist metodologie pentru dezvoltarea sau achiziia unei aplicaii? X
Metodologia este asigurat de proceduri? X
Sunt respectate criteriile de licitaie la achiziia unei aplicaii? X
Exist o analiz funcional a cerinelor de lucru pentru dezvoltarea unei aplicaii? X
Utilizatorii sunt implicai n analiza funcional? X
Analiza funcional este confirmat printr-o analiz tehnic? X
Limbajele de programare sunt adecvate? X
Sunt stabilite planuri de testare a unei aplicaii? X
Utilizatorii sunt implicai n testarea aplicaiilor?
X
Numai n implementarea
aplicaiilor
Datele folosite pentru testare sunt protejate? X
Transferarea unei aplicaii din mediul de dezvoltare n mediul de producie este
realizat de personalul responsabilizat?
X
Programatorii au acces la mediul de producie? X
Exist analize de calitate privind dezvoltarea unei aplicaii? X
Rezultatele controalelor de calitate sunt documentate? X
Sunt comparate funcionalitile aplicaiei cu cerinele iniiale? X
Exist un control adecvat din punct de vedere temporal al tranzaciilor? X
Funciunile de introducere de date i de autorizare sunt restricionate i separate? X
Introducerea parametrilor i altor date ce urmeaz a fi procesate este strict
controlat?
X
Sunt efectuate verificri pentru detectarea posibilelor nregistrri duble? X
Procesarea datelor se realizeaz n mod planificat i este neleas de utilizatori i
personalul operativ?
X
Datele, inclusiv cele transferate din alte sisteme,sunt supuse validrii n timpul
prelucrrii?
X
Programele furnizeaz confirmri cu privire la finalizarea procesrii i exist
proceduri de recuperare i de reintroducere n caz de anomalii n funcionare?
X
nregistrrile sunt armonizate n cazurile n care sunt trecute dintr-un sistem n
altul?
X
Utilizatorii sunt responsabili de introducerea, modificarea sau tergerea operaiilor
nregistrate n cadrul unui sistem?
X
Fiierele sunt salvate la intervale regulate de timp n timpul prelucrrii pentru a
permite recuperarea operaiunilor?
X

Implementarea i gestionarea bazelor de date

Achiziia unui program de baze de date este aprobat de conducere? X
Programul de baze de date este selectat conform nevoilor? X
Programul de baze de date este standardizat? X
Baza de date este testat nainte de implementare? X
Modificrile asigur un impact minim asupra proceselor? X
Performana unei baze de date este urmrit adecvat? X
Programele de baze de date posed licene? X
Integritatea bazelor de date sunt verificate periodic i se rein copii de siguran de X
35

Auditori,
Popescu Sorin
Radu George

la o verificare la alta?
Instruciunile operatorilor i utilizatorilor specific clar procedurile de urmat n
cazul unei deficiene a aplicaiei n timpul prelucrrilor?
X
Accesul la echipamente este protejat prin securitatea fizic i/sau supravegherea
continu?
X
Autorizarea fizic la echipamente este realizat n conformitate cu standardele sau
proceduri?
X
Msurile de control a accesului in seama de politica de securitate a informaiilor? X
Utilizatori sunt pregtii corespunztor cu privire la implementarea bazelor de
date?
X

Este acordat asisten utilizatorilor pe perioada implementrii bazei de date?
X

Timpul de rspuns la un apel de la operatori este sczut? X
Msurile de control a accesului asigur rspunderea personal? X
Msurile de control a accesului asigur punerea n practic a unor instrumente
suplimentare de control n cazul utilizatorilor cu acces special?
X

Msurile de control intern privind utilizarea sistemelor asigur separarea
sarcinilor?
X
Operaiuni ale sistemelor informatice
Organizarea operaiunilor de sistem sigur funcionarea eficient i eficace? X
Activitile operaionale sunt conforme cu instruciunile date de operatori? X
Problemele sunt identificate i rezolvate n termen? X
Problemele sunt administrate i urmrite adecvat? X
Problemele sunt prioritizate i planificate? X
Rezultatul procesului este stocat cu precizie? X
Rezultatul procesului este asigurat mpotriva accesului neautorizat? X
Mediile de stocare sunt pstrate adecvat? X
Integritatea datelor de pe mediile de stocare este asigurat? X
Procedurile de back-up i recuperare asigur disponibilitatea datelor i
informaiilor importante?
X
Recuperarea este testat regulat? X
Sarcinile realizate de operatori sunt monitorizate? X
Identitatea utilizatorilor este controlat? X
Exist procese prin care se asigur remedierea deficienelor de funcionare? X
Exist numit o persoan responsabil cu supervizarea noilor dezvoltri i cu
ntreinerea i integrarea sistemelor n fiecare arie de activitate?
X
Utilizatorii sunt instruii pentru fiecare aplicaie a sistemului? X
Departamentul msoar aspectele cheie ale performanei IT? X
Mecanismele de control sunt potrivite pentru minimizarea riscurilor? X
Administrarea reelelor software i hardware
Achiziia hardware i software este aprobat de conducere? X
Hardware i software sunt selectate pe baza criteriilor stabilite n funcie de
necesiti?
X
Hardware i softul sunt standardizate? X
Hardware i softul sunt testate nainte de implementare? X
Modificrile asigur un impact minim asupra proceselor? X
Programele de reea au licene? X
Exist contracte la nivel de service privind ntreinerea sistemelor i
aplicaiilor?
X
Timpul mediu de intervenie i soluionare a defeciunii este redus? X
Controlul implementat funcioneaz asupra informaiilor la care accesul este
limitat?
X
Abuzul de informaii este gestionat corespunztor? X
Normele de siguran privind computerele sunt dezvoltate? X
36

Not:
Chestionarul de control intern este structurat pe obiectivele misiunii de audit intern i permit prin
intermediul ntrebrilor formulate i rspunsurilor primite, identificarea controalelor interne instituite de
management i aprecierea funcionalitii acestora, astfel nct riscurile s poat fi identificate n totalitate i
apreciat corect nivelul acestora.

37
Procedura P05: ANALIZA RISCULUI

Entitatea Public

STABILIREA FACTORILOR DE RISC, A PONDERILOR ACESTORA
I APRECIEREA NIVELURILOR RISCURILOR


Nivelul de apreciere al riscului (N
i
)
Factori de risc
(F
i
)
Ponderea
factorilor de
risc
(P
i
)
N
1

N
2

N
3

Aprecierea controlului
intern F1
P1 50%
Exist proceduri i
se aplic
Exist proceduri,
sunt cunoscute,
dar nu se aplic
Nu exist
proceduri
Aprecierea cantitativ
F2
P2 30%
Impact financiar
sczut
Impact financiar
mediu
Impact financiar
ridicat
Aprecierea calitativ
F3
P3 20%
Vulnerabilitate
mic
Vulnerabilitate
medie
Vulnerabilitate
mare

Auditori,
Popescu Sorin
Radu George

Not:
Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc,
ponderile i nivelurile de apreciere ale riscurilor.
Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns
dac se dorete evidenierea i a altor factori de risc, cu nivelurile de apreciere corespunztoare,
trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100%.

38

39

Entitatea Public

STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCURILOR


Criterii de analiz a riscurilor
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile Riscuri semnificative
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
1.1.1. Strategia IT definete
necesitile i prioritile
Achiziia i implementarea
programelor i aplicaiilor nu este
corelat cu obiectivele propuse;
0,5 3 0,3 1 0,2 2 2,20
1.1.2. Strategia IT face trimitere
la nevoile viitoare ale
organizaiei
Sistemele nu sunt dezvoltate ntr-o
manier planificat i controlat 0,5 2 0,3 1 0,2 3 1,90
1.1. Strategia IT
este concordant
cu scopurile
organizaiei
1.1.3. Strategia definete
direciile i obiectivele de
dezvoltare a IT
Strategia IT nu are o viziune
orientat spre viitor, fiind o
extrapolare a tendinelor trecute
0,5 1 0,3 1 0,2 1 1,00
1.2.1. Strategia IT este transpus
n planuri IT
Dezvoltarea IT nu acoper toate
procesele;
0,5 2 0,3 1 0,2 1 1,50
1.2.2. Planurile IT ajut la
ndeplinirea misiunii organizaiei
Planurile IT nu contribuie la
realizarea scopului entitii n
domeniul IT;
0,5 2 0,3 2 0,2 2 2,00
1. Strategia i
planificarea
sistemelor
informatice
1.2. Planurile IT
se adreseaz
ntregii
organizaii
1.2.3. Planurile IT ofer
asigurare cu privire la faptul c
resursele IT sunt alocate n
Resursele IT nu sunt identificate
pentru fiecare element al planului;
0,5 2 0,3 2 0,2 2 2,00
40
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
1.3.1. Strategia IT este
organizaiei
Utilizatorii i IT nu au aceleai opinii
cu privire la responsabilitile i
autoritatea lor
0,5 2 0,3 3 0,2 1 2,10
1.3.2. Planurile IT se adreseaz
ntregii organizaii
Planul IT nu acoper cerinele pe
termen mediu;
0,5 2 0,3 1 0,2 1 1,50
1.3. Obiectivele
IT ndeplinesc
obiectivele
organizaiei
1.3.3. Obiectivele IT ndeplinesc
obiectivele organizaiei
Obiectivele n domeniul IT nu deriv
i nu contribuie la realizarea
obiectivelor entitii;
0,5 2 0,3 1 0,2 2 1,70
1.4.1. Strategia IT este stabilit
de un comitet IT
Strategia IT este definit de
departamentul IT;
0,5 2 0,3 2 0,2 2 2,00
1.4.2. Comitetul IT transpune
strategia n planuri pe termen
scurt i pe termen mediu
Comitetul IT nu contribuie la
dezvoltarea i implementarea
strategiei n domeniu;
0,5 3 0,3 2 0,2 3 2,70
1.4. Comitetul IT
determin
strategia IT
1.4.3. Comitetul IT stabilete
prioritile proiectelor de
dezvoltare a sistemelor IT
Stabilirea dezvoltrii IT de ctre
departamentul IT; 0,5 2 0,3 3 0,2 3 2,50
1.5.1. Organizarea adecvat a
funciei IT
Responsabilitile nu sunt definite
clar n cadrul compartimentelor i
posturilor;
0,5 2 0,3 2 0,2 2 2,00
1.5.2. Personalul IT are
calificarea i competenele
adecvate
Lipsa calificrilor necesare;
0,5 2 0,3 1 0,2 2 1,70
1.5. Organizarea
IT corespunde
necesitilor
organizaiei
1.5.3. Adecvarea practicilor i
procedurilor IT la procesele
existente
Programele i aplicaiile nu sunt
integrate i nu rspund cerinelor
activitilor;
0,5 2 0,3 3 0,2 3 2,50
1.6.1. Dotarea actual cu tehnic
de calcul a stat la baza elaborrii
strategiei IT
Infrastructura IT existent nu asigur
implementarea strategiei IT; 0,5 3 0,3 3 0,2 3 3,00
1.6. Elaborarea
strategiei IT
corespunde
strategiei entitii 1.6.2. Realizarea strategiei IT pe
baza evalurii sistemelor
existente
Elaborarea strategiei nu are la baz i
o evaluare i identificare a
posibilitilor financiare;
0,5 2 0,3 1 0,2 1 1,50
2 Organizarea i
funcionarea
departamentul
2.1. Definirea
atribuiilor i
activitilor
2.1.1. Definirea atribuiilor i
responsabilitilor n cadrul
departamentului IT
Lipsa ariei de competen pentru
realizarea activitilor stabilite
0,5 3 0,3 1 0,2 3 2,40
41
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
2.1.2. Atribuiile specifice
departamentului sunt stabilite n
cadrul atribuiilor generale ale
entitii
Definirea de atribuii care nu se
regsesc in ROF
0,5 2 3 1 0,2 1 1,50
2.1.3. Atribuiile stabilite asigur
realizarea activitilor necesare
implementrii obiectivelor
Definirea atribuiilor sub form de
sarcini 0,5 2 0,3 2 0,2 1 1,80
2.1.4. Identificarea tuturor
activitilor care concur la
realizarea obiectivelor
Activiti stabilite incorect pentru
realizarea obiectivelor 0,5 2 0,3 2 0,2 1 1,80
2.1.5. Corelaia ntre atribuiile
postului i competenele
ocupantului postului
Stabilirea de sarcini diferite pentru
aceleai funcii sau aceleai sarcini
pentru funcii diferite
0,5 2 0,3 1 0,2 1 1,50
2.1.6. Definirea activitilor n
cadrul structurii organizatorice
Activitile realizate la nivelul
structurii funcionale nu se regsesc
n totalitate n cadrul sarcinilor
stabilite posturilor
0,5 3 0,3 1 0,2 3 2,40
2.2.1. Organizarea funcional a
departamentului IT
Structura funcional nu este adaptat
complexitii activitilor derulate
0,5 2 0,3 1 0,2 3 1,90
2.2.2. Definirea relaiilor
organizatorice ntre
compartimente
Repartizarea activitilor i relaiilor
organizatorice fr a se ine cont de
natura organizrii compartimentului
0,5 2 0,3 1 0,2 1 1,50
2.2.3. Examinarea sistemului de
gestionare a riscurilor generale
la nivelul departamentului IT
Riscurile nu sunt identificate i
gestionate la nivelul structurii
funcionale
0,5 2 0,3 3 0,2 3 2,50
2.2. Stabilirea
structurii
organizatorice
2.2.4. Riscurile legate de
securitatea datelor, programelor
i echipamentelor sunt
identificate i evaluate ct mai
corect i complet
Gestionarea slab a riscurilor privind
securitatea informaiilor
0,5 2 0,3 1 0,2 3 2,40
ui IT
2.3. Stabilirea
responsabilitilo
r
2.3.1. Definirea limitelor de
competen
Autoritatea formal n realizarea
activitilor este insuficient stabilit
postului
0,5 1 0,3 3 0,2 1 1,60
42
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
2.3.2. Definirea
responsabilitilor n realizarea
activitilor
Definirea doar a atribuiilor, nu i a
limitei pn unde rspunde ocupantul
postului n realizarea activitilor
0,5 1 0,3 3 0,2 2 1,80
2.3.3. Definirea sarcinilor prin
fia postului
Sarcinile stabilite postului potrivit
fiei postului nu corespund cu
aciunile efectiv realizate de
ocupantul postului
0,5 2 0,3 3 0,2 3 2,50
3.1.1. Existena listei
operaiunilor zilnice de realizat
Activitile se realizeaz fr o
prioritizare a operaiilor
0,5 2 0,3 1 0,2 1 1,50
3.1.2. Performana, capacitatea i
disponibilitatea sistemelor
informatice este monitorizat de
administratori
Lipsa analizelor privind scopul i
cerinele de realizare a activitilor i
calitatea aplicaiilor sau programelor
utilizate
0,5 2 0,3 2 0,2 3 2.20
3.1.3. Responsabilitatea pentru
supravegherea sarcinilor pe
seturi de programe revine
administratorilor
Responsabilitile operatorilor nu
sunt delimitate i stabilite n funcie
de specializarea fiecruia i tipurile
de aplicaii i programe utilizate
0,5 3 0,3 2 0,2 2 2,50
3.1
Managementul
operaiunilor
3.1.4. Elaborarea Planului anual
de activitate
Activitile sunt derulate n cadrul
departamentului fr a exista o
planificare anual sau periodic
0,5 2 0,3 2 0,2 3 2,20
3.2.1. Incidentele privind
funcionarea normal a
serviciilor IT sunt rezolvate sau
prevenite n termen
Soluionarea cu ntrziere a
problemelor aprute n utilizarea
aplicaiilor i programelor
0,5 1 0,3 1 0,2 1 1,00
3.2.2. Programele antivirus
asigur protecia aplicaiilor
Utilizarea neadecvat a programelor
antivirus
0,5 2 0,3 3 0,2 3 2,50
3.2.3. Problemele aprute sunt
prioritizate i luate n calcul
pentru remediere
Soluionarea problemelor aprute nu
este realizat potrivit gravitii i
asigurnd eficiena realizrii
activitilor entitii
0,5 1 0,3 1 0,2 3 1,40

3.
Operaii ale
sistemului
informatic

3.2.
Managementul
problemelor
3.2.4. Implementarea
subsistemelor IT
Programele i aplicaiile derulate la
nivelul organizaiei nu sunt
actualizate potrivit noilor necesiti
ca urmare a modificrii aciunilor de
realizare a activitilor
0,5 3 0,3 1 0,2 2 2,20
43
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
3.2.5. Activitile operaionale
sunt conforme cu instruciunile
din manualele de utilizare
Neconcordane ntre utilizarea unei
aplicaii sau program i precizrile
din caietul tehnic, privind execuia
acelei operaii
0,5 1 0,3 3 0,2 2 1,80
3.3.1. Activitile sunt bine
organizate pentru asigurarea
bunei funcionrii a
departamentului
Lipsa revizuirii i urmrii
contractelor la nivel de service i a
celor la nivel operativ
0,5 1 0,3 2 0,2 2 1,50
departamentului IT
Activitile i aciunile necesare
realizrii acestora nu sunt repartizate
eficient i omogen pe compartimente
n cadrul departamentului IT
0,5 3 0,3 2 0,2 2 2,50
3.3.3. Activitile n cadrul
departamentului sunt definite
respectnd criteriile de calitate
Activiti i aciuni
neresponsabilizate 0,5 1 0,3 1 0,2 3 1,40
3.3.4. Evidena datelor aflate pe
mediile de stocare
Acces nerestricionat la date i
informaii
0,5 2 0,3 1 0,2 2 1,70
3.3.5. Distribuirea cu precizie a
informaiei ctre utilizatori i
mediile de stocare
Dependena de tere pri n
centralizarea informaiei i oferirea
rapoartelor
0,5 2 0,3 2 0,2 1 1,80
3.3.6. Asigurarea caracterului
secret al datelor
Accesul la datele i informaiile
organizaiei nu este limitat doar
pentru persoanele ndreptite
0,5 3 0,3 2 0,2 1 2,30
3.3.
Funcionalitatea
activitilor n
cadrul
departamentului
IT
3.3.7. Soluionarea problemelor
presupune parcurgerea etapelor:
iniierea, planificarea, execuia,
monitorizarea i analiza,
ncheierea
Soluionarea unei probleme prin
luarea n calcul doar a execuiei
acesteia 0,5 2 0,3 1 0,2 1 1,50
3.4.1. Obinerea de rapoarte de
activitate utile
Rapoartele obinute nu ofer
informaii suficiente pentru luarea
deciziilor
0,5 2 0,3 2 0,2 2 2,00
3.4. Mentenana
echipamentelor
3.4.2. ntreinerea calculatorului
i a echipamentelor
Disfunciile identificate nu sunt
analizate i nlturate n conformitate
cu instruciunile i manualele de
ntreinere
0,5 2 0,3 2 0,2 3 2,20
44
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
3.4.3. Instalarea i configurarea
calculatorului
Echipamentele periferice nu sunt
instalate i conectate conform
documentaiei
0,5 3 0,3 3 0,2 2 2,80
3.1.1. Sistemul este ntreinut
pentru a se asigura c este
conform cu nevoile organizaiei
ntreinerea sistemului doar la
solicitrile utilizatorilor 0,5 1 0,3 1 0,2 2 1,20
3.5.1. Realizarea eficient a
operaiilor n cadrul
departamentului IT
Suportul tehnic cu privire la
utilizarea programelor nu este
furnizat n mod corespunztor
utilizatorilor
0,5 2 0,3 3 0,2 2 2,30
3.5.2. Identificarea i raportarea
pericolelor
Costuri ridicate cu remedierea
defeciunilor, frecven mare a
acestora, timpi mari pn la reluarea
lucrului
0,5 1 0,3 1 0,2 3 1,40
3.5.3. Administrarea eficient a
Controlul intern asupra datelor de
intrare nu este asigurat corespunztor
0,5 3 0,3 2 0,2 3 2,70
3.5.4. Evaluarea problemelor i
soluionarea acestora
Lipsa revizuirii i urmrii msurilor
privind corectarea erorilor conduce la
persistena unora dintre acestea
0,5 2 0,3 1 0,2 3 1,90
3.5.5. Programele corespund
cerinelor stabilite
Neadaptarea la schimbrile rapide ale
tehnologiei informaiei
0,5 1 0,3 1 0,2 3 1,40
3.5. Utilizarea
echipamentelor
3.5.6. Echipamentele sunt
utilizate adecvat asigurnd un
confort n exploatare
Lipsa cunotinelor privind
exploatarea echipamentelor la
potenialul maxim
0,5 1 0,3 2 0,2 2 1,50
4.1.1. Crearea politicii de
securitate a informaiei
Organizarea i responsabilitile
privind securitatea informaiilor nu
constituie o prioritate a politicii de
securitate
0,5 2 0,3 1 0,2 1 1,50
4.1.2. Crearea standardelor i
practicilor pentru securitatea
informaiei
Standardele privind securitatea
informaiei nu sunt definite formal 0,5 3 0,3 2 0,2 2 2,50
4. Securitatea
informaiilor
4.1. Organizarea
securitii
informaiilor
4.1.3. Stabilirea
responsabilitilor privind
Responsabilitile nu sunt separate
clar ntre cele ale administratorilor i
cele ale operatorilor;
0,5 1 0,3 2 0,2 2 1,50
45
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
4.1.4. Elaborarea politicii
privind securitatea informaiei
Datele i informaiile prelucrate i
stocate nu sunt asigurate n condiii
de confidenialitate, integritate i
disponibilitate
0,5 3 0,3 2 0,2 2 2,50
4.1.5. Stabilirea
politicii de securitate
Politica de securitate nu definete
responsabilitile cu privire la
securitatea datelor i informaiilor
0,5 2 0,3 2 0,2 2 2,00
4.1.6. Securitatea informaiilor
asigur integritatea acestora
Datele i informaiile nu sunt stocate
n condiii de securitate
0,5 2 0,3 1 0,2 1 1,50
4.1.7. Securitatea datelor asigur
disponibilitatea acestora doar
pentru utilizatori autorizai
Accesul la informaii i pentru
persoanele neautorizate 0,5 3 0,3 2 0,2 2 2,50
4.2.1. Protejarea mpotriva
atacurilor informatice
Lipsa programelor de protecie
adecvate pentru aplicaii i programe
0,5 2 0,3 2 0,2 1 1,80
4.2.2. Protejarea datelor
mpotriva viruilor
Vulnerabilitate sporit n faa
viruilor
0,5 3 0,3 2 0,2 3 2,70
4.2.3. Asigurarea continuitii
activitilor
Planurile privind continuitatea
activitilor nu stabilesc msuri
concrete pentru reluarea activitii
0,5 1 0,3 2 0,2 2 1,50
4.2.4. Recuperarea datelor n caz
de dezastru
Lipsa planurilor de recuperare a
datelor i informaiilor
0,5 1 0,3 2 0,2 2 1,50
4.2.
Disponibilitatea
datelor
4.2.5. Protejarea mpotriva
asumrii unei identitii false
Sustragerea informaiilor sau a
echipamentelor, fr autorizare;
0,5 1 0,3 2 0,2 3 1,70
4.3.1. Asigurarea introducerii
corecte a datelor i informaiilor
pentru prelucrare
Aplicaiile informatice nu sunt
utilizate n conformitate cu
instruciunile de exploatare
0,5 3 0,3 2 0,2 1 2,30
4.3.2. Existena licenelor pentru
programele utilizate
Plata unor despgubiri urmare
implementrii unor programe fr
licen
0,5 2 0,3 1 0,2 1 1,50
4.3.3. Prelucrarea datelor Introducerea incorect a datelor i
informaiilor n cadrul programelor i
aplicaiilor
0,5 3 0,3 2 0,2 2 2,50
4.3. Asigurarea
funcionrii
programelor i
aplicaiilor
4.3.4. Asigurarea securitii
datelor i informaiilor
Accesul la datele i informaiile
stocate nu este restricionat i
autorizat pe niveluri ierarhice
0,5 2 0,3 2 0,2 2 2,00
46
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
4.4.1. Accesul la aplicaie este
oferit pe baza necesitilor
utilizatorului
Accesul la program, aplicaie este
oferit pentru ntregul personal ce
posed o parol
0,5 3 0,3 1 0,2 3 2,40
4.4.2. Mecanismele de securitate
configurate i implementate
verific i limiteaz accesul la
aplicaii
Pentru vulnerabilitile sistemelor nu
sunt stabilite i implementate
instrumente de control
0,5 2 0,3 1 0,2 1 1,50
4.4.3. Introducerea
instrumentelor de control fizic
Accesul fizic la echipamente i
aplicaii este restricionat 0,5 3 0,3 2 0,2 2 2,50
4.4.
Implementarea
instrumentelor
de control
4.4.4. Stabilirea de chei de
control pentru fiecare program
sau aplicaie
Posibilitatea de a obine i utiliza
rezultate nesigure, neverificate 0,5 1 0,3 3 0,2 2 1,20
4.5.1. Mecanismele de securitate
configurate i implementate
asigur securitatea informaiilor
n cadrul reelei
Metodele de criptare nu asigur
protecia integritii i
confidenialitii datelor sensibile
0,5 2 0,3 1 0,2 1 1,50
4.5. Securitatea
reelei
4.5.2. Monitorizarea securitii
reelelor
Comunicarea n reea nu este
securizat
0,5 2 0,3 2 0,2 1 1,80
4.61. Utilizatorii au parole de
acces individuale
Accesul la aplicaii se realizeaz
direct, fr a fi permis doar pentru
personalul ndreptit
0,5 2 0,3 2 0,2 2 2,00
4.6.2. Schimbarea periodic a
parolelor
Risc crescut de spargere a parolei
0,5 2 0,3 3 0,2 1 2,10
4.6.3. Conturile i parolele
generice sunt folosite pentru
accesul la sisteme i aplicaii
Conturile i parolele generice iniiale
nu sunt personalizate dup nceperea
prelucrrilor de ctre utilizatori
0,5 1 0,3 2 0,2 2 1,50
4.6.4. Protejarea parolelor Descrcarea ilegal a unor informaii
0,5 3 0,3 2 0,2 1 2,30
4.6. Gestionarea
parolelor
4.6.5. Persoanele autorizate au
acces la sistemul de operare
Accesul la servere este permis
ntregului personal, nefiind
nregistrat i monitorizat
0,5 3 0,3 2 0,2 2 2,50
4.7. Securitatea
logic
funcionrii programelor i
aplicaiilor
Lipsa controalelor sau controale
slabe de acces 0,5 3 0,3 2 0,2 2 2,50
47
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
4.7.2.Protejarea sistemelor
informatice mpotriva factorilor
de mediu
Lipsa controalelor de mediu,
respectiv detectoare de foc, incendiu
etc.
0,5 2 0,3 1 0,2 1 1,50
4.7.3. Protejarea informaiei din
reea
Funcii de siguran sau control nu
sunt prevzute n cadrul sistemelor
de aplicaii
0,5 2 0,3 2 0,2 1 1,80
5.1.1. Proiectarea programului
informatic
n proiectarea programului/aplicaiei,
fluxul de date nu este stabilit adecvat
rezultatelor ateptate
0,5 2 0,3 2 0,2 2 2,00
5.1.2. Elaborarea programului
informatic
Graficul de realizare a programului i
bugetul aprobat nu sunt respectate
0,5 3 0,3 2 0,2 2 2,50
5.1.3. Proiectarea unui program
sau aplicaie tine cont de
necesitile organizaiei
Elaborarea de programe i aplicaii
fr o analiz strategic la nivelul
utilizatorilor
0,5 2 0,3 2 0,2 1 1,80
5.1.4. Proiectarea unui program
sau aplicaie pe baza existenei
resurselor financiare
Lipsa resurselor financiare n
elaborarea i implementarea unui
0,5 2 0,3 2 0,2 2 1,80
5.1. Proiectarea
i elaborarea
programelor i
aplicaiilor
5.1.5. Respectarea cerinelor n
achiziia unei aplicaii
Costuri suplimentare n achiziia unui
0,5 1 0,3 1 0,2 3 1,40
5.2.1. Utilizarea de date ipotetice
n testarea unui program
Efectuarea de prelucrri asupra
datelor reale n cadrul testrii
programelor
0,5 3 0,3 2 0,2 2 2,50
5.2.2. Testarea programului i
aplicaiei
Neconformitile i erorile constatate
n cursul testrii unui program nu
sunt analizate cu atenie
0,5 2 0,3 2 0,2 2 2,00
5.2.3. Asigurarea corectitudinii
rezultatelor
Opiunile i parametrii de lucru ai
programului/aplicaiei nu sunt
stabilii conform specificaiilor din
0,5 3 0,3 1 0,2 2 2,20
5 Proiectarea i
testarea
programelor i
aplicaiilor
5.2. Testarea i
implementarea
programelor i
aplicaiilor
5.2.4. Implementarea unui
program dup realizarea testrii
acestuia
Programele sau aplicaiile
achiziionate sunt implementate fr
a fi testate
0,5 2 0,3 1 0,2 1 1,50
6. Elaborarea i
implementarea
6.1. Dezvoltarea
proiectelor IT
6.1.1. Metodologia pentru
dezvoltarea i achiziia aplicaiei
Lipsa proiectelor de dezvoltare a
achiziiilor
0,5 1 0,3 2 0,2 2 1,50
48
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
6.1.2. Iniierea i elaborarea
proiectelor IT
Obiectivele generale ale proiectului
nu sunt stabilite cu respectarea
strategiei generale a organizaiei
0,5 3 0,3 2 0,2 2 2,50
(programe i
aplicaii)
6.1.3. Monitorizarea
performanelor soluiilor IT
implementate
Parametri de referin i valorile
etalon ale programelor elaborate nu
respect specificaiile i nu se
ncadreaz n standarde
0,5 3 0,3 2 0,2 2 2,50
6.2.1. Reproiectarea soluiilor IT
pentru programe i aplicaii
Soluiile privind mbuntirea
programelor i aplicaiilor nu in cont
de punctele slabe i critice, precum i
evoluiile tehnologice
0,5 2 0,3 2 0,2 2 2,00
6.2.2. Implementarea adecvat a
aplicaiilor
Rapoartele nu corespund cerinelor
0,5 2 0,3 1 0,2 2 1,70
proiectelor IT
6.2.
Implementarea i
funcionarea
programelor i
aplicaiilor
6.2.3. ntreinerea aplicaiilor
garanteaz funcionarea
Supravegherea proceselor aflate n
execuie i a performanelor
aplicaiilor, sistemelor sau
programelor nu respect procedurile
i instruciunile
0,5 3 0,3 2 0,2 2 2,50
7.1.1. Asigurarea bunei
funcionri a sistemelor bazate
pe existena i funcionarea
Subsistemele existente nu sunt
configurate i supravegheate
individual
0,5 3 0,3 2 0,2 2 2,50
performanelor reelelor
Scderea performanelor reelelor
0,5 1 0,3 2 0,2 2 1,50
7.1.3. Administrarea serverelor Accesul i utilizarea datelor i
informaiilor stocate pe server nu
respect strategia de securitate a
reelei
0,5 2 0,3 2 0,2 2 2,00
7.1. Proiectarea,
instalarea i
administrarea
reelei de
calculatoare
7.1.4. Reeaua de calculatoare
corespunde cerinelor
funcionale
Reeaua de calculatoare nu asigur
integrarea informaiilor i elaborarea
rapoartelor
0,5 2 0,3 1 0,2 1 1,50
7. Proiectarea i
meninerea n
funciune a
unei reele
7.2.
Interconectarea
i securitatea
7.2.1. Interconectarea reelelor Conexiunile dintre reele nu sunt
conforme cu arhitectura prevzut de
instruciuni i nu respect standardele
0,5 3 0,3 1 0,2 3 2,40
49
Aprecierea
controlului
intern
Aprecierea
cantitativ
Aprecierea
calitativ
Nr
crt
Domeniul
Activiti/
obiective
P1
50%
N1
P2
30%
N2
P3
20%
N3
Punctaj
total
7.2.2. Proiectarea i asigurarea
securitii reelei
Vulnerabilitile i ameninrile nu
sunt identificate i prioritizate
0,5 2 0,3 2 0,2 2 2,00
reelei
7.2.3. Urmrirea adecvrii
performanelor unei reele
Conceperea unei reele nu asigur
integrarea programelor
0,5 2 0,3 1 0,2 2 1,70

Auditori,
Popescu Sorin
Radu George

Not:
Stabilirea nivelului riscului i determinarea punctajului total al riscurilor este documentul din procedura Analiza riscurilor n care auditorii apreciaz
nivelul riscului pe factorii de risc i determin punctajul total al riscurilor pe baza documentelor n posesia crora au intrat pn n acel moment, dar i pe baza
expertizei personale n domeniu.
Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor
riscurilor asociate operaiilor audiabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv:

T= P
i
x N
i
unde: P
i
= ponderea riscului pentru fiecare criteriu
i = 1
N
i
= nivelul riscurilor pentru fiecare criteriu utilizat

Evaluarea riscurilor asociate operaiilor audiabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele
primite de la entitate i/sau din rapoarte anterioare, dar i din propria expertiza n domeniu are un oarecare grad de subiectivitate.

50

51

Entitatea Public

CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCURILOR


Nr
crt
Domeniul
Activiti/
obiective
Pct.
total
Clasare Obs.
1.1.1. Strategia IT definete necesitile i
prioritile
Achiziia i implementarea programelor i
aplicaiilor nu este corelat cu obiectivele propuse;
2,20 Mare

1.1.2. Strategia IT face trimitere la nevoile viitoare
ale organizaiei
Sistemele nu sunt dezvoltate ntr-o manier
planificat i controlat
1,90 Mediu

1.1. Strategia IT este
concordant cu
scopurile organizaiei
1.1.3. Strategia definete direciile i obiectivele de
dezvoltare a IT
Strategia IT nu are o viziune orientat spre viitor,
fiind o extrapolare a tendinelor trecute
1,00 Mic

1.2.1. Strategia IT este transpus n planuri IT Dezvoltarea IT nu acoper toate procesele; 1,50 Mic
1.2.2. Planurile IT ajut la ndeplinirea misiunii
organizaiei
Planurile IT nu contribuie la realizarea scopului
entitii n domeniul IT;
2,00 Mediu

adreseaz ntregii
organizaii
1.2.3. Planurile IT ofer asigurare cu privire la
faptul c resursele IT sunt alocate n concordan
cu necesitile
Resursele IT nu sunt identificate pentru fiecare
element al planului; 2,00 Mediu

1.3.1. Strategia IT este concordant cu scopurile
organizaiei
Utilizatorii i IT nu au aceleai opinii cu privire la
responsabilitile i autoritatea lor
2,10 Mare

1.3.2. Planurile IT se adreseaz ntregii organizaii Planul IT nu acoper cerinele pe termen mediu; 1,50 Mic
1.3. Obiectivele IT
ndeplinesc
obiectivele
organizaiei 1.3.3. Obiectivele IT ndeplinesc obiectivele
organizaiei
Obiectivele n domeniul IT nu deriv i nu contribuie
la realizarea obiectivelor entitii;
1,70 Mic

1.4.1. Strategia IT este stabilit de un comitet IT Strategia IT este definit de departamentul IT; 2,00 Mediu
1.4.2. Comitetul IT transpune strategia n planuri
pe termen scurt i pe termen mediu
Comitetul IT nu contribuie la dezvoltarea i
implementarea strategiei n domeniu;
2,70 Mare

1.4. Comitetul IT
determin strategia
IT
1.4.3. Comitetul IT stabilete prioritile
proiectelor de dezvoltare a sistemelor IT
Stabilirea dezvoltrii IT de ctre departamentul IT;
2,50 Mare

1. Strategia i
planificarea
sistemelor
informatice
1.5. Organizarea IT
corespunde
1.5.1. Organizarea adecvat a funciei IT Responsabilitile nu sunt definite clar n cadrul
compartimentelor i posturilor;
2,00 Mediu

52
Nr
crt
Domeniul
Activiti/
obiective
Pct.
total
Clasare Obs.
1.5.2. Personalul IT are calificarea i competenele
adecvate
Lipsa calificrilor necesare;
1,70 Mic
necesitilor
organizaiei
1.5.3. Adecvarea practicilor i procedurilor IT la
procesele existente
Programele i aplicaiile nu sunt integrate i nu
rspund cerinelor activitilor;
2,50 Mare

1.6.1. Dotarea actual cu tehnic de calcul a stat la
Infrastructura IT existent nu asigur implementarea
strategiei IT;
3,00 Mare
1.6. Elaborarea
strategiei IT
corespunde strategiei
entitii
1.6.2. Realizarea strategiei IT pe baza evalurii
sistemelor existente
Elaborarea strategiei nu are la baz i o evaluare i
identificare a posibilitilor financiare;
1,50 Mic

2.1.1. Definirea atribuiilor i responsabilitilor n
Lipsa ariei de competen pentru realizarea
activitilor stabilite structurii funcionale
2,40 Mare

2.1.2. Atribuiile specifice departamentului sunt
stabilite n cadrul atribuiilor generale ale entitii
Definirea de atribuii care nu se regsesc in ROF
1,50 Mic

2.1.3. Atribuiile stabilite asigur realizarea
activitilor necesare implementrii obiectivelor
Definirea atribuiilor sub form de sarcini
1,80 Mic

2.1.4. Identificarea tuturor activitilor care
concur la realizarea obiectivelor
Activiti stabilite incorect pentru realizarea
obiectivelor
1,80 Mic

2.1.5. Corelaia ntre atribuiile postului i
competenele ocupantului postului
Stabilirea de sarcini diferite pentru aceleai funcii
sau aceleai sarcini pentru funcii diferite
1,50 Mic

2.1. Definirea
atribuiilor i
activitilor
2.1.6. Definirea activitilor n cadrul structurii
organizatorice
Activitile realizate la nivelul structurii funcionale
nu se regsesc n totalitate n cadrul sarcinilor
stabilite posturilor
2,40 Mare

2.2.1. Organizarea funcional a departamentului
IT
Structura funcional nu este adaptat complexitii
1,90 Mediu

2.2.2. Definirea relaiilor organizatorice ntre
compartimente
Repartizarea activitilor i relaiilor organizatorice
fr a se ine cont de natura organizrii
compartimentului
1,50 Mic

2.2.3. Examinarea sistemului de gestionare a
riscurilor generale la nivelul departamentului IT
Riscurile nu sunt identificate i gestionate la nivelul
2,50 Mare

2.2. Stabilirea
structurii
organizatorice
2.2.4. Riscurile legate de securitatea datelor,
programelor i echipamentelor sunt identificate i
evaluate ct mai corect i complet
Gestionarea slab a riscurilor privind securitatea
informaiilor 2,40 Mare

2.3.1. Definirea limitelor de competen Autoritatea formal n realizarea activitilor este
insuficient stabilit postului
1,60 Mic

2.3.2. Definirea responsabilitilor n realizarea
activitilor
Definirea doar a atribuiilor, nu i a limitei pn unde
rspunde ocupantul postului n realizarea activitilor
1,80 Mic

2 Organizarea i
funcionarea
departamentul
ui IT
2.3. Stabilirea
responsabilitilor
2.3.3. Definirea sarcinilor prin fia postului Sarcinile stabilite postului potrivit fiei postului nu
corespund cu aciunile efectiv realizate de ocupantul
postului
2,50 Mare

53
Nr
crt
Domeniul
Activiti/
obiective
Pct.
total
Clasare Obs.
3.1.1. Existena listei operaiunilor zilnice de
realizat
Activitile se realizeaz fr o prioritizare a
operaiilor
1,50 Mic

3.1.2. Performana, capacitatea i disponibilitatea
sistemelor informatice este monitorizat de
administratori
Lipsa analizelor privind scopul i cerinele de
realizare a activitilor i calitatea aplicaiilor sau
programelor utilizate
2.20 Mare

3.1.3. Responsabilitatea pentru supravegherea
sarcinilor pe seturi de programe revine
administratorilor
Responsabilitile operatorilor nu sunt delimitate i
stabilite n funcie de specializarea fiecruia i
tipurile de aplicaii i programe utilizate
2,50 Mare

3.1 Managementul
operaiunilor
3.1.4. Elaborarea Planului anual de activitate Activitile sunt derulate n cadrul departamentului
fr a exista o planificare anual sau periodic
2,20 Mare

3.2.1. Incidentele privind funcionarea normal a
serviciilor IT sunt rezolvate sau prevenite n
termen
Soluionarea cu ntrziere a problemelor aprute n
utilizarea aplicaiilor i programelor 1,00 Mic

3.2.2. Programele antivirus asigur protecia
aplicaiilor
Utilizarea neadecvat a programelor antivirus
2,50 Mare

3.2.3. Problemele aprute sunt prioritizate i luate
n calcul pentru remediere
Soluionarea problemelor aprute nu este realizat
potrivit gravitii i asigurnd eficiena realizrii
activitilor entitii
1,40 Mic

3.2.4. Implementarea subsistemelor IT Programele i aplicaiile derulate la nivelul
organizaiei nu sunt actualizate potrivit noilor
necesiti ca urmare a modificrii aciunilor de
2,20 Mare

3.2. Managementul
problemelor
3.2.5. Activitile operaionale sunt conforme cu
instruciunile din manualele de utilizare
Neconcordane ntre utilizarea unei aplicaii sau
program i precizrile din caietul tehnic, privind
execuia acelei operaii
1,80 Mic

3.3.1. Activitile sunt bine organizate pentru
asigurarea bunei funcionrii a departamentului
Lipsa revizuirii i urmrii contractelor la nivel de
service i a celor la nivel operativ
1,50 Mic

3.3.2. Organizarea funcional a activitilor n
Activitile i aciunile necesare realizrii acestora nu
sunt repartizate eficient i omogen pe compartimente
n cadrul departamentului IT
2,50 Mare

3.3.3. Activitile n cadrul departamentului sunt
definite respectnd criteriile de calitate
Activiti i aciuni neresponsabilizate
1,40 Mic

3.3.4. Evidena datelor aflate pe mediile de stocare Acces nerestricionat la date i informaii 1,70 Mic
3.3.5. Distribuirea cu precizie a informaiei ctre
utilizatori i mediile de stocare
Dependena de tere pri n centralizarea informaiei
i oferirea rapoartelor
1,80 Mic

3. Operaii ale
sistemului
informatic

departamentului IT
3.3.6. Asigurarea caracterului secret al datelor Accesul la datele i informaiile organizaiei nu este
limitat doar pentru persoanele ndreptite
2,30 Mare

54
Nr
crt
Domeniul
Activiti/
obiective
Pct.
total
Clasare Obs.
3.3.7. Soluionarea problemelor presupune
parcurgerea etapelor: iniierea, planificarea,
execuia, monitorizarea i analiza, ncheierea
Soluionarea unei probleme prin luarea n calcul
doar a execuiei acesteia 1,50 Mic

3.4.1. Obinerea de rapoarte de activitate utile Rapoartele obinute nu ofer informaii suficiente
pentru luarea deciziilor
2,00 Mediu

3.4.2. ntreinerea calculatorului i a
echipamentelor
Disfunciile identificate nu sunt analizate i nlturate
n conformitate cu instruciunile i manualele de
ntreinere
2,20 Mare

3.4.3. Instalarea i configurarea calculatorului Echipamentele periferice nu sunt instalate i
conectate conform documentaiei
2,80 Mare

3.4. Mentenana
echipamentelor
3.1.1. Sistemul este ntreinut pentru a se asigura
c este conform cu nevoile organizaiei
ntreinerea sistemului doar la solicitrile
utilizatorilor
1,20 Mic

3.5.1. Realizarea eficient a operaiilor n cadrul
departamentului IT
Suportul tehnic cu privire la utilizarea programului
nu este acordat n mod corespunztor utilizatorilor
2,30 Mare

3.5.2. Identificarea i raportarea pericolelor Costuri ridicate cu remedierea defeciunilor,
frecven mare a acestora, timpi mari pn la
reluarea lucrului
1,40 Mic

3.5.3. Administrarea eficient a aplicaiilor i
programelor
Controlul intern asupra datelor de intrare nu este
asigurat corespunztor
2,70 Mare

3.5.4. Evaluarea problemelor i soluionarea
acestora
Lipsa revizuirii i urmrii msurilor privind
corectarea erorilor conduce la persistena unora
dintre acestea
1,90 Mediu

3.5.5. Programele corespund cerinelor stabilite Neadaptarea la schimbrile rapide ale tehnologiei
informaiei
1,40 Mic

3.5. Utilizarea
echipamentelor
3.5.6. Echipamentele sunt utilizate adecvat
asigurnd un confort n exploatare
Lipsa cunotinelor privind exploatarea
echipamentelor la potenialul maxim
1,50 Mic

4.1.1. Crearea politicii de securitate a informaiei Organizarea i responsabilitile privind securitatea
informaiilor nu constituie o prioritate a politicii de
securitate
1,50 Mic

4.1.2. Crearea standardelor i practicilor pentru
Standardele privind securitatea informaiei nu sunt
definite formal
2,50 Mare

4.1.3. Stabilirea responsabilitilor privind
Responsabilitile nu sunt separate clar ntre cele ale
administratorilor i cele ale operatorilor
1,50 Mic

4.1.4. Elaborarea politicii privind securitatea
informaiei
Datele i informaiile prelucrate i stocate nu sunt
asigurate n condiii de confidenialitate, integritate i
disponibilitate
2,50 Mare

4. Securitatea
informaiilor
4.1. Organizarea
securitii
informaiilor
4.1.5. Stabilirea responsabilitilor n cadrul
Politica de securitate nu definete responsabilitile
cu privire la securitatea datelor i informaiilor
2,00 Mediu

55
Nr
crt
Domeniul
Activiti/
obiective
Pct.
total
Clasare Obs.
4.1.6. Securitatea informaiilor asigur integritatea
acestora
Datele i informaiile nu sunt stocate n condiii de
securitate
1,50 Mic

4.1.7. Securitatea datelor asigur disponibilitatea
acestora doar pentru utilizatori autorizai
Accesul la informaii i pentru persoanele
neautorizate
2,50 Mare

4.2.1. Protejarea mpotriva atacurilor informatice Lipsa programelor de protecie adecvate pentru
aplicaii i programe;
1,80 Mic

4.2.2. Protejarea datelor mpotriva viruilor Vulnerabilitate sporit n faa viruilor
2,70 Mare

4.2.3. Asigurarea continuitii activitilor Planurile privind continuitatea activitilor nu
stabilesc msuri concrete pentru reluarea activitii
1,50 Mic

4.2.4. Recuperarea datelor n caz de dezastru Lipsa planurilor de recuperare a datelor i
informaiilor
1,50 Mic

4.2. Disponibilitatea
datelor
4.2.5. Protejarea mpotriva asumrii unei identitii
false
Sustragerea informaiilor sau echipamentelor, fr
autorizare
1,70 Mic

4.3.1. Asigurarea introducerii corecte a datelor i
informaiilor pentru prelucrare
Aplicaiile informatice nu sunt utilizate n
conformitate cu instruciunile de exploatare
2,30 Mare

4.3.2. Existena licenelor pentru programele
utilizate
Plata unor despgubiri urmare implementrii unor
programe fr licen
1,50 Mic

4.3.3. Prelucrarea datelor Introducerea incorect a datelor i informaiilor n
cadrul programelor i aplicaiilor
2,50 Mare

4.3. Asigurarea
funcionrii
programelor i
aplicaiilor
4.3.4. Asigurarea securitii datelor i informaiilor Accesul la datele i informaiile stocate nu este
restricionat i autorizat pe niveluri ierarhice
2,00 Mediu

4.4.1. Accesul la aplicaie este oferit pe baza
necesitilor utilizatorului
Accesul la program, aplicaie este oferit pentru
ntregul personal ce posed o parol
2,40 Mare

implementate verific i limiteaz accesul la
aplicaii
Pentru vulnerabilitile sistemelor nu sunt stabilite i
implementate instrumente de control 1,50 Mic

Accesul fizic la echipamente i aplicaii este
restricionat
2,50 Mare

4.4. Implementarea
instrumentelor de
control
4.4.4. Stabilirea de chei de control pentru fiecare
Posibilitatea de a obine i utiliza rezultate nesigure,
neverificate
1,20 Mic

implementate asigur securitatea informaiilor n
cadrul reelei
Metodele de criptare nu asigur protecia integritii
i confidenialitii datelor sensibile 1,50 Mic
4.5. Securitatea
reelei
4.5.2. Monitorizarea securitii reelelor Comunicarea n reea nu este monitorizat
1,80 Mic

4.6.1. Utilizatorii au parole de acces individuale Accesul la aplicaii se realizeaz direct, fr a fi
permis doar pentru personalul ndreptit
2,00 Mediu
4.6. Gestionarea
parolelor
4.6.2. Schimbarea periodic a parolelor Risc crescut de spargere a parolei
2,10 Mare

56
Nr
crt
Domeniul
Activiti/
obiective
Pct.
total
Clasare Obs.
4.6.3. Conturile i parolele generice sunt folosite
pentru accesul la sisteme i aplicaii
Conturile i parolele generice iniiale nu sunt
personalizate dup nceperea prelucrrilor de ctre
utilizatori
1,50 Mic

4.6.4. Protejarea parolelor Descrcarea ilegal a unor informaii
2,50 Mare

4.6.5. Persoanele autorizate au acces la sistemul de
operare
Accesul la servere este permis ntregului personal,
nefiind nregistrat i monitorizat
2.30 Mare

4.7.1. Asigurarea securitii funcionrii
Lipsa controalelor sau controale slabe de acces
2,50 Mare

4.7.2.Protejarea sistemelor informatice mpotriva
factorilor de mediu
Lipsa controalelor de mediu, respectiv detectoare de
foc, incendiu etc.
1,50 Mic

4.7. Securitatea
logic
4.7.3. Protejarea informaiei din reea Funcii de siguran sau control nu sunt prevzute n
cadrul sistemelor de aplicaii
1,80 Mic

5.1.1. Proiectarea programului informatic n proiectarea programului/aplicaiei, fluxul de date
nu este stabilit adecvat rezultatelor ateptate
2,00 Mediu

5.1.2. Elaborarea programului informatic Graficul de realizare a programului i bugetul
aprobat nu sunt respectate
2,50 Mare

5.1.3. Proiectarea unui program sau aplicaie tine
cont de necesitile organizaiei
Elaborarea de programe i aplicaii fr o analiz
strategic la nivelul utilizatorilor
1,80 Mic

5.1.4. Proiectarea unui program sau aplicaie pe
baza existenei resurselor financiare
Lipsa resurselor financiare n elaborarea i
implementarea unui program sau aplicaie
1,80 Mic

5.1. Proiectarea i
elaborarea
programelor i
aplicaiilor
5.1.5. Respectarea cerinelor i programelor n
achiziia unei aplicaii
Costuri suplimentare n achiziia unui program sau
aplicaie
1,40 Mic

5.2.1. Utilizarea de date ipotetice n testarea unui
program
Efectuarea de prelucrri asupra datelor reale n
cadrul testrii programelor
2,50 Mare

5.2.2. Testarea programului i aplicaiei Neconformitile i erorile constatate n cursul
testrii unui program nu sunt analizate cu atenie
2,00 Mediu

5.2.3. Asigurarea corectitudinii rezultatelor Opiunile i parametrii de lucru ai
programului/aplicaiei nu sunt stabilii conform
specificaiilor din documentaiile tehnice
2,20 Mare

5 Proiectarea i
testarea
programelor i
aplicaiilor
5.2. Testarea i
implementarea
programelor i
aplicaiilor
5.2.4. Implementarea unui program dup realizarea
testrii acestuia
Programele sau aplicaiile achiziionate sunt
implementate fr a fi testate
1,50 Mic

6.1.1. Metodologia pentru dezvoltarea i achiziia
aplicaiei
Lipsa proiectelor de dezvoltare a achiziiilor
1,50 Mic

6.1.2. Iniierea i elaborarea proiectelor IT Obiectivele generale ale proiectului nu sunt stabilite
cu respectarea strategiei generale a organizaiei
2,50 Mare

6. Elaborarea i
implementarea
proiectelor IT
6.1. Dezvoltarea
proiectelor IT
(programe i
aplicaii)
6.1.3. Monitorizarea performanelor soluiilor IT
implementate
Parametri de referin i valorile etalon ale
programelor elaborate nu respect specificaiile i nu
se ncadreaz n standarde
2,50 Mare

57
Nr
crt
Domeniul
Activiti/
obiective
Pct.
total
Clasare Obs.
6.2.1. Reproiectarea soluiilor IT pentru programe
i aplicaii
Soluiile privind mbuntirea programelor i
aplicaiilor nu in cont de punctele slabe i critice,
precum i evoluiile tehnologice
2,00 Mediu

6.2.2. Implementarea adecvat a aplicaiilor Rapoartele nu corespund cerinelor
1,70 Mic

funcionarea
programelor i
aplicaiilor
6.2.3. ntreinerea aplicaiilor garanteaz
funcionarea proceselor la parametrii optimi
Supravegherea proceselor aflate n execuie i a
performanelor aplicaiilor, sistemelor sau
programelor nu respect procedurile i instruciunile
2,50 Mare

7.1.1. Asigurarea bunei funcionri a sistemelor
bazate pe existena i funcionarea reelei de
calculatoare
Subsistemele existente nu sunt configurate i
supravegheate individual 2,50 Mare

7.1.2. Monitorizarea performanelor reelelor Scderea performanelor reelelor
1,50 Mic

7.1.3. Administrarea serverelor Accesul i utilizarea datelor i informaiilor stocate
pe server nu respect strategia de securitate a reelei
2,00 Mediu

7.1. Proiectarea,
instalarea i
de calculatoare
7.1.4. Reeaua de calculatoare corespunde
cerinelor funcionale
Reeaua de calculatoare nu asigur integrarea
informaiilor i elaborarea rapoartelor
1,50 Mic

7.2.1. Interconectarea reelelor Conexiunile dintre reele nu sunt conforme cu
arhitectura prevzut de instruciuni i nu respect
standardele
2,40 Mare

7.2.2. Proiectarea i asigurarea securitii reelei Vulnerabilitile i ameninrile nu sunt identificate
i prioritizate
2,00 Mediu

7. Proiectarea i
meninerea n
funciune a
unei reele
7.2.2. Urmrirea adecvrii performanelor unei
reele
Proiectarea reelei de calculatoare nu asigur
integrarea programelor
1,70 Mic

Auditori,
Popescu Sorin
Radu George

58

Not:
Clasarea activitilor sau operaiilor n funcie de punctajul riscurilor este a asea faz a procedurii Analiza riscurilor, n care riscurile se mpart n mari, medii i
mici.
mprirea riscurilor n cele trei categorii se realizeaz innd cont de importana riscurilor i de resursele de audit de care dispunem, respectiv numrul de
auditori intern si numrul de ore efectuate pentru desfurarea misiunii de audit.
n mod special, activitatea de mprire a riscurilor pe cele trei categorii trebuie s in cont de resursele alocate misiunii (numr de persoane, timpul aferent
.a.), respectiv s aib n vedere volumul riscurilor pe care le poate auditat i s renune pentru moment la riscurile care pot fi neglijate. Numrul riscurilor medii se
recomand s fie foarte redus ( 5-10%), pentru c acesta demonstreaz o nehotrre din partea auditorilor interni. n general, riscurile medii se acord pentru operaiile
pe care auditorii interni nu le cunosc bine din practic i care vor fi cuprinse n auditare.
Pentru continuarea analizei, auditorii interni au mprit in cele trei categorii (mari, medii si mici) riscurile din documentul Stabilirea nivelului riscului i a
punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel:
Riscuri mici 1,0 - 1,7
Riscuri medii 1,8 - 2,3
Riscuri mari 2,4 - 3,0
Pentru moment, riscurile mici vor fi ignorate, in sensul ca nu vor fi auditate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie
cu care se va elabora documentul Tabelul puncte tari i puncte slabe.

59

Entitatea Public

TABELUL PUNCTE TARI I PUNCTE SLABE


Nr
crt
Domeniul
Activiti/
obiective
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
in control
intern
Obs.
1.1. Strategia IT
este concordant cu
scopurile
organizaiei
necesitile i prioritile
Achiziia i implementarea
programelor i aplicaiilor nu
este corelat cu obiectivele
propuse;
S

Sczut

1.2.2. Planurile IT ajut la
ndeplinirea misiunii
organizaiei
Planurile IT nu contribuie la
realizarea scopului entitii n
domeniul IT;
S

Sczut
adreseaz ntregii
organizaii
1.2.3. Planurile IT ofer
asigurare cu privire la faptul c
resursele IT sunt alocate n
Resursele IT nu sunt
identificate pentru fiecare
element al planului;
S

Sczut

1.3. Obiectivele IT
ndeplinesc
obiectivele
organizaiei
1.3.1. Strategia IT este
organizaiei
Utilizatorii i IT nu au
aceleai opinii cu privire la
responsabilitile i
autoritatea lor
S

Sczut

1.4.1. Strategia IT este stabilit
de un comitet IT
Strategia IT este definit de
departamentul IT;
T

Ridicat

1. Strategia i
planificarea
sistemelor
informatice
1.4. Comitetul IT
determin strategia
IT 1.4.2. Comitetul IT transpune
Comitetul IT nu contribuie la
dezvoltarea i implementarea
strategiei n domeniu;
S

Sczut

60
Nr
crt
Domeniul
Activiti/
obiective
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
in control
intern
Obs.
1.4.3. Comitetul IT stabilete
prioritile proiectelor de
dezvoltare a sistemelor IT
Stabilirea dezvoltrii IT de
ctre departamentul IT; S

Sczut

1.5.1. Organizarea adecvat a
funciei IT
Responsabilitile nu sunt
definite clar n cadrul
compartimentelor i
posturilor;
S

Sczut
1.5. Organizarea IT
corespunde
necesitilor
organizaiei
1.5.3. Adecvarea practicilor i
existente
Programele i aplicaiile nu
sunt integrate i nu rspund
cerinelor activitilor;
S

Sczut

1.6. Elaborarea
strategiei IT
corespunde
strategiei entitii
1.6.1. Dotarea actual cu
tehnic de calcul a stat la baza
elaborrii strategiei IT
Infrastructura IT existent nu
asigur implementarea
strategiei IT;
S

Sczut

2.1.1. Definirea atribuiilor i
departamentului IT
Lipsa ariei de competen
pentru realizarea activitilor
stabilite structurii funcionale
S

Sczut
2.1. Definirea
atribuiilor i
activitilor
2.1.6. Definirea activitilor n
Activitile realizate la
nivelul structurii funcionale
nu se regsesc n totalitate n
cadrul sarcinilor stabilite
posturilor
S

Sczut

departamentului IT
Structura funcional nu este
adaptat complexitii
S

Sczut

2.2.3. Examinarea sistemului de
gestionare a riscurilor generale
Riscurile nu sunt identificate
i gestionate la nivelul
S

Sczut

2. Organizarea i
funcionarea
departamentulu
i IT
2.2. Stabilirea
structurii
organizatorice
2.2.4. Riscurile legate de
securitatea datelor, programelor
i echipamentelor sunt
identificate i evaluate ct mai
corect i complet.
Gestionarea slab a riscurilor
privind securitatea
informaiilor T

Ridicat

61
Nr
crt
Domeniul
Activiti/
obiective
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
in control
intern
Obs.
2.3. Stabilirea
responsabilitilor
2.3.3. Definirea sarcinilor prin
fia postului
Sarcinile stabilite postului
potrivit fiei postului nu
corespund cu aciunile efectiv
realizate de ocupantul
postului
S

Sczut

3.1.2. Performana, capacitatea
si disponibilitatea sistemelor
informatice este monitorizat de
administratori
Lipsa analizelor privind
scopul i cerinele de realizare
a activitilor i calitatea
aplicaiilor sau programelor
utilizate
S

Sczut

3.1.3. Responsabilitatea pentru
administratorilor
Responsabilitile
operatorilor nu sunt
delimitate i stabilite n
funcie de specializarea
fiecruia i tipurile de
aplicaii i programe utilizate
S

Sczut

3.1 Managementul
operaiunilor
3.1.4. Elaborarea Planului anual
de activitate
Activitile sunt derulate n
cadrul departamentului fr a
exista o planificare anual sau
periodic
S

Sczut

3.2.2. Programele antivirus
Utilizarea neadecvat a
programelor antivirus
S

Sczut
3.2. Managementul
problemelor
3.2.4. Implementarea
subsistemelor IT
Programele i aplicaiile
derulate la nivelul
organizaiei nu sunt
actualizate potrivit noilor
necesiti ca urmare a
modificrii aciunilor de
S

Sczut

3.
Operaii ale
sistemului
informatic

3.3.
Funcionalitatea
activitilor n
cadrul
departamentului IT
departamentului IT
Activitile i aciunile
necesare realizrii acestora nu
sunt repartizate eficient i
omogen pe compartimente n
S

Sczut

62
Nr
crt
Domeniul
Activiti/
obiective
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
in control
intern
Obs.
3.3.6. Asigurarea caracterului
secret al datelor
Accesul la datele i
informaiile organizaiei nu
este limitat doar pentru
persoanele ndreptite
S

Sczut

3.4.1. Obinerea de rapoarte de
activitate utile
Rapoartele obinute nu ofer
informaii suficiente pentru
luarea deciziilor
T

Ridicat

3.4.2. ntreinerea calculatorului
i a echipamentelor
Disfunciunile identificate nu
sunt analizate i nlturate n
conformitate cu instruciunile
i manualele de ntreinere
S

Sczut

3.4. Mentenana
echipamentelor
3.4.3. Instalarea i configurarea
calculatorului
Echipamentele periferice nu
sunt instalate i conectate
conform documentaiei
S

Sczut

3.5.1. Realizarea eficient a
operaiilor n cadrul
departamentului IT
Suportul tehnic cu privire la
utilizarea programelor nu este
furnizat n mod corespunztor
utilizatorilor
S

Sczut

3.5.3. Administrarea eficient a
Controlul intern asupra
datelor de intrare nu este
asigurat corespunztor
S

Sczut

3.5. Utilizarea
echipamentelor
3.5.4. Evaluarea problemelor i
soluionarea acestora
Lipsa revizuirii i urmririi
msurilor privind corectarea
erorilor conduce la persistena
unora dintre acestea
S

Sczut

4.1.2. Crearea standardelor i
practicilor pentru securitatea
informaiei
Standardele privind
securitatea informaiei nu
sunt definite formal
T

Ridicat
4. Securitatea
informaiilor
4.1. Organizarea
securitii
informaiilor
4.1.4. Elaborarea politicii
Datele i informaiile
prelucrate i stocate nu sunt
asigurate n condiii de
confidenialitate, integritate i
disponibilitate;
S

Sczut

63
Nr
crt
Domeniul
Activiti/
obiective
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
in control
intern
Obs.
4.1.5. Stabilirea
Politica de securitate nu
definete responsabilitile cu
privire la securitatea datelor i
informaiilor
S

Sczut

4.1.7. Securitatea datelor
asigur disponibilitatea acestora
doar pentru utilizatori autorizai
Accesul la informaii i
pentru persoanele
neautorizate
S

Sczut

4.2.2. Protejarea datelor
mpotriva viruilor
Vulnerabilitate sporit n faa
viruilor
S

Sczut

4.2.3. Asigurarea continuitii
activitilor
Planurile privind
continuitatea activitilor nu
stabilesc msuri concrete
pentru reluarea activitii
S

Sczut

4.2.
Disponibilitatea
datelor
4.2.4. Recuperarea datelor n
caz de dezastru
Lipsa planurilor de recuperare
a datelor i informaiilor
S

Sczut

4.3.1. Asigurarea introducerii
corecte a datelor i informaiilor
pentru prelucrare
Aplicaiile informatice nu
sunt utilizate n conformitate
cu instruciunile de exploatare
S

Sczut

4.3.3. Prelucrarea datelor Introducerea incorect a
datelor i informaiilor n
cadrul programelor i
aplicaiilor
S

Sczut

4.3. Asigurarea
funcionrii
programelor i
aplicaiilor
datelor i documentelor
Accesul la datele i
informaiile stocate nu este
restricionat i autorizat pe
niveluri ierarhice
S

Sczut

4.4.1. Accesul la aplicaie este
utilizatorului
Accesul la program, aplicaie
este oferit pentru ntregul
personal ce posed o parol
S

Sczut
4.4. Implementarea
instrumentelor de
control
4.4.3. Introducerea
Accesul fizic la echipamente
i aplicaii nu este
restricionat
S

Sczut

64
Nr
crt
Domeniul
Activiti/
obiective
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
in control
intern
Obs.
4.5. Securitatea
reelei
4.5.2. Monitorizarea securitii
reelelor
Comunicarea datelor n reea
nu este monitorizat S

Sczut

4.61. Utilizatorii au parole de
acces individuale
Accesul la aplicaii se
realizeaz direct, fr a fi
permis doar pentru personalul
ndreptit
S

Sczut

4.6.2. Schimbarea periodic a
parolelor
Risc crescut de spargere a
parolei
S

Sczut

4.6.4. Protejarea parolelor Descrcarea ilegal a unor
informaii
S

Sczut

4.6. Gestionarea
parolelor
4.6.5. Persoanele autorizate au
Accesul la servere este permis
ntregului personal, nefiind
nregistrat i monitorizat
S

Sczut

4.7. Securitatea
logic
aplicaiilor
Lipsa controalelor sau
controale slabe de acces S

Sczut

5.1.1. Proiectarea programului
informatic
n proiectarea programului/
aplicaiei, fluxul de date nu
este stabilit adecvat
rezultatelor ateptate
S

Sczut
5.1. Proiectarea i
elaborarea
programelor i
aplicaiilor
5.1.2. Elaborarea programului
informatic
Graficul de realizare a
programului i bugetul
aprobat nu sunt respectate
S

Sczut

5.2.1. Utilizarea de date
ipotetice n testarea unui
program
Efectuarea de prelucrri
asupra datelor n cadrul
testrii programelor
T

Ridicat

5 Proiectarea i
testarea
programelor i
aplicaiilor
5.2. Testarea i
implementarea
programelor i
aplicaiilor 5.2.2. Testarea programului i
aplicaiei
Neconformitile i erorile
constatate n cursul testrii
unui program nu sunt
analizate cu atenie
S

Sczut

65
Nr
crt
Domeniul
Activiti/
obiective
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
in control
intern
Obs.
5.2.3. Asigurarea corectitudinii
rezultatelor
Opiunile i parametrii de
lucru ai
programului/aplicaiei nu sunt
stabilii conform
specificaiilor din
S

Sczut

6.1.2. Iniierea i elaborarea
proiectelor IT
Obiectivele generale ale
proiectului nu sunt stabilite cu
respectarea strategiei generale
a organizaiei
S

Sczut
6.1. Dezvoltarea
proiectelor IT
(programe i
aplicaii)
implementate
Parametri de referin i
valorile etalon ale
programelor elaborate nu
respect specificaiile i nu se
ncadreaz n standarde
S

Sczut

6.2.1. Reproiectarea soluiilor
IT pentru programe i aplicaii
Soluiile privind
mbuntirea programelor i
aplicaiilor nu in cont de
punctele slabe i critice,
precum i evoluiile
tehnologice
S

Sczut

6. Elaborarea i
implementarea
proiectelor IT
6.2. Implementarea
i funcionarea
programelor i
aplicaiilor
6.2.3. ntreinerea aplicaiilor
Supravegherea proceselor
aflate n execuie i a
performanelor aplicaiilor,
sistemelor sau programelor
nu respect procedurile i
instruciunile
S

Sczut

7. Proiectarea i
meninerea n
funciune a
unei reele
7.1. Proiectarea,
instalarea i
administrarea
reelei de
7.1.1. Asigurarea bunei
Subsistemele existente nu
sunt configurate i
supravegheate individual,
S

Sczut

66
Nr
crt
Domeniul
Activiti/
obiective
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
in control
intern
Obs.
calculatoare 7.1.3. Administrarea serverelor Accesul i utilizarea datelor i
informaiilor stocate pe server
nu respect strategia de
securitate a reelei
S

Sczut

7.2.1. Interconectarea reelelor Conexiunile dintre reele nu
sunt conforme cu arhitectura
prevzut de instruciuni i nu
respect standardele;
S

Sczut
7.2.2. Proiectarea i asigurarea
securitii reelei
Vulnerabilitile i
ameninrile nu sunt
identificate i prioritizate
S

Sczut

Auditori,
Popescu Sorin
Radu George

Not:
n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin preluarea operaiilor auditabile cu riscuri semnificative (mari i
medii) din documentul Clasarea operaiilor, respectiv un numr de 70 obiecte audiabile i 70 de riscuri asociate acestora.
Ierarhizarea obiectelor audiabile const n evaluarea funcionalitii sistemelor de control intern care limiteaz efectele riscurilor i care dau posibilitatea
auditorilor interni s aprecieze acele obiecte audiabile ca fiind puncte tari, celelalte riscuri pentru care nu exista activiti de control sau acestea sunt nefuncionale
sunt in continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 6 riscuri asociate obiectelor audiabile care au fost evaluate ca fiind puncte tari i
care vor fi eliminate din auditare.
Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai
operaiile considerate ca fiind puncte slabe, ocazie cu care vor fi renumerotate si stabilita corespondenta cu paragrafele din Raportul de audit intern..
Un punct tare sau un punct slab trebuie s fie exprimat n funcie de un obiectiv de control intern sau de o caracteristic urmrit, pentru a asigura buna
funcionare a structurii auditate.
Documentul Tabelul puncte tari i puncte slabe conine att gradul de ncredere al auditorului intern n funcionarea controlului intern, ct i consecinele
funcionrii/nefuncionrii acestuia, care va conduce la minimizarea riscului, atunci cnd gradul de ncredere este mare (punct tare), i la maximizarea apariiei riscului,
atunci cnd gradul de ncredere este mic (punct slab).

67

Entitatea Public

TEMATICA N DETALIU


Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile
Paragraful
corespunzto
r din RAI
Strategia IT este
concordant cu
scopurile organizaiei
Strategia IT definete necesitile i prioritile
II 1.1.1.
Planurile IT ajut la ndeplinirea misiunii organizaiei II 1.2.1 Planurile IT se
adreseaz ntregii
organizaii
Planurile IT ofer asigurare cu privire la faptul c
resursele IT sunt alocate n concordan cu necesitile
II 1.2.2
Obiectivele IT
ndeplinesc
obiectivele
organizaiei
Strategia IT este concordant cu scopurile organizaiei
II 1.3.1
Comitetul IT transpune strategia n planuri pe termen
II 1.4.1.
Comitetul IT
determin strategia
IT Comitetul IT stabilete prioritile proiectelor ntre
dezvoltarea sistemelor i activitile realizate
II 1.4.2.
Organizarea adecvat a funciei IT II 1.5.1. Organizarea IT
corespunde
necesitilor
organizaiei
Adecvarea practicilor i procedurilor IT la procesele
existente II 1.5.2.
1. Strategia i
planificarea
sistemelor
informatice
Elaborarea strategiei
IT corespunde
strategiei entitii
Dotarea actual cu tehnic de calcul a stat la baza
strategiei IT II 1.6.1.
Definirea atribuiilor i responsabilitilor n cadrul
departamentului IT
II 2.1.1.
Definirea atribuiilor
i activitilor
Definirea activitilor n cadrul structurii organizatorice II 2.1.2.
Organizarea funcional a departamentului IT II 2.2.1. Stabilirea structurii
organizatorice Examinarea sistemului de gestionare a riscurilor generale
II 2.2.2.
2 Organizarea
i
funcionarea
departament
ului IT
Stabilirea
responsabilitilor
Definirea sarcinilor prin fia postului
II 2.3.1.
Performana, capacitatea si disponibilitatea sistemelor
informatice este monitorizat de administratori
II 3.1.1.
Responsabilitatea pentru supravegherea sarcinilor pe
seturi de programe revine administratorilor
II 3.1.2.
Managementul
operaiunilor
Elaborarea planului anual de activitate II 3.1.3.
Programele antivirus asigur protecia aplicaiilor II 3.2.1. Managementul
problemelor Implementarea subsistemelor IT II 3.2.2.
Organizarea funcional a activitilor n cadrul
departamentului IT
II 3.3.1.
Funcionalitatea
departamentului IT Asigurarea caracterului secret al datelor
II 3.3.2.
ntreinerea calculatorului i a echipamentelor II 3.4.21
3. Operaii ale
sistemului
informatic

Mentenana
echipamentelor
Instalarea i configurarea calculatorului II 3.4.2.

68
Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile
Paragraful
corespunzto
r din RAI
Realizarea eficient a operaiilor n cadrul
departamentului IT
II 3.5.1.
Administrarea eficient a aplicaiilor i programelor II 3.5.2.
Utilizarea
echipamentelor
Evaluarea problemelor i soluionarea acestora II 3.5.3.
Elaborarea politicii privind securitatea informaiei
II 4.1.1.
Stabilirea responsabilitilor n cadrul politicii de
securitate
II 4.1.2.
Organizarea
securitii
informaiilor
Securitatea datelor asigur disponibilitatea acestora doar
pentru utilizatori autorizai
II 4.1.3.
Protejarea datelor mpotriva viruilor
II 4.2.1.
Asigurarea continuitii activitilor
II 4.2.2.
Disponibilitatea
datelor
Recuperarea datelor n caz de dezastru
II 4.2.3.
Asigurarea introducerii corecte a datelor i informaiilor
pentru prelucrare
II 4.3.1.
Prelucrarea datelor
II 4.3.2.
Asigurarea
funcionrii
programelor i
aplicaiilor
Asigurarea securitii datelor i documentelor
II 4.3.3.
Accesul la aplicaie este oferit pe baza necesitilor
utilizatorului
II 4.4.1.
Implementarea
instrumentelor de
control Introducerea instrumentelor de control fizic asupra
echipamentelor IT
II 4.4.2.
Securitatea reelei Monitorizarea securitii reelelor
II 4.5.1.
Utilizatorii au parole de acces individuale II 4.6.1.
Schimbarea periodic a parolelor
II 4.6.2.
Protejarea parolelor
II 4.6.3.
Gestionarea parolelor
Persoanele autorizate au acces la sistemul de operare II 4.6.4.

4.
Securitatea
informaiilor
Securitatea logic Asigurarea securitii funcionrii programelor i
aplicaiilor
II 4.7.1.
Proiectarea programului informatic
II 5.1.1.
Proiectarea i
elaborarea
programelor i
aplicaiilor
Elaborarea programului informatic
II 5.1.2.
Testarea programului i aplicaiei II 5.2.1.
5 Proiectarea
i testarea
programelor
i
aplicaiilor Testarea i
implementarea
programelor i
aplicaiilor
Asigurarea corectitudinii rezultatelor
II 5.2.2.
Iniierea i elaborarea proiectelor IT
II 6.1.1.
Dezvoltarea
proiectelor IT
(programe i
aplicaii)
Monitorizarea performanelor soluiilor IT implementate
II 6.1.22.
Reproiectarea soluiilor IT pentru programe i aplicaii
II 6.2.1.
6. Elaborarea
i
implementar
ea
proiectelor
IT
Implementarea i
funcionarea
programelor i
aplicaiilor
ntreinerea aplicaiilor garanteaz funcionarea
II 6.2.2.
Asigurarea bunei funcionri a sistemelor bazate pe
existena i funcionarea reelei de calculatoare
II 7.1.1.
Proiectarea,
instalarea i
de calculatoare
Administrarea serverelor
II 7.1.2.
Interconectarea reelelor II 7.2.1.
7. Proiectarea
i
meninerea
n funciune
a unei reele Interconectarea i
securitatea reelei Proiectarea i asigurarea securitii reelei II 7.2.2

Auditori,
Popescu Sorin
Radu George

69
Not:
Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a obiectelor
audiabile i se finalizeaz cu Tematica n detaliu a misiunii de audit.
Tematica n detaliu a misiunii de audit, este acea faz din procedura Analizei riscurilor, care se
realizeaz prin selectarea obiectelor audiabile, pornind de la documentul Tabelul puncte tari i puncte slabe,
care au fost evaluate ca fiind puncte slabe si care vor fi avute in vedere, in continuare, pentru auditare.
Documentul, semnat de echipa de auditori i de supervizorul misiunii, respectiv de eful
compartimentului de audit intern, va fi adus la cunotin principalilor responsabili ai entitii auditate n
cadrul edinei de deschidere.
n continuare, operaii/obiecte audiabile, vor fi avute n vedere n activitatea de auditare, deoarece
reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza
Programului interveniei la faa locului, care se vor materializa n FIAP-uri i FCRI-uri, acolo unde este cazul,
i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a
misiunii de audit.

70

71
Procedura PO6: ELABORAREA PROGRAMULUI DE AUDIT

Entitatea Public

PROGRAMUL DE AUDIT


OBIECTIVELE
AUDITULUI
ACTIVITILE PROGRAMATE
DURATA
(H)
PERSOANELE
IMPLICATE
LOCUL
DESFURRII
Tema general: Activitatea IT 388
54
1. Tiprirea i procesarea Ordinului de serviciu 2 Dumitru Daniel SAI
2. Tiprirea i procesarea Declaraiei de independena 2 Popescu Sorin SAI
3. Pregtirea i transmiterea Notificrii privind declanarea misiunii
de audit intern ctre prile interesate
4 Radu George SAI
4. Colectarea i prelucrarea informaiilor
8
Popescu Sorin
Radu George
SAI
AUDITAT
5. ntocmirea Listei centralizatoare a obiectelor audiabile
8
Popescu Sorin
Radu George
SAI
6. Elaborarea Tabelului puncte tari i puncte slabe
8
Radu George
Popescu Sorin
SAI
7. ntocmirea Programului de audit intern 8 Radu George SAI
8. ntocmirea Notei i a Programului interveniei la faa locului 8 Popescu Sorin SAI
9. Obinerea aprobrii Notei i a anexelor acesteia: Colectarea i
prelucrarea datelor, Tabelul - Puncte tari i puncte slabe i
Programul interveniei la faa locului.
2 Popescu Sorin SAI
10. Planificarea i organizarea edinei de deschidere cu
Departamentul IT
2 Popescu Sorin
SAI
AUDITAT
1. Pregtirea misiunii
de audit
11. Redactarea Minutei edinei de deschidere. Obinerea numelui
persoanelor de contact i stabilirea unui loc pentru desfurarea
activitii de audit.
2 Radu George AUDITAT
2. Intervenia la faa locului 272
Obiectivul I. 1.1 Efectuarea testrilor 22 Popescu Sorin

72
OBIECTIVELE
AUDITULUI
DURATA
(H)
PERSOANELE
IMPLICATE
LOCUL
DESFURRII
1.2 Discutarea constatrilor cu eful de serviciu 2
1.3 Elaborare FIAP - urilor 8
1.4 Colectarea dovezilor 4
Strategia i planificarea
sistemelor informatice
1.5 Revizuirea documentelor de lucru din punct de vedere al
coninutului i al formei i ntocmirea Notei centralizatoare a
documentelor de lucru
4

AUDITAT
SAI

2.1 Efectuarea testrilor 22
2.3 Elaborarea FIAP - urilor 8
2.4 Colectarea dovezilor
4
Obiectivul II.
Organizarea i
funcionarea
departamentului IT
4
Radu George

AUDITAT
SAI

Obiectivul III. Operaii
ale sistemului
informatic
4
Popescu Sorin

AUDITAT
SAI

Obiectivul IV.
Securitatea
informaiilor
4
Radu George

AUDITAT
SAI

5.2 Discutarea constatrilor cu eful de serviciu
2
Obiectivul V.
Achiziionarea i
testarea aplicaiilor
4
Popescu Sorin

AUDITAT
SAI

Obiectivul VI.
Elaborarea i
implementarea
6.3 Elaborarea FIAP - urilor
8
Radu George

AUDITAT

73
OBIECTIVELE
AUDITULUI
DURATA
(H)
PERSOANELE
IMPLICATE
LOCUL
DESFURRII
6.4 Colectarea dovezilor 4 proiectelor IT
4
SAI

Obiectivul VII.
Proiectarea i
meninerea n funciune
a unei reele
4
Popescu Sorin
12. Planificarea si organizarea edinei de nchidere Radu George AUDITAT
13. Discutarea constatrilor cu Departamentul IT
4
Radu George
Popescu Sorin
AUDITAT

14. Concluzii 4 Radu George SAI
58
15. Redactarea proiectului de Raport de audit intern
16
Radu George
Popescu Sorin
SAI
16. Revizuirea Raportului de audit intern
8
Radu George
Popescu Sorin
SAI
17. Obinerea proiectului de Raport de audit intern aprobat de
conducere
8 Popescu Sorin SAI
18. Transmiterea proiectului de Raport de audit intern la auditat i
solicitarea de rspuns n 15 zile
2 Popescu Sorin SAI
19. Planificarea i organizarea Reuniunii de conciliere, dac este
cazul
4 Popescu Sorin AUDITAT
20. Includerea n Raportul de audit intern a aspectelor reinute din
punct de vedere al auditatului
4
Radu George
Popescu Sorin
SAI
21. Finalizarea Raportului de audit intern
4
Radu George
Popescu Sorin
SAI
22. Obinerea Raportului de audit intern aprobat de conducerea
instituiei
8 Popescu Sorin SAI
III. Raportul de audit
intern
23. Transmiterea recomandrilor aprobate ctre auditat 4 Popescu Sorin SAI
IV. Urmrirea
recomandrilor
24. ntocmirea Fisei de urmrire a recomandrilor
4 Popescu Sorin SAI
Data: 08.09.2009 Auditori, ef compartiment audit intern,
Radu George

74

Not:
Programul de audit intern este documentul prin care repartizm resursele de audit n vederea realizrii misiunii de audit intern respectiv, stabilim ntre membri
echipei de auditori activitile pe care le vor desfura n vederea atingerii obiectivelor stabilite si timpul necesar pentru parcurgerea etapelor si procedurilor specifice in
vederea ncadrrii in perioadele afectate prin Planul de audit intern.
Programul de audit este un document intern de lucru al compartimentului de audit intern, care se ntocmete pe baza Tematicii n detaliu a misiunii de audit
prin care se realizeaz ordinea de parcurgere a procedurilor misiunii de audit pe timpul derulrii acesteia. De fapt, Programul de audit presupune un plan detaliat al
activitii ce trebuie realizat n etapa de Intervenie la faa locului i care trebuie s cuprind procedurile necesare atingerii obiectivelor misiunii de audit.

75
Procedura PO6 : ELABORAREA PROGRAMULUI DE AUDIT

Entitatea Public

PROGRAMUL INTERVENIEI LA FAA LOCULUI


Nr.
crt.
Obiecte audiabile Tipul testrii
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
OBIECTIVUL NR. 1 STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
A 1.1. Strategia IT este concordant cu scopurile organizaiei
1

necesitile i prioritile;
Analiza sistemului de elaborarea a strategiei
Compararea obiectivelor strategie ale IT cu cele ale
organizaiei
Examinarea direciilor strategice n domeniul IT
Analiza responsabilitilor n elaborarea strategiei
Analiza politicilor privind implementarea strategiei
Analiza obiectivelor IT strategice
Analiza managementului IT
Structura
auditat
6 I T1 Popescu
Sorin
B 1.2. Planurile IT se adreseaz ntregii organizaii

1 1.2.2. Planurile IT ajut
ndeplinirea misiunii
organizaiei
Analiza planurilor de activitate
Examinarea cunoaterii obiectivelor planului de activitate
Analiza echilibrului ndeplinirii planului de activitate cu
resursele alocate
Analiza adaptabilitii planului la necesiti
Analiza corelrii planului de activitate cu politica i
strategia
Structura
auditat
4 I T2 Popescu
Sorin
2 1.2.3. Planurile IT ofer
asigurare cu privire la faptul
c resursele IT sunt alocate n
Analiza monitorizrii obiectivelor i direciilor de activitate
Analiza implicaiei strategiei IT asupra organizaiei

Structura
auditat
4 I T3 Popescu
Sorin

76
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
C 1.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1 1.3.1. Strategia IT este
organizaiei
Observarea modului de cunoatere i implementare a
strategiei
Analiza organizrii funcionale a departamentului IT
Analiza impactului obiectivelor strategice
Examinarea misiunii organizaiei n comparaie cu
scopurile strategice
Analiza modalitilor de implementare a strategiei
Analiza fundamentrii necesarului de resurse n
fundamentarea strategiei
Structura
auditat
4 I T4 Popescu
Sorin
D 1.4. Comitetul IT determin strategia IT
1 1.4.2. Comitetul IT transpune
scurt i mediu
Examinarea constituirii Comitetului de dezvoltare IT
Examinarea atribuiilor Comitetului IT
Analiza responsabilitilor Comitetului IT
Analiza activitilor realizate de Comitetul IT
Structura
auditat
4 I T5 Popescu
Sorin
2 1.4.3. Comitetul IT stabilete
prioritile proiectelor ntre
dezvoltarea sistemelor i
operaiile realizate
Examinarea programului de dezvoltare IT a organizaiei
Analiza modului de fundamentare a programului de
dezvoltare IT a organizaiei
Analiza calitativ a echipamentelor si aplicaiilor
achiziionate
Structura
auditat
4 I T6 Popescu
Sorin
E 1.5. Organizarea IT corespunde necesitilor organizaiei
1 1.5.1. Organizarea adecvat a
funciei IT
Examinarea deciziilor IT i transformrile mediului
organizaional
Analiza adecvrii i conformitii procedurilor
Analiza performanelor activitii IT
Analiza competenelor i responsabilitilor IT
Structura
auditat
4 I T7 Popescu
Sorin
2 1.5.3. Adecvarea practicilor i
existente
Examinarea modului de instruire a utilizatorilor
Analiza dac sistemele i aplicaiile IT acoper nevoile i
necesitile organizaiei
Examinarea adecvrii practicii IT la procesele din
organizaie
Examinarea suficienei procedurilor n domeniul IT
4 I Popescu
Sorin
F 1.6. Elaborarea strategiei IT corespunde strategiei entitii
1 1.6.1. Infrastructura IT a stat la
Analiza existentei controlului asupra echipamentelor
Examinarea realizrii achiziiilor n concordan cu
Structura
auditat
8 I T8 Popescu
Sorin

77
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
realizarea obiectivelor strategice
OBIECTIVUL NR. 2 ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT
A 2.1. Definirea atribuiilor i activitilor
1 2.1.1. Definirea atribuiilor i
departamentului IT
Analiza activitilor stabilite
Analiza gradului de procedurare a activitilor
Analiza atribuiilor stabilite
Compararea atribuiilor cu aria de competen necesar
pentru realizarea activitilor
Structura
auditat
10 II T9 Radu
George
2 2.1.6. Definirea activitilor n
Examinarea stabilirii omogene a activitilor n cadrul
compartimentelor funcionale ale departamentului IT
Analiza aciunilor stabilite pentru realizarea activitilor
Examinarea repartizrii activitilor pe compartimente n
funcie de rolul acestora
Structura
auditat
10 II T10 Radu
George
B 2.2. Stabilirea structurii organizatorice
1 2.2.1. Organizarea funcional
a departamentului IT
Analiza organigramei departamentului
Analiza ROF-ului departamentului
Analiza ocuprii posturilor
Analiza specializrii posturilor
Analiza dotrii tehnice a posturilor
Analiza limitelor decizionale la nivelul posturilor de
conducere i execuie
Analiza modului de proiectare a sistemului informaional
Structura
auditat
5 II T11 Radu
George
2 2.2.3. Examinarea sistemului
de gestionare a riscurilor
generale la nivelul
Departamentului IT
Analiza politicii de gestionare a riscurilor
Analiza modului de control i gestiune a riscurilor
Analiza modului de conducere a Registrului riscurilor
Analiza nivelului decizional privind implementarea
instrumentelor de control
Analiza modului de identificare i gestionare a riscurilor pe
activiti i obiective
Analiza modului revizuire a riscurilor
Structura
auditat
5 II T12 Radu
George
C 2.3. Stabilirea responsabilitilor
1 2.3.3. Definirea sarcinilor prin
fia postului
Analiza elaborrii fiei postului in raport cu cerinele
potului
Analiza modului de delegare a activitilor
Analiza capacitii titularului postului de a realiza
Structura
auditat
10 II T13 Radu
George

78
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
atribuiile alocate
Analiza stabilirii atribuiilor n raport cu nivelul postului
OBIECTIVUL NR. 3 OPERAII ALE SISTEMULUI INFORMATIC
A 3.1. Managementul operaiunilor
1 3.1.2. Performana, capacitatea
si disponibilitatea sistemelor
informatice este monitorizat
de operatori
Verificarea dac mesajele de eroare sunt abordate n
conformitate cu manualele de operare
Verificarea dac informatizarea organizaiei ia n
considerare toate departamentele din cadrul acesteia
Verificarea dac este estimat timpul maxim de
nefuncionare care poate fi acceptat, i costurile asociate
acestuia.
Structura
auditat
3 III T14 Popescu
Sorin
2 3.1.3. Responsabilitatea pentru
operatorilor
Verificarea dac utilizatorii sunt instruii pentru nsuirea
modului de lucru cu aplicaiile noi
Verificarea dac utilizatorii primesc asisten n rularea
aplicaiilor
Verificarea dac responsabilitatea funcionrii fiecrui
program este n sarcina unui administrator
Verificarea dac exist o supraveghere permanent n
cadrul sistemului asupra derulrii unui program sau
aplicaie
Structura
auditat
3 III T15 Popescu
Sorin
3 3.1.4. Elaborarea planului
anual de activitate
Verificarea dac politica n domeniul IT se reflect n
planul anual de activitate n domeniul IT
Examinarea dac managerii cu responsabiliti n
monitorizarea implementrii politicii IT, au fost consultai
la elaborarea planului anual de activitate n domeniul IT
Examinarea dac responsabilitile sunt clar definite
pentru realizarea activitilor IT
Identificarea deciziilor luate n vederea elaborrii i
actualizrii planului i analiza dac acestea sunt n
conformitate cu activitile stabilite
Structura
auditat
2 III T16 Popescu
Sorin
B 3.2. Managementul problemelor
1 3.2.2. Programele antivirus
Verificarea dac exist proceduri pentru protecia
mpotriva viruilor, care s specifice modul de configurare
al programului antivirus
Verificarea dac sunt alese cele mai potrivite soluii
antivirus;
Verificarea dac se realizeaz scanarea antivirus pe
Structura
auditat
4 III T17 Popescu
Sorin

79
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
servere, staii de lucru sau pota electronic
Verificarea configurrii programului antivirus
2 3.2.4. Implementarea
subsistemelor IT
Analiza criteriilor avute n vedere la elaborarea
subsistemelor IT pentru funciile principale
Verificarea dac departamentele nou nfiinate au fost
solicitate s-i exprime cerinele specifice privind
realizarea unor subsisteme IT specifice activitii lor
Verificarea stabilirii de responsabiliti personalului de
specialitate, pe linia implementrii sistemului IT
Examinarea cunoaterii reglementrilor specifice privind
implementarea sistemului IT de ctre responsabilii cu
realizarea acestei activiti
Examinarea modului de alocare a resurselor necesare
realizrii subsistemelor IT
Verificarea activitii de monitorizare a implementrii
subsistemelor IT
Structura
auditat
4 III T18 Popescu
Sorin
C 3.3. Funcionalitatea activitilor n cadrul departamentului IT
1 3.3.2. Organizarea funcional
a activitilor n cadrul
departamentului IT
Analiza dac departamentul IT este subordonat unui nivel
managerial corespunztor
Verificarea dac organigrama departamentului IT
corespunde organizrii actuale a departamentului;
Verificarea dac numrul de posturi existent n cadrul
departamentului IT asigur realizarea activitilor i
atribuiilor
Analiza dac atribuiile departamentului sunt definite
corect i n totalitate n cadrul ROF-ului
Analiza modului de asigurare a continuitii activitilor n
funcie de pregtirea salariailor i vechimea n munc
Analizai dac pregtirea i calificarea salariailor
departamentului IT asigur utilizarea optim a
programelor, aplicaiilor, echipamentelor i dezvoltarea
informaional a entitii
Structura
auditat
4 III T19 Popescu
Sorin
2 3.3.6. Asigurarea caracterului
secret al datelor
Verificarea dac aplicaiile respect schemele privind
nivele de secretizare n conformitate cu standardele
organizaiei;
Verificarea dac secretizarea informaiilor ia n
considerare impactul pierderii confidenialitii, integritii
sau disponibilitilor informaiei asupra activitii
Structura
auditat
4 III T20 Popescu
Sorin

80
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
Verificarea dac monitorizarea sistemelor se concentreaz
pe punctele vulnerabile
Verificarea dac sunt nregistrate toate evenimentele cheie
n cadrul unui sistem
D 3.4. Mentenana echipamentelor
1 3.4.2. ntreinerea
calculatorului i a
echipamentelor
Verificarea dac operaiunile de mentenan se efectueaz
conform planificrii, folosindu-se procedurile standard de
testare
Verificarea dac disfuncionalitile hardware sunt
identificate corect i n timp util i sunt nlturate n
conformitate cu instruciunile i manualele de ntreinere
Verificarea dac produsele software sunt instalate i
configurate conform documentaiilor i indicaiilor
furnizorilor
Verificai dac corecia erorilor se realizeaz n limita
competenelor
Structura
auditat
4 III T21 Popescu
Sorin
2 3.4.3. Instalarea i
configurarea calculatorului
Verificarea dac sursele de alimentare sunt alese i
verificate n conformitate cu cerinele tehnice;
Verificarea dac sistemul de operare, componentele
software, componentele de acces n reea sunt instalate i
configurate corect;
Verificarea dac partajarea resurselor se face verificnd
tipul de acces permis utilizatorilor;
Structura
auditat
4 III T22 Popescu
Sorin
E 3.5. Utilizarea echipamentelor
1 3.5.1. Realizarea eficient a
operaiilor n cadrul
departamentului IT
Verificarea dac este analizat impactul produs de
funcionarea incorect a unei operaii asupra ntregului
sistem;
Verificarea dac operaiile IT sunt realizate ntr-o manier
eficient, n timp util i la intervale bine stabilite
Identificarea proceselor care utilizeaz o cantitate mai
mare de resurse i alocarea optim a acestora.
Structura
auditat
3 III T23 Popescu
Sorin
2 3.5.3. Administrarea eficient
a aplicaiilor i programelor
Verificarea dac se utilizeaz funcii de verificare prin
totaluri, chei i algoritmi;
Verificarea dac utilizatorii finali pot obine rapoarte
diverse fr a afecta tranzaciile curente;
Verificai dac utilizatorilor li se acord suport tehnic
corespunztor pentru aplicaiile existente;
Structura
auditat
2 III T24 Popescu
Sorin

81
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
Verificai dac administrarea aplicaiilor se realizeaz de
ctre administratori autorizai, care au ca atribuii
protejarea aplicaiilor mpotriva distrugerilor, a accesului
neautorizat sau utilizrii incorecte.
3 3.5.4. Evaluarea problemelor
i soluionarea acestora
Verificarea modului de prevenire i rezolvare a
incidentelor care afecteaz funcionarea normal a
serviciilor IT;
Verificarea dac msurile de corectare a erorilor asigur
prevenirea reapariiei acestora;
Verificarea respectrii etapelor n soluionarea unei
probleme.
Structura
auditat
3 III T25 Popescu
Sorin
OBIECTIVUL NR. 4 SECURITATEA INFORMAIILOR
A 4.1. Organizarea securitii informaiilor
1 4.1.4. Elaborarea politicii
Verificarea dac politica privind securitatea informaiei
stabilete responsabilitile asociate i principiile de
securitate care trebuie urmate de ctre personal;
Verificarea dac politica de securitate a informaiei supune
informaiile i sistemele importante unei analize de risc n
mod regulat;
Verificarea dac politica de securitate este revizuit
periodic i dac este concordant cu cultura organizaiei.
Structura
auditat
3 IV T26 Radu
George
2 4.1.5. Stabilirea
Verificarea dac exist un comitet nsrcinat cu
coordonarea activitii de securitate a informaiei;
Verificai dac comitetul nsrcinat cu coordonarea
activitii de securitate a informaiei este responsabil
pentru integrarea informaiei pentru toate sectoarele
organizaiei;
Verificai dac comitetul nsrcinat cu coordonarea
activitii de securitate a informaiei asigur coordonarea
implementrii instrumentelor de control aferente securitii
informaiei.
Structura
auditat
3 IV T27 Radu
George
3 4.1.7. Securitatea datelor
asigur disponibilitatea
acestora doar pentru utilizatori
autorizai
Verificarea dac dispozitivele de stocare sunt pstrate n
condiii de securitate pentru a evita distrugerea fizic,
pierderea sau modificarea coninutului;
Verificarea dac salvrile de date sunt efectuate cu
periodicitatea impus de importana datelor i de regulile
prestabilite;
Structura
auditat
2 IV T28 Radu
George

82
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
Verificarea dac permisiunile curente de acces la resursele
partajate sunt verificate, n vederea conformitii cu
regulile de securitate impuse.
B 4.2. Disponibilitatea datelor
1 4.2.2. Protejarea datelor
mpotriva viruilor
Verificarea dac actualizarea produselor antivirus se
realizeaz cu regularitate;
Verificarea dac programele anti-virus sunt adecvate
necesitilor utilizatorilor staiilor de lucru
Verificai dac este realizat o monitorizarea sistematic a
funcionalitii programelor anti-virus.
Structura
auditat
2 IV T29 Radu
George
2 4.2.3. Asigurarea continuitii
activitilor
Verificarea dac resursele umane, precum i cele
hardware/software implicate n procesul de aplicare a
planului de asigurare a continuitii sunt prestabilite i sunt
disponibile;
Verificarea dac planul privind asigurarea continuitii
activitilor stabilete criteriile i procedurile de
recunoatere a unei crize;
Verificarea dac planul definete procedurile tehnice de
reluare sau continuare a proceselor critice;
Verificarea dac echipa de intervenie n caz de dezastru
este implicat n conceperea planului privind continuitatea
activitilor;
Verificarea dac planurile privind continuitatea
activitilor sunt conforme cu obiectivele generale i cu
strategia de administrare a riscurilor.
Structura
auditat
2 IV T30 Radu
George
3 4.2.4. Recuperarea datelor n
caz de dezastru
Verificarea modului de elaborare a planului de recuperare
a datelor n caz de dezastru;
Verificarea responsabilitilor echipa nsrcinate cu
implementarea planului;
Analiza modului de testare i modificare periodic a
planului;
Verificarea modului de creare a salvrilor de siguran;
Stabilirea dac locaia n care sunt stocate datele pentru a
fi recuperate n caz de dezastru este adecvat.
Structura
auditat
2 IV T30 Radu
George
C 4.3. Asigurarea funcionrii programelor i aplicaiilor
1 4.3.1. Asigurarea introducerii
corecte a datelor i
Verificarea procedurilor de introducere a datelor;
Verificarea monitorizrii prelucrrii electronice a datelor;
Structura
auditat
3 IV T31 Radu
George

83
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
informaiilor pentru prelucrare Verificarea rapoartelor de erori nregistrate de sistemul
informatic i a modului de efectuare a testelor pentru
identificarea cauzelor apariiei acestora;
Verificarea modului de ntocmire a jurnalului interveniilor
operatorilor, jurnalul utilizrii bibliotecii de programe i a
arhivelor de date i aplicaii;
Verificarea conformitii datelor introduse cu documentele
primare.
2 4.3.3. Prelucrarea datelor Verificarea modului de depistare i corectare a erorilor
aprute n timpul rulrilor aplicaiilor informatice;
Verificarea modului de funcionare a programelor, folosind
ca date de test fie nregistrri originale, fie nregistrri
mostr i corectarea eventualelor erori aprute n procesul
de introducere a datelor;
Verificarea n mod regulat a drepturilor de acces
Structura
auditat
3 IV T32 Radu
George
3 4.3.4. Asigurarea securitii
datelor i documentelor
Verificarea modului de realizare a copiilor de siguran pe
suporturi de stocare adecvate;
Verificarea condiiilor de pstrare a datelor i
documentelor;
Verificarea dac accesul utilizatorilor la echipamente i la
suporturi de date este realizat numai n limita permisiunilor
cerute de efectuarea sarcinilor curente;
Verificarea dac regulile de securitate referitoare la
accesul la echipamente sunt respectate;
Definirea i comunicarea corespunztoare a descrierilor i
responsabilitilor posturilor n raport cu securitatea
informaiei.
Structura
auditat
4 IV T33 Radu
George
D 4.4. Implementarea instrumentelor de control
1 4.4.1. Accesul la aplicaie este
utilizatorului
Verificarea dac drepturile de acces sunt acordate conform
regulilor specifice;
Verificarea dac responsabilitatea pentru administrarea i
operarea aplicaiei este definit clar;
Verificarea dac utilizatorii sunt instruii cu privire la
utilizarea reelei i securitatea acesteia;
Verificarea dac activitatea n reea este monitorizat,
asigurndu-se c securitatea acesteia este adecvat;
Verificarea proiectrii reelelor astfel nct s asigure
eficiena traficului de date.
Structura
auditat
4 IV T34 Radu
George
2 4.4.3. Introducerea Verificarea restriciilor asupra accesului fizic la sistemele Structura 2 IV T35 Radu

84
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
de calculatoare;
Verificarea dac echipamentele i documentaia de
importan critic sunt asigurate suplimentar;
Verificarea modului de supraveghere a camerelor n care
sunt adpostite echipamente i faciliti critice;
Verificai dac msurile de protecie sunt n acord cu
politica de securitate a organizaiei.
auditat George
E 4.5. Securitatea reelei
1 4.5.2. Monitorizarea securitii
reelelor
Verificarea existenei unui program de management al
vulnerabilitilor reelei;
Verificarea gruprii i clasificrii dispozitivelor din reea
n funcie de prioriti, de la sisteme de importan redus
la sisteme de importan vital;
Verificarea dac expunerea la risc este monitorizat prin
reprezentarea strii de ansamblu a reelei;
Verificarea dac panoul de afiare privind expunerea la
risc este actualizat permanent;
Verificarea dac este urmrit permanent reducerea
timpilor necesari pentru identificarea, remedierea i
validarea soluiilor aplicate.
Structura
auditat
2 IV T36 Radu
George
F 4.6. Gestionarea parolelor
1 4.61. Utilizatorii au parole de
acces individuale
Verificarea dac programele i aplicaiile au nivele de
acces n funcie de nivelul postului;
Verificai dac parolele sunt schimbate periodic,
respectnd regulile de complexitate impuse.
Structura
auditat
2 IV T37 Radu
George
2 4.6.2. Schimbarea periodic a
parolelor
Verificarea dac permisiunile sau drepturile utilizatorilor
sunt verificate periodic, pentru a corespunde strict
sarcinilor acestora;
Verificarea dac administratorul sistemului creeaz i
configureaz corespunztor conturile fiecrui utilizator;
Verificarea dac parolele generice iniiale sunt schimbate
de ctre fiecare utilizator n parte.
Structura
auditat
2 IV T38 Radu
George
3 4.6.4. Persoanele autorizate au
Verificarea dac accesul la sistem se realizeaz numai pe
baza conturilor de utilizatori n funcie de tipurile specifice
i de atribuiile specifice fiecrui angajat;
Verificarea modului de instruire a utilizatorilor n legtur
cu regulile de securitate logic.
Structura
auditat
2 IV T39 Radu
George
G 4.7. Securitatea logic

85
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
1 4.7.1. Asigurarea securitii
aplicaiilor
Verificarea modului de identificare a ameninrilor
aferente sistemelor informatice;
Verificarea proteciilor n cazul accesului de la distan;
Verificarea modului de utilizare a algoritmilor de criptare
a datelor;
Verificarea modului de administrare a securitii sistemelor
de ctre persoane specializate;
Structura
auditat
2 IV T40 Radu
George
OBIECTIVUL NR. 5 PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
A 5.1. Proiectarea i elaborarea programelor i aplicaiilor
1 5.1.1. Proiectarea programului
informatic
Verificarea procedurilor utilizate n proiectarea
programelor, din punct de vedere al corectitudinii i
completitudinii prelucrrile care se vor efectua asupra
datelor;
Verificarea dac instrumentele de dezvoltare a
programului/aplicaiei sunt stabilite cu respectarea
specificaiilor;
Verificarea dac pentru fiecare aplicaie n parte sunt
stabilite urmtoarele: numrul de utilizatori, rolurile
acestora, privilegiile i restriciile aplicabile fiecrui rol in
parte, accesul restricionat;
Verificarea dac proiectarea aplicaiei este monitorizat;
Verificarea dac versiunile aplicaiilor instalate ulterior sunt
compatibile i utilizeaz toate resursele versiunilor
anterioare;
Verificarea dac comunicarea cu echipa de specialiti este
permanent pe timpul proiectrii i utilizrii aplicaiei.
Structura
auditat
10 V T41 Popescu
Sorin
2 5.1.2. Elaborarea programului
informatic
Verificarea algoritmului programului/aplicaiei din punct
de vedere al conformitii cu logica operaiilor;
Verificarea dac algoritmul respect cerinele de integrare
ale aplicaiei;
Verificarea performanei soluiilor de programare;
Verificarea integrrii componentelor unui program n
funcie de cerinele utilizatorilor.
Structura
auditat
10 V T42 Popescu
Sorin
B 5.2. Testarea i implementarea programelor i aplicaiilor
1 5.2.2. Testarea programului i
aplicaiei
Verificarea dac datele de test sunt definite corespunztor
prelucrrilor programului pe toate ramurile acestuia;
Evaluarea rezultatelor testrii n funcie de documentaia
programului/aplicaiei;
Structura
auditat
10 V T43 Popescu
Sorin

86
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
Verificarea conformitii datelor de testare cu manualele
de operare i utilizare;
Verificarea dac simulrile se realizeaz conform
manualului de utilizare.
2 5.2.3. Asigurarea
corectitudinii rezultatelor
Verificarea dac opiunile i parametrii de lucru ai
programului/aplicaiei sunt stabilii conform specificaiilor
din documentaii;
Verificarea condiiilor de funcionare a
programului/aplicaiei, n funcie de solicitrile
utilizatorului;
Verificarea opiunilor i a parametrilor de operare ai
programului/aplicaiei, n funcie de specificaiilor din
documentaii;
Analiza modului de nsuire de ctre utilizatori a
specificaiilor programului/aplicaiei.
Structura
auditat
10 V T44 Popescu
Sorin
OBIECTIV NR. 6 ELABORAREA I IMPLEMENTAREA PROIECTELOR IT

A 6.1. Dezvoltarea proiectelor IT (programe i aplicaii)
1 6.1.2. Iniierea i elaborarea
proiectelor IT
Verificarea oportunitii soluiile propuse pentru
implementarea proiectelor IT;
Verificarea compatibilitii proiectului cu proiectele aflate
n derulare;
Verificarea necesitii asistenei tehnice;
Verificarea competitivitii proiectelor.
Structura
auditat
10 VI T45 Radu
George
2 6.1.3. Monitorizarea
implementate
Verificarea parametrilor de referin i a valorilor etalon
ale programelor elaborate;
Verificarea regulilor i procedurilor stabilite pentru
supravegherea i colectarea valorilor parametrilor de
referin;
Analiza rapoartelor privind implementarea proiectelor IT
propuse din punct de vedere al rigurozitii.
Structura
auditat
10 VI T46 Radu
George
B 6.2. Implementarea i funcionarea programelor i aplicaiilor

1 6.2.1. Reproiectarea soluiilor
IT pentru programe i aplicaii
Verificarea modului de identificare a punctelor slabe i a
limitrilor unui program/aplicaie;
Verificarea dac documentaia cu fluxul de date i
prelucrrile necesare este elaborat adecvat situaiei reale;
Verificarea dac soluiile IT sunt proiectate pornind de la
punctele slabe, critice detectate, de la evoluiile tehnologice
Structura
auditat
10 VI T47 Radu
George

87
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
existente i cele prefigurate de dezvoltare a entitii.
2 6.2.3. ntreinerea aplicaiilor
Verificarea monitorizrii mesajelor de eroare;
Verificarea dac sistemele de operare i aplicaiile sunt
instalate, actualizate sau configurate corespunztor,
folosind proceduri standardizate;
Verificarea dac utilizatorii beneficiaz permanent de
asisten tehnic;
Verificarea modului de ntreinere a aplicaiilor i dac
asigur funcionarea proceselor.
Structura
auditat
10 VI T48 Radu
George
OBIECTIV NR. 7 PROIECTAREA I MENINEREA N FUNCIUNE A UNEI REELE
A 7.1. Proiectarea, instalarea i administrarea reelei de calculatoare
1 7.1.1. Asigurarea bunei
Verificarea dac echipamentele din reea sunt administrate
centralizat;
Verificarea dac configurarea reelei, conectarea
componentelor n reea, distribuirea serviciilor contribuie
la creterea productivitii muncii n organizaie;
Verificarea dac serverele i staiile client sunt amplasate
n reea i configurate conform regulilor impuse prin
strategia de securitate;
Verificarea dac regulile stabilite i implementate asigur
accesul controlat i sigur al utilizatorilor numai la acele
resurse de care au nevoie pentru ndeplinirea sarcinilor de
serviciu conform fiei postului.
Structura
auditat
10 VII T49 Radu
George
2 7.1.3. Administrarea
serverelor
Verificarea dac accesul i utilizarea resurselor serverului
respect strategia de securitate a reelei;
Verificarea dac permisiunea de administrare a unui
program este acordat numai personalului calificat;
Verificai dac jurnalele identific utilizatorii care au avut
acces la program, n limita permisiunilor ce le-au fost
acordate.
Structura
auditat
10 VII T50 Radu
George
B 7.2. Interconectarea i securitatea reelei
1 7.2.1. Interconectarea reelelor Verificarea dac conexiunile dintre reele sunt conforme cu
arhitectura general i respect standardele de
interconectare;
Verificarea dac componentele hardware i software ale
echipamentelor de legtur sunt configurate respectnd
regulile de securitate a transmisiilor de date din strategia
de securitate a organizaiei;
Structura
auditat
10 VII T51 Radu
George

88
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de
verificare
Nr.
test Auditori
Verificarea dac tabelele de rutare sunt corect configurate
i indic adresele reelelor accesibile.
2 7.2.2. Proiectarea i asigurarea
securitii reelei
Verificarea dac vulnerabilitile i ameninrile sunt
corect identificate i prioritizate;
Verificarea dac procedurile de securitate ce trebuie
implementate sunt aduse operativ la cunotina
personalului;
Analiza siguranei accesului la reea i a comunicrii
datelor n reea.
Analiza rapoartelor de monitorizare a traficului datelor n
reea.
Structura
auditat
10 VII T52 Radu
George

Data: 09.09.2009 Auditori,
Popescu Sorin
Radu George

Not:
Programul de intervenie la faa locului sau Programul preliminar se elaboreaz pe baza Programului de audit i prezint detaliat lucrrile pe care auditorii
interni i propun s le efectueze, tipurile de teste i eantioanele pe baza crora se vor realiza acestea, locul i durata testrii.
n practica, se recomand realizarea unui grad mai mare de detaliere a testrilor, care se vor efectua n etapa de Intervenie la faa locului, prin completarea
Programului preliminar cu modalitile concrete de determinare a eantioanelor, n conformitate cu regulile statisticii, dar i prin diversificarea tipurilor testrilor ce se
vor realiza de ctre auditorii interni.

89
Procedura PO7 : EDINA DE DESCHIDERE

ENTITATEA PUBLICA

MINUTA EDINEI DE DESCHIDERE

Misiunea de audit: Tehnologia informaiei

A. Lista participanilor:
Numele Funcia
Direcia/
Serviciul
Nr.
telefon
E-mail Semntura
Dumitru Daniel Coordonator CAPI

Popescu Sorin Auditor SAPI

Radu George Auditor SAPI

Ptrulescu George Director DIT

Voiculescu Alin Sef STDAM

Boerescu Ilie Sef SCD

Teodorescu Rodica Sef SEE

Eleodor Darius Sef SAPP

Iordache Camelia Sef SRC

Pun Elena Sef SSD

Badea tefan Sef SAT

B. Stenograma edinei

n cadrul edinei de deschidere s-a procedat la:
- prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit;
- prezentarea funciei de audit intern de ctre eful Serviciului Audit Public Intern, n special a
obiectivelor generale ale auditului intern i semnificaia auditului intern;
- Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se intenioneaz a fi
realizate, dup analizele de risc efectuate. A fost cerut prerea audiailor cu privire la aceste obiective, unde s-
au fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la
complexitatea activitii Direciei IT; resursele umane insuficiente i neatractivitatea nivelului salariului pentru
atragerea unor specialiti; fluctuaia mare a personalului implicat in activitatea IT.

De asemenea, s-au stabilit:
- persoanele pe care auditorii le pot contacta n vederea colectrii informaiilor, modul de efectuare a
testelor, chestionarelor i interviurilor, programul ntlnirilor i timpul necesar pentru realizarea acestor
proceduri;
- condiiile minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu
de lucru, calculatoare, posibilitate de editare etc.)

90
- aspectele procedurale, respectiv eventualitatea unor edine intermediare n cursul misiunii, informarea
sistematic asupra constatrilor;
- data edinei de nchidere, inclusiv a participanilor;
- convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul
auditului, informarea sistematic asupra constatrilor.
- stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va fi distribuit).
Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu
structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea
recomandrilor.

91
Procedura P10 INTERVENIA LA FAA LOCULUI

ENTITATEA PUBLIC

LISTA DE VERIFICARE nr. 1


Obiectivul I.
STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE

Nr.
crt.
Activitatea de audit Da Nu Observaii
1. Examinarea procedurilor privind planul strategic
1.1. Examinarea procedurilor privind definirea i elaborarea strategiei X
1.2. Verificai dac procedurile sunt aprobate de ctre persoanele competente; X
1.3.
Verificai dac sunt stabilite posturile de lucru responsabile de elaborarea
strategiei;
X

1.4. Verificai dac sunt stabilite competentele n elaborarea procedurilor; X
1.5. Verificai dac se realizeaz actualizarea sistematic a procedurilor; X
1.6.
Verificai dac sunt nglobate activiti de control intern n punctele cheie
ale proceselor;
X

1.7. Verificai dac se respect principiul dublei semnturi; X
1.8. Verificai dac procedurile sunt cunoscute i aplicate; X
A Strategia IT este concordant cu scopurile organizaiei
1. Strategia IT definete necesitile i prioritile
1.1
Examinarea dac exist strategie elaborat la nivelul structurii
funcionale;
X

1.2. Analiza sistemului de fundamentare a strategiei X
1.3 Analiza corelrii strategiei cu planurile anuale X
1.4.
Examinarea prioritilor strategice in domeniul IT n corelare cu direciile
de dezvoltare;
X

1.5.
Verificarea dac strategia elaborat la nivelul structurii funcionale este
n concordan cu strategia organizaiei;
X

1.6.
Verificarea dac strategia elaborat la nivelul structurii funcionale a avut
n vedere:
a. evaluarea situaiei actuale pe baza analizei diagnostic;
b. identificarea punctelor tari i a punctelor slabe ale entitii;
c. formularea misiunii structurii organizatorice;
d. fundamentarea variantelor strategice;
e. identificarea i proveniena resurselor;

f. implementarea strategiei ;
X
Test nr. 1.2.
Nota de relaii
1.1.
Interviu nr. 1.1.
FIAP nr. 1.2.

1.7.
Analiza dac identificarea punctelor tari i a punctelor slabe s-a realizat
pe baza analizei ameninrilor i oportunitilor;
X

1.8.
Verificarea dac strategia definit la nivelul structurii funcionale
definete clar obiectivele;
X

1.9.
Analizai dac direciile de activitate din cadrul strategiei sunt
monitorizate i evaluate, respectiv:
a) exist concordan cu strategia elaborat la nivelul entitii;
X

92
b) responsabilitile stabilite Comisiei de dezvoltare IT conduc la
implementarea IT i asigur o decizie eficient
c) analiza proceselor verbale ale Comisiei numit la nivelul entitii n
domeniul dezvoltrii IT i urmrirea dac politica de dezvoltare IT are ca
obiectiv implementarea strategiei entitii cu privire la domeniul IT;
d) urmrirea dac toate activitile de implementare a strategiei sunt
monitorizate i evaluate;
Test nr. 1.1
FIAP nr. 1.1
1.10.
Stabilirea obiectivelor strategice a inut cont de mediul intern i de
mediul extern

Obiectivele definite n cadrul strategiei asigur:
a) definirea realist a acestora;
b) asigurarea factorului de mobilizare

c) definirea lor astfel nct s fie nelese de ctre salariai
d) definirea lor n form stimulatoare
1.11.
e) asigurarea necesarului de resurse n vederea implementrii obiectivelor

1.12.
Obiectivele generale sunt definite n termeni de impact

1.13.
Obiectivele generale deriv din obiectivele strategice

1.14.
Obiectivele generale acoper strategia definit n cadrul domeniului de
activitate

1.15.
Obiectivele generale n domeniul resurselor umane ofer direcia i inta
final ce urmeaz a fi atins

1.16.
Obiectivele sunt formulate de o manier precis, riguroas fr
interpretri

X
Test nr.. 1.3.
Interviu nr. 1.2.
Not de relaii
nr. 1.2.
FIAP nr. 1.3.
1.17.
Verificarea dac strategia dezvolt funciile eseniale ale structurii
funcionale;
X

1.18. Verificarea dac exist persoan responsabil cu actualizarea strategiei; X
1.19. Analiza dac la elaborarea strategiei s-a urmrit:
a. definirea obiectivelor strategice n consens cu direciile de aciune ale
organizaiei
b. dezvoltarea strategiei este asigurat pe baza unui management
funcional
c. analiza domeniului de activitate i definirea mandatului i misiunii
structurii organizaionale

d. definirea i analiza tuturor domeniilor i activitilor specifice
X

1.20.
Verificarea dac exist planul de activitate pentru implementarea
strategiei;
X

1.21.
Analiza politicilor entitii publice n domeniul IT i stabilirea dac
asigur atingerea obiectivelor entitii publice
X

1.22.
Verificarea dac politicile entitii publice n domeniul IT se reflect n
planul strategic i n planurile anuale
X

1.23.
Examinarea dac managerii cu responsabiliti n monitorizarea
implementrii politicilor IT, au fost consultai la elaborarea planului
strategic
X

1.24. Analiza activitii de actualizare a planului strategic X
B. Planurile IT se adreseaz ntregii organizaii
1. Planurile IT ajut la ndeplinirea misiunii organizaiei
1.1.
Verificarea dac exista planuri de activitate elaborate la nivelul
departamentului IT
X

1.2. Examinarea dac planurile de activitate sunt elaborate anual X
1.3. Verificarea dac obiectivele sunt clar definite n cadrul planurilor X
1.4.
Verificarea dac planul de activitate anual este comunicat i cunoscut de
personalul implicat n realizarea acestuia; X
Test nr. 1.4.
Interviu nr. 1.3.
FIAP nr. 1.4.
1.5.
Analiza dac planul este fundamentat, iar resursele necesare
implementrii acestuia sunt dimensionate corect;
X

1.6.
Examinarea dac la realizarea activitilor planificate sunt asigurate
competenele necesare;
X

1.7.
Verificarea dac salariaii cunosc metodologia de realizare i de
implementare a activitilor planificate;
X

93
1.8.
Verificarea dac planul de activitate este alctuit n concordan cu
bugetul anual de venituri i cheltuieli;
X

1.9.
Analiza dac pentru realizarea planului anual de activitate managementul
a luat n considerare i cunoaterea nevoilor salariailor;
X

1.10.
Verificarea dac planul anual de activitate coreleaz obiectivele
individuale cu cele organizaionale;
X

1.11.
Examinarea dac planul anual de activitate permite ncadrarea n
resursele financiare planificate;
X

1.12.
Examinarea dac managementul organizaiei acioneaz consecvent
pentru implementarea planului de activitate;
X

1.13.
Analiza dac managementul a elaborat strategii, politici, programe etc.
pentru orientarea unitar a activitii organizaiei n vederea realizrii
scopurilor fundamentale;
X

1.14.
Verificarea dac planurile de activitate sunt adaptate la condiiile externe
organizaiei;
X

1.15
Identificarea proiectelor n derulare i examinarea planurilor de proiecte
n raport cu Standardele IT aprobate pentru gestionarea proiectului.
X

1.16.
Analizai dac planul aprobat este n conformitate cu politicile entitii
publice n domeniul IT;
X

1.17. Analiza dac elaborarea planurilor de activitate au avut n vedere:
a) cunoaterea de ctre salariai;
b) motivarea salariailor i cointeresarea lor n realizarea obiectivelor;
c) necesarul de resurse este fundamentat i dimensionat potrivit
necesitilor;
d) realizarea obiectivelor planurilor sunt asigurate competenele necesare;
e) metodologia de implementare este cunoscut;

f) bugetele de venituri i cheltuieli;
1.18
Verificarea dac planul anual de activitate ia n considerare necesitile
salariailor;
1.19.
Evaluarea dac planul anual de activitate coreleaz obiectivele
departamentului IT cu obiectivele individuale ale salariailor;
1.20.
Examinarea dac realizarea planului se ncadreaz n limitele resurselor
financiare alocate;
1.21.
Analiza dac tendinele viitoare de dezvoltare sunt luate n calcul la
elaborarea planurilor de activitate

X

Test nr. 1.4.
Interviu nr. 1.3.
FIAP nr. 1.4.

1.22.
Analizai realizarea subsistemelor IT pentru funciile principale din
cadrul entitii publice;
X

2.
Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n concordan cu
necesitile
2.1.
Examinarea dac proiectele sunt monitorizate permanent, urmrindu-se
dac sunt realizate n termen, n vederea sincronizrii realizrii
obiectivelor strategice;
X

2.2.
Examinarea procesului-verbal al grupului de strategie pentru a se garanta
examinarea i luarea de msuri cu privire la ndeplinirea obiectivelor;
X

2.3.
Obinerea de exemplare ale unor analize referitoare la proiectele IT care
au fost realizate, pentru a se garanta c sunt luate n considerare de
grupul de strategie i de conducerea superioar.
X

2.4.
Obinerea unui exemplar al documentului de politic strategic i
identificarea principalelor obiective;
X

2.5.
Verificarea dac strategia IT ia n considerare obiectivele de afaceri n
totalitate i sprijin atingerea acestora.
X

2.6.
Verificarea dac strategia IT ia n considerare organigrama organizaiei,
pentru a se asigura c toate departamentele au fost luate n considerare la
elaborarea strategiei;
X

2.7.
Examinarea dac subsistemele IT acoper n totalitate nevoile pentru
funciile principale ale entitii
2.8.
Analiza dac nevoile de subsisteme IT pentru funciile principale nou
create au fost acoperite
2.9.
Verificarea dac departamentele nfiinate ca urmare a funciilor
principale nou create au fost solicitate s-i exprime cerinele specifice
privind realizarea unor subsisteme IT proprii activitii lor
2.10. Analiza procedurilor pe baza crora se realizeaz subsistemele IT i
X
Test nr. 1.5.
Interviu nr. 1.4.
FIAP nr. 1.5.

94
stabilirea dac acestea sunt suficiente pentru implementarea acestor
subsisteme n condiii optime
2.11. Verificai dac strategia IT este distribuit tuturor prilor interesate. X
2.12.
Examinai dac angajaii i conducerea superioar au cunotin de
coninutul strategiei i de implicaiile acesteia pentru dezvoltarea IT n
domeniul lor de activitate.
X

C. Obiectivele IT ndeplinesc obiectivele organizaiei
1. Strategia IT este concordant cu scopurile organizaiei
1.1.
Analiza Planului strategic n domeniul IT n raport cu obiectivele
strategice stabilite pentru domeniul IT;
X

1.2.
Verificai dac planului strategic i documentele de politic strategic
sunt cunoscute de ctre prile interesate i implicate n implementarea
lui;
X

1.3. Examinai dac dezvoltarea IT este asigurat prin obiectivele strategice; X
1.4.
Examinarea concordanei dintre direciile de dezvoltare stabilite prin
Planul strategic n domeniul IT i organizarea funcional actual a
departamentului IT.
X

1.5
Analizai dac la stabilirea obiectivelor strategice s-a inut cont de mediul
intern i de mediul extern;
X

1.6.
Analizai dac obiectivele definite reprezint o component important n
cadrul sistemului de management al organizaiei.
X

1.7.
Examinai dac strategia acoper mandatul cu care a fost investit
structura funcional;
X

1.8. Verificai dac exist o fundamentare detaliat a strategiei; X
1.9.
Verificai dac planul de aciune pentru implementarea strategiei este
dezvoltat suficient;
X

1.10. Verificai dac exist persoan responsabil cu actualizarea strategiei; X
1.11.
Examinai dac definirea prioritilor strategice este realizat n
concordan cu scopul entitii, n cadrul domeniului de activitate
X

1.12. Analizai dac strategia elaborat definete X
a) misiunea structurii organizaionale X
b) stabilirea scopurilor fundamentale X
c) precizarea modalitilor de aciune X
d) fundamentarea necesarului de resurse X
e) ealonarea termenelor X

D. Comitetul IT determin strategia IT
1. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu
1.1. Verificai dac Comitetul de dezvoltare IT este constituit n mod adecvat; X
1.2.
Analizai dac planul este examinat periodic pentru a se verifica
ndeplinirea acestuia.
X

1.3.
Examinai procesul-verbal al grupului de strategie i urmrii dac
garanteaz examinarea i luarea de msuri cu privire la ndeplinirea
obiectivelor strategice.
X

1.4.
Obinerea de exemplare ale unor analize referitoare la proiectele de
suport IT care au fost realizate, pentru a se garanta c sunt luate n
considerare de grupul de strategie i de conducerea superioar.
X

1.5.
Verificai dac sunt definite termenele i etapele de realizare a
activitilor;
X

1.6.
Verificai dac planul este alctuit n concordan cu bugetul anual de
venituri i cheltuieli;
X

1.7. Analizai dac prioritile sunt judicios ierarhizate n cadrul planului; X
1.8.
Analizai dac gradul de adecvare al prioritilor este raportat la misiunea
organizaiei;
X

1.9.
Analizai dac indicatorii ataai obiectivelor converg spre economicitate,
eficien i eficacitate;
X

1.10. Analizai dac planurile sunt adaptate la condiiile externe organizaiei; X
1.11.
Verificai dac resursele sunt delimitate pentru implementarea planurilor
de activitate;
a) cunoaterea de ctre toi salariaii a panului anual de activitate;
b) interesul salariailor n realizarea obiectivelor planului anual;
c) asigurarea competenelor necesare pentru realizarea activitilor;

d) cunoaterea metodologiei de realizare i implementare a activitilor n

95
rndul salariailor;
e) cunoaterea nevoilor salariailor;
f) corelarea obiectivelor individuale cu obiectivele organizaiei;
g) ncadrarea n resursele financiare planificate;

X

1.12.
Analizai dac impactul planurilor este raportat la performana
organizaiei;
X

1.13.
Analizai dac nivelul cunotinelor personalului asigur realizarea
programelor;
X

1.14.
Analizai dac instrumentele de implementare a programelor sunt bine
definite;
X

1.15.
Verificai dac posturile care vor aprea sau se vor schimba sunt luate n
calcul la definirea strategiei;
X

1.16.
Analizai dac competenele necesare n viitor sunt definite n cadrul
strategiei;
X

1.17.
Verificai dac posibilitatea reorientrii i recalificrii profesionale este
luat n calcul la stabilirea resurselor necesare implementrii strategiei;
X

1.18. Verificai dac strategia ine cont de schimbrile la nivel managerial; X
1.19 Verificai dac nevoile de instruire sunt definite n cadrul strategiei; X
2. 1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitile realizate
2.1. Verificai dac exist un program de dezvoltare IT X
2.2.
Verificai dac programul de dezvoltare IT conine achiziii de aplicaii i
echipamente;
X

2.3.
Verificai dac exist o fundamentare a necesitii achiziiilor de
echipamente;
X

2.4.
Verificai dac exist o fundamentare a necesitii achiziiilor de aplicaii
i programe;
X

2.5.
Verificai dac achiziiile de echipamente sunt prioritizate n funcie de
necesiti
X

2.6.
Verificai dac achiziiile de programe i aplicaii sunt prioritizate n
funcie de necesiti i de dezvoltarea strategic a organizaiei n
domeniul IT;
X

2.7.
Verificai dac programele de achiziii de echipamente i aplicaii sunt
evaluate de ctre Comitetul IT;
X

2.8.
Verificai dac Comitetul IT a realizat i o evaluare calitativ i tehnic a
echipamentelor i aplicaiilor planificate a fi achiziionate
X

2.9.
Verificai dac achiziiile de echipamente i aplicaii sunt realizate cu
respectarea criteriilor planificate;
X

2.10. Verificai dac procesul de achiziii IT este monitorizat de Comitetul IT; X
2.11.
Verificai dac Comitetul IT raporteaz periodic managementului
necesitile aprute i stadiul derulrii programelor n domeniul IT.
X

E. Organizarea IT corespunde necesitilor organizaiei
1. Organizarea adecvat a funciei IT
1.1.
Verificai dac deciziile sunt n corelaie cu transformrile din mediul
organizaional;
X

1.2.
Verificai dac persoana care emite decizia deine sarcinile, competenele
i responsabilitile necesare;
X

1.3.
Examinarea dac subsistemele IT acoper nevoile pentru funciile
principale ale entitii;
X
1.4.
Analiza dac nevoile pentru funciile principale nou-create sunt
acoperite;
X
1.5. Analiza dac structurile din cadrul IT si-au definit clar propriile activiti; X
1.6. Examinarea dac procedurile elaborate acoper toate activitile derulate; X

Test nr. 1.5
Interviu nr. 1.5
FIAP nr. 1.5
1.7.
Verificai dac responsabilitile sunt stabilite clar i precis n sarcina
utilizatorilor;
X

1.8. Verificai dac competenele asigur realizarea activitilor; X
1.9.
Verificai dac este realizat evaluarea performanelor actuale ale
activitilor desfurate;
X

1.10.
Verificai dac este realizat analiza sistemului actual de organizare i
conducere a activitii;
X

1.11.
Verificai dac mediul i factorii externi de influen sunt examinai i
analizai la stabilirea proceselor organizaionale;
X

1.12. Verificai dac mediul intern i factorii interni de influen sunt analizai X

96
i evaluai la stabilirea proceselor organizaionale;
1.13.
Verificai dac au fost elaborate instrumentele i procedurile de
implementare a strategiei;
X

1.14.
Analizai dac s-a determinat volumul i structura resurselor necesare
pentru realizarea obiectivelor;
X

1.15
Analizai dac au fost elaborate instrumentele i procedurile de control;
X

2. Adecvarea practicii i procedurilor IT la procesele existente
2.1.
Analizai sistemul de elaborare a subsistemelor IT pentru funciile
principale.
X

2.2.
Existena programului pentru instruirea utilizatorilor subsistemului IT
X

2.3.
Examinai dac subsistemele IT acoper n totalitate nevoile pentru
funciile principale ale entitii publice
X

2.4.
Analizai dac nevoile de subsisteme IT pentru funciile principale nou-
create au fost acoperite.
X

2.5.
Verificai dac departamentele nfiinate ca urmare a funciilor principale
nou-create au fost solicitate s-i exprime cerinele specifice privind
realizarea unor subsisteme IT proprii activitii lor
X

2.6. Analizai existena corelrii ntre termenele de realizare a subsistemelor. X
2.7.
Analizai procedurile pe baza crora se realizeaz subsistemele IT i
stabilii dac acestea sunt suficiente pentru implementarea acestor
subsisteme n condiii optime.
X

2.8.
Stabilii dac exist studii de fezabilitate pentru subsistemele IT
planificate.
X

2.9.
Verificai dac exist proceduri pentru toate aplicaiile derulate n cadrul
organizaiei;
X

2.10.
Verificai dac aplicaiile derulate n cadrul posturilor de lucru sunt
suficiente, necesare i asigur eficientizarea activitilor;
X

2.11. Verificai dac aplicaiile derulate sunt adecvate proceselor organizaiei; X
2.12. Verificai dac aplicaiile sunt cunoscute i aplicate de utilizatori. X
F. Elaborarea strategiei IT corespunde strategiei organizaiei
1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT
1.1. Verificarea dac exist un control asupra strii echipamentelor; X
1.2.
Verificarea dac obiectivele strategice n domeniul IT sunt stabilite pe
baza unei analize a strii actuale;
X

1.3.
Verificarea dac achiziia aplicaiilor i programelor are n vederea
dezvoltarea strategic a organizaiei;
X

1.4.
Verificarea dac achiziia echipamentelor i tehnicii de calcul ine cont
de dotarea existent;
X

1.5.
Verificarea dac achiziiile de echipamente in cont de caracteristicile
calitative i de performante acestora;
X

1.6.
Verificarea dac achiziiile de echipamente sunt adaptate nevoilor i
necesitilor organizaiei;
X

1.7
Verificarea dac aplicaiile i programele de achiziionat sunt adecvate
proceselor organizaiei;
X

1.8.
Verificarea dac aplicaiile i programele achiziionate conduc la
integrarea datelor i informaiilor;
X

1.9.
Verificarea dac strategia IT conduce la informatizarea n totalitate a
organizaiei;
X

1.10.
Verificarea dac strategia asigur pregtirea personalului n concordan
cu programele de dezvoltare IT.
X

Auditori,
Popescu Sorin
Radu George

97
Procedura P08: Colectarea dovezilor

ENTITATEA PUBLIC

TEST nr. 1.1


Obiectul
testului
Obiectivele
testului

Analiza direciilor de aciune stabilite n cadrul strategiei IT i urmrirea dac acestea
contribuie la realizarea mandatului i scopului entitii i dac acestea au fost
implementate, conform programelor aprobate.
Descrierea
testului

1. Populaia avut n vedere pentru constituirea eantionului este format din:
- strategia elaborat n domeniul IT, direciile de aciune definite i obiectivele
strategice stabilite cu privire la dezvoltarea entitii n domeniul IT;
- procesele verbale ale comisiei numite la nivelul entitii cu responsabiliti
n domeniul planificrii, elaborrii i urmririi implementrii strategiei;
- programele i aplicaiile informatice, aprobate la nivelul entitii, n
perioada analizat, care corespund direciilor de implementare a strategiei.

2. Eantionul a fost constituit astfel:
- strategia entitii n domeniul IT a fost analizat i evaluat n totalitatea ei i comparat
cu strategia entitii;
- n perioada suspus auditrii, au fost aprobate n vederea implementrii patru proiecte
informatice, n acest sens toate acestea fiind evaluate cu privire condiiile de
implementare, termenele de implementate i concordana cu direciile strategice
aprobate.
- n perioada supus auditrii, Comisia numit la nivelul entitii cu responsabiliti n
domeniul dezvoltrii IT s-a ntrunit trimestrial, n acest sens au fost analizate i evaluate
toate procesele verbale ntocmite dup fiecare edin de lucru organizat;

3. Prin testarea ce se va realiza se va urmri, dac activitile desfurate n realizarea
direciilor de aciune stabilite n cadrul Strategiei sunt monitorizate i evaluate cu privire
la modul de implementare, respectiv:
- concordana strategiei elaborate n domeniul IT cu strategia entitii;
- responsabilitile stabilite Comisiei numit la nivelul entitii cu atribuii n domeniul
dezvoltrii IT, contribuie la asigurarea unei decizii eficiente la nivelul entitii.
- analiza proceselor verbale ale Comisiei numit la nivelul entitii cu atribuii n
domeniul dezvoltrii IT
- urmrirea dac toate activitile de implementare a strategiei sunt monitorizate i
evaluate;
Constatri

Potrivit deciziei de numire, Comisia de planificare strategic nfiinat la nivelul entitii
are rolul de a stabili obiectivele strategice, relaiile cu celelalte componente structurale
din cadrul entitii, fundamentarea modalitilor de realizare a proiectelor, dimensionarea
resurselor ce urmeaz a fi angajate, stabilirea termenelor intermediare i finale de
realizare a proiectelor, monitorizarea implementrii proiectelor aprobate.

1. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a
constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile de
dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor entitii i
prin implementare se urmrete realizarea unui sistem informatic integrat, care s asigure

98
corelarea tuturor informaiilor i datelor la nivelul entitii, respectiv juridice, economice,
comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.

2. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu
responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de
natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i
armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i
atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns
analiza realizrii acestor activiti este rezumat doar la analiza raportrilor periodice
realizate de departamentul IT, cu privire la stadiul implementrii proiectelor IT.
Limitarea exercitrii acestor atribuii, doar la analiza raportrilor efectuate de
departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de implementare
a programelor informatice, conduce la formularea unor constatri i concluzii
insuficiente, care au influen n decizia managerial i dezvoltarea strategic.

3. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu
responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate n
vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de
faptul c anumite proiecte de dezvoltare IT, derulate n cadrul entitii, nu au fost supuse
analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei
au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul
entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c
discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre
departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile formulate
de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea resursele
financiare, au fost legate doar de acestea.

n urma examinrii i analizelor efectuate, s-a constatat c anumite proiecte nu au fost
implementate sau sunt ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei,
inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv asigurarea
resurselor financiare, nc din cursul anului anterior, dar pn n prezent nu s-a realizat
nici o procedur legat de stabilirea condiiilor tehnice ale aplicaiei, demararea
aciunilor de realizare a caietului de sarcini, sau procedurilor privind achiziia, cu toate c
n buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii
entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul
departamentului IT nu existau specialiti n testarea i implementarea lui, iar fondurile
aprobate permiteau doar achiziia aplicaiei.

n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de
implementare a proiectelor, greutile ntmpinate se puteau cunoate i gsi soluiile
necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n vederea
utilizrii acestui program informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea
datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns nu
i termenele de realizare. n urma evalurii, s-a constatat c au fost demarate procedurile
pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul pieei i
alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va putea fi
realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii,
care depind de acesta, n acest sens va trebui amnat termenul de ncepere a procedurilor
privind implementarea proiectului Crearea unei structuri IT care s permit urmrirea
circuitului unui document, stadiul de realizare i persoanele care au intervenit asupra
acestuia, autorizarea pe niveluri ierarhice prestabilite. ntrzierea implementrii acestui
program a determinat nerealizarea n termenul planificat a obiectivului strategic
Modernizarea infrastructurii IT din cadrul entitii.
Concluzii

Neatribuirea Comisiei numit la nivelul entitii de responsabiliti n domeniul

99
dezvoltrii IT, a unor atribuii de urmrire fizic a modului de implementare a direciilor
strategice, respectiv a proiectelor informatice de dezvoltare i informatizare a entitii, a
condus la ntrzieri n achiziia, testarea i implementarea programelor, nenceperea
procedurilor de achiziie i implementare a altor programe sau aplicaii informatice.
Obiectivele strategice stabilite n domeniul IT nu au fost ndeplinite n termenele
stabilite.

Auditor intern, Supervizor,

100

ENTITATEA PUBLIC

FI DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 1.1


Problema Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i
aplicaiilor informatice.
Constatarea 1. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a
constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile
de dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor
entitii i prin implementare se urmrete realizarea unui sistem informatic integrat,
care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i
patrimoniale.
2. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu
responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de
natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i
armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i
atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns
analiza realizrii acestor activiti este rezumat doar la raportrile periodice realizate
de departamentul IT, cu privire la stadiul implementrii proiectelor IT. Limitarea
exercitrii acestor atribuii, doar la analiza raportrilor efectuate de departamentul IT,
fr o evaluare fizic, din partea comisiei, a modului de implementare a programelor
informatice, conduce la formularea unor constatri i concluzii insuficiente, care au
influen n decizia managerial i dezvoltarea strategic.
3. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu
responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate
n vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de
faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu au fost supuse
analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei
au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul
entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c
discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre
departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile
formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
resursele financiare, au fost legate doar de aceste aspecte.
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost
implementate sau sunt ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei,
inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost
asigurate resursele financiare nc din cursul anului anterior, dar pn n prezent nu s-a
realizat nici o procedur legat de stabilire a condiiilor tehnice ale aplicaiei,
demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare a
achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii
entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul
departamentului IT nu existau specialiti n testarea i implementarea programului, iar
fondurile aprobate permiteau doar achiziia aplicaiei.

101
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de
implementare a proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi
soluiile necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n
vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea
datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns
nu i termenele de realizare. n urma evalurii s-a constatat c au fost demarate
procedurile pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul
pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea
altor aplicaii, care au legtur cu acesta, n acest sens va trebui decalat termenul de
ncepere a procedurilor privind implementarea proiectului Crearea unei structuri IT
care s permit urmrirea circuitului unui document, stadiul de realizare i persoanele
care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a
obiectivului strategic Modernizarea infrastructurii IT din cadrul entitii.
Cauza Neatribuirea Comisiei numit la nivelul entitii de responsabiliti n domeniul
dezvoltrii IT, a unor atribuii de urmrire fizic a modului de implementare a
direciilor strategice, respectiv a proiectelor informatice de dezvoltare i informatizare
a entitii.
Potrivit deciziei de numire, Comisia de planificare strategic nfiinat la nivelul
entitii are rolul de a stabili obiectivele strategice, relaiile cu celelalte componente
structurale din cadrul entitii, fundamentarea modalitilor de realizare a proiectelor,
dimensionarea resurselor ce urmeaz a fi angajate, stabilirea termenelor intermediare i
finale de realizare a proiectelor, monitorizarea implementrii proiectelor aprobate.
Consecina ntrzieri n achiziia, testarea i implementarea programelor.
Totodat, unele programe preconizate a fi achiziionate ulterior i care urmau a fi
implementate dup punerea n funciune a acestora nu s-au mai achiziionat.
Recomandri Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i
redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora.
Analiza proiectelor informatice aprobate a fi implementate i pentru care au fost
alocate i resursele financiare, stabilirea de termene de implementare i respectarea
acestora.

Auditor intern, Supervizor, Pentru conformitate,
Popescu Sorin Dumitru Daniel Structura auditat

102

ENTITATEA PUBLIC

TEST nr. 1.2


Obiectul
testului
Obiectivele
testului
Analiza sistemului de fundamentare a necesarului de resurse pentru realizarea
strategiei n domeniul IT.
Descrierea
testului

Evaluarea condiiilor privind elaborarea strategiei va urmri analiza modului n
care au fost respectate i analizate urmtoarele activiti cuprinse n procedura de
realizare a strategiei din Lista de verificare nr. 1, poziia 1.2.
Strategia elaborat la nivelul structurii funcionale a avut n vedere urmtoarele:
a) evaluarea situaiei actuale pe baza analizei diagnostic;
b) identificarea punctelor tari i a punctelor slabe ale entitii;
c) formularea misiunii organizaiei;
d) fundamentarea variantelor strategice;
e) identificarea i proveniena resurselor;
f) implementarea strategiei .
Testarea s-a realizat prin evaluarea sistemului de elaborare a strategiei i a
documentelor rezultate, dar i n baza Notei de relaii nr. 1 privind modul de elaborare i
fundamentare a strategiei, adresat domnului Georgescu Mihai ef serviciu.
Constatri

Din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
a) definirea rolului IT n cadrul organizaiei, fiind identificat i definit
importana departamentului IT;
b) definirea misiunii structurii funcionale n concordan cu obiectivele
strategice i direciile de aciune stabilite la nivelul organizaiei;
c) identificarea i proveniena resurselor financiare, materiale i umane
necesare aplicrii i implementrii strategiei;
d) implementarea strategiei, fiind fixate termenele necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i
concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale,
nu s-au avut n vedere urmtoarele etape:
a) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea
activitii pentru o anumit perioad, prin strategie, presupune ca, n prealabil, s fie
cunoscut situaia actual, pe baza unei analize diagnostic, pentru a avea o imagine ct
mai complet asupra domeniului de activitate al organizaiei. Analiza diagnostic trebuia
elaborat n baza unor studii privind potenialului intern, folosind metode statistice,
matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i
fenomenelor specifice domeniului de activitate. Informaiile de intrare nu fac referire la
aspecte cum sunt: dimensiunea structurii funcionale, resursele umane, nzestrarea
tehnic, managementul utilizat;
b) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea;
c) Fundamentarea variantelor strategice obiectivele strategice stabilite nu au
fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi.
Realizarea strategiei implic fixarea i respectarea termenelor necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor, precum i

103
concentrarea eforturilor umane i materiale. Totodat, trebuie avut n vedere
compatibilitatea variantei strategice elaborat teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influen.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize
diagnostic, astfel nct s putem avea o imagine ct mai completa asupra organizaiei,
asupra rezultatelor pe care i-a propus s le obin, a potenialului su financiar, ct i a
importanei n cadrul realizrii programului de guvernare. Totodat nu au fost
identificate nici punctele tari i punctele slabe n vederea determinrii ameninrilor i
oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul
strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni
i factori externi. Realizarea strategiei implica fixarea i respectarea termenelor necesare
atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor
precum i concentrarea eforturilor umane i materiale.
Concluzii

n activitatea de fundamentare a strategiei nu s-a respectat procedura operaional
de lucru aprobat de conducerea entitii, astfel:
a) Nerealizarea, pe baza analizei diagnostic, a evalurii situaiei actuale n
vederea elaborrii strategiei.
b) neidentificarea punctelor tari i a punctelor slabe n vederea determinrii
ameninrilor i oportunitilor.
c) obiectivele strategice definite n cadrul strategiei nu au fost corelate cu
posibilitile efective ale organizaiei, cu factorii interni i factori externi.


104

ENTITATEA PUBLIC

NOT DE RELAII nr. 1.1
privind elaborarea i fundamentarea strategiei
adresat
Domnului Georgescu Mihai, ef serviciu


ntrebarea nr. 1. Cine rspunde de elaborarea strategiei n domeniul IT?
Rspuns nr. 1. Compartimentul metodologie i dezvoltare IT.

ntrebarea nr. 2. Cum au fost determinate necesitile de achiziii IT i cuprinse n cadrul strategiei?
Rspuns nr. 2. Pe baza analizei importanei activitilor pe care le desfoar organizaia i a modului de
satisfacere a cerinelor colaboratorilor.

ntrebarea nr. 3. Definirea misiunii departamentului pe ce a fost fundamentat?
Rspuns nr. 3. Pe baza mandatului stabilit de Consiliul de Administraie.

ntrebarea nr. 4. Strategia elaborat a fost implementat?
Rspuns nr. 4. Pe baza strategiei au fost elaborate politici pentru fiecare domeniu de activitate al
departamentului, politici pe baza crora au fost stabilite activitile i aciunile necesare.

ntrebarea nr. 5. La elaborarea strategiei, evaluarea situaiei actuale s-a realizat pe baza unei analize
diagnostic?
Rspuns nr. 5. Nu.

ntrebarea nr. 6. Cum au fost analizate i interpretate, la elaborarea strategiei punctele tari i punctele
slabe?
Rspuns nr. 6. Nu a fost realizat o analiza a punctelor tari i punctelor slabe la elaborarea strategiei.

ntrebarea nr. 7. Fundamentarea strategiei s-a bazat pe elaborarea mai multor variante?
Rspuns nr. 7. Nu.

ntrebarea nr. 6. Mai avei ceva de adugat?
Rspuns nr. 6. Nu.

Data: 13.09.2009

Dat n faa noastr: Auditori ef serviciu,
Popescu Sorin Georgescu Mihai
Radu George

105

ENTITATEA PUBLIC

INTERVIU nr. 1.1
privind elaborarea i fundamentarea planului strategic,
adresat domnului Ionescu Adrian, director general DGTI


Nr.
crt.
ntrebri Da Nu Observaii
1. Exist un sistem de fundamentare a planului
strategic?
X
2. Planul strategic este corelat cu planurile anuale?
X
Planul strategic este defalcat n
planurile anuale.
3. Exist un sistem de prioritizare a activitilor
cuprinse n plan?

X

Prin planul strategic aprobat se
urmrete atingerea
obiectivelor strategice stabilite
prin politicile entitii publice
n domeniul IT.
4. Strategia definit la nivelul entitii publice definete
clar obiectivele?
X
5. Obiectivele strategice sunt n concordan cu
direciile de aciune ale entitii publice?
X
6. La elaborarea planului strategic ai avut n vedere
definirea mandatului i a misiunii structurii
organizaionale?
X
7. Planul strategic are n vedere principalele domenii de
interes n domeniul IT?
X
8. Planul strategic stabilete politica n domeniul IT? X
9. Planul strategic precizeaz modalitile de aciune? X
10. Planul strategic conine o ealonare a termenelor de
realizare a obiectivelor?
X
11. Au fost previzionate resursele necesare pentru
ndeplinirea planului strategic?
X
12. Necesitile de actualizare a planului strategic sunt
analizate periodic?

13. Ai desemnat persoane responsabile cu centralizarea
noutilor n vederea actualizrii planului strategic?
X

Data: 13.09.2009

Formulat n prezena noastr: Auditori
Popescu Sorin
Radu George
Intervievat,
Director general, Ionescu Adrian

106

ENTITATEA PUBLIC



Problema Nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor
de dezvoltare.
Constatarea Din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
a) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit
importana acesteia;
b) definirea misiunii structurii funcionale n concordan cu obiectivele
strategice i direciile de aciune stabilite la nivelul organizaiei;
c) identificarea i proveniena resurselor financiare, materiale i umane
necesare aplicrii i implementrii strategiei;
d) implementarea strategiei, fiind fixate termenele necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor
precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii
funcionale, nu s-au avut n vedere urmtoarelor etape:
a) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv
orientarea activitii pentru o anumit perioad, prin strategie, presupune ca, n
prealabil, s fie cunoscut situaia actual, pe baza unei analize diagnostic, pentru
a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului
intern, folosind metode statistice, matematice, analiza pe baz de bilan etc. care
s surprind evoluia proceselor i fenomenelor specifice domeniului de activitate.
Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea structurii
funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
b) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea;
c) Fundamentarea variantelor strategice obiectivele strategice stabilite
pentru IT nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii
interni i factori externi. Realizarea strategiei implic fixarea i respectarea
termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea
i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Totodat, trebuie avuta n vedere compatibilitatea variantei strategice elaborata
teoretic cu realitatea i modul n care s-a reuit surprinderea aciunii factorilor de
influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize
diagnostic, astfel nct s putem avea o imagine ct mai completa asupra
organizaiei, asupra rezultatelor pe care i-a propus s le obin, a potenialului su
financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul
strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii
interni i factori externi. Realizarea strategiei implica fixarea i respectarea

107
termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea
i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Cauza Personalul responsabil de elaborarea strategiei nu a avut pregtirea necesara n
vederea realizrii unei analize de ansamblu a organizaiei i a unei analize a
domeniului de activitate, a identificrii factorilor interni i a factorilor externi care
influeneaz realizarea activitilor specifice, ct i a ameninrilor i
oportunitilor n ndeplinirea obiectivelor.
Consecina Implementarea strategiei nu contribuie la realizarea mandatului cu care a fost
investit organizaia, la atingerea obiectivelor generale definite i la realizarea
direciilor de aciune cu privire la dezvoltarea domeniului de activitate.
Recomandri Pregtirea profesional anticipat a personalului implicat n elaborarea
strategiei, de ctre managementul responsabil cu aceasta.
Reanalizarea strategiei definite la nivelul structurii funcionale n
conformitate cu procedura operaional aprobat.
Actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea
unui management modern in domeniul de activitate i la atingerea obiectivelor
strategice ale organizaiei.
mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare
a necesarului de resurse pentru elaborarea strategiei.

Radu George Dumitru Daniel Structur auditat

108

ENTITATEA PUBLIC

TEST nr. 1.3


Obiectul testului Strategia IT definete necesitile i prioritile
Obiectivele testului Definirea obiectivelor generale derivate din obiectivele strategice.
Descrierea testului

Evaluarea condiiilor privind elaborarea strategiei va urmri analiza modului n
care au fost definite obiectivele generale, derivate din obiectivele strategice, n
conformitate cu Lista de verificare nr. 1, poziia 1.3 respectiv:
- Stabilirea obiectivelor strategice a inut cont de mediul intern i de mediul
extern;
- Obiectivele definite n cadrul strategiei asigur:
a. definirea realist a acestora;
b. asigurarea factorului de mobilizare;
c. definirea lor astfel nct s fie nelese de ctre salariai;
d. definirea lor n form stimulatoare;
e. asigurarea necesarului de resurse n vederea implementrii
obiectivelor
- Obiectivele generale sunt definite n termeni de impact;
- Obiectivele generale deriv din obiectivele strategice;
- Obiectivele generale acoper strategia definit n cadrul domeniului de
activitate;
- Obiectivele generale n domeniul resurselor umane ofer direcia i inta
final ce urmeaz a fi atins;
- Obiectivele sunt formulate de o manier precis, riguroas fr interpretri.

Testarea a fost completat cu elaborarea unui Interviu privind definirea n
termeni de impact a obiectivelor strategice, adresat domnului Stnescu Cristian - ef
serviciu.
Constatri

Obiectivele strategice reprezint exprimrile cantitative i calitative ale scopului
pentru care exist i funcioneaz organizaia.
Din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat
c acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective
de realizare de care dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea
salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care
s permit nelegerea coninutului lor de ctre salariai;
- nu sunt stimulatoare i nu asigur o abordare sistemic a intereselor
organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe termen
mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de
natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de plecare
n conturarea unui sistem unitar de obiective ce vizeaz toate componentele procesuale
i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect
modaliti i opiuni de realizare care condiioneaz decisiv coninutul i
funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n
considerare principalele variabile exogene ce influeneaz comportamentul economic

109
i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu
s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor circulante
pe baza unor indicatori specifici, cantitativi i calitativi.
De asemenea, personalului nu i-au fost asigurate n toate situaiile, condiiile de
instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor
individuale, pentru a contribui astfel, n condiii de performan, la obinerea
impactului definit de obiectivele strategice.
Concluzii

Obiectivele strategice nu sunt definite, in toate cazurile, n mod realist, respectiv
nu deriv din atribuiile generale ce revin structurii funcionale, ceea ce creeaz
confuzii privind modul practic de realizare a acestora i implicit de asigurare a
impactului stabilit i de asigurare a definirii corespunztoare a obiectivelor specifice.


110

ENTITATEA PUBLIC

Interviu nr. 1.2
privind definirea n termeni de impact a obiectivelor strategice,
adresat domnului Stnescu Cristian - ef serviciu

Misiunea de audit: Audit IT
Perioada auditat: 01.01.2006 - 31.12.2008

Nr.
crt.
NTREBRI DA NU OBSERVAII
1.
Exist un responsabil cu elaborarea strategiei? X

2.
La definirea obiectivelor strategice a existat o analiz a
domeniilor pentru care acestea au fost definite?
X
Obiectivele strategice
nu sunt realiste
3.
La definirea obiectivelor strategice au fost luate n calcul
capacitile i posibilitile efective ale organizaiei privind
implementarea acestora?
X
nu sunt mobilizatoare
pentru salariai
4.
Obiectivele strategice sunt definite pentru nivelul de nelegere
al salariailor?
X
nu sunt nelese de
salariai
5.
La stabilirea obiectivelor au fost dimensionate resursele pe
baza unor indicatori calitativi i cantitativi?
X

6.
La definirea obiectivelor strategice s-a urmrit ca termenul de
implementare al acestora s fie multianual?
X

7.
Salariaii au fost pregtii i instruii astfel nct s asigure
implementarea obiectivelor?
X

8.
Obiectivele strategice sunt definite cu respectarea atribuiilor
i funciilor generale ale organizaiei?
X

9.
Obiectivele generale sunt definite n cadrul strategiei elaborate
la nivelul organizaiei?
X

10.
Obiectivele generale ofer pentru domeniile pe care sunt
definite, direcia i inta final ce urmeaz a fi atinse?
X

11.
Obiectivele generale sunt definite ntr-o form riguroas, fr
interpretri i ntr-o manier precis?
X
Obiectivele generale
definite nu sunt
antrenante pentru
salariai

Data: ef Serviciu,
13.09.2009 Stnescu Cristian

Elaborat n prezena noastr: Auditori
Popescu Sorin
Radu George

111

ENTITATEA PUBLIC

Not de relaii nr. 1.2
privind elaborarea planului strategic i a planurilor anuale,
adresat domnului ef serviciu Dezvoltare aplicaii


ntrebarea nr. 1: Au fost elaborate planuri strategice i planuri anuale?
Rspuns nr. 1: Planul strategic a fost elaborat pentru o perioad de 5 ani n urm cu doi ani. Planul strategic
iniial este defalcat n planuri anuale pentru a se asigura coordonarea implementrii subsistemelor IT.

ntrebarea nr. 2: Elaborarea acestor planuri s-a realizat ntr-un cadru formalizat?
Rspuns nr. 2: Prin decizia managerului general a fost numit o comisie format din conductorii
principalelor departamente din cadrul entitii publice avnd responsabilitatea elaborrii planului strategic i
a planurilor anuale. n calitate de conductor al departamentului IT fac parte din aceast comisie.

ntrebarea nr. 3: Exist un sistem de fundamentare a planului strategic?
Rspuns nr. 3: Fundamentarea planului strategic s-a realizat pe baza analizei nevoilor de informatizare
formulate de ctre departamentele ce asigur realizarea funciilor principale ale entitii publice, pornindu-se
de la sistemul IT existent i urmrindu-se realizarea msurilor necesare n vederea atingerii parametrilor
stabilii prin politica IT.

ntrebarea nr. 4: Exist un sistem de prioritizare a activitilor cuprinse n plan?
Rspuns nr. 4: Da. Implementarea subsistemelor IT se va realiza conform planificrii, pornind de la
importana acestora pentru entitatea public i inndu-se cont de resursele de care dispune organizaia.

ntrebarea nr. 5: Mai avei ceva de adugat?
Rspuns nr. 5: Nu.

Data: 13.09.2009
Intervievat,
Adrian Ionescu

Dat n faa noastr: Auditori
Popescu Sorin
Radu George

112

ENTITATEA PUBLIC

FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 1.3


Problema Obiectivelor strategice nu asigur acoperirea domeniului de activitate al
structurii funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei.
Constatarea Obiectivele strategice reprezint exprimrile cantitative i calitative ale
scopului pentru care exist i funcioneaz organizaia.
Din analiza modului de definire i stabilire a obiectivelor strategice s-a
constatat c acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile
efective de realizare de care dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea
salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier
care s permit nelegerea coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor
organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe
termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de
natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de
plecare n conturarea unui sistem unitar de obiective ce vizeaz toate componentele
procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect
modaliti i opiuni de realizare care condiioneaz decisiv coninutul i
funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n
considerare principalele variabile exogene ce influeneaz comportamentul economic
i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu
s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor
circulante pe baza unor indicatori specifici, cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de
instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor
individuale pentru a contribui astfel, n condiii de performan, la obinerea
impactului definit de obiectivele strategice.
Cauza Personalul implicat n elaborarea strategiei nu a fost pregtit n cadrul organizaiei i
nu a reuit s neleag obiectivele strategice i s stabileasc corect obiectivele
generale, care vor sta la baza stabilirii obiectivelor specifice ale acesteia.
Consecina n forma n care au fost identificate i stabilite obiectivele strategice i generale,
departamentul nu poate pune la dispoziia organizaiei o strategie care s asigure
posibilitatea de a-i dezvolta un management eficient i eficace al domeniului de
activitate n consens cu mandatul su.
Recomandarea Evaluarea performanelor actuale ale sistemului de organizare i conducere a
activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice.

113
Implicarea managementului pentru ca obiectivele strategice redefinite s
ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi
nelese de salariai, stabilite de metodologie.
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare
(materiale, financiare i umane) implementrii lor.

Popescu Sorin Dumitru Daniel Structur auditat

114

ENTITATEA PUBLIC

TEST nr. 1.4


Obiectul testului Planurile IT ajut la ndeplinirea misiunii organizaiei
Obiectivele
testului
Fundamentarea resurselor n vederea elaborrii planului anual de activitate.
Descrierea
testului

Evaluarea resurselor n vederea elaborrii planului anual de activitate a pornit de la
analiza fundamentrii planului, pe baza elementelor prezentate n Lista de verificare
elaborat.
La elaborarea planului de activitate au fost avute n vedere urmtoarele:
- planul de activitate anual a fost comunicat i este cunoscut de personalul
implicat n realizarea acestuia;
- salariaii sunt motivai i cointeresai n realizarea obiectivelor planului de
activitate;
- este fundamentat i dimensionat necesarul de resurse;
- pentru realizarea activitilor planificate sunt asigurate competenele
necesare;
- salariaii cunosc metodologia de realizare i implementare a activitilor
planificate;
- planul este alctuit n concordan cu bugetul anual de venituri i
cheltuieli;
- pentru realizarea planului anual de activitate, managementul a luat n
considerare i cunoaterea nevoilor salariailor;
- planul anual de activitate coreleaz obiectivele individuale cu cele
organizaionale;
- stabilirea planului anual de activitate permite ncadrarea n resursele
financiare planificate.
- sunt anticipate condiiile viitoare n care va funciona organizaia.
Testarea a fost completat cu un Interviu privind fundamentarea resurselor pentru
asigurarea implementrii planului de activitate, adresat domnului Popescu Valentin -
ef serviciu Dezvoltare Aplicaii.
Constatri

Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate
implic alocarea de costuri i resurse ridicate din partea organizaiei, care, n cele mai
multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost
realizate sau implementate n mod corespunztor, deoarece nu au fost repartizate
atribuiile n cadrul compartimentelor n corelaie cu noile obiective stabilite n cadrul
planului. Aceasta a nsemnat c, n unele cazuri, obiectivele i activitile, dei erau
cunoscute de personal, acesta nu avea competena necesar, n special a celor care erau
realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor
competene pentru realizarea acestora, proces care a ngreunat implementarea
obiectivelor i realizarea activitilor.
n alte cazuri, activitile de realizat nu au fost comunicate obiectiv salariailor,
respectiv obiectivele individuale au rmas aceleai, n condiiile n care obiectivele
cuprinse n planul compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea
msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru
nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la
ntrzieri n atingerea unor obiective ale planului.
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-

115
informaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a
presupus definirea n cadrul planului anual, a unor asemenea obiective i activiti, ns
pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu
necesitile pentru atingerea obiectivelor planului.
n cadrul planului, reducerea costurilor a fost definit i prin reducerea
personalului, prin care s-au pierdut o serie de competene care, din motive financiare, nu
au mai putut fi nlocuite, ceea ce a condus la realizarea activitilor, fr a fi ndeplinite
condiiile de performan stabilite.
Monitorizarea resurselor financiare utilizate n derularea obiectivelor planului
anual a fost de multe ori deficitar, ceea ce a contribuit la majorarea costurilor .
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de
cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, importana
obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea
obiectivelor generale i a obiectivelor strategice.
Activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate corespunztor, deoarece nu s-au reanalizat i repartizat atribuiile
compartimentelor pentru a asigura competena necesar realizrii obiectivelor i
activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale
care s derive din noile obiective stabilite n cadrul planului de activitate i care se aflau
n competena compartimentului funcional.
n cadrul planului anual nu au fost definite obiective i activiti care s asigure
nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-
informaionale i organizatorice, creterea eficienei i reducerea costurilor, prin
corelarea necesarului de echipamente cu necesitile de atingere a obiectivelor planului.
S-a constatat monitorizarea deficitar a resurselor financiare utilizate n derularea
obiectivelor planului anual, ceea ce a dus la costuri suplimentare fa de cele planificate
pentru implementarea obiectivelor stabilite.
Concluzii

Necorelarea atribuiilor compartimentelor n vederea organizrii i asigurrii
competenelor necesare realizrii noilor obiective i activiti stabilite.
Necunoaterea de ctre toi salariaii a structurii planului anual de activitate, ceea ce
nu a asigurat implicarea acestora n implementarea obiectivelor.
Neasigurarea n totalitate a necesarului de mijloace pentru realizarea planului,
respectiv nu a existat un echilibru ntre necesitile de realizare a planului i necesarul de
echipamente.
Depirea costurilor planificate n realizarea i implementarea obiectivelor.
Performanele stabilite n realizarea activitilor nu au fost atinse n toate cazurile.


116

ENTITATEA PUBLIC

INTERVIU nr. 1.3
privind fundamentarea resurselor pentru asigurarea implementrii planului de activitate, adresat
Domnului Popescu Valentin ef serviciu Dezvoltare Aplicaii


Nr.
crt.
NTREBRI
DA NU
OBSERVAII
1. Exist un plan de activitate elaborat?
X
2. Planul de activitate este elaborat pe domenii de activitate?
X
3. La elaborarea planului de activitate s-a realizat o analiz SWOT
a domeniilor de activitate?
X

4. Planul de activitate este corelat cu posibilitile materiale,
financiare i umane existente n cadrul organizaiei?
X

5. Planul de activitate a fost adus la cunotina i este cunoscut de
salariaii implicai n realizarea lui?
X

6. Politicile i strategiile elaborate n cadrul organizaiei i care
asigur implementarea i realizarea planului de activitate,
inclusiv metodologiile interne de lucru sunt cunoscute de
salariai?
X
X

x
Nu este realizat o analiz a
comportamentului salariailor
cu privire la intele i
indicatorii planului
7. Atribuiile definite compartimentelor s-a realizat n corelaie cu
activitile i sarcinile repartizate acestora?
X
Unele activiti nu au fost
implementate corespunztor
8. Pentru realizarea activitilor n cadrul compartimentelor au
existat competenele necesare?
X

9. Activitile au fost comunicate corespunztor salariailor prin
atribuirea de obiective individuale corespunztoare?
X
Realizarea cu ntrziere a
activitilor
10. Monitorizarea realizrii activitilor planificate s-a realizat
corespunztor, pe niveluri de responsabiliti?
X

11. Personalul implicat n realizarea obiectivelor i activitile
planificate a deinut cunotinele necesare realizrii acestora ? X
Depirea costurilor
planificate n realizarea
obiectivelor
12. Pentru realizarea activitilor au fost asigurate echipamentele i
tehnologiile necesare ? X
Nu a existat echilibru ntre
necesitile planului i
necesarul de echipamente

Data: 13.09.2009 ef serviciu Dezvoltare aplicaii,
Popescu Valentin
Popescu Sorin
Radu George

117

ENTITATEA PUBLIC



Problema Resursele nu sunt fundamentate corect n vederea implementrii planului anual de
activitate;
Constatarea Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate
implic alocarea de fonduri i resurse ridicate din partea organizaiei care, n cele mai
multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost
realizate sau implementate n totalitate, n mod corespunztor, deoarece nu au fost
reanalizate i repartizate atribuiile n cadrul compartimentelor n corelaie cu noile
obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri,
obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena
necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale,
ceea ce a necesitat solicitarea unor competene pentru realizarea acestora, proces care a
ngreunat implementarea obiectivelor i realizarea activitilor.
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele
individuale au rmas aceleai, n condiiile n care obiectivele cuprinse n planul
compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea msurilor n cursul
anului, instruirea, sub diferite forme, a personalului pentru nelegerea acestora i
stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor
obiective ale planului.
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-
informaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a
presupus definirea n cadrul planului anual a unor asemenea obiective i activiti, ns
pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu
necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului,
prin care s-au pierdut o serie de competene care, din motive financiare, nu au fost
nlocuite, prin dezvoltarea altor angajai, ceea ce a condus la realizarea activitilor, dar nu
au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a
fost de multe ori deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa
de cele planificate pentru implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de
cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor
culturi din cadrul organizaiei, importana obiectivelor stabilite spre ndeplinire i modul
cum acestea contribuie la atingerea obiectivelor generale i a obiectivelor strategice, i
nelegerea comportamentului competitiv ca un sistem n care oamenii i resursele
interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate corespunztor deoarece nu s-au reanalizat i repartizat atribuiile
compartimentelor pentru a asigura competena necesar realizrii obiectivelor i
activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale
care deriv din noile obiective stabilite n cadrul planului de activitate i care se aflau n

118
competena compartimentului funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se
asigure: nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-
informaionale i organizatorice;creterea eficienei i reducerea costurilor; corelarea
necesarul de echipamente cu necesitile de atingere a obiectivelor planului.
Cauza Inexistena unui sistem de reglementare i monitorizare a instruirii personalului, la
nivelul structurilor funcionale, prin care s se asigure comunicarea clar a sarcinilor de
realizat, a instrumentelor de aplicat i urmrirea utilizrii acestora.
Inexistena programelor de formare care se bazeaz pe dezvoltarea aptitudinilor de
cercetare-analiz-diagnoz, pe cultivarea capacitii de asumare a responsabilitilor de a
decide sau de a conduce activitatea unui grup.
Atitudinea fa de sarcini i responsabiliti nu este ntotdeauna pozitiv, iar politica de
cointeresare este slab.
Consecina Planurile anuale de activitate nu sunt ndeplinite n condiii de performan, iar indicatorii
de impact sau rezultat ataai obiectivelor nu sunt realizai n condiii de eficien,
economicitate i eficacitate.
Recomandarea Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct
metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat
corespunztor pentru dezvoltarea i implementarea planurilor anuale.
n baza planurilor elaborate s se identifice toate atribuiile necesare pentru
atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul
compartimentelor.
Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare
creterii economice n condiiile n care au loc reduceri de personal.
Evaluarea cuprinztoare a resurselor (financiare, instituionale, programe, personal)
necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a
se asigura ncadrarea n limitele stabilite.


119

ENTITATEA PUBLIC

TEST nr. 1.5


Obiectul testului Planurile IT ofer asigurare cu privire la faptul c nevoile IT sunt alocate n
Obiectivele testului Implementarea subsistemele IT pentru funcii principale stabilite urmare direciilor
de dezvoltare ale organizaiei.
Descrierea testului

Populaia statistic a fost constituit din cele trei de funcii principale nou-create la
nivelul entitii publice n baza recomandrilor Comisiei Europene, identificate ca urmare
a analizei modificrilor operate n organigram la data elaborrii planului strategic.
Eantionul pentru realizarea testrii situaiei subsistemelor IT pentru funciile
principale a fost constituit din cele trei funcii identificate.
Testarea a constat n examinarea urmtoarelor elemente:
- examinarea dac subsistemele IT acoper n totalitate nevoile pentru funciile
principale ale entitii publice
- analiza dac nevoile de subsisteme IT pentru funciile principale nou-create au
fost acoperite
- verificarea dac departamentele nfiinate ca urmare a funciilor principale nou-
create au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme
IT proprii activitii lor
- analiza procedurile pe baza crora se realizeaz subsistemele IT i stabilirea dac
acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime

Testarea s-a concretizat n elaborarea unei Liste de control privind analiza
subsistemelor IT pentru funciile principale nou-create.
Constatri

Din analiza efectuat s-a constatat c n cadrul entitii publice exist structuri nou-
nfiinate, ca urmare a schimbrilor legislative aprute, pentru care nu s-au realizat
aplicaii informatice specifice, respectiv Autoritatea de Management a Fondurilor
Structurale, Autoritatea de Management a Fondurilor de Coeziune, Autoritatea
competent pentru acreditarea ageniilor de plat. n acelai timp, exist i o structur
nou nfiinat Autoritatea de Management a Fondurilor de Coeziune care a notificat
departamentul IT, dar implementarea nu s-a realizat n termen.
Concluzii

Nu exist aplicaii informatice implementate la nivelul tuturor structurilor funcionale din
cadrul entitii


120

ENTITATEA PUBLIC

INTERVIU nr. 1.4
privind subsistemele IT pentru funciile principale
adresat
domnului Ionescu Adrian, Director General


Nr.
crt.
1.
Planul strategic prevede elaborarea de
subsisteme IT pentru funciile principale?
X
2.
Au fost elaborate subsisteme IT pentru
toate funciile principale?
X
Procesul de elaborare a subsistemelor IT este nc
n derulare.
3.
Procesul de elaborare a subsistemelor IT
pentru funciile principale este
procedurat?
X
Prin planul strategic au fost stabilite termene de
realizare a subsistemelor IT.
4.
Au fost elaborate subsisteme IT pentru
funcii principale aprute la solicitarea
Comisiei Europene sau ca urmare a
schimbrilor legislative aprute n
Romnia?
X
Resursele umane de care dispunem sunt implicate
n elaborarea subsistemelor IT prevzute prin
planul strategic defalcat n planuri anuale. Pn n
prezent planul strategic iniial nu a fost modificat.
5.
A fost efectuat periodic (trimestrial,
anual) o analiz a nevoilor de subsisteme
IT la nivelul funciilor principale nou-
create?
X
Realizarea acestei analize nu este n sfera de
competene a conductorului departamentului IT
6.
Sunt corelate termenelor de realizare a
subsistemelor IT?
X
Da, prin planul strategic.
7.
Au fost realizate subsistemele IT la
termenele prevzute?
X
S-au nregistrat ntrzieri n realizarea
subsistemelor IT
8.
Au fost previzionate resursele necesare
pentru elaborarea subsistemelor IT?
X
Departamentul IT asigur resursele umane
necesare pentru elaborarea subsistemelor IT.

Data: 13.09.2009
Intervievat,
Director general, Ionescu Adrian
Popescu Sorin
Radu George

121

ENTITATEA PUBLIC



Problema Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice
activitilor care se desfoar n cadrul acestora.

Constatarea
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-
nfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor
legislative, care nu au notificat departamentul IT n privina nevoilor lor de
aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice
activitii lor, dar care nu au beneficiat de implementarea acestora, conform
planificrii, datorit ntrzierilor n realizarea achiziiilor.
Cauza Inexistena la nivelul entitii publice a unor proceduri complete de elaborare
a strategiei IT care s permit actualizarea sistematica, funcie de schimbrile
legislative;
Insuficiena personalului de specialitate.
Consecina Domenii importante de activitate ale entitii publice pentru care nu s-a
realizat implementarea subsistemelor IT necesare pentru desfurarea activitii au
randamente sczute, ceea ce afecteaz pe ansamblul realizarea activitilor entitii
publice
Recomandarea Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele
posturilor;
Inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n
strategia IT.


122

123

ENTITATEA PUBLIC

LISTA DE VERIFICARE nr. 2


Obiectivul I.
ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT

Nr.
crt.
A Definirea atribuiilor i activitilor
1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT
1.1. Funcionalitatea procedurilor de lucru n corelaie cu activitile
derulate
X

1.2. Verificarea gradului de acoperire prin procedur a activitilor privind
organizarea i definirea structurilor organizatorice.
X

1.3. Verificarea concordanei atribuiilor stabilite Departamentului IT cu
cele ale organizaiei

1.4. Verificarea definirii clare a atribuiilor pe compartimentele funcionale
ale Departamentului IT

1.5. Verificarea definirii activitilor ce trebuie realizate n cadrul
Departamentului IT

1.6. Examinarea constituirii structurii funcionale de IT
1.7. Analiza criteriilor avute n vedere la crearea compartimentelor
funcionale ale structurii organizatorice;

1.8. nglobarea activitilor de control intern n punctele cheie de realizare a
activitilor

1.9. Atribuiile sunt stabilite urmare a evalurii posturilor;
1.10. Verificai dac definirea atribuiilor ine cont de reglementrile legale
aplicabile;

1.11. Verificai dac atribuiile executate n cadrul compartimentului IT sunt
n responsabilitatea acestui compartiment;

1.12. Verificai dac responsabilitile sunt delimitate clar de atribuii i
competene;

1.13. Verificai dac sunt definite atribuiile i aria de competen
1.14. Verificai dac aria de competen asigur realizarea activitilor i
aciunilor stabilite
1.15. Verificai dac relaiile cu celelalte posturi din cadrul
compartimentului cu care ar trebui s aib relaii funcionale sunt clar
definite

Test nr. 2.1
FIAP nr. 2.1
1.16. Verificai dac definirea atribuiilor ine cont de obiectivele generale i
specifice;

2. Definirea activitilor n cadrul structurii organizatorice
2.1. Verificai dac activitile sunt identificate la nivelul departamentului
IT;
X

2.2. Verificai dac activitile sunt definite omogen n cadrul structurii
funcionale
X

2.3. Verificai dac atribuiile specifice care asigur realizarea activitilor
sunt definite n cadrul atribuiilor generale ale organizaiei;
X

2.4. Verificai dac activitile repartizate n cadrul compartimentelor

124
respect criteriile avute n vedere la nfiinarea acestora, respectiv
exist atribuii definite pentru realizarea lor;
2.5. Analizai dac aciunile efectuate pentru realizarea activitilor se
regsesc n sarcinile definite la nivelul posturilor;

2.6. Verificai dac la realizarea unei activiti contribuie un singur
compartiment;

2.7. Verificai dac la repartizarea activitilor pe compartimente se ine
seama de rolul acestora;

2.8. Verificai dac atribuiile stabilite pentru realizarea activitii asigur
competena necesar pentru realizarea acesteia;

2.9. Verificai dac pentru fiecare activitate sunt stabilite aciunile necesare;
2,10. Verificate dac pentru fiecare aciune stabilit exist sarcin definit n
fia postului;

2.11. Verificai dac personalul are calificarea necesar pentru realizarea
activitilor;

2.12. Verificai dac pentru activitile identificate exist competena alocat
n vederea realizrii lor;

2.13. Verificai dac activitile identificate i alocate obiectivelor asigur
realizarea acestora i obinerea rezultatelor ateptate;

Verificai dac activitile repartizate n cadrul compartimentelor
respect criteriile avute n vedere la nfiinarea acestora;
a) definirea omogen a activitilor
b) activitile repartizate n cadrul compartimentelor respect criteriile
avute n vedere la nfiinarea acestora
c) atribuiile stabilite pentru realizarea activitilor definesc aria
necesar realizrii activitilor
2.14.
d) aciunile stabilite n realizarea activitilor se regsesc n sarcinile
definite la nivelul posturilor;

Test nr. 2.2.
Interviu nr. 2.1.
Not de relaii
nr. 2.1.
FIAP nr. 2.2.
2.15. Verificai dac personalul are calificarea adecvat pentru realizarea
activitilor;

B. Stabilirea structurii organizatorice
1. Organizarea funcional a departamentului IT
Verificai modul de elaborare i funcionalitatea organigramei
departamentului IT;
a) stabilirea structurii funcionale a departamentului, pe baza
organigramei
b) organigrama permite vizualizarea de ansamblu a organizrii
departamentului
c) definirea n termen a relaiilor din cadrul departamentului
d) definirea raporturilor de subordonare n cadrul organigramei
1.1.
e) definirea numrului de posturi prin intermediul organigramei
X
Test nr. 2.3
FIAP nr. 2.3
1.2. Elaborarea organigramei n consens cu structura organizatoric; X
1.3. Constituirea compartimentelor a avut n vedere natura activitilor; X
1.4. Verificarea aprobrii organigramei de ctre persoanele competente; X
1.5. Examinarea organigramei departamentului IT; X
1.6. Evaluai demersurile realizate de departamentul IT pentru ocuparea
posturilor de conducere;

1.7. Analizai consecinele funcionrii departamentului IT prin delegarea
persoanelor de conducere;
Verificai dac organigrama departamentului IT asigur:
a) numrul total de posturi de conducere
b) numrul total de posturi de conducere ocupate cu delegaie
c) numrul de posturi de execuie
1.8.
d) numrul de posturi de execuie neocupate
Verificai dac demersurile efectuate pentru ocuparea posturilor de
conducere:
a) numrul de concursuri organizate
1.9.
b) numrul de solicitri ctre departamentul de resurse umane n
vederea organizrii concursurilor
Verificai dac conducerea a avut preocupri pentru ocuparea
posturilor de execuie
1.10.
a) numrul de concursuri organizate
X
Test nr. 2.4
Lista de control
2.1
FIAP nr. 2.4

125
b) numrul de solicitri ctre departamentul de resurse umane n
vederea organizrii concursurilor
1.11. Verificai existena un ui plan de implementare a msurilor necesare,
menit s asigure buna desfurare a activitii n cazul existenei unui
numr mare de posturi vacante
1.8. Evaluai preocuparea conducerii pentru ocuparea posturilor de
execuie;
X

1.9. Existena unui plan de implementare a msurilor necesare menite s
asigure buna desfurare a activitii n cazul existenei unui numr
mare de posturi vacante;
X

1.10. Analizai dotarea departamentului cu echipamente hard i soft adecvate
pentru desfurarea activitilor specifice, astfel:
a) numr suficient de calculatoare dotate corespunztor;
b) numr suficient de servere;
c) numr suficient de echipamente auxiliare (imprimante, xerox-uri,
scanere, conexiuni la intranet/Internet);

- programe IT adecvate.
X

1.11. Verificai dac exista responsabil monitorizarea stadiului i modului de
realizare a obiectivelor generale i specifice ale departamentului;
X

1.12. Verificarea limitelor decizionale stabilite n derularea i realizarea
activitilor;
X

1.13. Examinarea modului de analiz a posturilor i de definire a sarcinilor
pe posturi;
X

1.14. Analiza modului de specializarea a posturilor n corelaie cu tipul de
activiti ce sunt realizate
X

1.15. Verificai dac elaborarea organigramei este realizat n consens cu
structura organizatoric;
X

1.16. Verificai dac posturile atribuite compartimentelor asigur realizarea
activitilor repartizate;
X

1.17. Verificai dac sistemul informaional este proiectat n conformitate cu
strategia;
X

1.18. Verificai dac sunt stabilite circuitele informaionale; X
1.19. Analizai dac mijloacele de realizare a circuitelor informaionale sunt
definite i cunoscute;
X

1.20. Verificai dac sistemul informaional este operaional i este folosit
eficient i eficace;
X

1.21. Verificai dac tehnologiile informaionale sunt folosite i exploatate:
Internetul
E-mail-ul
Intranetul
X

1.22. Verificai dac oportunitatea, calitatea i cantitatea informaiilor este
bine precizat;
X

1.23. Verificai dac organigrama stabilete responsabilii structurilor
funcionale corespunztor fiecrui nivel ierarhic;
X

1.24. Analizai dac organigrama stabilete autoritatea de care responsabili
structurilor funcionale dispun.
X

2. Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT
2.1. Verificarea existenei politicii unitare privind gestionarea riscurilor X
2.2. Verificarea existenei sistemului de evaluare a riscurilor X
2.3. Verificai dac pentru riscurile identificate sunt stabilite i funcioneaz
controale interne
2.4. Verificai modalitatea de stabilire i introducere a instrumentelor de
control pentru meninerea lor n limita de acceptare i dac acestea
menin riscurile la niveluri inferioare

Test nr. 2.5
Interviu 2.2
FIAP nr. 2.5
2.5. Analizai dac exist un responsabil cu gestionarea riscurilor la nivelul
departamentului IT
X

2.6. Verificarea existenei Registrului riscurilor la nivelul Departamentului
IT
X

2.7. Verificai dac actualizarea Registrului riscurilor se realizeaz
sistematic
X

2.8. Verificai dac riscurile majore prezentate n Registrul riscurilor
elaborat la nivelul Direciei IT se regsesc n Registrul riscurilor
X

126
elaborat la nivelul ntregii entiti publice;
2.9. Verificai dac exist un proces formal de analiz a riscurilor, utilizat
nainte de introducerea i ameliorarea noilor sisteme i pregtirea unor
planuri realiste de meninere a serviciilor n cazul n care operaiunile
nu decurg aa cum au fost proiectate.
X

2.10. Examinai dac se realizeaz monitorizarea i administrarea riguroas a
riscurilor care privesc implementarea aplicaiilor
X

Analizai dac implementarea controlului intern a urmrit dac acesta
este proiectat, implementat i meninut pentru a aborda riscurile care
amenin atingerea oricruia dintre obiectivele departamentului cu
privire la:
a) credibilitatea raportrii financiare
b) eficiena i eficacitatea operaiilor sale
2.11.
c) respectarea legilor i reglementrilor aplicabile
X
Test. nr. 2.6
FIAP nr. 2.6
2.12. Verificai dac riscurile sunt clar identificate i delimitate pe programe; X
2.13. Verificai dac riscurile sunt tratate ca responsabilitate a conducerii
superioare, dat fiind impactul potenial al acestora asupra proiectului i
utilizrii resurselor;
X

2.14. Evaluai dac probabilitatea i impactul riscurilor sunt analizate
separat i sunt numite persoane care rspund de reducerea acestora;
X

2.15. Verificai dac revizuirea planurilor de diminuare i de gestionare a
riscurilor se realizeaz n mod regulat;
X

2.16. Examinai dac un risc identificat este raportat conducerii superioare i
sunt dispuse msuri de control intern pentru meninerea acestuia n
limite acceptabile;
X

2.17. Verificai dac criteriile de performan sunt utilizate corect n
procesele informaionale;
X

2.18. Analizai dac aprecierea criteriilor de performan are la baz
capacitile i abilitile demonstrate de salariai;
X

2.19. Verificai dac procesul decizional este implementat la toate nivelurile
ierarhice;
X

2.20 Analizai dac structura compartimentala este corect stabilit n funcie
de natura i omogenitatea activitilor;
X

C. Stabilirea responsabilitilor
1. Definirea sarcinilor prin fia postului
1.1. Verificai dac elaborarea fiei postului este realizat n corelaie cu
cerinele postului;
X

1.2. Verificai dac sunt definite responsabiliti n realizarea sarcinilor din
fia postului;
X

1.3. Verificai dac fia postului definete corect cunotinele IT necesare
ocuprii postului;
X

1.4. Verificai dac este asigurat continuitatea realizrii activitilor la
eliberarea postului;
X

1.5. Abilitile, cunotinele i aptitudinile definite posturilor asigur
realizarea activitilor repartizate i a celor stabilite departamentului;
X

1.6. Verificai dac la definirea obiectivelor i sarcinilor se urmrete i
dezvoltarea capacitii profesionale a salariatului;
X

1.7. Verificai dac stabilirea obiectivelor individuale este realizat n
corelaie cu obiectivele departamentului;
X

1.8. Verificai dac persoana care ocup postul are capacitatea de a asigura
ndeplinirea atribuiilor i sarcinilor stabilite;
X

1.9. Verificai dac atribuiile definite n fia postului au caracter individual X
1.10. Verificai dac stabilirea sarcinilor din fia postului este realizat n
concordan cu atribuiile din ROF;
X

1.11. Analizai modul de definire a competenelor manageriale; X
1.12. Examinarea stabilirii sarcinilor n corelaie cu gradul profesional pe
care l definete postul;
X

1.13. Verificai dac atribuiile definite n fia postului sunt n concordan
cu activitile efectiv realizate de persoana ocupant a postului;
X

1.14. Urmrirea alocrii sarcinilor n fia postului n concordan cu
competenele manageriale:
X

1.15. a) modul de definire pentru funciile de execuie; X

127
b) modul de definire pentru funciile de conducere; X
Analizai dac fia postului definete:
a) condiiile privind studiile de specialitate
b) condiiile privind specializrile necesare pentru ocuparea postului
c) condiiile privind cunotinele informatice
d) definirea sarcinilor n funcie de nivelul postului
1.16.

e) alocarea sarcinilor n concordan cu competenele manageriale
necesare postului

X
Test nr. 2.7
Interviu 2.3
Not de relaii
nr. 2.1
FIAP nr. 2.7
1.17. Verificarea definirii sarcinilor n conformitate cu activitile derulate; X
Verificai dac atribuiile sunt definite astfel nct s asigure aria de
competen necesar realizrii activitilor, respectiv:
a) analiza atribuiilor stabilite compartimentului i stabilirea dac aria
de competen a acestora ajut la realizarea activitilor
b) urmrirea ca aria de competen s asigure realizarea activitilor i
aciunilor stabilite compartimentului funcional
1.18.
c) analiza relaiilor cu celelalte structuri funcionale din cadrul
organizaiei cu care are sau ar trebui s aib relaii funcionale pentru
realizarea atribuiilor i activitilor
X
Test nr. 2.8
FIAP nr. 2.8

Auditori,
Popescu Sorin
Radu George

128

ENTITATEA PUBLIC

TEST nr. 2.1.


Obiectul testului Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT
Obiectivele
testului
Evaluarea i urmrirea dac atribuiile stabilite personalului definesc aria de competen
necesar realizrii activitilor i aciunilor;
Descrierea
testului

Eantionul s-a constituit prin selectarea a cte dou posturi din cadrul fiecrui
compartiment funcional al Departamentului IT, respectiv un numr de 6 posturi. In cazul
acestora se vor evalua atribuiile i relaiile funcionale definite cu privire la:
- definirea atribuiilor i a ariei de competen a acestora;
- urmrirea dac aria de competen asigur realizarea activitilor i aciunilor
stabilite;
- analiza relaiilor cu celelalte posturi din cadrul compartimentului cu care ar
trebui s aib relaii funcionale.
Constatri

Atribuiile definite n sarcina salariailor nu sunt ntotdeauna conforme i nu asigur
competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare o aciune, nu asigur un coninut clar,
fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate.
Concluzii

Atribuiile stabilite salariailor nu asigur ntotdeauna aria de competen necesar pentru
realizarea activitilor.


129

ENTITATEA PUBLIC

FI DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 2.1.


Problema Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur
ntotdeauna aria de competen privind realizarea activitilor i aciunilor
repartizate.
Constatarea Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu
asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n
multe cazuri la modul general, nu indic, prin modul de formulare o aciune, nu
asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd
caracter de activitate.
Cauza Definirea atribuiilor specifice postului s-a realizat de ctre fiecare ef de
compartiment, fr a mai fi analizate i evaluate de ctre persoanele responsabile
de la nivelul departamentului.
Persoanele din cadrul compartimentelor funcionale nu au dispus de cunotinele
necesare astfel nct s poat defini corect o atribuie i n acelai timp s
urmreasc daca acestea asigur aria de competen a realizrii activitilor
repartizate postului.
Consecina Nu se asigur o arie de competen necesar i suficient pentru realizarea
activitilor i aciunilor.
Recomandarea Contientizarea managementului responsabil cu procesul de stabilire i definire a
atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de
definire a unei atribuii sau unui set de atribuii pentru asigurarea ariei de
competen necesar pentru realizarea activitilor.


130

ENTITATEA PUBLIC

TEST nr. 2.2.


Obiectul testului Definirea activitilor n cadrul structurii organizatorice.

Obiectivele
testului
Delimitarea activitilor compartimentului pe posturi.

Descrierea
testului

Populaia eantionat o reprezint activitile i atribuiile alocate i stabilite pentru
dou servicii din cadrul departamentului IT, respectiv serviciul responsabil de
ntreinerea i implementarea aplicaiilor i serviciul responsabil cu programarea n
cadrul organizaiei.
Criteriile avute n vedere la analiza i evaluarea activitilor sunt reprezentate de cele
definite n Lista de verificare, i anume:
definirea omogen a activitilor;
activitile repartizate n cadrul compartimentelor respect criteriile avute n
vedere la nfiinarea acestora;
atribuiile stabilite pentru realizarea activitilor definesc aria necesar;
aciunile necesare realizrii activitilor se regsesc n sarcinile definite n fia
postului.

Pentru realizarea testului a fost realizat un interviu privind modul de stabilire a
activitilor n cadrul compartimentului, cu domnul Ionescu Adrian director general
Departament IT i a fost luat o not de relaii domnului Popescu Marin, ef serviciu
ntreinere i Implementare Aplicaii.

Constatri

La proiectarea structurii organizatorice se pleac de la inventarierea activitilor
existente sau necesare pentru realizarea obiectivelor i se efectueaz o analiz critic
pentru a se putea constata n ce msur acestea sunt adecvate realizrii funciunii.
La definirea activitilor se are n vedere complexitatea acestora, respectiv
gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe orizontal
const n numrul de activiti (specializri) i de subuniti funcionale (birouri,
servicii). Diferenierea pe vertical se refer la numrul de niveluri ierarhice de-a
lungul crora se exercit autoritatea n organizaie.
Analiza coninutului i modului de definire a activitilor necesare pentru
realizarea fiecrui obiectiv specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu
indic aciuni concrete de realizare a acestora, fie indic o aciune comun de
realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care
sunt exercitate aciuni concrete de realizare i pentru care exist rezultate ateptate
stabilite;
nu sunt identificate toate activitile care contribuie la realizarea
obiectivelor specifice i care asigur conformitatea cu reglementrilor legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei
nu se asigur evitarea dublrii aciunilor, respectiv exist activiti identice sau
similare, desfurate de mai multe departamente i probleme semnificative de

131
suprapunere i coordonare.
De asemenea, pentru realizarea unor activiti nu se respect principiul
convergenei n definirea i stabilirea coninutului activitilor care sunt necesare
pentru realizarea unui obiectiv.

Concluzii

Activitile nu sunt corect identificate i definite n cadrul compartimentelor,
astfel nct s contribuie la realizarea i implementarea obiectivelor.


132

ENTITATEA PUBLIC

INTERVIU NR. 2.1
privind definirea activitilor i responsabilitilor n cadrul departamentului IT,
adresat domnului Adrian Ionescu, director general DGTI


Nr.
crt.
1. Avei o strategie de dezvoltare la nivelul structurii
funcionale?
X
2. Exist un responsabil cu actualizarea strategiei n
cadrul compartimentului IT?
X
3. Strategia de dezvoltare a compartimentului IT este n
concordan cu strategia general a organizaiei?
X
4. Ai aprobat un plan de activitate anual pentru
compartimentul IT?
X
5. Ai dezvoltat politici publice n domeniul IT pentru
asigurarea atingerii obiectivelor stabilite prin plan?
X
6. Exist proceduri operaionale de lucru pentru toate
activitile care se desfoar n cadrul
compartimentului?
X
Da, au fost elaborate
proceduri operaionale de
lucru, sunt cunoscute i
nsuite de ctre salariai
7. Exist responsabili desemnai pentru elaborarea i
actualizarea sistematic a procedurilor operaionale?
X
8. Ai aprobat procedurile operaionale de lucru? X
9. Pn n prezent s-a realizat vreo revizie pentru
actualizarea procedurilor operaionale de lucru?
X
Da, anumite proceduri au
fost actualizate de 2 ori.
10. Considerai c procedurile operaionale sunt
complete, funcionale i asigur desfurarea
corespunztoare a activitilor din cadrul
compartimentului IT?
X
Da, dup efectuarea mai
multor revizii.
11. Mai avei ceva de adugat referitor la cele de mai sus? X

Data: 15.09.2009 Intervievat,
Director General Adrian Ionescu
Elaborat n faa noastr; Auditori
Popescu Sorin
Radu George

133

ENTITATEA PUBLIC

privind modul de stabilire a activitilor n cadrul compartimentului
adresat
domnului Popescu Marin ef serviciu ntreinere i Implementare Aplicaii.


ntrebarea nr. 1: Ai participat la stabilirea atribuiilor i activitilor compartimentului?

Rspuns nr. 1: Activitile n cadrul compartimentului au fost stabilite pe baza atribuiilor definite.

ntrebarea nr. 2: Ai fost implicat n elaborarea atribuiilor compartimentului?

Rspuns nr. 2: n anul 2007 a fost elaborat Regulamentul de organizare i funcionare unde am participat
efectiv pentru departamentul pe care l coordonez. De fapt atribuiile stabilite de mine au rmas
neschimbate n urma aprobrii regulamentului.

ntrebarea nr. 3: La proiectarea structurii organizatorice s-a inut cont de inventarierea activitilor
executabile ?

Rspuns nr. 3: Structura compartimentului i numrul de posturi au fost prestabilite, iar noi a trebuit
doar s alocm activitile i atribuiile.

ntrebarea nr. 4: Activitile definite indic aciuni concrete de realizare i rezultate ateptate?

Rspuns nr. 4: n unele cazuri da, n alte cazuri le-am definit sub form de relaii de colaborare sau
participare n funcie de scopul urmrit.

ntrebarea nr. 5: Cum explicai faptul c nu sunt identificate toate activitile necesare realizrii
obiectivelor?

Rspuns nr. 5: Ulterior direcia a mai primit i alte activiti n vederea realizrii, ns pentru acestea nu
s-a mai procedat la reanalizarea obiectivelor i redefinirea acestora.

ntrebarea nr. 6: Din analiza unor activiti a rezultat c acestea sunt realizate mpreun cu alte
compartimente, ns, evalund obiectivele, s-a constatat c realizarea acestora include i activitile
realizate de celelalte compartimente. Cum explicai aceasta?

Rspuns nr. 6: Aceste obiective i activiti se regsesc la ambele compartimente, ns fiecare
compartiment realizeaz numai partea pentru care este responsabilizat.


Rspuns nr. 7: Nu.

Data: 15.09.2009 ef serviciu
Dat n faa noastr: Auditori Popescu Marin
Popescu Sorin
Radu George

134

ENTITATEA PUBLIC



Problema Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea
complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale
posturilor existente.
Constatarea La proiectarea structurii organizatorice se pleac de la inventarierea
activitilor existente sau necesare pentru realizarea obiectivelor i se efectueaz o
analiz critic pentru a se constata n ce msur acestea sunt adecvate realizrii
funciunii.
La definirea activitilor se are n vedere complexitatea acestora, respectiv
gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe
orizontal const n numrul de activiti (specializri) i de subuniti funcionale
(birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
ierarhice de-a lungul crora se exercit autoritatea n organizaie.
Analiza coninutului i modului de definire a activitilor necesare pentru
realizarea fiecrui obiectiv specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie
nu indic aciuni concrete de realizare a acestora, fie indic o aciune comun de
realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n
care sunt exercitate aciuni concrete de realizare i pentru care exist rezultate
ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea
obiectivelor specifice i care asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale
direciei nu se asigur evitarea dublrii aciunilor, respectiv exist activiti
identice sau similare, desfurate de mai multe departamente i probleme
semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul
convergenei n definirea i stabilirea coninutului activitilor care sunt necesare
pentru realizarea unui obiectiv.
Cauza Managementul superior nu a acordat o suficient atenie domeniului
organizaional, n vederea reglementrii lui formale n cadrul tuturor
compartimentelor funcionale.
Consecina Nestabilirea clar a activitilor i aciunilor poate conduce la nerealizarea, n
condiii optime, a obiectivelor i nu permite identificarea cauzelor care au stat la
baza nerealizrii. De asemenea, nu se pot identifica problemele cu care se
confrunt personalul i nici nu se pot implementa politici care s asigure eficiena
i eficacitatea n realizarea activitilor.
Recomandarea Organizarea eficient a activitii impune realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei
iniiative de organizare a activitii.
Constituirea unei echipe, pe baza deciziei managementului general, care s

135
analizeze i s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi
realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare
obinerii rezultatelor stabilite, realizate efectiv n cadrul compartimentului,
formulate ca aciuni concrete.


136

ENTITATEA PUBLIC

TEST nr. 2.3


Obiectul testului Organizarea funcional a Departamentului IT
Obiectivele
testului
Examinarea dac organigrama reprezint un instrument la ndemna conducerii
prin care se permite vizualizarea de ansamblu a organizrii departamentului IT.
Descrierea
testului

Analiza modului de elaborare a organigramei se realizeaz n conformitate cu actul
normativ de organizare i funcionare a organizaiei i cu modului efectiv de organizare i
funcionare a structurilor funcionale din cadrul organizaiei, punndu-se accent pe urmtoarele:
- stabilirea structurii funcionale a departamentului, pe baza organigramei;
- organigrama permite vizualizarea de ansamblu a organizrii departamentului;
- definirea n termen a relaiilor din cadrul departamentului;
- definirea raporturilor de subordonare n cadrul organigramei;
- definirea numrului de posturi prin intermediul organigramei;
Constatri

Organigrama, ca document prin care se relev grafic structura organizaiei i
substructurile acesteia, nu pune n eviden organizarea i funcionarea
departamentului. Compartimentele aflate n subordinea departamentului nu sunt
nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
subordonare al departamentului n cadrul organizaiei.
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a
suprapunerilor de competene. Astfel, cu privire la raporturile de subordonare potrivit
organigramei, Serviciul Programare este organizat sub forma unui compartiment care
se afl n directa subordonare a directorului general adjunct al departamentului, n
realitate acest compartiment este organizat la nivel de serviciu i subordonat directorul
general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare
reorganizrilor efectuate.
Definirea relaiilor ierarhice, aa cum a fost precizat mai sus, nu asigur o integrare
corespunztoare a departamentului n structura organizatoric a organizaiei i nu
asigur operativitatea fluxului de informaii i date ntre structurile implicate n
prelucrarea datelor i obinerea rezultatelor finale.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se
precizeaz n cadrul serviciilor, numrul de posturi i responsabilii structurilor
funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste servicii
i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor ierarhice.
Concluzii

Organigrama nu este funcional i nu prezint n totalitate raporturile funcionale,
nivelurile ierarhice i relaiile interne existente ntre compartimente.


137

ENTITATEA PUBLIC



Problema Organigrama nu permite o vizualizare de ansamblu a organizrii departamentului,
a numrului de personal repartizat n cadrul compartimentelor i a relaiilor
existente ntre compartimente.
Constatarea Organigrama ca document prin care se relev grafic structura organizaiei i
substructurile acesteia nu pune n eviden organizarea i funcionarea
departamentului. Compartimentele aflate n subordinea departamentului nu sunt
nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de
evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de
subordonare, potrivit organigramei, Serviciul Programare este organizat sub
forma unui compartiment care se afl n directa subordonare a directorului
general adjunct al departamentului, dar n realitate acest compartiment este
organizat la nivel de serviciu i subordonat directorul general. Postul de director
general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o
integrare corespunztoare a departamentului n structura organizatoric a
organizaiei i nu se asigur operativitatea fluxului de informaii i date ntre
structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu
se precizeaz n cadrul serviciilor numrul de posturi i responsabilii structurilor
funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste
servicii i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor
ierarhice.
Cauza La nivelul organizaiei nu au existat reglementri procedurale s defineasc i s
stabileasc o form cadru de elaborare a organigramei. n ultima perioad n
cadrul organizaiei au fost realizate mai multe modificri structurale, n sensul c
activitile desfurate au fost reorganizate, ceea ce a presupus i modificri ale
structurilor funcionale.
Consecina Nu se asigur o nelegere corespunztoare a modului de organizare i funcionare
a departamentului, a nivelului ierarhic i a relaiilor existente ntre
compartimente.

n forma n care este elaborat organigrama, nu conine o serie de informaii
referitoare la relaiile interne existente ntre compartimente i la nivelurile de
subordonare.
Recomandri Analiza actului normativ de organizare i funcionare a organizaiei.
Urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate
activitile desfurate.
Stabilirea corect a relaiilor i subordonrilor dintre compartimente.


138

ENTITATEA PUBLIC

TEST nr. 2.4.


Obiectul
testului
Organizarea i funcionarea departamentului IT.

Obiectivele
testului
Analiza corelaiei dintre numrul de posturi de conducere ocupate i cele deinute cu delegaie.
Descrierea
testului

Departamentul IT din cadrul entitii publice are 3 servicii funcionale. Eantionul va fi
constituit din posturile de conducere existente i testarea va urmri modul cum sunt realizate
atribuiile acestor posturi.
Analiza organigramei departamentului IT:
- numr total de posturi de conducere
- numr posturi de conducere ocupate cu delegaie
- numr total de posturi de execuie
- numr posturi de execuie neocupate.
Demersurile realizate de departamentul IT pentru ocuparea posturilor de conducere:
- numr de examene organizate pentru ocuparea posturilor;
- numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea
examenelor.
Preocuparea conducerii pentru ocuparea posturilor de execuie;
- numr de examene organizate pentru ocuparea posturilor
- numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea
concursurilor.
Existena unui plan de implementare a msurilor necesare, menit s asigure buna
desfurare a activitii n cazul existenei unui numr mare de posturi vacante.
Constatri

Din analiza modului de acoperire a necesarului de resurse umane la nivelul departamentului IT
s-a constatat c dou din cele trei posturi de conducere de ef de serviciu sunt ocupate cu
delegaie de circa 18 luni.
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost
numite cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o
aptitudine managerial. Totodat analiza ndeplinirii/realizrii activitilor celor dou servicii a
pus n eviden faptul c n unele cazuri acestea nu au fost realizate sau au fost realizate cu
ntrziere.
Din verificarea modului de planificare i realizare zilnic a activitilor a rezultat c persoanele
responsabilizate n posturile de conducere nu au coordonat n nici un fel activitile care erau
realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la modul n
care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de
realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
activitile n funcie de cunotinele i aptitudinile pe care le deineau.
La nivelul celor dou servicii n aceast perioad nu a fost luat nici o decizie cu privire la
mbuntirea activitilor sau la dezvoltarea acestora.
Concluzii

Delegarea pe posturi de conducere de persoane care nu deineau abiliti manageriale.


139
ENTITATEA PUBLIC

Lista control nr. 2.1
privind organizarea i funcionarea departamentului IT

Analiza organigramei departamentului
IT

Evaluarea demersurilor
realizate de departamentul
IT pentru ocuparea
posturilor
Analiza consecinelor
funcionrii departamentului
IT cu persoane de conducere
cu delegaie
Existena preocuprii pentru
ocuparea posturilor de
execuie
Nr.
crt
Elemente
testate
Eantion

Nr. total
posturi de
conducere
Nr. posturi
de cond.
ocupate cu
delegaie
Nr.
total
posturi
de
execuie

Nr.
posturi de
execuie
neocup.
Nr. de
examene
organizate
pentru
ocuparea
posturilor
Nr. de
solicitri ctre
compart. de
RU pentru
org. ex.
Nr. de sesizri
ale depart.
beneficiare ale
serviciilor IT
Nr. de
subsisteme IT
neimpl. la
timp
Nr. de
examene
organizate
pentru
ocuparea
posturilor
Nr. de
solicitri ctre
compart. de
RU pentru
org. ex.
Existena unui plan de
implementare a
msurilor necesare
menit s asigure buna
desf. a act. n cazul
existenei unui numr
mare de posturi de
conducere i/sau
execuie vacante
1.
Serviciul
dezvoltare
aplicaii
3 1 12 4 Nu Nu X X X X Nu
2.
Serviciul
comunicaii
3.
Serviciul
exploatare
aplicaii
4.
Serviciul
proiectare i
programare
3 2 14 3 Nu Nu X X X Nu
5.
Serviciul reele
informatice

140


ENTITATEA PUBLIC



Problema Grad ridicat de neocupare a posturile existente i aprobate departamentului
IT.
Constatarea Dou din cele trei posturi de conducere de ef de serviciu au fost ocupate cu
delegaie de circa 18 luni.
Din verificarea modului de planificare i realizare zilnic a activitilor a
rezultat c persoanele responsabilizate n posturile de conducere nu au coordonat
n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat
n nici un fel salariaii cu privire la modul n care n care s realizeze activitile i
nici nu au realizat o monitorizare cu privire la modul de realizare a acestora.
Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n
funcie de cunotinele i aptitudinile pe care le deineau.
Examinarea fielor posturilor pentru posturile de execuie ocupate de
persoanele care au fost numite cu delegaie n posturi de conducere s-a constatat c
acestea nu prevedeau nici o aptitudine managerial.
La nivelul celor dou servicii n aceast perioad nu a fost luat nici o
decizie cu privire la mbuntirea activitilor sau la dezvoltarea acestora.
Cauza Numirea n posturi de conducere de persoane care nu deineau abiliti
manageriale adecvate pentru posturile respective.
Consecina ntrzieri n realizarea activitilor i/sau nerealizarea acestora, organizarea
i realizarea defectuoas a activitilor de ctre salariai.
Recomandarea Solicitarea desfurrii procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT.
Recrutarea va urmri dac persoanele selectate dein abilitile i aptitudinile
manageriale necesare realizrii activitilor specifice celor dou servicii i dac au
pregtirea de baz, de nivel superior, n domeniul IT.


141

ENTITATEA PUBLIC

TEST nr. 2.5


Obiectul testului Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT
Obiectivele
testului
Analiza modului n care riscurile sunt identificate i gestionate la nivelul
departamentului IT, n vederea asigurrii existentei controalelor interne
corespunztoare
Descrierea
testului

Eantionul va fi constituit din riscurile identificate i gestionate de
departamentul IT.
Pentru fiecare obiectiv al departamentului vor fi selectate 5% din riscuri i
acestea vor fi evaluate cu privire la modul n care au fost stabilite controalele interne,
cum au fost stabilite i introduse instrumente de control pentru meninerea lor n limite
de accesibilitate i dac toate aceste instrumente de control introduse menin riscurile
la niveluri inferioare. Totodat s-a urmrit dac controalele interne introduse sunt
funcionale.
Constatri

Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor
din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale
i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control
intern asociate pentru limitarea acestora.
Concluzii

La nivelul departamentului nu este asigurata o gestiune corespunztoare a
riscurilor. Acestea nu sunt identificate i monitorizate n vederea meninerii lor n
limitele de accesibilitate.

Ionescu Adrian Florescu Cristian

142

ENTITATEA PUBLIC

INTERVIU nr. 2.2
privind sistemul de gestionare a riscurilor
adresat
domnului Ionescu Adrian, director general


Nr.
crt.
ntrebri Da Nu Obs.
1. Exist o politic de management al riscului? X
2. Exist preocupri pentru managementul riscurilor n cadrul
departamentului IT?
X

3. S-au organizat cursuri cu ntreg personalul pentru activitatea de
gestionare a riscurilor n conformitate cu metodologia de
organizare a sistemului de control intern conform prevederilor
OMFP nr. 946/2005 privind Codul controlului intern?
X

4. Au fost identificate riscurile la nivelul departamentului IT? X
5. Exist un sistem de evaluare a riscurilor? X
6. Au fost prevzute msuri de rspuns n cazul apariiei riscurilor? X
7. Exist un sistem de monitorizare i raportare periodic a
riscurilor asociate activitii Direcia IT?
X

8. Avei elaborat i actualizat Registrul riscurilor? X
9. Este desemnat un responsabil cu gestionarea riscurilor la nivelul
departamentului IT?
X

Data: 15.09.2009
Intervievat,
Ionescu Adrian

Popescu Sorin

143

ENTITATEA PUBLIC



Problema Neimplementarea unui sistem de control managerial potrivit cruia riscurile
aferente domeniului IT s fie identificate i gestionate.
Constatarea Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul
departamentului i nu este condus Registrul riscurilor cuprinznd riscurile poteniale
i istoricul acestora, precum i instrumentele de control intern implementate pentru
limitarea acestora.
Cauza Lipsa procedurile de lucru, ct i a practicii n cadrul organizaiei privind
modul de identificare i gestionare a riscurilor.
Consecina Stocarea neadecvat a datelor i informaiilor;
Accesul la date i informaii a ntregului personal i nu pe niveluri de
autorizare;
Sistem informaional necorespunztor cerinelor organizaiei;
Posibilitatea sustragerii de date i informaii cu importan pentru entitate.
Recomandarea Elaborarea mecanismelor procedurale i metodologice privind identificarea
riscurilor i gestionarea acestora
Evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i
riscuri acceptabile.
Implementarea de instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil.


144

ENTITATEA PUBLIC

TEST nr. 2.6


Obiectul testului Examinarea sistemului de gestionare a riscurilor generale la nivelul Departamentului IT
Obiectivele
testului
Analiza i evaluarea riscurilor a urmrit modul n care conducerea departamentului
identific riscurile relevante, estimeaz semnificaia acestora, evalueaz probabilitatea
apariiei lor i decide n funcie de acestea instrumentele de control pentru a le menine
sub control.
Descrierea
testului

Analiza implementrii controlului intern a urmrit dac acesta este proiectat, implementat
i meninut pentru a aborda riscurile care amenin atingerea oricruia dintre obiectivele
departamentului cu privire la:
- credibilitatea raportrii financiare;
- eficiena i eficacitatea operaiilor sale;
- respectarea legilor i reglementrilor aplicabile.
Constatri

Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c
unele activiti de control relevante nu au fost cuprinse n politicile i procedurile de
control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri
i analize ale performanei efective n comparaie cu bugetele, previziunile i performana
perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti
de control ale sistemelor informaionale, respectiv controalele asupra aplicaiilor
individuale i controalele generale asupra tehnologiei informaiei, care sunt de fapt politici
i proceduri care se refer la mai multe aplicaii i contribuie la asigurarea funcionrii
adecvate i continue a sistemelor informaionale.
Exemple de controale generale ale tehnologiei informaiei sunt controalele asupra
modificrii programului, controalele de restricionare a accesului la programe sau la date,
controalele asupra implementrii de noi aplicaii informatice.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor
politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o
aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor posturi
inferioare.

Din analiza efectuat a rezultat c la nivelul departamentului nu este organizat i nu se
conduce Registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate
i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Riscurile relevante includ evenimente, tranzacii sau mprejurri externe i interne care pot
aprea i care pot afecta n mod negativ capacitatea departamentului de a iniia, nregistra,
procesa i raporta date corecte i conforme. Riscurile apar i se schimb din urmtoarele
cauze:
- modificri ale mediului n care se desfoar activitatea.
- personal nou, care poate avea o nelegere diferit n ceea ce privete controlul
intern.
- extindere semnificativ i rapid a operaiilor, care constrng controalele i sporesc
apariia riscului.
- introducerea de noi tehnologii n procesele de producie i n sistemele

145
informaionale, care modific riscurile asociate cu controlul intern.
Concluzii

Sistemul de control intern nu cuprinde toate activitile de control necesare
minimizrii riscurilor i realizrii obiectivelor.


146

ENTITATEA PUBLIC



Problema Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate
activitile de control ce trebuie alocate n vederea atingerii obiectivelor.
Constatarea Din analiza sistemului de control intern instituit la nivelul departamentului IT a
rezultat c unele activiti de control relevante nu au fost cuprinse n politicile i
procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ
revizuiri i analize ale performanei efective n comparaie cu bugetele, previziunile
i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de
activiti de control ale sistemelor informaionale, respectiv controalele asupra
aplicaiilor individuale i controalele generale asupra tehnologiei informaiei, care
sunt de fapt politici i proceduri care se refer la mai multe aplicaii i contribuie la
asigurarea funcionrii adecvate continue a sistemelor informaionale.
Exemple de controale generale ale tehnologiei informaiei sunt controalele asupra
modificrii programului, controalele de restricionare a accesului la programe sau
la date, controalele asupra implementrii de noi aplicaii informatice.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor
politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o
aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor
posturi inferioare.

Din analiza efectuat a rezultat c la nivelul departamentului nu este organizat i nu
se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt
identificate i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel
acceptabil.
Riscurile relevante includ evenimente, tranzacii sau mprejurri externe i interne
care pot aprea i care pot afecta n mod negativ capacitatea departamentului de a
iniia, nregistra, procesa i raporta date corecte i conforme. Riscurile apar i se
schimb din urmtoarele cauze:
- modificri ale mediului n care se desfoar activitatea.
- personal nou, care poate avea o nelegere diferit n ceea ce privete
controlul intern.
- extindere semnificativ i rapid a operaiilor, care constrng controalele i
sporesc apariia riscului.
- introducerea de noi tehnologii n procesele de producie i de sisteme
informaionale care modifica riscurile asociate cu controlul intern.

Cauza Persoana responsabil cu revizuirea controalelor nu nelege care este scopul
acestora i nu ia msurile adecvate care se impun.
Consecina Controlul intern nu ofer o asigurare rezonabil n legtur cu atingerea

147
obiectivelor.
Activitile de control, respectiv autorizarea, revizuirea performanei, procesarea
informaiilor, controalele fizice, separarea responsabilitilor nu ajut i nu dau
asigurri c deciziile conducerii sunt duse la ndeplinire.
Recomandri Stabilirea controalelor interne aferente riscurilor identificate i determinarea
gradului de funcionalitate al acestora.
Pentru riscurile care nu se afl la un nivel acceptabil, s se proiecteze un instrument
sau msur de introducere de controale interne, fie individuale, fie n combinaie cu
alte controale, capabile s previn, detecteze i s corecteze n mod eficient
denaturrile semnificative.
Instituirea i conducerea Registrului riscurilor la nivelul organizaiei.


148

ENTITATEA PUBLIC

TEST nr. 2.7


Obiectul testului Definirea sarcinilor prin fia postului
Obiectivele
testului
Examinarea dac cerinele specifice solicitate la ocuparea postului respect
caracteristicile postului respectiv
Descrierea
testului

Urmrirea dac fia postului elaborat pentru un anumit post, definete corect
condiiile specifice pe care trebuie s le ndeplineasc postul, respectiv:
a) condiiile privind studiile de specialitate;
b) condiiile privind specializrile necesare pentru ocuparea postului;
c) condiiile privind cunotinele informatice;
d) definirea sarcinilor n funcie de nivelul postului,
f) alocarea sarcinilor n concordan cu competenele manageriale necesare postului.
Constatri

Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se
ine cont de scopul postului i cunotinele de baz necesare pentru realizarea
atribuiilor alocate acestuia. Din analiza fielor posturilor s-a constatat c la concursul
organizat pentru ocuparea postului respectiv poate participa orice persoana care are o
diploma, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc..
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru
ntre sarcinile i competenele titularului postului. Din analiza eantionului selectat a
rezultat c pentru posturile cu un nivel al studiilor medii sunt alocate aceleai atribuii
i responsabiliti ca i pentru posturile cu un nivel al studiilor superior. Acestea
creeaz probleme n gestionarea aplicaiilor i programelor, deoarece persoanelor
ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate
ntreinerea de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii
pentru organizaie, care necesit cunotine IT de nivel superior i chiar anumite
specializri.
Concluzii

Studiile de specialitate nu sunt menionate n fia postului potrivit cerinelor de
ocupare a postului.
Repartizarea sarcinilor n cadrul fielor posturilor nu se realizeaz n conformitate cu
competenele titularilor posturilor.


149

ENTITATEA PUBLIC

INTERVIU nr. 2.3
privind definirea sarcinilor pe grade profesionale
adresat
efului Serviciului Programare Vasilescu Gheorghe


Nr.
crt.
NTREBRI DA NU OBSERVAII
1. Exist un responsabil cu elaborarea fielor posturilor? X
2.
Exist o delimitare a atribuiilor alocate compartimentelor
pentru fiecare post existent?
X
3. Sarcinile sunt definite pentru fiecare grad profesional n fia
postului?
X
4. Sarcinile sunt definite n baza atribuiilor stabilite la nivelul
serviciului i le acoper n totalitate?
X
5. Atribuiile definite asigur realizarea activitilor identificate? X
6. Sarcinile sunt stabilite difereniat n funcie de gradul
profesional al postului?
X Activitile din cadrul
serviciului se
regsesc la mai multe
posturi
7. Exist definite aceleai tipuri de sarcini pentru funcii
profesionale diferite?
X Nu s-a urmrit ca
sarcinile s difere n
funcie de gradele
profesionale definite
de post
8. Pentru acelai tip de sarcini stabilite pentru posturi diferite
sunt stabilite aceleai obiective individuale?
X
9. Totalitatea sarcinilor definite pentru posturile existente n
cadrul serviciului este asigurat prin atribuii i contribuie la
realizarea activitilor?
X
10. Atribuiile definite postului acoper scopul acestuia? X
11. Mai avei ceva de adugat referitor la cele de mai sus? X

Vasilescu Gheorghe

Elaborat n faa noastr: Auditori
Popescu Sorin
Radu George

150

ENTITATEA PUBLIC

privind alocarea sarcinilor n funcie de responsabiliti
adresat doamnei Vasilescu Maria


ntrebarea nr. 1: Postul pe care l ocupai este de execuie?

Rspuns nr. 1: Da.

ntrebarea nr. 2: Cunoatei atribuiile definite n fia postului?

Rspuns nr. 2: Da, dar nu sunt exercitate n totalitate.

ntrebarea nr. 3: Atribuia nr. 3 se refer la planificarea activitilor zilnice n cadrul serviciului. Ce
activiti realizai pentru ndeplinirea acesteia?

Rspuns nr. 3: Zilnic planific pentru fiecare salariat din cadrul serviciului activitile pe care trebuie s le
execute sau s le realizeze pentru ziua respectiv.

ntrebarea nr. 4: La nivelul serviciului exist numit sef de serviciu?

Rspuns nr. 4: Da.

ntrebarea nr. 5: De ce acesta nu realizeaz planificarea zilnic a activitilor salariailor din subordine?

Rspuns nr. 5: Are prea multe sarcini i a fost nevoit s delege o parte din atribuii.

ntrebarea nr. 6: Sarcina de planificare a activitilor serviciului va delegat-o prin fia postului?

Rspuns nr. 6: Nu, mi-a comunicat-o verbal.

ntrebarea nr. 7: Cine face analiza rezultatelor activitilor planificate?

Rspuns nr. 7: Nu este realizat aceast activitate. Eu i comunic cum am repartizat i el informeaz
conducerea.


Rspuns nr. 8: Nu.

Vasilescu Maria

Elaborat n faa noastr: Auditori
Popescu Sorin
Radu George

151

ENTITATEA PUBLIC



Problema Studiile de specialitate nu sunt menionate n fia postului potrivit
cerinelor de ocupare a postului.
Repartizarea sarcinilor n cadrul fielor posturilor nu se realizeaz n
conformitate cu competenele titularilor posturilor.
Constatarea Studiile de specialitate aferente unui post sunt definite n cadrul fiei
postului fr a se ine cont de scopul postului i cunotinele de baz necesare
pentru realizarea atribuiilor alocate acestuia. Din analiza fielor posturilor s-a
constatat c la concursul organizat pentru ocuparea postului respectiv poate
participa orice persoan care are o diplom, deoarece nu se specific tipul de
studii i nivelul acestora, respectiv n domeniul IT, studii superioare de lung
durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui
echilibru ntre sarcinile i competenele titularului postului. Din analiza
eantionului selectat a rezultat c pentru posturile cu un nivel al studiilor medii
sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel
al studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i
programelor, deoarece persoanelor ncadrate n cadrul departamentului pe studii
medii le-au fost date n responsabilitate ntreinerea de aplicaii i programe
complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care
necesit cunotine IT de nivel superior i chiar anumite specializri.
Cauza Tratarea cu superficialitate a procesului de elaborare a fielor posturilor.
Lipsa de responsabilitate n exercitarea sarcinilor i responsabilitilor de
ctre personalul cu atribuii de conducere.
Consecina Fia postului nu asigur n toate cazurile informaii suficiente comisiei de
recrutare i selecie, necesare pentru identificarea celor mai bune persoane pentru
postul respectiv.
Nerealizarea n termen i n condiii de calitate a obiectivelor individuale n
cazul personalului cu funcii de rang inferior i care are repartizat un numr mai
mare de sarcini n comparaie cu personalul cu funcii de rang superior.
Recomandarea Analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea
acestora n funcie de caracteristicile postului, respectiv nivelul postului i
urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt
de acelai nivel.


152


ENTITATEA PUBLIC

TEST nr. 2.8


Obiectul
testului
Definirea sarcinilor prin fia postului
Obiectivele
testului
Atribuiile stabilite compartimentelor funcionale vor fi evaluate i se va urmri dac acestea
definesc aria de competen necesar realizrii activitilor i aciunilor;
n cazul activitilor realizate prin colaborare cu alte structuri funcionale din cadrul
organizaiei, se va urmri dac relaiile funcionale de colaborare sau cooperare cu structurile
respective sunt corect definite i stabilite.
Descrierea
testului

Eantionul a fost constituit prin alegerea aleatorie a unui numr de dou compartimente din
cadrul departamentului IT. n cazul acestora au fost evaluate atribuiile i relaiile funcionale
definite cu privire la:
- analiza atribuiilor stabilite compartimentului i stabilirea dac aria de competen a
acestora ajut la realizarea activitilor;
- urmrirea ca aria de competen s asigure realizarea activitilor i aciunilor
stabilite compartimentului funcional.
- analiza relaiilor cu celelalte structuri funcionale din cadrul organizaiei cu care are
sau ar trebui s aib relaii funcionale pentru realizarea atribuiilor i activitilor;
- definirea relaiilor ierarhice.
Constatri

Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i
nu asigur competena de realizare a activitilor i aciunilor, acestea sunt definite n multe
cazuri la modul general, nu indic, prin modul de formulare, o aciune, nu asigur un coninut
clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate sau de
sarcin.
Nu sunt definite n cadrul ROF-ului, la capitolul privind departamentul IT, relaiile cu
celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu
este definit relaia funcional care reglementeaz asigurarea conformitii informaiilor cu
privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i
informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente
funcionale din cadrul organizaiei, precum i cu privire la asistarea n utilizarea
echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile
de execuie, ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice
diferite din cadrul departamentului IT.
Concluzii

Atribuiile stabilite compartimentelor funcionale nu asigur ntotdeauna aria de
competen necesar pentru realizarea activitilor;


153

ENTITATEA PUBLIC



Problema Formularea atribuiilor n cadrul ROF-ului nu asigur ntotdeauna aria de
competen privind realizarea activitilor i aciunilor repartizate unui
compartiment.
Constatarea Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna
conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea
fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare,
o aciune, nu asigura un coninut clar, fiind sub forma unei relaii funcionale sau
avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile
cu celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale,
respectiv nu este definit relaia funcional care reglementeaz asigurarea
conformitii informaiilor cu privire la asistarea utilizatorilor n realizarea
activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i
programelor derulate la nivelul celorlalte departamente funcionale din cadrul
organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din
dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i
posturile de execuie, ci numai relaia ierarhic ntre posturile de conducere situate
la niveluri ierarhice diferite din cadrul departamentului IT.
Cauza Definirea atribuiilor specifice s-a realizat de ctre Departamentul IT, iar
cuprinderea lor n cadrul ROF-ului s-a realizat la nivelul Departamentului de
resurse umane, fr a mai fi analizat, de ctre persoanele responsabile, elaborarea
coerent i corect a documentului de organizare i funcionare.
Persoanele din cadrul departamentului IT care au fost responsabilizate cu
elaborarea capitolului aferent din cadrul ROF-ului nu au dispus de cunotinele
necesare astfel nct s poat defini corect o atribuie i n acelai timp s
urmreasc ca acestea s asigure aria de competent a realizrii activitilor din
cadrul compartimentului.
Consecina Nu se asigur o arie de competen necesar i suficient pentru realizarea
activitilor i aciunilor.
Recomandarea Identificarea i definirea corect n cadrul documentului de organizare i
funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care
compartimentul la are cu alte structuri funcionale din cadrul organizaiei.


154

155

ENTITATEA PUBLICA

LISTA DE VERIFICARE NR. 3


Obiectivul III.
OPERAII ALE SISTEMULUI INFORMATIC

Nr.
crt.
Activitatea de audit Da Nu Obs.
A Managementul operaiunilor
1. Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori
1.1. Verificai dac identificarea disfuncionalitilor se face conform manualelor de
operare
X

1.2. Verificai dac mesajele sunt analizate i interpretate n timpul rulrii aplicaiei,
pentru identificarea cauzelor care au condus la apariia disfuncionalitilor;
X

1.3. Verificai dac mesajele de eroare se abordeaz n conformitate cu manualul de
operare;
X

1.4. Verificai dac a fost identificat i analizat impactul potenial al producerii unor
evenimente necontrolate asupra continuitii activitii;
X

1.5. Informatizarea organizaiei ia n considerarea toate departamentele din cadrul
acesteia, precum i funciile acestora, nu doar departamentele unde se
proceseaz datele;
X

1.6. Verificai dac este estimat timpul maxim de nefuncionare care poate fi
acceptat i costurile asociate acestuia;
X

1.7. Analizai dac sunt stabilite de ctre conducere prioritile pentru procesele
necesare a fi informatizate i de integrare a datelor i informaiilor;
X

1.8. Verificai dac elaborarea planului de continuitate a activitilor se realizeaz
prin elaborarea de scenarii de ameninri;
X

1.9. Analizai dac determinarea nevoilor critice se realizeaz pe baza evalurii
funciilor, proceselor i personalului din cadrul fiecrui departament funcional;
X

1.10. Verificai dac pentru fiecare departament sunt stabilite urmtoarele:
a) ce echipamente specializate sunt necesare i cum se utilizeaz;
b) cum va funciona departamentul dac serverul, accesul la reea (intranet)
i/sau Internet nu sunt disponibile;
c) necesarul de personal i de spaiu pentru locul unde se face recuperarea;
d) ce echipamente sunt necesare la locul unde se face recuperarea;

e) ce controale critice operaionale sau de securitate sunt necesare nainte de a
face recuperarea;
X

1.11. Verificai dac personalul este instruit cu privire la salvarea i stocarea datelor i
securitatea informaiei;
X

1.12. Operaiile sunt analizate avnd n vedere interdependena lor? X
1.13. Se analizeaz impactul produs de funcionarea incorect a unei operaii asupra
ntregului sistem?
X

1.14. Analiza a inut cont de funciile desfurate n cadrul entitii: tehnice sau legate
de procese?
X

Verificai dac funciile tehnice asigur o utilizare eficient a echipamentelor
a) dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite
1.15.
b) dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i
distribuite n siguran i n timp util
X Test nr.
3.1.
FIAP nr.
3.1.

156
c) dac procedurile de salvare i restaurare protejeaz n mod real datele i
aplicaiile sistemului informatic
d) dac procedurile de mentenana a echipamentelor sunt realizate corect i la
intervale de timp stabilite n funcie de specificul fiecrei componente
e) dac echipamentele hardware sunt asigurate corespunztor
f) dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt
raportate i documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor

1.16. Operaiile sunt realizate ntr-o manier eficient, n timp util i la intervale bine
stabilite?
X

1.17. Exist aplicaii de programare i executare automat a proceselor? X
1.18. Se urmrete reducerea riscului ca un proces: X
1.19. - s nu fie iniiat corespunztor; X
1.20. - s nu se execute n timpul planificat; X
1.21. - s mreasc intervalele de inactivitate X
1.22. - s nu fie monitorizat din punct de vedere al modului i timpului de execuie? X
1.23. Se asigur obinerea rapoartelor detaliate privind procesele derulate? X
1.24. n cazul apariiei unor erori de funcionare, administratorul responsabil poate
localiza ct mai precis defeciunea?
X

1.25. Se pot elabora soluiile de remediere? X
1.26. Se realizeaz monitorizarea operaiilor din punctul de vedere al resurselor
alocate i utilizate efectiv: procesoare, memorii, mod de salvare?
X

1.27 Se utilizeaz aplicaii n acest scop? X
1.28. Sunt identificate procesele care utilizeaz o cantitate mai mare de resurse dect
cele care i sunt alocate?
X

1.29. n acest caz, se realizeaz redimensionri ale resurselor alocate? X
1.30. Sunt identificate procesele care nu utilizeaz complet resursele disponibile? X
1.31. n acest caz, se are n vedere o reducere a volumului resurselor alocate? X
1.32. Datele obinute, situaiile de ieite, rapoartele sunt stocate i distribuite n
siguran i n timp util?
X

1.33. Procesele genereaz la sfritul execuie diferite tipuri de rapoarte? X
1.34. Aceste rapoarte sunt stocate n liste de ateptare? X
1.35. Aceste fiiere pot fi listate, copiate, mutate n vederea unor analize sau
prelucrri ulterioare?
X

1.36. Mediile sau locaiile de stocare sunt protejate mpotriva deteriorrii sau a
accesului neautorizat?
X

1.37. Procedurile de salvare i restaurare protejeaz n mod real datele i aplicaiile
din sistemul informatic?
X

1.38. Acestea sunt corect planificate? X
1.39. Sunt executate conform politicilor i procedurilor de securitate stabilite? X
1.40. Exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale
de cteva ore, pentru operaiile curente?
X

1.41.

Procedurile de salvare executate la intervale mai mari de timp includ copii
complete ale sistemelor informatice: date, operaii, programe?
X

1.42. Procedurile de mentenan a echipamentelor sunt realizate corect i la intervale
de timp stabilite n funcie de specificul fiecrei componente?
X

1.43. Verificrile tehnice sunt realizate innd cont de recomandrile fabricantului? X
1.44. Sunt realizate de personal autorizat / specializat? X
1.45. Se respect condiiile de acordare a garaniei? X
1.46. Echipamentele hardware sunt asigurate corespunztor? X
1.47. Exist polie da asigurare ncheiate pentru toate tipurile de riscuri? X
1.48. Au fost estimate costurile implicate de eventuale daune? X
1.49. Problemele de ordin tehnic, aprute n cadrul proceselor sunt raportate i
documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor?
X

1.50. La nivelul entitii este constituit un departament specializat n raportarea i
rezolvarea problemelor tehnice (help-desk)?
X

1.51. Se acord suport tehnic utilizatorilor, prin linii telefonice dedicate, e-mail sau
deplasri ale echipelor specializate?
X

1.52. Problemele aprute sunt definite corect? X

157
Definirea cuprinde urmtoarele:
- data apariiei
- etapele premergtoare
- modul de manifestare a problemei
- departamentul la care a aprut problema
1.53.
- datele de identificare a persoanei de contact?
X

1.54. Pentru definirea ct mai precis a problemelor, se utilizeaz rapoartele generate
automat de ctre aplicaiile respective?
X

1.55. Se utilizeaz programe de monitorizare a sistemelor informatice? X
Verificai dac funciile legate de procese asigur integrarea acestora?
a) dac datele de intrare sunt validate
b) dac se verific integritatea i completitudinea datelor
c) dac se analizeaz eficiena operaiilor
1.56.
d) dac se monitorizeaz i se gestioneaz bazele de date
X
Test nr.
3.1.
FIAP nr.
3.1.
1.57. Se realizeaz validarea datelor de intrare? X
1.58. Se realizeaz verificarea datelor introduse n sistemul informatic din punct de
vedere al tipurilor de date, al lungimii acestora?
X

1.59. Pentru coduri, se impun reguli de formare i validare a acestora? X
1.60. Se utilizeaz proceduri automate de verificare a intrrilor? X
1.61. Se realizeaz verificarea integritii i completitudinii datelor? X
1.62. Se utilizeaz proceduri de verificare a modului n care datele sunt introduse sau
importate dintr-o alt aplicaie?
X

1.63. Este avut n vedere riscul ca anumite date s fie pierdute, modificate, cu ocazia
prelurii dintr-o alt aplicaie?
X

1.64. Se utilizeaz funcii de verificare prin totaluri, chei i algoritmi? X
1.65. Se analizeaz eficiena operaiilor? X
1.66. Se realizeaz o verificare a modului n care se realizeaz prelucrrile, se
implementeaz funciile i programele?
X

1.67. Se urmrete modul de iniiere a unor proceduri? X
1.68. Se urmrete timpul de execuie? X
1.69. Se utilizeaz programe care s automatizeze aceste prelucrri? X
1.70. Se monitorizeaz i se gestioneaz bazele de date? X
1.71. Se analizeaz modul n care se obin rapoartele i situaiile de ieire necesare
diferitelor niveluri de management?
X

1.72. Se procedeaz la replicarea anumitor date, n vederea obinerii unei mai mari
flexibiliti n interaciunea cu acestea?
X

1.73. Utilizatorii finali pot obine rapoarte diverse fr a afecta tranzaciile curente? X
1.74. Utilizatorii finali pot obine datele necesare fr a dispune de cunotine de
specialitate?
X

1.75. Se acord suport utilizatorilor pentru aplicaiile existente? X
1.76. Utilizatorii finali au cunotine aprofundate privind prelucrarea datelor? X
1.77. Interfaa cu utilizatorul este prietenoas? X
1.78. Aplicaiile pot fi utilizate uor? X
1.79. Exist suport tehnic prin documente, sisteme de instruire, manuale, servicii puse
la dispoziie de ctre productorii aplicaiilor?
X

1.80. Se realizeaz administrarea aplicaiilor? X
1.81. Administrarea aplicaiilor se realizeaz de ctre manageri sau persoane
autorizate, specializate, care au ca atribuii protejarea aplicaiilor mpotriva
distrugerilor, a accesului neautorizat sau utilizri incorecte?
X

1.82. Administratorii asigur i suportul tehnic pentru utilizatorii finali? X
1.83. Se realizeaz rapoarte periodice asupra modului n care sunt utilizate aplicaiile,
alocarea resurselor, realizarea proceselor din cadrul entitii?
X

1.84. Se realizeaz o analiz a automatizrii unor proceduri manuale, a modului n
care sunt obinute i analizate datele de ieire, a uurinei n utilizarea
aplicaiilor?
X

2. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor
2.1. Verificai dac utilizatorii sunt instruii pentru nsuirea modului de lucru cu
aplicaia;
X

2.2. Verificai dac noutile aprute n aplicaie sunt comunicate utilizatorilor n
timp adecvat;
X

2.3. Verificai dac instruirea se realizeaz n conformitate cu documentaia X

158
aplicaiei;
2.4. Verificai dac utilizatorii primesc asisten n rularea aplicaiilor ori de cte ori
au nevoie;
X

2.5. Verificai dac asistena tehnic este acordat n conformitate cu manualele de
utilizare;
X

2.6. Verificai dac responsabilitatea funcionarii fiecrui program este n sarcina
unui administrator;
X

2.7. Verificai dac exist o supraveghere permanent n cadrul sistemului asupra
derulrii unui program sau aplicaie;
X

2.8. Verificai dac sistemul integrat permite depistarea automat a nefuncionrii
unui program sau aplicaie;
X

3. Elaborarea planului anual de activitate
3.1. Verificai gradul de acoperire cu activiti care concur la realizarea planului
anual de activitate:
a) activiti identificate;
b) proceduri aferente realizrii activitilor
c) aprobarea procedurilor de ctre persoanele competente;
d) actualizarea sistematic a procedurilor;
e) respectarea principiul dublei semnturi;

f) stabilirea responsabilitilor persoanelor implicate n activitatea de
implementare a sistemului IT;
X

3.2. Examinai dac exist atribuii privind realizarea activitilor cuprinse n planul
anual de activitate n domeniul IT;
X

3.3. Analizai politica entitii publice n domeniul IT i stabilii dac asigur
atingerea obiectivelor entitii publice;
X

3.4. Verificai dac politica entitii publice n domeniul IT se reflect n planul
anual de activitate n domeniul IT;
X

3.5. Examinai dac managerii cu responsabiliti n monitorizarea implementrii
politicii IT, au fost consultai la elaborarea planului anual de activitate n
domeniul IT;
X

3.6. Analizai activitatea de actualizare a planului anual de activitate n domeniul IT; X
3.7. Analizai dac la elaborarea planului anual de activitate n domeniul IT s-au
avut n vedere:
a) analiza sistemului de fundamentare a planului;
b) analiza corelrii planului anual de activitate cu planul strategic;
c) evaluarea sistemului de prioritizare a activitilor cuprinse n plan;

d) verificarea elaborrii i aprobrii planului anual
X

3.8. Verificai documentele oficiale prin care au fost desemnate persoanele
responsabile cu elaborarea i actualizarea planului;
X

3.9. Examinai dac responsabilitile sunt clar definite pentru realizarea activitilor
IT;
X

3.10. Analizai dac fiele posturilor pentru persoanele responsabile au fost
actualizate;
X

3.11. Identificai deciziile luate n vederea elaborrii i actualizrii planului i
analizai dac acestea sunt n conformitate cu activitile stabilite;
X

3.12. Examinai instrumentele utilizate pentru estimarea resurselor i termenelor
necesare pentru realizarea planului de activitate;
X

3.13. Verificai dac prin elaborarea planului de activitate au fost stabilite plafoane
bugetare pentru activitile ce trebuie realizate i procedurile ce vor fi aplicate n
cazul n care acestea sunt depite;
X

3.14. Verificai dac planul este aprobat de persoanele competente; X
3.15. Analizai dac planul aprobat este n conformitate cu politicile entitii publice
n domeniul IT;
X

3.16. Analizai mpreun cu factorii responsabili de realizarea subsistemelor IT pentru
funciile principale din cadrul entitii publice dac exist departamente
importante pentru care nu s-au realizat subsisteme IT;
X

B. Managementul problemelor
1. Programele antivirus asigur protecia aplicaiilor
1.1. Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s
specifice modul de configurare al programului antivirus;
X

1.2. Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s
specifice modul de actualizare a programului;
X

159
1.3. Verificai dac riscurile reprezentate de virui sunt limitate ca urmare a alegerii
celor mai potrivite soluii antivirus;
X

1.4. Verificai dac riscul de virusare al unui program sau aplicaie este redus ca
urmare a scanrii antivirus pe servere, staii de lucru sau pota electronic;
X

1.5. Verificai dac riscul de virusare este limitat urmare actualizrii constante a
programelor antivirus;
X

1.6. Verificai dac programul antivirus scaneaz automat memoria calculatoarelor,
fiierele, mediile de stocare;
X

1.7. Verificai dac programul antivirus scaneaz traficul de date, inclusiv e-mail i
internet, n procesul de de-virusare;
X

1.8. Verificai dac programul antivirus emite alerte atunci cnd detecteaz un virus; X
1.9. Verificai dac sunt efectuate verificri regulate pentru a se asigura c
programul antivirus nu a fost dezactivat;
X

Verificai dac implementarea programelor anti-virus se realizeaz conform
procedurilor
a) instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor
de lucru
b) programul anti-virus verific staia de lucru la pornire
c) programul anti-virus monitorizeaz toate programele i aplicaiile active,
mesajele primite i verific automat actualizrile la intervale regulate
1.10
d) programul anti-virus se actualizeaz n reea, astfel nct s protejeze eficient
datele electronice mpotriva viruilor nou-aprui
X
Test nr.
3.2
Foaie de
lucru nr.
3.1.
List de
control nr.
3.1.
FIAP nr.
3.2.
1.11. Verificai dac sunt efectuate controale regulate pentru a se asigura c
configurarea programului de protecie este corect;
X

1.12. Verificai dac utilizatorii sunt avertizai cu privire la pericolul reprezentat de
virui;
X

1.13. Verificai dac utilizatorii sunt avertizai cu privire la apariia a noi tipuri de
virui;
X

1.14. Verificai dac utilizatorii sunt supravegheai permanent cu privire la utilizarea
calculatoarelor i pstrarea programelor sau aplicaiilor curate.
X

2. Implementarea subsistemelor IT
2.1. Analizai criteriile avute n vedere la elaborarea subsistemelor IT pentru
funciile principale;
X

2.2. Examinai eficiena programului pentru instruirea utilizatorilor n vederea
utilizrii programelor i aplicaiilor;
X

2.3. Examinai dac subsistemele IT acoper n totalitate nevoile pentru funciile
principale ale entitii publice;
X

2.4. Analizai dac nevoile de subsisteme IT pentru funciile nou-create au fost
acoperite;
X

2.5. Verificai dac departamentele nfiinate ca urmare a funciilor principale nou-
create au fost solicitate s-i exprime cerinele specifice privind realizarea unor
subsisteme IT specifice activitii lor;
X

2.6. Analizai existena corelrii ntre termenele de realizare a subsistemelor; X
2.7. Analizai procedurile pe baza crora se realizeaz subsistemele IT i stabilii
dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii
optime;
X

2.8. Stabilii dac exist studii de fezabilitate pentru subsistemele IT planificate. X
2.9. Verificai dac au fost stabilite responsabiliti personalului de specialitate, pe
linia implementrii sistemului IT;
X

2.10. Comparai atribuiile cuprinse n fiele posturilor cu cele din procedurile privind
implementarea sistemului IT i evaluai completitudinea prelurii acestora;
X

2.11. Examinai cunoaterea reglementrilor specifice privind implementarea
sistemului IT de ctre responsabilii cu realizarea acestei activiti;
X

2.12. Verificai dac realizarea subsistemelor IT s-a realizat conform planificrilor; X
2.13. Verificai dac subsistemele IT au fost realizate la termenele stabilite;
2.14. Examinai modul de alocare a resurselor necesare realizrii subsistemelor IT;
X
Test nr.
3.3.
Interviu
nr. 3.1.
FIAP nr.
3.3
2.15. Identificai evoluiile tehnologice ce au determinat schimbarea programelor i X

160
aplicaiilor planificate a fi implementate;
2.16. Verificai activitatea de monitorizare a implementrii subsistemelor IT; X
2.17. Verificai complementaritatea subsistemelor IT; X
2.18. Verificai dac exist controale de sistem unitare implementate la nivelul
subsistemelor IT;
X

2.19. Verificai dac sunt implementate controale menite s analizeze datele introduse
n aplicaii;
X

2.20. Verificai dac exist controale efectuate pe parcursul procesrii datelor i dac
exist rapoarte produse n caz de nerealizare a procesrii;
X

2.21. Analizai dac nregistrrile privind controlul datelor rezultate n urma
procesrii asigur c aceste date sunt complete;
X

2.22. Analizai dac datele transferate din alte aplicaii sunt supuse unui proces
standard de validare;
X

2.23. Verificai dac sunt implementate controale care verific nregistrrile duble; X
2.24. Verificai modul de autorizare electronic i/sau manual a tranzaciilor; X
2.25. Verificai dac operaiile privind efectuarea tranzaciilor se realizeaz numai de
la computere definite n prealabil;
X

2.26. Examinai dac modul de arhivare a nregistrrilor se face astfel nct s permit
urmrirea tranzaciilor efectuate din faza de iniiere pn la finalizarea lor;
X

2.27. Verificai modul de raportare a schimbrilor operate la nivelul datelor salvate; X
2.28. Examinai dac utilizatorii neleg controalele implementate; X
2.29. Verificai funcionalitatea subsistemelor IT n reea; X
2.30. Verificai respectarea procedurilor privind transmiterea datelor n reea; X
2.31. Analizai dac subsistemele componente programelor asigur integrarea
acestora;
X

2.32. Analizai modul de soluionare a neconcordanelor aprute n integrarea
subsistemelor;
X

2.33. Examinai dac sunt elaborate manualele de utilizare i manualele de operare; X
2.34. Analizai dac manualele de utilizare i de operare sunt comprehensive i
corespund nevoilor utilizatorilor;
X

2.35. Verificai existena programelor de instruire a utilizatorilor subsistemelor IT; X
2.36. Verificai existena controalelor asupra datelor introduse n aplicaii; X
2.37. Verificai existena controalelor pe parcursul procesrii datelor i generarea
rapoartelor privind erorile de procesare;
X

2.38. Verificai existena controalelor asupra datelor rezultate n urma procesrii,
astfel nct s se asigure c acestea sunt complete;
X

2.39. Verificai dac subsistemele IT realizate respect cerinele stabilite prin politica,
procedurile i studiile de fezabilitate ntocmite;
X

2.40.

Verificai dac subsistemele IT au fost realizate la termenele stabilite;
X

2.41. Verificai dac resurselor necesare realizrii subsistemelor IT au fost alocate
conform planului anual de activitate;
X

Este analizat modul de rezolvare i prevenire a incidentelor care afecteaz
funcionarea normal a serviciilor IT ale entitii publice?
X

Managementul problemelor asigur corectarea erorilor, prevenind reapariia
acestora?
X

Se folosete ntreinerea preventiv pentru reducerea probabilitii ca aceste
erori s mai apar?
X

Atunci cnd o problem nu poate fi rezolvat de prima linie de asisten, aceasta
este direcionat ctre ajutorul din linia a doua?
X

Se au n vedere urmtoarele cinci faze de baz: X
1. iniierea raportarea problemei X
2. planificarea definirea problemei i conceperea unui plan de atac X
3. execuia desfurarea planului de atac, adunarea de date, urmrirea
problemei, cercetarea tehnic, codarea i testarea ulterioar
X

4. monitorizarea i analiza monitorizarea i confirmare rezultatelor de ctre
utilizatorii finali
X

5. ncheierea documentarea problemei i a aciunilor de corecie. X
C. Funcionalitatea departamentului IT
1. Organizarea funcional a departamentului IT
1.1. Analizai dac departamentul IT este subordonat unui nivel managerial
corespunztor;
X

161
1.2. Comparai atribuiile cuprinse n fiele posturilor cu cele din proceduri i
evaluai completitudinea acestora;
X

1.3. Verificai dac organigrama departamentului IT corespunde organizrii actuale
a departamentului;
X

1.4. Verificai dac organigrama definete nivelurile ierarhice din cadrul
departamentului;
X

1.5. Verificai dac organigrama definete relaiile organizatorice dintre
compartimentele funcionale ale departamentului IT;
X

1.6. Verificai dac organigrama stabilete numrul de posturi pentru fiecare
compartiment funcional al departamentului IT;
X

1.7. Verificai dac numrul de posturi existent n cadrul departamentului IT asigur
realizarea activitilor i atribuiilor;
X

1.8. Analizai dac atribuiile departamentului sunt definite corect i n totalitate n
cadrul ROF-ului;
X

1.9. Verificai dac activitile sunt repartizate corect n cadrul compartimentelor, n
funcie de atribuiile alocate;
X

1.10. Verificai dac sarcinile stabilite prin fiele posturilor asigur realizarea n
totalitate a activitilor;
X

1.11. Verificai dac atribuiile sunt repartizate omogen pe compartimente, asigurnd
funcionalitatea acestora;
X

1.12. Analizai gradul de ocupare a posturilor n cadrul departamentului IT; X
1.13. Analizai modul n care se asigur continuitatea activitilor n funcie de
pregtirea salariailor i vechimea n munc;
X

1.14. Analizai dotarea departamentului cu echipamente hard i soft adecvate pentru
desfurarea activitilor specifice, astfel:
a) numr suficient de calculatoare dotate corespunztor;
b) numr suficient de servere
c) numr suficient de echipamente auxiliare (imprimante, xerox-uri, scanere,
conexiuni la intranet/Internet)

1.15.
d) programe IT adecvate
X

1.16. Verificai dac fiele posturilor stabilesc responsabiliti pentru toate activitile
desfurate;
X

1.17. Verificai dac actualizarea fielor posturilor se realizeaz periodic n funcie de
modificarea activitilor sau sarcinilor posturilor;
X

1.18. Analizai dac pregtirea i calificarea salariailor departamentului IT asigur
funcionalitatea programelor, aplicaiilor, echipamentelor i dezvoltarea
informaional a entitii;
X

1.19. Analizai dac planurile de pregtire profesional continu asigur dezvoltarea
cunotinelor i aptitudinilor personalului;
X

1.20. Verificai dac se realizeaz evaluarea performanelor personalului
departamentului IT;
X

1.21. Verificai dac exist concordan ntre rapoartele de evaluare i programele de
instruire la nivel individual;
X

1.22. Verificai dac evaluarea performanelor asigur corectitudinea aprecierii
realizrii obiectivelor individuale;
X

1.23. Verificai dac criteriile de performan sunt stabilite corect n funcie de gradul
de ndeplinire a obiectivelor;
X

1.24. Verificai dac evaluarea performanelor personalului contribuie la dezvoltarea
profesional a acestuia;
X

1.25. Verificai dac obiectivele individuale sunt stabilite corect n conformitate cu
sarcinile atribuite postului;
X

1.26. Analizai dac aciunile necesare pentru realizarea obiectivelor individuale i
realizate efectiv pentru implementarea acestora corespund n totalitate cu
aciunile repartizate postului potrivit fiei postului;
X

1.27. Verificai dac exist o politic unitar privind gestionarea riscurilor; X
1.28. Verificai dac exista un sistem de gestionare a riscurilor; X
1.29. Analizai dac este desemnat un responsabil privind gestionarea riscurilor la
nivelul departamentului IT;
X

1.30. Verificai existena Registrului riscurilor la nivelul Departamentului IT i modul
de conducere al acestuia;
X

1.31. Verificai dac sunt stabilite responsabiliti pentru actualizarea procedurilor de
lucru i instruciunilor privind derularea programelor i aplicaiilor;
X

162
1.32. Verificai condiiile i criteriile privind delegarea sarcinilor i atribuiilor; X
1.33. Analizai sistemul de control managerial exercitat la nivelul departamentului; X
1.34. Examinai dac fiele posturilor stabilesc corect nivelul postului i
complexitatea activitilor;
X

1.35. Verificai dac nivelul de cunotine i deprinderi al ocupantului postului
corespunde necesitilor i nivelului postului;
X

1.36. Verificarea dac se respecta principiul segregrii atribuiilor n realizarea
sarcinilor i activitilor.
X

2. Asigurarea caracterului secret al datelor
2.1. Verificai dac aplicaiile respect schemele privind nivele de secretizare n
conformitate cu standardele organizaiei;
X

2.2. Verificai dac schema de secretizare a datelor este utilizat pentru determinarea
nivelelor diferite de importan a sistemelor sau informaiilor;
X

2.3. Verificai dac schema de secretizare a datelor este utilizat pentru determinarea
nivelelor diferite de sensibilitate a informaiilor sau sistemelor;
X

2.4. Verificai dac secretizarea informaiilor ia n considerare impactul pierderii
confidenialitii, integritii sau disponibilitilor informaiei asupra activitii;
X

2.5. Verificai dac secretizarea se aplic informaiilor, sistemelor sau aplicaiilor i
programelor;
X

2.6. Verificai dac secretizarea informaiei include identitatea persoanelor cu
responsabiliti primare;
X

2.7. Verificai dac secretizarea informaiei este aprobat de emitentul informaiei; X
2.8. Verificai dac performana sistemelor este monitorizat comparativ cu intele
stabilite;
X

2.9. Verificai dac performana sistemelor este monitorizat utiliznd programe de
monitorizare automat;
X

2.10. Verificai dac disponibilitatea sistemelor este apreciat din punctul de vedere al
utilizatorilor activitii
X

2.11. Verificai dac monitorizarea sistemelor se concentreaz pe punctele
vulnerabile;
X

2.12. Verificai dac mecanismele de detectare asigur semnalizarea atacurilor
informatice;
X

2.13. Verificai dac mecanismele de detectare includ un proces de actualizare a
programelor utilizate n acest scop;
X

2.14. Verificai dac mecanismele de detectare emit alerte cnd se nregistreaz
activiti suspecte;
X

2.15. Verificai dac rapoartele obinute n urma procesrilor sunt verificate pentru a
descoperi orice utilizare neobinuit a sistemelor;
X

2.16. Verificai dac sunt nregistrate toate evenimentele cheie n cadrul unui sistem; X
2.17. Verificai dac conducerea IT autorizeaz nregistrarea activitilor i revizuirea
proceselor care urmeaz a fi aplicate;
X

2.18. Verificai dac nregistrrile conin date referitoare la oprirea/pornirea
sistemelor i proceselor cheie, situaiile de eroare sau de excepie, acces sau
schimbri ale fiierelor sau programelor;
X

2.19. Verificai dac informaiile nregistrate identific programele speciale i
informaiile accesate, data accesrii, cile de acces, schimbarea parametrilor de
nregistrare n sistem;
X

2.20. Verificai dac nregistrrile sunt pstrate suficient timp respectnd cerinele
utilizatorilor i pentru a putea fi revizuite;
X

2.21 Verificai dac revizuirea nregistrrilor este fundamentat pe o evaluare a
impactului unor evenimente asupra activitilor i este realizat cu instrumente
automate;
X

D. Mentenana echipamentelor
1. ntreinerea calculatorului i a echipamentelor
1.1. Verificai dac operaiunile de mentenan se efectueaz conform planificrii,
folosindu-se procedurile standard de testare;
X

1.2. Verificai dac disfuncionalitile hardware sunt identificate corect i n timp
util;
X

1.3. Verificai dac disfunciunile identificate sunt analizate i nlturate n
conformitate cu instruciunile i manualele de ntreinere;
X

1.4. Verificai dac produsele software sunt instalate i configurate conform
documentaiilor i indicaiilor furnizorilor;
X

163
1.5. Analizai dac funcionarea sistemului de operare este verificat periodic
utiliznd instrumente de testare specializate;
X

1.6. Analizai dac funcionarea aplicaiilor este verificat periodic, X
1.7. Verificai dac parametrii referitori la starea de funcionare urmare aplicrii
procedurilor de testare specializate sunt nregistrai n jurnale;
X

1.8. Verificai dac neconformitile sunt analizate i readuse la valorile normale; X
1.9. Verificai dac corecia erorilor se realizeaz n limita competenelor X
2. Instalarea i configurarea calculatorului
2.1. Verificai dac sursele de alimentare sunt alese i verificate n conformitate cu
cerinele tehnice;
X

2.2. Verificai dac echipamentele periferice sunt instalate i conectate conform
documentaiei;
X

2.3. Verificai dac instalarea respect condiiile de calitate i eficien din manuale
i instruciuni;
X

2.4. Verificai dac conectarea n reea respect standardele n vigoare, X
2.5. Verificai dac sistemul de operare, componentele software, componentele de
acces n reea sunt instalate i configurate corect;
X

2.6. Verificai dac partajarea resurselor se face verificnd tipul de acces permis
utilizatorilor;
X

2.7. Verificai dac funcionarea aplicaiilor este testat periodic; X
D. Utilizarea echipamentelor
1. Realizarea eficient a operaiilor n cadrul departamentului IT
1.1. Verificai dac este analizat impactul produs de funcionarea incorect a unei
operaii asupra ntregului sistem;
X

1.2. Verificai dac analiza a inut cont de funciile desfurate n cadrul sistemului; X
1.3. Verificai dac operaiile IT sunt realizate ntr-o manier eficient, n timp util i
la intervale bine stabilite?
X

1.4. Verificai dac procesele IT sunt iniiate corespunztor; X
1.5. Verificai dac procesele IT se execut n timpul planificat; X
1.6. Verificai dac procesele IT sunt monitorizate din punct de vedere al modului i
timpului de execuie;
X

1.7. Verificai dac se asigur generarea rapoartelor detaliate privind procesele
derulate;
X

1.8. Verificai dac n cazul apariiei unor erori de funcionare, administratorul
responsabil le poate localiza ct mai precis;
X

1.9. Verificai dac se realizeaz monitorizarea operaiilor din punctul de vedere al
resurselor alocate i utilizate: procesoare, memorii, mod de salvare;
X

1.10. Verificai dac sunt identificate procesele care utilizeaz o cantitate mai mare de
resurse i dac acestea sunt redimensionate;
X

1.11. Verificai dac datele obinute, situaiile de ieire, rapoartele sunt stocate i
distribuite n siguran i n timp util;
X

1.12. Verificai dac procesele genereaz la sfritul execuiei diferite tipuri de
rapoarte;
X

1.13. Verificai dac rapoartele generate sunt stocate n liste de ateptare; X
1.14. Verificai dac mediile sau locaiile de stocare sunt protejate mpotriva
deteriorrii sau a accesului neautorizat;
X

1.15. Verificai dac procedurile de mentenan a echipamentelor sunt realizate corect
i la intervale de timp stabilite n funcie de specificul fiecrei componente;
X

1.16. Examinai dac verificrile tehnice sunt realizate innd cont de recomandrile
productorului;
X

1.17. Examinai dac verificrile tehnice sunt realizate de personal autorizat /
specializat;
X

1.18. Verificai dac echipamentele hardware sunt asigurate corespunztor; X
1.19. Verificai dac problemele de ordin tehnic, aprute n cadrul proceselor sunt
raportate i documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere;
X

1.20 Verificai dac se acord suport tehnic utilizatorilor, inclusiv prin deplasri ale
echipelor specializate;
X

1.21. Verificai dac problemele aprute sunt definite prin specificarea datei apariiei
problemei, modul de manifestare al problemei, departamentul unde a aprut
problema;
X

1.22 Verificai dac pentru identificarea ct mai precis a problemelor, se utilizeaz X

164
rapoartele generate automat de ctre aplicaiile respective;
2. Administrarea eficient a aplicaiilor i programelor
2.1. Verificai dac se realizeaz validarea datelor de intrare;
2.2. Examinai dac se realizeaz verificarea datelor introduse n sistemul informatic
din punct de vedere al tipurilor de date, al dimensiunii acestora;
X

2.3. Verificai dac pentru coduri, se impun reguli de creare i validare a acestora; X
2.4. Examinai dac se utilizeaz proceduri automate de verificare a datelor de
intrare;
X

2.5. Examinai dac se utilizeaz proceduri de verificare a modului n care datele
sunt introduse sau importate dintr-o alt aplicaie;
X

2.6. Verificai dac este avut n vedere riscul ca anumite date s fie pierdute,
modificate, cu ocazia prelurii dintr-o alt aplicaie;
X

2.7. Verificai dac se utilizeaz funcii de verificare prin totaluri, chei i algoritmi; X
2.8. Examinai dac se realizeaz o verificare a modului n care se efectueaz
prelucrrile, se implementeaz funciile i programele;
X

2.9. Verificai dac se monitorizeaz i se gestioneaz bazele de date; X
2.10. Verificai dac se analizeaz modul n care se obin rapoartele i situaiile de
ieire necesare diferitelor niveluri de management;
X

2.11. Verificai dac utilizatorii finali pot obine rapoarte diverse fr a afecta
tranzaciile curente;
X

2.12. Verificai dac se acord suport tehnic utilizatorilor pentru aplicaiile existente; X
2.13. Verificai dac utilizatorii finali au cunotine aprofundate privind prelucrarea
datelor;
X

2.14. Verificai dac interfaa cu utilizatorul este prietenoas; X
2.15. Verificai dac aplicaiile pot fi utilizate uor; X
2.16. Verificai dac exist suport tehnic prin documente, sisteme de instruire,
manuale, servicii puse la dispoziie de ctre productorii aplicaiilor;
X

2.17. Verificai dac se realizeaz administrarea aplicaiilor; X
2.18. Verificai dac administrarea aplicaiilor se realizeaz de ctre administratori
autorizai, care au ca atribuii protejarea aplicaiilor mpotriva distrugerilor, a
accesului neautorizat sau utilizrii incorecte;
X

2.19. Verificai dac administratorii asigur i suportul tehnic pentru utilizatorii finali; X
2.20. Verificai dac se realizeaz rapoarte periodice asupra modului n care sunt
utilizate aplicaiile, alocarea resurselor, realizarea proceselor din cadrul entitii;
X

2.21.

Verificai dac se realizeaz o analiz a automatizrii unor proceduri manuale, a
modului n care sunt obinute i analizate datele de ieire, a uurinei n
utilizarea aplicaiilor;
X

3. Evaluarea problemelor i soluionarea acestora
3.1. Verificai dac este analizat modul de rezolvare i prevenire a incidentelor care
afecteaz funcionarea normal a serviciilor IT;
X

3.2. Verificai dac msurile de corectare a erorilor asigur prevenirea reapariiei
acestora;
X

3.3. Verificai dac este utilizat controlul preventiv pentru reducerea probabilitii ca
erorile soluionate s mai apar;
X

3.4. Verificai dac utilizarea unei aplicaii asigur:
a) controlul datelor introduse n aplicaii
b) controlul pe parcursul procesrii datelor i rapoartelor produse n caz de
nerealizare a procesrii
c) controlul datelor rezultate n urma procesrii, astfel nct s se asigure c
aceste date sunt complete
d) validarea datelor transferate din alte aplicaii
e) controalelor verific nregistrrile duble
f) autorizarea electronic i/sau manual a tranzaciilor
g) efectuarea tranzaciilor numai de la computere definite n prealabil
h) pstrarea integral a nregistrrilor astfel nct s se poat urmri tranzaciile
efectuate din faza de iniiere pn la finalizarea lor

nelegerea controalelor implementate de ctre utilizatori
X
Test nr.
3.4.
Foaie de
lucru nr.
3.2.
List de
control nr.
3.2.

3.4. Verificai dac soluionarea unei probleme are n vedere urmtoarele etape:
a) raportarea problemei; .
b) definirea problemei i conceperea unui plan de atac;
X

165
c) desfurarea planului de atac, adunarea de date, urmrirea problemei,
cercetarea tehnic, codarea i testarea ulterioar;
d) monitorizarea i confirmare rezultatelor de ctre utilizatorii finali;
e) documentarea problemei i a aciunilor de corecie.
3.5. Verificai dac procedurile de salvare sunt executate la intervale optime i
includ copii complete ale sistemelor informatice: date, operaii, programe;
X

Auditori,
Popescu Sorin
Radu George

166
Procedura - P08: Colectarea dovezilor

ENTITATEA PUBLIC

TEST NR. 3.1


Obiectul
testului
Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de
administratorii de reea
Obiectivele
testului
Controlul operaiilor realizate de sistemele informatice.

Descrierea
testului

Echipa de auditori a procedat la controlul operaiilor realizate de sistemele informatice,
analiznd modul n care sunt procesate datele, realizate tranzaciile i executate funciile
aplicaiilor, pentru a implementa corect procesele desfurate n cadrul entitii.
ntruct aceste operaii sunt interdependente, auditorii nu au analizat separat fiecare funcie,
ci au considerat procesele desfurate n cadrul entitii ca un tot unitar.

Pentru a crete eficiena analizei operaiilor, auditorii le-au mprit n dou categorii: funcii
tehnice i funcii legate de procese.
Testarea a urmrit urmtoarele aspecte, stabilite n Lista de verificare 3:
A. funcii tehnice:
1. - dac operaiile sunt realizate eficient, n timp util i la intervale bine
stabilite;
2. - dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate
i distribuite n siguran i n timp util;
3. - dac procedurile de salvare i restaurare protejeaz n mod real datele i
aplicaiile sistemului informatic
4. - dac procedurile de mentenan a echipamentelor sunt realizate corect i
la intervale de timp stabilite n funcie de specificul fiecrei componente;
5. - dac echipamentele hardware sunt asigurate corespunztor;
6. - dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt
raportate i documentate corespunztor, astfel nct s se poat elabora
soluiile corespunztoare de remediere a problemelor.
B. funcii legate de procese:
7. - dac datele de intrare sunt validate;
8. - dac se verific integritatea i completitudinea datelor
9. - dac se analizeaz eficiena operaiilor
10. - dac se monitorizeaz i se gestioneaz bazele de date.
Testul s-a materializat n verificarea pe teren a implementrii controlului privind
operaiunile sistemelor informatice.
Constatri

n urma analizei modului de implementare a controlului privind operaiunile sistemelor
informatice, echipa de auditori a constatat urmtoarele:
1. - dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite;
Echipa de auditori a constatat c la nivelul entitii se utilizeaz aplicaii de programare i
executare automat a proceselor. Acestea reduc riscul ca un proces s nu fie iniiat
corespunztor, s nu se execute n timpul planificat, reduce la minim intervalele de
inactivitate, iar fiecare proces poate fi monitorizat din punct de vedere al modului i al
timpului de execuie.
Aplicaiile de planificare automat genereaz rapoarte detaliate despre procesele derulate, iar
n cazul apariiei unor erori de funcionare, permit administratorului responsabil s
localizeze ct mai precis defeciunea i s elaboreze soluii de remediere.
167
n urma analizei modului de alocare i utilizare efectiv a resurselor (procesoare, memorie,
spaiu ocupat pe hard-disk, mod de salvare etc.), echipa de auditori a constatat c nu au fost
realizat o monitorizare corespunztoare a operaiilor desfurate, care s in cont alocarea
resurselor.
n acest sens, a fost constatat faptul c procesoarele i memoriile de lucru ale calculatoarelor
din cadrul departamentului IT, pe care sunt instalate programele antivirus i care asigur o
supraveghere permanent a reelelor, sunt mai lente dect componentele similare aflate n
configuraiile calculatoarelor din cadrul Direciei Generale de Investiii, Achiziii Publice i
Servicii Interne.
De asemenea, s-a constatat c hard-disk-urile din configuraiile acelorai calculatoare, de la
nivelul Direciei Generale de Investiii, Achiziii Publice i Servicii Interne, dispun de
capaciti excedentare, n majoritatea cazurilor fiind ocupate n procent de maxim 10-15%.
2. - dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i
distribuite n siguran i n timp util;
Echipa de auditori a constatat c majoritatea proceselor genereaz la terminarea execuiei
diferite tipuri de fiiere. De cele mai multe ori, aceste fiiere sunt stocate ntr-o list de
ateptare, putnd fi copiate, mutate n vederea unor analize sau prelucrri ulterioare.
Echipa de auditori a observat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele
nefiind restricionat.
3. - dac procedurile de salvare i restaurare protejeaz n mod real datele i
aplicaiile sistemului informatic.
Echipa de auditori a constatat c procedurile de salvare sunt corect planificate i sunt
executate conform politicilor i procedurilor de securitate stabilite. n plus, s-a constat faptul
c exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale de cteva
ore, pentru operaiunile curente, i proceduri de salvare executate la intervale mai mari de
timp, care includ copii complete ale sistemelor informatice: date, operaiuni, programe.
4. - dac procedurile de mentenan a echipamentelor sunt realizate corect i la
intervale de timp stabilite n funcie de specificul fiecrei componente;
Echipa de auditori analizat procedurile de mentenan privind sistemele IT.
n acest sens, au fost inventariate interveniile efectuate asupra computerelor i
imprimantelor/copiatoarelor aflate n cadrul Biroului Multiplicare, din cadrul Serviciului
Administrativ i Gospodrirea Patrimoniului.
Astfel, s-a constatat c 3 din cele 7 imprimante care deserveau necesitile biroului foloseau
consumabile compatibile sau care au fost rencrcate, fapt ce a condus la o calitate mai slab
a printrilor, dar i la pierderea garaniei oferit de furnizor.
De asemenea, s-a constatat c dou din cele 6 computere din cadrul aceluiai birou se blocau
n cazul efecturii unor operaiuni mai complexe. Acest fapt se datoreaz faptului c sursele
de alimentare iniiale s-au defectat i au fost nlocuite cu unele asemntoare ca design, dar
care nu ofereau suficient energie pentru prelucrrile mai complexe. ntruct aceste surse nu
respectau specificaiile fabricantului, a fost pierdut garania respectivelor echipamente.
n cazul multiplicatoarelor de mare capacitate, s-a constatat c n 2 din 3 cazuri, a fost
depit termenul la care trebuia efectuat inspecia tehnic periodic, fapt ce a condus la o
uzur mai pronunat a acestora, dar i la ieirea mai rapid din garanie.
Au fost constatate 2 computere care aveau sigiliile furnizorului rupte, fapt ce denot
intervenii ale personalului neautorizat. i aceste aspecte au condus la pierderea garaniei.
5. - dac echipamentele hardware sunt asigurate corespunztor;
Echipa de auditori a constatat c pentru echipamentele hardware nu au fost ncheiate polie
de asigurare, care s acopere diferitele tipuri de riscuri i costurile implicate de eventuale
daune.
6. - dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt raportate
i documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor.
Analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute
n cadrul proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale
din partea personalului specializat din cadrul departamentului IT al entitii, urmrindu-se
strict remedierea respectivelor probleme i fr a se avea n vedere etapele premergtoare
apariiei problemei, cauzele i modul de propagare etc.
168
B. funcii legate de procese:
Echipa de auditori a constatat c la nivelul entitii au fost realizate verificri ale
datelor introduse n sistemul informatic din punct de vedere al tipurilor de date, al lungimii
acestora, iar pentru coduri au fost utilizate reguli speciale de creare i validare a acestora. De
asemenea, se folosesc proceduri automate de verificare a intrrilor.
Echipa de auditori a verificat existena unor proceduri de verificare a modului n
care datele au fost introduse sau importate dintr-o aplicaie n alta. n aceste situaii, anumite
nregistrri se pot pierde sau datele pot fi modificate, ducnd la apariia unor probleme n
prelucrare. Aceste aspecte au fcut obiectul FIAP-ului de la testul nr. 6.
Recomandare:
Utilizarea unor funcii de verificare prin totaluri, chei i algoritmi.
Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii
funciilor i programelor, asupra modului de iniiere a unor proceduri sau a timpului de
execuie, echipa de auditori a constatat c o anumit parte din aceste verificri se realizeaz
manual.
n urma analizei modului de monitorizare i gestionare a bazelor de date, echipa de auditori
a concluzionat c rapoartele i situaiile de ieire ofer suficiente informaii managementului
n vederea lurii deciziilor corecte.
Concluzii

n urma deficienelor constatate cu ocazia testrii operaiunilor efectuate de sistemele
informatice, s-a ntocmit FIAP-ul nr. 3.1.

169
Procedura - P08: Colectarea dovezilor

Entitatea Public

FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 3.1


PROBLEMA

Existena unor controale interne slabe privind managementul operaiunilor IT,
reflectate n disfuncii legate de gestionarea acestora.
CONSTATRI

Echipa de auditori a constatat urmtoarele:
1. n urma analizei modului de alocare i utilizare efectiv a resurselor IT
disponibile, echipa de auditori a constatat c unele departamente dispun de resurse
insuficiente (departamentul IT), n timp ce altele dispun de resurse excedentare
(Direcia General de Investiii, Achiziii Publice i Servicii Interne), fiind
utilizate n proporie de max. 10-15%.
2. Echipa de auditori a constatat c listele generate n urma prelucrrilor
pe un anumit computer puteau fi vizualizate i modificate de pe toate celelalte
computere din reea, accesul la ele nefiind restricionat.
4. n urma inventarierii interveniilor efectuate asupra computerelor i
imprimantelor/copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c
procedurile privind mentenana nu au fost realizate cu respectarea specificaiilor
productorului, de ctre personal autorizat, fapt ce a condus, n majoritatea
cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor
respective.
6. Analiznd modul de soluionare a unui numr de 6 probleme de ordin
tehnic aprute n cadrul proceselor, echipa de auditori a constatat c au fost
efectuate intervenii punctuale din partea personalului specializat din cadrul
departamentului IT al entitii, urmrindu-se strict remedierea respectivelor
probleme i fr a se avea n vedere etapele premergtoare apariiei problemei,
cauzele i modul de propagare etc.
Analiznd modul de efectuare a verificrilor asupra prelucrrilor,
implementrii funciilor i programelor, asupra modului de iniiere a unor
proceduri sau a timpului de execuie, echipa de auditori a constatat c o anumit
parte din aceste verificri se realizeaz manual.
CAUZE

1. Lipsa unei imagini de ansamblu asupra alocrii i utilizrii efective a
resurselor de IT.
2. Lipsa proteciilor i a restricionrii accesului la rezultatele
prelucrrilor.
4. Alocarea de fonduri insuficiente pentru achiziia de consumabile
originale.
De asemenea, anumite probleme tehnice au trebuit soluionate n regim de urgen,
fapt ce a fost realizat prin utilizarea unor componente luate de pe alte sisteme
nefuncionale, fr a avea n vedere respectarea n totalitate a cerinelor
productorului.
6. Datorit insuficienei personalului de specialitate, anumite intervenii
tehnice s-au limitat doar la remedierea problemelor punctuale, fr a avea n
170
vedere etapele premergtoare, cauzele, i modul de propagare ale acestora.
Neconstituirea la nivelul departamentului IT a unui colectiv nsrcinat cu
raportarea i soluionarea rapid a problemelor de ordin tehnic (Help-desk).
Lipsa utilizrii programelor de monitorizare a sistemelor informatice.
9. Neutilizarea unor programe care s automatizeze ntr-un grad ct mai
mare verificrile efectuate asupra operaiile informatice.
CONSECINE

Anumite procese de importan vital dispun de resurse insuficiente, n timp ce
anumite resurse nu sunt complet utilizate.
Vulnerabilitate ridicat a rezultatelor prelucrrilor.
Calitate sczut a rezultatelor prelucrrilor.
Pierderea garaniilor pentru anumite echipamente. Uzura mai rapid a acestora.
nlturarea doar a consecinelor anumitor probleme de ordin tehnic, nu i a
cauzelor.
Verificarea manual a operaiunilor informatice prezint un risc mai mare de
nedetectare a problemelor, dect verificarea automatizat.
RECOMANDRI

Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor
n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n
permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri.
Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului
neautorizat.
Procedurile de mentenan a echipamentelor s fie realizate corect i la intervale
de timp stabilite n funcie de specificul fiecrei componente, numai de ctre
personal autorizat n acest sens.
Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea
i rezolvarea operativ a problemelor de ordin tehnic (Help Desk), care s asigure
i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii
telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate.
De asemenea, s se aib n vedere definirea corect a problemelor: data apariiei,
frecvena, etapele premergtoare, modul de manifestare, datele de identificare ale
persoanelor de contact etc.
n acelai scop pot fi utilizate i raportrile generate automat sau se pot utiliza
programe de monitorizare a sistemelor informatice.
Elaborarea i implementarea unor programe care s automatizeze pe ct posibil
verificrile efectuate asupra operaiilor informatice.


171

ENTITATEA PUBLIC

TEST nr. 3.2.

ntocmit: Popescu Sorin / Radu George Data: 16.09.2009

Obiectul
testului
Programele antivirus asigur protecia aplicaiilor
Obiectivele
testului
Analiza programelor anti-virus
Descrierea
testului

Populaia statistic testat a fost constituit din totalul calculatoarelor personale
utilizate la nivelul entitii publice, adic 250 de computere.
Eantionul pentru realizarea testrii programelor anti-virus a fost stabilit pe
baza unui procent de 2%, din totalul populaiei de 250 de calculatoare, respectiv 5
calculatoare personale, eantionarea utilizat a fost la ntmplare, conform Foii de
lucru nr.
Testrile au constat n verificarea implementrii programelor anti-virus conform
procedurilor:
- instalarea unui program anti-virus adecvat necesitilor utilizatorilor
staiilor de lucru;
- programul anti-virus s verifice staia de lucru la pornire;
- programul anti-virus s monitorizeze toate programele i aplicaiile active,
mesajele primite i s verifice automat actualizrile la intervale regulate
(zilnic);
- programul anti-virus s se actualizeze n reea, astfel nct s protejeze
eficient datele electronice mpotriva viruilor nou-aprui.
Constatri

O politic adecvat de securitate IT trebuie s prevad instalarea unui program
anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s
monitorizeze toate programele de aplicaii active, mesajele primite i s verifice
automat actualizrile la intervale regulate (poate chiar zilnic).
Din analiza echipamentelor de calcul selectate n eantion cu privire la modul n
care programele i aplicaiile coninute de acestea sunt protejate mpotriva atacurilor
din reea i din afara reelei, s-a constatat c:
- n cazul a 2 calculatoare din cadrul entitii publice, configuraia programului anti-
virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea
e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea
conductorului departamentului, deoarece se considera c programul anti-virus are un
efect negativ asupra performanei sistemului;
Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi
prezena viruilor i am constatat c acestea erau infectate cu virui.
Concluzii

Programele anti-virus nu sunt utilizate conform instruciunilor i licenelor.

Auditor, Supervizor,
172

ENTITATEA PUBLIC

FOAIE DE LUCRU NR. 3.1.


Obiectiv: Protejarea anti-virus a sistemelor informatice

Testarea se va realiza pe un eantion care a fost constituit astfel:
- populaia total este de 250 calculatoare personale;
- eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale;
- pasul de selecie va fi 250 : 5 = 50;
- eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se
conecteaz la reeaua entitii publice la poziiile:
11, 61, 111, 161, 211,
conform celor prezentate n Lista de control anexat la Testul nr. 4.6.:
- eantionul constituit va fi verificat integral;
- n urma verificrii se va ntocmi un test.


173

ENTITATEA PUBLICA

Lista control nr. 3.1.
privind Programele anti-virus

Verificarea implementrii programelor anti-virus conform procedurilor Elemente
testate

Eantion
Instalarea unui program
anti-virus adecvat
necesitilor utilizatorilor
staiilor de lucru

Programul anti-virus s
verific staia de lucru la
pornire

Programul anti-virus
monitorizeaz toate
programele i aplicaiile
active, mesajele primite i
verific automat
actualizrile la intervale
regulate (zilnic)
Programul anti-virus se
actualizeaz n reea, astfel
nct s protejeze eficient
datele electronice
mpotriva viruilor nou-
aprui
Monitorizarea
sistematic a
funcionalitii
programelor anti-
virus
Verificarea
sistemului de
actualizare a
programelor anti-
virus
Computer
aflat la
poziia 11
X X X X X X
Computer
aflat la
poziia 61
X X X X X X
Computer
aflat la
poziia 111
FIAP FIAP FIAP FIAP FIAP FIAP
Computer
aflat la
poziia 161
FIAP FIAP FIAP FIAP FIAP FIAP
Computer
aflat la
poziia 211
NU X X X X X

174

ENTITATEA PUBLICA



Problema Neaplicarea n mod unitar a politicii de securitate IT a condus la infectarea
cu virui a unor staii de lucru din sistemul IT al entitii publice.
Constatarea O politic adecvat de securitate IT trebuie s prevad instalarea unui
program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la
pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i
s verifice automat actualizrile la intervale regulate (poate chiar zilnic).
Echipa de auditori a verificat 5 de staii de lucru, selectate n mod aleator,
din cadrul tuturor departamentelor i a constatat urmtoarele:
- n 2 departamente din cadrul entitii publice configuraia programului anti-virus
pentru un numr de doua calculatoare a fost modificat pentru a ntrerupe
monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor
anexate. Acest lucru s-a realizat la cererea conductorului departamentului,
deoarece se considera c programul anti-virus are un efect negativ asupra
performanei sistemului;
Urmare acestei constatri, am verificat respectivele staii de lucru pentru a
descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.

Cauza Lipsa monitorizrii permanente a staiilor de lucru cu privire la funcionarea
programelor antivirus, precum i responsabilizarea utilizatorilor n cazul n care
dezactiveaz un program antivirus.
Consecina Prezena viruilor i a altor programe duntoare pe staiile de lucru
afecteaz n mod negativ activitatea staiilor de lucru putnd duce la blocarea
acestora sau chiar a ntregului sistem program, aplicaie sau sistem informatic.
Recomandarea Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor
staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n
care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n
care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei.

Auditor, Supervizor, Pentru conformitate
Radu George Dumitru Daniel Structura auditat
175

ENTITATEA PUBLIC

TEST nr. 3.3.


Obiectul
testului
Implementarea subsistemelor IT
Obiectivele
testului
Realizarea subsistemelor IT conform aprobrilor i planificrilor.
Descrierea
testului

Populaia este formata din aplicaiile i programele aprobate de conducerea
organizaiei pentru a fi implementate n perioada suspus evalurii. Acestea vor fi
evaluare n totalitate.
Analiza va urmri dac un program sau aplicaie aprobat a fost implementat cu
respectarea termenelor. Pentru fiecare aplicaie sau program aprobat se va urmri i
dac au fost stabilite resursele financiare necesare, inclusiv cuprinderea lor n buget.
Constatri

Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i
aprobat, a pus n eviden faptul c termenele stabilite pentru implementarea
programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile
aplicaii IT ntmpin dificulti n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de
programe performante.
Concluzii

Programele i aplicaiile aprobate i pentru care au fost stabilite i aprobate i resursele
nu sunt implementate n termen.


176

ENTITATEA PUBLIC

INTERVIU nr. 3.1.
privind gradul de realizare a subsistemelor IT stabilite prin planul strategic
adresat
domnului Eleodor Darius, ef Serviciul analiza, proiectare i programare


Nr.
crt.
1. Exist un sistem procedurat de realizare a subsistemelor IT X
2. Sistemele implementate au fost stabilite prin planul strategic i
prin planurile anuale?
X
3. Exist persoane responsabile de implementarea subsistemelor
IT?
X
4. Subsistemele IT au fost realizate la termenele stabilite? X
5. Exist resurse alocate pentru realizarea subsistemelor IT? X
6. Avei o procedur pentru monitorizarea implementrii
subsistemelor IT?
X
7. n toate cazurile n care persoanele responsabile au primit alte
sarcini de serviciu au fost desemnate alte persoane care s
monitorizeze implementarea subsistemelor IT?
X
8. Nu mai avei ceva de adugat? X

Data: 16.09.2009

Dat n faa noastr Intervievat
Auditori: Sef serviciu
Popescu Sorin Eleodor Darius
Radu George

177

ENTITATEA PUBLIC

FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 3.3.


Problema Subsistemele IT nu au fost realizate la termenele stabilite.
Constatarea Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i
aprobat, a pus n evidenta faptul ca termenele stabilite pentru implementarea
programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja
noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic
celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz
deja de programe performante.
Cauza Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul
programelor deja existente au fost utilizate pentru finalizarea unor aplicaii i
programe deja ncepute i nefinalizate.
Consecina ntrzieri n realizarea activitilor planificate att n cadrul departamentului
IT ct i n cadrul altor departamente, deoarece datele i informaiile sunt reluate i
introduse manual.
Recomandarea Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate,
identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de
termene de finalizare i urmrirea respectrii acestora.
Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt
compatibile cu cele deja implementate sau aflate n faza de implementare i numai
dac exista resursele necesare aprobate prin buget.


178

ENTITATEA PUBLIC

TEST nr. 3.4.


Obiectul
testului
Evaluarea problemelor i soluionarea acestora
Obiectivele
testului
Verificarea existenei unor controale generale implementate la nivelul subsistemelor IT
Descrierea
testului

Populaia statistic este reprezentat de 15 subsisteme IT ce reprezint numrul
total al subsistemelor IT funcionale la nivelul entitii publice. Eantionarea va fi
reprezentat de 5 elemente din ntreaga populaie, deci 30%, pentru c este un numr
rezonabil de subsisteme.
Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de
verificare nr. 3, poz.., i anume:
- Controlul datelor introduse n aplicaii;
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de
nerealizarea procesrii (ntreruperi, transfer).
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c
aceste date sunt complete
- Validarea datelor transferate din alte aplicaii
- Controalelor care verific nregistrrile duble;
- Autorizarea electronic i/sau manual a tranzaciilor
- Efectuarea tranzaciilor numai de la computere definite n prealabil
- Pstrarea integral a nregistrrilor astfel nct s se poat urmri
tranzaciile efectuate din faza de iniiere pn la finalizarea lor;
- nelegerea controalelor implementate de ctre utilizatori.

Testarea s-a concretizat n elaborarea Listei de control nr... privind existena
controalelor generale la nivelul subsistemelor IT.
Constatri

Din analiza modului de implementare i funcionare a controalelor la nivelul
subsistemelor IT, s-a constat inexistena urmtoarelor controale generale:
- Controlul asupra datelor introduse n aplicaii;
- Controlul asupra datelor rezultate n urma procesrii astfel nct s se
asigure c aceste date sunt complete;
- Controlul pe parcursul procesrii datelor i rapoartelor rezultate;
- Controlul privind validarea datelor transferate din alte aplicaii;
- Controlul asupra tranzaciilor efectuate.
Concluzii

Controalele generale nu sunt implementate n totalitate la nivelul subsistemelor
informatice.

179

ENTITATEA PUBLICA

FOAIE DE LUCRU nr. 3.2.


Obiect: Existena controalelor generale la nivelul subsistemelor IT

Obiectivul Verificarea existenei unor controale generale
implementate la nivelul subsistemelor IT.
- populaia total este de 15 subsisteme IT;
- eantionul va fi de 30%, respectiv 15 x 30% = 5 subsisteme IT;
- eantionul se va constitui din:
o Subsistemul IT pentru gestiunea resurselor umane
o Subsistemul IT pentru operaiuni financiare
o Subsistemul IT pentru activitatea contabil
o Subsistemul IT pentru activitatea juridic
o Subsistemul IT de coordonare a relaiilor bugetare cu Uniunea European
conform celor prezentate n Lista de control nr. 3.2..:

Data: 16.09.2009

180


ENTITATEA PUBLIC
privind existena controalelor generale la nivelul subsistemelor IT

Nr.
Crt.

Elemente
testate

Eantion
Controlul datelor
introduse n
aplicaii
Controlul pe
parcursul
procesrii
datelor i
rapoartele
produse n caz
de nerealizare a
procesrii
Controlul datelor
rezultate n urma
procesrii, astfel
nct s se asigure
c aceste date sunt
complete
Validarea
datelor
transferate
din alte
aplicaii
Controale care
verific
nregistrrile
duble
Autorizarea
electronic i/sau
manual a
tranzaciilor
Efectuarea
tranzaciilor
numai de la
computere
definite n
prealabil
Pstrarea integral
a nregistrrilor
astfel nct s se
poat urmri
tranzaciile
efectuate din faza
de iniiere pn la
finalizarea lor
nelegerea
controalelor
implementate de
ctre utilizatori
1.
Subsistemul IT pentru
gestiunea resurselor
umane
FIAP FIAP FIAP FIAP X X FIAP X X
2.
operaiuni financiare
X X X FIAP X X FIAP X X
3.
activitatea contabil
X X X FIAP X X FIAP X X
4.
activitatea juridic
FIAP FIAP FIAP FIAP X X X X X
5.
Subsistemul IT de
coordonare a relaiilor
bugetare cu Uniunea
European
X X X FIAP X X X X X

Data> 16.09.2009


181

ENTITATEA PUBLICA



Problema Inexistena controalelor generale implementate la nivelul subsistemelor IT
Constatarea Din evaluare, auditorii interni au constatat c nu exist un sistem de
controale generale care s fie avute n vedere n cadrul procesului de proiectare,
realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe
echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de
nerealizarea procesrii (ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure
c aceste date sunt complete;
- Controlul privind tranzaciile efectuate.
Cauza Lipsa unei bune gestiuni a riscului, pe baza creia sa fie identificate controalele
interne i modul n care acestea funcioneaz.
Consecina Inexistena unui set de controale generale, armonizat pentru toate
subsistemele IT, poate s conduc la nedetectarea modificrilor
neautorizate aduse datelor procesate i astfel apare probabilitatea ca date
eronate s fie introduse, prelucrate i stocate n sistemul IT.
Recomandarea Identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea
controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect,
urmrirea controalelor interne care exist i funcioneaz, identificarea i
implementarea de instrumente de control pentru controalele interne care nu sunt
implementate sau nu funcioneaz.


182

ENTITATEA PUBLICA



Obiectivul I.
SECURITATEA INFORMAIEI

Nr.
crt.
Activitatea de audit Da Nu Obs.
A Organizarea securitii informaiilor
1. Elaborarea politicii privind securitatea informaiei
1.1. Verificai dac exist o politic de securitate a informaiei; X
1.2. Verificai dac politica de securitate a informaiei este aprobat de
conducerea organizaiei;
X

1.3. Verificai dac politica privind securitatea informaiei stabilete
responsabilitile asociate i principiile de securitate care trebuie
urmate de ctre personal;
X

1.4. Verificai dac politica de securitate a informaiei supune
informaiile i sistemele importante unei analize de risc n mod
regulat;
X

1.5. Verificai dac politica de securitate a informaiei impune ca
sistemele s fie clasificate ntr-un mod care s indice importana
acestora pentru organizaie;
X

1.6. Verificai dac politica de securitate a informaiei impune
utilizarea numai a programelor liceniate;
X

1.7. Verificai dac politica de securitate a informaiei asigur
condiiile de raportare sau abaterile de la regularitate;
X

1.8. Verificai dac protejarea informaiei este asigurat n condiii de
confidenialitate, integritate i disponibilitate;
X

1.9. Verificai dac politica de securitate interzice utilizarea
informaiilor i sistemelor organizaiei fr autorizare;
X

1.10. Verificai dac politica de securitate interzice scoaterea informaiei
sau echipamentelor din cadrul organizaiei fr autorizare;
X

1.11. Verificai dac politica de securitate interzice utilizarea
informaiilor, inclusiv a infrastructurii sau echipamentelor IT n
alte scopuri;
X

1.12. Verificai dac politica de securitate interzice copierea
neautorizat a datelor i informaiilor;
X

1.13. Verificai dac politica de securitate interzice divulgarea
informaiilor ctre persoane neautorizate;
X

1.14. Verificai dac politica de securitate oblig utilizatorii s nchid
programele sau aplicaiile cnd nu sunt utilizate;
X

1.15. Verificai dac politica de securitate oblig utilizatorii s se
deconecteze de la aplicaii, atunci cnd las calculatorul
X

183
nesupravegheat;
1.16. Verificai dac politica de securitate este comunicat ntregului
personal;
X

1.17. Verificai dac politica de securitate are n vedere prevenirea
falsificrii probelor n cazul unui incident;
X

1.18 Verificai dac politica de securitate stabilete msurile
disciplinare ce pot fi luate n cazul nerespectrii ei;
X

1.19 Verificai dac politica de securitate este revizuit i actualizat
periodic.
X

2. Stabilirea responsabilitilor n cadrul politicii de securitate
2.1. Verificai dac exist o persoan din conducerea de vrf cu
responsabilitate general pentru securitatea informaiei;
X

2.2. Verificai dac exist un comitet nsrcinat cu coordonarea
activitii de securitate a informaiei;
X

2.3. Verificai dac comitetul responsabil de securitatea informaiei
coordoneaz aceast activitate la nivelul ntregii organizaii;
X

2.4. Verificai dac din comitetul nsrcinat cu coordonarea activitii
de securitate a informaiei fac parte persoane din conducerea de
vrf a organizaiei;
X

2.5. Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei este responsabil pentru integrarea
informaiei pentru toate sectoarele organizaiei;
X

securitate a informaiei asigur tratarea intereselor privind
securitatea informaiei curent i consecvent;
X

securitate a informaiei este responsabil pentru aprobarea
politicilor i standardelor de securitate a informaiei;
X

securitate a informaiei este responsabil pentru aprobarea
procedurilor de securitate a informaiei;
X

securitate a informaiei este responsabil pentru aprobarea i
stabilirea prioritilor activitii de mbuntire a securitii
informaiei;
X

securitate a informaiei asigur coordonarea implementrii
instrumentelor de control aferente securitii informaiei;
X

securitate a informaiei accentueaz importana securitii
informaiei n cadrul organizaiei;
X

3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii autorizai
3.1. Verificai dac regulile de securitate privind accesul la
echipamentele i datele stabilite sunt respectate cu strictee;
X

3.2. Verificai dac abaterile de la regulile impuse sunt imediat
semnalate persoanelor responsabile;
X

3.3. Verificai dac dispozitivele de stocare sunt pstrate n condiii de
securitate pentru a evita distrugerea fizic, pierderea sau
modificarea coninutului;
X

3.4. Verificai dac condiiile de pstrare sunt verificate periodic i
mbuntite;
X

3.5. Verificai dac salvrile de date sunt efectuate cu periodicitatea
impus de importana datelor i de regulile prestabilite;
X

3.6. Verificai dac arhivarea datelor este realizat cu frecvena impus
de reglementrile de operare;
X

3.7. Verificai dac drepturile utilizatorilor sunt verificate periodic, n
conformitate cu sarcinile alocate acestora;
X

3.8. Verificai dac permisiunile curente de acces la resursele partajate
sunt verificate, n vederea conformitii cu regulile de securitate
impuse;
X

3.9. Verificai dac accesul la directoarele i fiierele cu caracter secret
se realizeaz n conformitate cu reglementrile interne;
X

184
3.10. Verificai dac arhivarea datelor este realizat adecvat importanei
acestora;
X

3.11. Verificai dac duplicarea datelor se realizeaz conform cu
reglementrile interne;
X

3.12. Verificai asigurarea securitii dispozitivelor de stocare a datelor; X
B. Disponibilitatea datelor
1. Protejarea datelor mpotriva viruilor
1.1. Verificai dac programele sunt protejate fa de virui; X
1.2. Verificai dac viruii detectai sunt nlturai prin utilizarea de
produse specializate antivirus;
X

1.3. Verificai dac actualizarea produselor antivirus se face
permanent;
X

1.4 Verificai dac procedurile de scanare i eliminare a viruilor sunt
lansate periodic n execuie;
X

1.5. Verificai dac programul antivirus intr n funciune ntotdeauna
la pornirea computerelor;
X

1.6. Verificai dac viruii sunt detectai cu operativitate utiliznd
metode adecvate;
X

1.7. Verificai dac exist continuitate n asigurarea licenelor
programelor antivirus;
X

1.8. Verificai dac implementarea programelor anti-virus asigur: X
1.9. a) instalarea unui program anti-virus adecvat necesitilor
utilizatorilor staiilor de lucru;
X

1.10. b) verificarea computerelor la pornire; X
1.11. c) monitorizarea tuturor programelor i aplicaiilor active, a
mesajelor primite i verificarea automat a actualizrilor la
intervale regulate (zilnic);
X

1.12. d) actualizarea n reea, astfel nct s protejeze eficient datele
mpotriva viruilor nou-aprui;
X

1.13. Verificai dac este realizat o monitorizarea sistematic a
funcionalitii programelor anti-virus;
X

1.14. Verificai dac sistemul de actualizare a programelor anti-virus
este adecvat necesitilor programelor i aplicaiilor utilizate n
cadrul entitii;
X

2. Asigurarea continuitii activitilor
2.1. Verificai dac planul privind asigurarea continuitii activitilor
permite cunoaterea msurilor ce trebuie luate n cazul producerii
unui eveniment nedorit;
X

2.2. Verificai dac scopul planului de asigurare a continuitii
activitii este de a minimiza efectele produse de un dezastru;
X

2.3. Verificai dac planul privind continuitatea activitilor are impact
major asupra activitilor curente critice;
X

2.4. Verificai dac resursele umane, precum i cele hardware/software
implicate n procesul de aplicare a planului sunt prestabilite i sunt
disponibile;
X

2.5. Verificai dac planul descrie strategia general de asigurare a
continuitii activitii;
X

2.6. Verificai dac planul stabilete rolurile i responsabilitile
personalului implicat;
X

2.7. Verificai dac planul stabilete criteriile i procedurile de
recunoatere a unei crize;
X

2.8. Verificai dac planul definete procedurile tehnice de reluare sau
continuare a proceselor critice;
X

2.9. Verificai dac planul stabilete procedurile de revenire la modul
normal de operare;
X

2.10. Verificai dac planul conine procedurile de ntreinere,
actualizare i testare periodic a acestuia;
X

2.11. Verificai dac echipa de coordonare, n caz de producere a
evenimentului nedorit, este condus de managementul de vrf;
X

2.12. Verificai dac echipa de coordonare n caz de producere a
evenimentului nedorit este responsabil pentru iniierea planului
privind continuitatea activitilor;
X

185
2.13. Verificai dac echipa de intervenie n caz de dezastru este
implicat n conceperea planului privind continuitatea activitilor;
X

2.14. Verificai dac elaborarea planurilor privind continuitatea
activitilor a avut n vedere urmtoarele etape:
a) iniierea planului
b) analiza de risc i de impact
c) definirea cerinelor i dezvoltarea strategiei
d) implementarea strategiei i reducerea riscului
e) dezvoltarea i implementarea planurilor;

f) testarea i asigurarea mentenanei planurilor.
X

2.15. Verificai dac planurile privind continuitatea activitilor sunt
conforme cu obiectivele generale i cu strategia de administrare a
riscurilor;
X

2.16. Verificai dac funciile critice sunt identificate de administratorii
sistemelor, dndu-se prioritate proceselor din cadrul acestor
funcii;
X

2.17.

Verificai dac obiectivele avute n vedere pentru asigurarea
continuitii activitii sistemelor au ca scop reluarea i
recuperarea funciilor critice;
X

2.18.

Verificai dac planurile privind continuitatea activitilor includ
cel puin o locaie secundar pentru salvarea datelor;
X

2.19. Verificai dac sunt stabilite proceduri alternative/de urgen
pentru realizarea funciilor critice n cazul cderii reelelor;
X

2.20. Verificai dac prile implicate n planul de asigurare a
continuitii activitilor, comunic eficient, att n interiorul, ct
i n exteriorul organizaiei, utiliznd mijloace de comunicare
sigure i testate;
X

2.21. Verificai dac elementele planurilor privind asigurarea
continuitii activitii sunt testate periodic.
X

3. Recuperarea datelor n caz de dezastru
3.1. Verificai dac a fost elaborat planul de recuperare a datelor n caz
de dezastru;

3.2. Verificai dac planul de recuperare a datelor n caz de dezastru a
fost aprobat;
X

3.3. Verificai dac este responsabilizat echipa de implementare a
planului i sunt stabilite responsabilitile adecvate membrilor
echipei;
X

3.4. Verificai dac planul este comunicat personalului cu
responsabiliti n punerea n aplicare a acestuia n caz de
dezastru;
X

3.5. Analizai dac planul de recuperare a datelor a fost testat i
modificat periodic n baza rezultatelor obinute n urma testrii;
X

3.6. Verificai dac sunt definite n cadrul planului domeniile de
aciune importante ale entitii publice;
X

3.7. Verificai dac sunt identificate principalele procese i aplicaii IT
ce trebuie recuperate;
X

3.8. Verificai dac au fost analizate cerinele specifice cu privire la
recuperarea datelor n caz de dezastru la nivelul sistemului IT;
X

3.9. Verificai dac sunt stabilii responsabili cu monitorizarea
respectrii procedurilor privind recuperarea datelor n caz de
dezastru;
X

3.10. Verificai dac salvrile de siguran sunt actualizate sistematic; X
3.11. Stabilii dac locaia n care sunt stocate datele pentru a fi
recuperate n caz de dezastru este adecvat;
X

3.12. Analizai sistemul de arhivare a datelor. X
C. Asigurarea funcionrii programelor i aplicaiilor
1. Asigurarea introducerii corecte a datelor
1.1. Verificai dac documentele primare sunt analizate pentru
identificarea tipurilor de date care trebuie introduse sau
modificate;
X

1.2. Verificai dac datele sunt pregtite i verificate pentru a fi
introduse n sistemul informatic n vederea prelucrrii;
X

186
1.3. Verificai dac se verific i se testeaz toate procedurile de
introducere a datelor;
X

1.4. Verificai dac se monitorizeaz prelucrarea electronic a datelor; X
1.5. Verificai se urmresc rapoartele de erori nregistrate de sistemul
informatic i dac se efectueaz teste pentru identificarea cauzelor
apariiei acestora;
X

1.6. Verificai modul de urmrire a rezultatelor prelucrrilor i modul
de distribuire ctre utilizatori;
X

1.7. Verificai modul de ntocmire a jurnalului interveniilor
operatorilor, jurnalul utilizrii bibliotecii de programe i a
arhivelor de date i aplicaii
X

1.8. Verificai dac aplicaiile informatice sunt utilizate n conformitate
cu instruciunile de exploatare;
X

1.9. Verificai dac ablonul de introducere a datelor este identificat
corect, conform metodologiei proprii;
X

1.10. Verificai dac elementele ablonului sunt analizate cu
responsabilitate, n vederea introducerii datelor n condiii de
eficien;
X

1.11. Verificai dac introducerea datelor se realizeaz cu respectarea
specificaiilor programului utilizat;
X

1.12. Verificai dac se urmrete permanent conformitatea datelor
introduse cu documentele primare;
X

1.13. Verificai dac datele introduse sunt salvate pe suport de stocare n
formatul de fiier adecvat;
X

1.14. Verificai dac datele introduse sunt salvate corect i complet; X
1.15. Verificai dac datele sunt salvate la intervale de timp prestabilite; X
1.16. Verificai dac datele salvate sunt organizate adecvat, pentru a fi
regsite cu uurin;
X

1.17. Verificai dac salvrile de rezerv se realizeaz automat sau
manual, n funcie de opiuni;
X

1.18. Verificai dac datele neconforme cu documentele primare sunt
corectate;
X

1.19. Analizai dac datele introduse sunt verificate prin modaliti
adecvate, n scopul identificrii operative a erorilor;
X

1.20. Verificai dac datele corectate sunt salvate. X
2. Prelucrarea datelor
2.1. Verificai dac programul de prelucrare a datelor este adecvat;
2.2. Verificai dac programul de prelucrare a datelor este corect
identificat, n funcie de necesiti i de rezultatele urmrite;
X

2.3. Verificai modul de depistare i corectare a erorilor aprute n
timpul rulrilor aplicaiilor informatice;
X

2.4. Verificai dac procesrile aplicate datelor introduse sunt corecte; X
2.5. Verificai modul de funcionare a programelor, folosind ca date de
test fie nregistrri originale, fie nregistrri mostr i corectarea
eventualelor erori aprute n procesul de introducere a datelor;
X

2.6. Verificai dac prelucrarea datelor cu ajutorul aplicaiilor
informatice se realizeaz n conformitate cu instruciunile de
exploatare;
X

2.7. Verificai dac prelucrrile efectuate sunt vizualizate n scopul
verificrii i sunt prezentate pe suportul de redare specificat;
X

2.8. Verificai dac alegerea suportului de redare se realizeaz innd
cont de destinaia datelor;
X

2.9. Verificai dac prioritile suportului de redare respect cerinele; X
2.10. Verificai dac documentul este pregtit pentru redare prin setarea
caracteristicilor specifice;
X

2.11. Verificai dac echipamentul de ieire este ales adecvat, n scopul
ndeplinirii condiiilor optime de furnizare a datelor.
X

3. Asigurarea securitii datelor i documentelor
3.1. Verificai dac sunt realizate copii de siguran pe suporturi de
stocare adecvate;

3.2. Verificai dac copiile de siguran sunt realizate la intervalele de
timp menionate n procedura intern;
X

187
3.3. Verificai dac copiile de siguran sunt verificate pentru
conformitate cu originalele;
X

3.4. Verificai dac arhivarea sau duplicarea datelor este realizat n
funcie de importana acestora i cu frecvena necesar;
X

3.5. Verificai dac accesul la calculator este realizat prin conturi i
parole asociate, cu asigurarea caracterului de confidenialitate;
X

se face corespunztor reglementrilor interne;
X

3.7. Verificai dac documentele primare i cele rezultate n urma
imprimrii sunt pstrate n condiii de securitate;
X

3.8. Verificai dac suporturile de stocare sunt verificate pentru a le
depista pe cele virusate sau defecte;
X

3.9. Verificai dac dispozitivele de stocare a datelor sunt pstrate n
condiii de securitate pentru a evita distrugerea fizic, pierderea
sau modificarea coninutului;
X

3.10. Verificai dac condiiile de pstrare sunt verificate periodic i
mbuntite dup caz;
X

3.11. Verificai dac funcionarea severelor i a sistemelor este
permanent i atent monitorizat;
X

3.12. Verificai dac accesul utilizatorilor la echipamente i la suporturi
de date este realizat numai n limita permisiunilor cerute de
efectuarea sarcinilor curente;
X

3.13. Verificai dac regulile de securitate referitoare la accesul la
echipamente sunt respectate;
X

3.14. Verificai dac abaterile de la regulile de securitate sunt semnalate
prompt persoanelor responsabile;
X

D. Implementarea instrumentelor de control
1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
1.1. Verificai dac drepturile de acces sunt acordate conform regulilor
impuse prin manualele de instalare a aplicaiei;
X

1.2. Verificai dac drepturile de acces sunt respectate de ctre
utilizatori;
X

1.3. Verificai dac responsabilitatea pentru administrarea i operarea
aplicaiei este definit clar;
X

1.4. Verificai dac utilizatorii sunt instruii cu privire la utilizarea
reelei i securitatea acesteia;
X

1.5. Verificai dac administratorii de reea primesc instruirea adecvat
i potrivit cu privire la sigurana i controlul reelei;
X

1.6. Verificai dac activitatea n reea este monitorizat, asigurndu-se
c securitatea acesteia este adecvat;
X

1.7. Verificai dac doar utilizatorii autorizai pot efectua conexiuni la
reea i exist proceduri pentru verificarea conexiunilor
neautorizate;
X

1.8. Verificai dac codificarea utilizat previne accesul neautorizat la
datele transmise prin reea;
X

1.9. Verificai dac instrumentele de control stabilite asigur datele i
programele mpotriva pierderii, deteriorrii, coruperii deliberate
sau accidentale, i a atacurile informatice;
X

1.10. Verificai dac reelele sunt proiectate i construite pentru a
asigura eficiena traficului de date;
X

1.11. Verificai dac programele de administrare a reelei i fiierele de
pe server sunt salvate pentru siguran i copii ale acestora sunt
pstrate n locuri sigure;
X

1.12. Verificai dac exist metode de recuperare i de continuitate a
activitii n eventualitatea defectrii liniilor sau nodurilor de
reea;
X

1.13. Verificai dac accesul fizic la domeniile critice ale reelei este
restricionat numai pentru personalul autorizat;
X

1.14. Verificai dac pentru echipamentele importante i pentru nodurile
reelelor s-au alocat resurse suplimentare de securitate.
X

2. Introducerea instrumentelor de control fizic asupra echipamentelor IT
al aplicaiilor
188
2.1. Verificai dac accesul fizic la sistemele de calculatoare este
restricionat prin:
a) sistem adecvat de ncuietori;
b) blocarea accesului atunci cnd mediul este eliberat;
c) instalarea de alarme;

d) asigurarea de personal de paz;
X

2.2. Verificai dac efectuarea controalelor fizice se realizeaz conform
procedurilor;
X

2.3. Verificai dac accesul la servere este restricionat, avnd n
vedere datele critice procesate, fiind permis numai persoanelor
autorizate;
X

2.4. Verificai camerele n care se afl severele i echipamentele, dac
se respect urmtoarele cerine:
a) sunt dotate cu camere de supraveghere, care acoper ntreaga
zon de acces la server i sunt monitorizate permanent:
b) sunt prevzute cu senzori de micare;
c) dispun de sistem de alarm n caz de incendiu;
d) dispun de sisteme de stingere a incendiilor;
e) sunt prevzute cu echipamente de aer condiionat;
f) sunt prevzute cu ui neinflamabile echipate cu ncuietori
adecvate.
X
Test nr. 4.3.
List de
control nr.
4.1.
FIAP nr.
4.3.
2.5.

Verificai dac echipamentele i documentaia de importan
critic sunt asigurate suplimentar;
X

2.6.

Verificai dac sistemele de detectare a accesului neautorizat
instalate sunt verificate periodic;
X

2.7. Verificai dac calculatoarele portabile sunt protejate mpotriva
furtului;
X

2.8. Verificai dac utilizatorii sistemului au acces numai pentru
scopuri clare i autorizate;
X

2.9. Verificai dac utilizatorii sistemului sunt supravegheai
permanent;
X

2.10. Verificai dac echipamentele i facilitile critice sunt protejate
prin montarea lor n afara zonei de acces a publicului;
X

2.11. Verificai dac perimetrul de securitate fizic al camerelor care
adpostesc echipamente i faciliti critice este ntrit i protejat;
X

2.12. Verificai dac se realizeaz supravegherea continu a camerelor
n care sunt adpostite echipamente i faciliti critice;
X

2.13. Verificai dac autorizaiile pentru accesul fizic la echipamente
sunt emise n conformitate cu procedurile documentate;
X

2.14. Verificai dac autorizaiile pentru accesul fizic sunt revizuite
periodic pentru a se asigura accesul la acestea numai a persoanelor
autorizate;
X

2.15. Verificai dac sunt luate msuri pentru restricionarea accesului la
calculatoare i la informaiile pstrate de acestea;
X

2.16. Verificai dac msurile de protecie sunt n acord cu politica de
securitate a organizaiei;

2.17. Verificai dac msurile de control in seama de clasificarea
nivelurilor de securitate;
X

2.18. Verificai dac msurile de control in seama de cerinele stabilite
de responsabilii sistemelor i ale organelor de reglementare;
X

2.19. Verificai dac msurile de control in seama de necesitatea de a
pune n practic rspunderea personal;
X

2.20. Verificai dac msurile de control asigur punerea n practic a
unor instrumente suplimentare de control;
X

2.21. Verificai dac msurile de control asigur separarea sarcinilor; X
2.22. Verificai dac accesul este restricionat conform politicii de
securitate;
X

2.23. Verificai dac msurile de control privind accesul restricioneaz
capacitile sistemului care pot fi utilizate;
X

2.24. Verificai dac msurile de control ale accesului identific locaia
terminalelor aflate n exploatare;
X

2.25. Verificai dac msurile de control privind accesul sunt realizate X
189
pe baza unui sistem de parole;
2.26. Verificai dac msurile de control privind accesul sunt revizuite
ca rspuns la noi ameninri, cerine ale activitii sau noi
capaciti;
X

E. Securitatea reelei
1. Monitorizarea securitii reelelor
1.1. Verificai dac riscurile ce amenin securitatea i disponibilitatea
reelei i a aplicaiilor sunt inventariate;
X

1.2. Verificai dac securitatea reelei are n vedere vulnerabilitatea
aplicaiilor i sistemelor de operare, greelile de configurare i
erorile;
X

1.3. Verificai dac este realizat o hart a reelei; X
1.4. Verificai identificarea elementelor de baz din reea X
1.5. Verificai dac este realizat o hart exact a reelei; X
1.6. Verificai dac sunt identificate toate elementele din reea,
respectiv servere, sisteme desktop, sisteme laptop, routere, puncte
de acces, imprimante, sau alte dispozitive;
X

1.7. Verificai dac este implementat un program de management al
vulnerabilitilor;
X

1.8. Verificai dac exist posibilitatea de a actualiza situaia reelei de
cte ori este nevoie.
X

1.9. Verificai clasificarea elementelor din reea X
1.10. Verificai dac se realizeaz o clasificare a sistemelor desktop, a
serverelor i a aplicaiilor, n funcie de valoarea pe care acestea o
reprezint pentru entitatea public;
X

1.11. Verificai dac se realizeaz o grupare i clasificare a
dispozitivelor din reea n funcie de prioriti, de la sisteme cu
importan redus, cum sunt cele de test, la sistemele de
importan medie, cum sunt sistemele laptop folosite la biroul
aprovizionare i pn la sistemele de importan vital pentru
entitate (tranzacii, operaiuni financiare)
X

1.12. Verificai modul de clasificare a sistemelor depinde de natura
operaiunilor desfurate;
X

1.13. Verificai modul de identificarea rapid i precis a
vulnerabilitilor
X

1.14. Verificai dac identificarea vulnerabilitilor pleac de la analiza
topologiei reelelor formate din servere, sisteme de operare sau
platforme web diferite;
X

1.15.

Verificai dac este realizat protecia prin implementarea unui
sistem adecvat de management al vulnerabilitilor
X

1.16. Verificai dac acesta se bazeaz pe informaii precise i
configuraii de sistem i reea adecvate;
X

1.17. Verificai dac se realizeaz protecia n profunzime prin
implementarea unui sistem adecvat de management al
vulnerabilitilor;
X

1.18. Verificai dac se realizeaz corelarea gradului de risc cu valoarea
pentru activitile entitii, reprezentat de vulnerabilitile
sistemelor i a segmentelor de reea;
X

1.19. Verificai transformarea datelor de securitate brute n informaii X
1.20. Verificai dac n urma prelucrrilor, administratorii obin rapoarte
complete care detaliaz nivelul critic al vulnerabilitilor;
X

1.21. Verificai dac este asigurat accesul instant la soluiile de
remediere;
X

1.22. Verificai dac se folosesc patch-uri de securitate furnizate de
dezvolttorul de aplicaii;
X

1.23. Verificai dac se folosesc strategii ocolitoare sau alte msuri
defensive;
X

1.24. Verificai dac pe lng rapoartele generate pentru administratorii
i responsabilii cu securitatea, informaiile sunt strnse, adaptate i
prezentate acelor persoane care necesit detalii despre situaia
securitii n cadrul entitii;
X

1.25. Verificai dac rapoartele sunt prezentate conducerii. X
190
1.26. Verificai modul de monitorizarea securitii reelelor, n timp X
1.27. Verificai dac expunerea la risc este monitorizat prin
reprezentarea strii de ansamblu a reelei;
X

1.28. Verificai dac se utilizeaz un panou de afiare n timp real,
privind expunerea la risc, prin reprezentarea vizual a strii de
ansamblu a reelei;
X

1.29. Verificai dac se realizeaz actualizarea continu a acestuia; X
1.30. Verificai dac panoul de afiare privind expunerea la risc este
adaptat nevoilor de securitate ale organizaiei;
X

1.31. Verificai dac la fiecare evaluare a vulnerabilitilor se creeaz o
nregistrare care consemneaz data i ora scanrii, numrul
vulnerabilitilor identificate, gradul de severitate i impactul
asupra activitilor;
X

1.32. Verificai dac sup aplicarea patch-urilor, o scanare ulterioar
valideaz aplicarea corect a soluiilor pentru fiecare sistem;
X

1.33. Verificai dac se obine reducerea riscurilor asociate; X
Verificai dac politica de securitate a gestionrii reelelor
informatice este implementat i asigur protejarea datelor i
informaiilor, respectiv:
a) identificarea elementelor de baz din reea
b) clasificarea elementelor din reea
c) identificarea vulnerabilitilor reelei
d) transformarea datelor de securitate, n informaii
e) monitorizarea securitii reelelor n timp
1.34.
f) procesul de remediere a vulnerabilitilor reelelor
X
Test nr. 4.1.
FIAP nr.
4.1.
1.35. Verificai dac se urmrete mentenana sistemelor. X
1.36. Verificai integrarea procesului de remediere a vulnerabilitilor X
1.37. Verificai dac entitatea este preocupat de aplicarea msurilor
proactive i reactive, pentru remedierea vulnerabilitilor
descoperite i a erorilor de configurare;
X

1.38. Verificai dac entitatea este preocupat de remedierea rapid i
eficient a vulnerabilitilor.
X

F. Gestionarea parolelor
1. Utilizatori au parole de acces individuale
1.1. Verificai dac fiecare calculator este parolat; X
1.2. Verificai dac parola alocat este individual; X
1.3. Verificai dac parola este cunoscut doar de utilizator; X
1.4. Verificai dac programele i aplicaiile au nivele de acces n
funcie de nivelul postului;
X

1.5. Verificai dac parolele sunt schimbate periodic, respectnd
regulile de complexitate impuse;
1.6. Verificai dac exist un calendar privind parolele de acces
1.7. Verificai dac exist desemnat o persoan responsabil cu
verificarea periodic a sistemului de parole de acces
X
Test nr. 4.2.
Interviu nr.
4.1.
FIAP nr.
4.2.
1.8. Verificai dac accesul la calculator, la folosirea resurselor locale
i a celor din reea este realizat prin conturi i parole asociate
fiecrui utilizator;
X

1.9. Verificai dac alocarea conturilor i parolelor respect caracterul
de confidenialitate;
X

2. Schimbarea periodic a parolelor
2.1. Verificai dac parolele de acces sunt asigurate n scopul pstrrii
caracterului secret;
X

2.2. Verificai dac permisiunile sau drepturile utilizatorilor sunt
verificate periodic, pentru a corespunde strict sarcinilor acestora;
X

se face corespunztor reglementrilor interne;
X

2.4. Verificai dac parolele asigur urmtoarele reguli:
a) numr minim de caractere este opt;
b) conin caractere alfa numerice;
c) sunt case-sensitive;
2.5.
d) sunt mascate pe ecran, pentru a nu fi vzute;
X

2.6. Verificai dac administratorul sistemului creeaz i configureaz X
191
corespunztor conturile fiecrui utilizator;
2.7. Verificai dac parolele generice iniiale sunt schimbate de ctre
fiecare utilizator n parte;
X

2.8. Verificai dac sistemul beneficiaz de urmtoarele caracteristici:
a) suspendarea conturilor i parolelor dup o anumit perioad
de inactivitate;
b) schimbarea parolelor la intervale stabilite de timp;
c) suspendarea conturilor dup ncercri succesive nereuite de
acces la sistem;
d) accesul utilizatorilor restricionat la anumite perioade de
timp;

e) deconectarea utilizatorilor dup un anumit timp de
inactivitate;
X

2.9. Verificai dac configurarea conturilor se face n funcie de tipurile
de utilizatori;
X

2.10. Verificai dac contul de administrare poate fi ters; X
2.11. Verificai dac sistemul permite configurarea i controlul
parametrilor de sistem.
X

3. Protejarea parolelor
Verificai dac parolele respect urmtoarele reguli: X
- numr minim de 8 caractere; X
- s conin caractere alfanumerice; X
- s fie CASE-SENSITIVE; X
- s fie mascate pe ecran pentru a nu fi vzute. X
Verificai dac administratorul sistemului creeaz i configureaz
corespunztor conturile fiecrui utilizator;
X

Verificai dac parolele generice iniiale sunt schimbate de ctre
fiecare utilizator n parte;
X

4. Persoanele autorizate au acces la sistemul de operare
4.1. Verificai dac accesul la sistem se realizeaz numai pe baza
conturilor de utilizatori n funcie de tipurile specifice i de
atribuiile specifice fiecrui angajat
X

4.2. Verificai dac conturile de utilizatori respect condiii privind
parolele, modul de acces, restriciile specifice;
X

4.3. Verificai dac utilizatorii sunt instruii s respecte regulile privind
securitatea logic;
X

4.4. Verificai dac exist proceduri legate de accesul neautorizat; X
G. Securitatea logic
1. Asigurarea securitii funcionrii programelor i aplicaiilor
1.1.

Verificai dac nainte proiectrii unui plan de control al
securitii, sunt identificate riscurile la care sunt supuse sistemele
informatice din punct de vedere logic;
X

1.2. Verificai dac echipa care realizeaz planul de securitate include
specialiti din diverse domenii informatice i auditori interni,
pentru a putea identifica toi factorii de risc i a se formula cele
mai bune soluii de nlturare a acestora;
X

1.3. Verificai dac planul de securitate include metodele de asigurare
a securitii pentru fiecare etap din funcionarea sistemelor,
pentru tipuri de operaii, protecia bazelor de date, a sistemelor de
operare;
X

1.4. Verificai asigurarea securitii n faza de implementare a noilor
sisteme informatice

1.5. Verificai dac la instalarea sistemelor informatice noi, se creeaz
conturi de sistem i conturi de acces;
X

1.6. Verificai dac parolele iniiale ale acestor conturi sunt schimbate
dup accesarea sistemului;
X

Verificai dac sistemul beneficiaz de urmtoarele caracteristici:
- numrul minim de caractere pentru parole;
- suspendarea conturilor i parolelor dup o anumit perioad de
inactivitate;
- schimbarea parolelor la intervale stabilite de timp;
1.7.
- suspendarea conturilor dup ncercri succesive nereuite de
X
192
acces la sistem;
- accesul la sistem al utilizatorilor s fie restricionat la anumite
perioade de timp, ntre anumite ore;
- deconectarea utilizatorilor dup un anumit timp de inactivitate;
- configurarea conturilor n funcie de tipurile de utilizatori;
- contul de administrare (system user) s nu poat fi ters;
1.8. Verificai dac sistemul permite configurarea i controlul
parametrilor cheie;
X

1.9. Verificai dac salvarea datelor se realizeaz periodic n
conformitate cu specificaiile manualului;
X

1.10. Verificai dac copiile de siguran se realizeaz conform
indicatorilor din manualele de operare;
X

1.11. Verificai dac modulele/programele/datele salvate sunt corecte i
complete, conform manualelor de operare;
X

1.12. Verificai dac identificarea modulelor/programelor/datelor
salvate se face cu uurin;
X

1.13. Verificai dac suporturile/dispozitivele de stocare sunt depozitate
n condiii speciale, conform manualelor de operare;
X

1.14. Verificai dac coninutul fiecrui suport/dispozitiv de stocare este
consemnat pe etichet i nregistrat n registru;
X

1.15. Verificai dac dispozitivele de stocare au asigurat securitatea
conform instruciunilor de stocare;
X

1.16. Verificai dac exist un acces sigur i controlat la echipamentele
i dispozitivele de stocare;
X

1.17. Verificai dac dispozitivele de stocare sunt pstrate n condiii de
securitate;
X

1.18. Verificai dac modulele/programele, datele sunt salvate pe
dispozitivele sau suporturile de stocare precizate de manuale;
X

1.19. Verificai dac echipamentele i componentele hardware sunt
nregistrate corect i cu toate detaliile relevante pentru accesarea
operativ a informaiilor privind starea de funcionare i
configuraia lor,
X

1.20. Verificai dac evidenele dispozitivelor de stocare a datelor sunt
conduse, n scopul identificrii prompte a coninutului acestora.
X

1.21. Verificai dac accesul n cadrul sistemului se realizeaz numai pe
baza conturilor de utilizatori n funcie de tipurile specifice i de
atribuiunile fiecrui angajat;
X

1.22 Verificai dac aceste conturi respect anumite condiii privind
parolele, modul de acces, restriciile pe care le are fiecare cont n
parte;
X

1.23. Verificai dac utilizatorii sunt instruii s respecte regulile de
securitate logic;
X

1.24. Verificai dac exist proceduri pentru rezolvarea problemelor
legate de accesul neautorizat;
X

1.25 Verificai dac accesul la distan permite accesarea diferitelor
tipuri de aplicaii;
X

1.26. Verificai dac securizarea transferurilor se realizeaz prin linii
dedicate;
X

1.27 Verificai dac securizarea transferurilor utilizeaz protocoale
specifice de comunicaie;
X

1.28 Verificai dac la liniile dedicate au acces numai persoanele
autorizate din cadrul organizaiei;
X

1.29 Verificai dac se folosesc algoritmi de criptare a datelor; X
1.30 Verificai dac algoritmii de criptare in cont de tipul informaiei; X
1.31. Verificai dac datele transferate sunt criptate; X
1.32. Verificai dac este evaluat riscul de interceptare neautorizat a
transferurilor;
X

1.33. Verificai dac utilizatorul aflat la distan se poate conecta la
reeaua entitii, numai printr-un canal prestabilit, alocat special
comunicrii / traficului la distan;
X

1.34. Verificai dac terminalul utilizatorului furnizeaz anumite date de
identificare astfel nct conexiunea s poat fi realizat;
X

193
1.35. Verificai dac, n cazul dispozitivelor wireless, se realizeaz o
blocare a accesului posibililor utilizatori, aflai n raza de aciune a
acestora;
X

1.36. Verificai dac SSL (este un protocol pentru producerea i
pstrarea de conexiuni codificate ntre browser-ul de web i
serverul de web) folosete protocolul TCP/IP n acionarea asupra
protocoalelor de nivel nalt;
X

1.37. Verificai dac se realizeaz autentificarea clientului ctre server; X
1.38. Verificai dac protocolul ofer ambelor staii posibilitatea de a
stabili o conexiune codificat;
X

1.39. Verificai dac certificatele de server asigur identitatea celeilalte
pri;
X

1.40. Verificai dac este asigurat evidena dispozitivelor token, pentru
cazurile n care accesul utilizatorilor la sistem se realizeaz prin
validri multiple;
X

1.41. Verificai dac pentru tranzaciile importante cum ar fi e-banking,
bursa, e-commerce i tranzaciile financiare sunt realizate
autentificri garantate cu ajutorul acestor dispozitive?
X

1.42. Verificai dac administrarea securitii sistemelor este realizat de
ctre persoane specializate;
X

1.43. Verificai dac managerii de pe diferitele nivele sunt
responsabilizai cu implementarea corect a procedurilor i
politicilor de securitate?
X

1.44. Verificai dac acetia sunt responsabili cu instruirea utilizatorilor
n respectarea regulilor de securitate, de monitorizare permanent
a sistemelor, de concepere i modificare a politicilor i regulilor de
securitate;
X

1.45. Verificai dac administratorii responsabili cu protecia sistemelor
se consult cu auditorii interni pentru implementarea celor mai
bune soluii;
X

Auditori,

Popescu Sorin

Radu George
194

ENTITATEA PUBLICA

TEST nr. 4.1.


Obiectul
testului
Monitorizarea securitii reelelor.

Obiectivele
testului

Asigurarea c datele i informaiile sunt protejate n cadrul sistemului informatic,
limitnd accesul n funcie de nivelele de autorizare sau pe baza unui sistem adecvat de
parole.
Descrierea
testului

1. Populaia avut n vedere pentru constituirea eantionului este format din
reelele de calculatoare existente n cadrul entitii, n numr de 8.

2. Eantionul a fost reprezentat de 3 reele, respectiv din cadrul direciei generale
resurse umane, direciei generale buget-finane i direciei generale administrativ -
achiziii.

3. Prin testarea ce se va realiza se va urmri, dac politica de securitate a
gestionrii reelelor informatice existente n cadrul organizaiei este implementat i
asigurat protejarea datelor i informaiilor. Testarea s-a axat pe managementul
securitii reelelor i a avut n vedere urmtoarele:
identificarea elementelor de baz din reea
clasificarea elementelor din reea
identificarea vulnerabilitilor reelei
transformarea datelor de securitate, n informaii
monitorizarea securitii reelelor n timp
procesul de remediere a vulnerabilitilor reelelor
Constatri

n urma analizei modului de gestionare a securitii reelelor, au rezultat
urmtoarele:
1. La nivelul entitii au fost elaborate hari privind reele informatice existente. n
acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a
routerelor, a punctelor de acces, a imprimantelor i a celorlalte dispozitive conectate la
reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii
reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c
pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care deservea
direcia general buget-finane s-a constatat c, au fost achiziionate i conectate 4 noi
computere i o imprimant de reea, toate deservite prin intermediul unui nou router,
care nu au fost consemnate n cadrul hrii.
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la
nivelul direciei, fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor
prin controlarea accesului i implementarea de programe antivirus adecvate.

2. La nivelul departamentului IT exist o clasificare a sistemelor hardware, n
funcie de importana fiecrei categorii pentru buna desfurare a activitii n cadrul
entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de prioriti, de la
sisteme cu importan redus, cum sunt sistemele de test sau care sunt folosite
independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
195
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul
delegaiilor sau pentru lucrul acas, la sisteme de importan major pentru asigurarea
continuitii activitilor organizaiei, cum ar fi sistemele care gestioneaz bazele de date,
serverele care deservesc compartimentele cheie ale entitii (tranzacii, operaiuni
financiare etc.).
ns, n ceea ce privete aplicaiile informatice la nivelul entitii nu exist o
prioritizare a importanei fiecreia, n vederea implementrii msurilor corespunztoare
de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului secretariat pentru
urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate ca i
sistemul integrat privind conducerea organizaiei.

3. Datorit faptului c n cadrul entitii se folosesc servere, sisteme de operare i
platforme web diferite, identificarea vulnerabilitilor sistemului n ansamblu este o
activitate complex i necesar. Analiza rapoartele de activitate a pus n eviden faptul
c s-a procedat la peticirea a vulnerabilitilor, dup care atenia a fost ndreptat ctre
riscurile medii i mici.
Acest mod de abordare are eficien n reducerea riscurilor, ns nu a fost corelat
gradului de risc cu importana fiecrei activiti realizate, ceea ce poate afecta
vulnerabilitatea unor sisteme sau segmente de reea.
Concluzii

Nu exist stabilit n mod clar a hart cu toate posturile din cadrul organizaiei dotate cu
computer, iar securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de
autorizare a accesului i unui sistem adecvat de parole.


196

ENTITATEA PUBLIC



Problema Posturile de lucru dotate cu computer nu sunt evideniate la nivelul
Departamentului IT, neasigurndu-se o intervenie prompt i rapid.
Securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de
autorizare a accesului i unui sistem adecvat de parole.
Constatarea 1. La nivelul entitii au fost elaborate hari privind reele informatice existente. n
acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor
laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte
dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de
management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul
c pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care
deservea direcia general buget-finane s-a constatat c, au fost achiziionate i
conectate 4 noi computere i o imprimant de reea, toate deservite prin
intermediul unui nou router, care nu au fost consemnate n cadrul hrii.
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile
utilizate la nivelul direciei, fr a fi luate msuri pentru asigurarea securitii
datelor i informaiilor prin controlarea accesului i implementarea de programe
antivirus adecvate.

2. La nivelul departamentului IT exist o clasificare a sistemelor hardware,
n funcie de importana fiecrei categorii pentru buna desfurare a activitii n
cadrul entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de
prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau care
sunt folosite independent pentru asigurarea funciilor mai puin importante ale
entitii i sistemele de importan medie, cum sunt sistemele laptop folosite de
unii angajai n cadrul delegaiilor sau pentru lucrul acas, la sisteme de importan
major pentru asigurarea continuitii activitilor organizaiei, cum ar fi sistemele
care gestioneaz bazele de date, serverele care deservesc compartimentele cheie
ale entitii (tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii n parte, n ceea ce privete aplicaiile informatice, nu a fost avut
n vedere o prioritizare a importanei acestora n vederea alocrii corespunztoare a
resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului
secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai
msuri de securitate ca i sistemul integrat privind conducerea organizaiei.

3. Datorit faptului c n cadrul entitii se folosesc servere, sisteme de operare i
platforme web diferite, identificarea vulnerabilitilor sistemului n ansamblu este
o activitate complex i necesar. Analiza rapoartelor de activitate a pus n
eviden faptul c s-a procedat la peticirea vulnerabilitilor, dup care atenia a
fost ndreptat ctre riscurile medii i mici.
Acest mod de abordare are eficien n reducerea riscurilor, ns nu a fost corelat
gradului de risc cu importana fiecrei activiti realizate, ceea ce poate afecta
197
vulnerabilitatea unor sisteme sau segmente de reea.
Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz
nivelul vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu
sunt adaptate i prezentate persoanelor cu responsabiliti decizionale asupra
securitii informaionale.
Cauza Lipsa unei prioritizri a aplicaiilor n funcie de importana lor n
desfurarea activitilor din cadrul entitii.
Lipsa unui sistem de analiz i monitorizare a vulnerabilitilor, care s
identifice i actualizeze vulnerabilitile sistemului i remedieze greelile de
configurare.
Consecina Imposibilitatea protejrii integrale a reelelor IT, a alocrii corespunztoare a
resurselor (spaii de memorie, vitez de procesare, stabilitate) n cadrul reelelor
IT.
Lipsa unei viziuni de ansamblu asupra vulnerabilitilor care afecteaz
funcionalitatea reelelor.
Recomandarea Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n
vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu.
Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile
operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii
vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii
organizaiei.

Popescu Sorin Dumitru Daniel Structura auditat
198

ENTITATEA PUBLICA

TEST nr. 4.2.


Obiectul testului Utilizatorii au parole de acces individuale
Obiectivele
testului
Verificarea sistemului de prevenire i detectare a accesrilor i modificrilor
sau transmiterilor neautorizate de baze de date.
Descrierea
testului

Eantionul cuprinde administratorul i utilizatorii sistemului informatic din
cadrul departamentului IT, care au n dotare 5 calculatoare.
Testarea privind securitatea sistemului informatic a avut la baz Lista de
verificare nr. 4, poziia 4.2 astfel:
existena unui sistem de parole care s fie modificate periodic;
realizarea calendarului privind parolele de acces;
desemnarea unei persoane responsabile cu verificarea periodic a
sistemului de parole de acces;

Testul s-a materializat prin verificarea pe teren a existenei sistemului de
parole de acces i a existenei unui responsabil cu verificarea schimbrii periodice a
acestora de ctre utilizatori.
Constatri

Din verificarea sistemului de parole existent, pentru cele 5 calculatoare
utilizate, prin observarea direct pe teren, s-a constatat:
inexistena unui sistem de parole de acces;
nedesemnarea unui responsabil cu verificarea schimbrii
sistemului de parole de acces;
inexistena unui sistem de informare sistematic a utilizatorilor.
Concluzii

Sistem inadecvat de parole utilizat n cadrul entitii

199

ENTITATEA PUBLICA

INTERVIU nr.4.1.
privind Politica de securitate IT
adresat
domnului Ptrulescu George, Director Direcia IT


Nr.
crt.
ntrebri Da Nu Obs.
1. Exist o politic de securitate IT? X
2. Exist preocupri pentru securitatea IT? X
3. Politica de securitate IT este actualizat? X
4. Este desemnat un responsabil cu monitorizarea
implementrii politicii de securitate IT?
X
5. Este desemnat un responsabil cu gestionarea riscurilor la
nivelul departamentului IT?
X .
6. Au fost ntocmite i transmise sistematic rapoarte de
monitorizare?
X
7. Mai avei ceva de adugat? X

Data: 16.09.2009

Dat n faa noastr
Auditori, Intervievat,
Popescu Sorin Ptrulescu George
Radu George

200

ENTITATEA PUBLICA



Problema Neasigurarea securitii sistemului informatic
Constatarea Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a
unui responsabil cu verificarea schimbrii periodice a parolelor de acces.
Analiza interviului a scos n eviden, de asemenea, faptul c nu exist un
sistem de securitate a sistemului informatic i un responsabil cu administrarea
acestui sistem.
Cauza Entitatea nu aplic procedura care prevede schimbarea sistematic a parolelor,
precum i verificarea acestora de ctre o persoan responsabil;
Consecina Posibilitatea utilizrii datelor i informaiilor din sistem n mod neadecvat de
ctre persoane neautorizate;
Vulnerabilitatea ridicat a sistemului n faa unor intrri nedorite sau unor
atacuri informaionale.
Recomandarea Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului
informatic;
Stabilirea unei persoane care s aib n responsabilitate atribuii i competene
de verificare a schimbrii periodice a parolelor de acces.

201

ENTITATEA PUBLICA

TEST nr. 4.3.


Obiectul
testului
Introducerea instrumentelor de control fizic asupra echipamentelor IT al aplicaiilor.
Obiectivele
testului
Examinarea modului de efectuare a controalelor fizice conform procedurilor
Descrierea
testului

Populaia statistic a fost constituit din structurile funcionale ale organizaiei
identificate pe baza analizei organigramei entitii publice.
Eantionul a fost constituit prin selectarea aleatoare a Direciei IT precum i a
Departamentului Financiar Contabil i a Departamentului Resurse Umane unde sunt
localizate servere ce deservesc necesitile lor specifice, respectiv 20% din totalul
populaiei.
verificare, respectiv:
Verificarea dotrii camerelor n care se afl servere-le cu echipamente adecvate,
astfel:
- camere de supraveghere care acoper zona de intrare n camera serverului
monitorizate permanent de serviciul ce asigur paza cldirii;
- senzori de micare;
- sistem de alarm n caz de incendiu;
- sistem de stingere a incendiilor;
- echipamente de aer condiionat;
- ui ignifugate echipate cu ncuietori adecvate.
Testarea s-a concretizat n elaborarea Listei de control nr. 4.4 privind Evaluarea
controalelor fizice n domeniul IT.
Constatri

Din examinarea efectuata si observarea la fata locului s-au constatat unele
disfuncii legate de accesul necontrolat la toate cele trei locaii selectate (Centrul IT,
Departamentului Financiar Contabil, Departamentul Resurse Umane) att a persoanelor
din cadrul altor departamente ct i a altor persoane din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent
monitorizate. Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i
nesupravegheate, dei sunt echipate cu ncuietori adecvate;

La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea
prezentrii unei autorizaii scrise.
Concluzii

Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea
echipamentelor


202


ENTITATEA PUBLICA

privind efectuarea controalelor fizice conform procedurilor

Sistemul de controale fizice
implementat la nivelul camerelor n care se afl servere
Elemente
testate

Eantion

Camere de supraveghere care acoper
zona de intrare n camera serverului
monitorizate permanent de serviciul ce
asigur paza cldirii
Senzori de
micare
Sistem de alarm
n caz de incendiu
Sistem de
stingere a
incendiilor
Echipamente
de aer
condiionat
Ui ignifugate
echipate cu ncuietori
adecvate
Direcia IT X X X X X NU
Departamentul
Financiar Contabil
X X X X X NU
Departamentul
Resurse Umane
NU NU X X X NU

Data: 16.09.2009
Auditori,
Popescu Sorin
Radu George

Nota :
Echipa de auditori a constatat c nu au fost instalate nici camere de supraveghere care acoper zona de intrare n camera serverului monitorizate
permanent de serviciul ce asigur paza cldirii nici senzori de micare la nivelul Departamentul Resurse Umane. n prezenta List de control auditorii
au punctat lipsa acestor controale cu meniunea Nu deoarece situaia a fost remediat n timpul misiunii de audit i nu s-a mai ntocmit FIAP, dar
aspectele negative constatate vor fi menionate n Raportul de audit intern.

203

ENTITATEA PUBLICA



Problema Controalele fizice nu sunt implementate in mod eficient pentru a asigura
securitatea echipamentelor
Constatarea Din examinarea efectuata si observarea la fata locului s-a constatat unele
disfuncii legate de accesul necontrolat la toate cele trei locaii selectate (Centrul
IT, Departamentului Financiar Contabil, Departamentul Resurse Umane) att a
persoanelor din cadrul altor departamente ct i a altor persoane din afara entitii
publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt
permanent monitorizate. Deseori, camerele n care sunt localizate servere-le sunt
lsate descuiate i nesupravegheate, dei sunt echipate cu ncuietori adecvate;

La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea
prezentrii unei autorizaii scrise.
Cauza Controalele interne nu sunt implementate in totalitate si nu sunt stabilite
responsabiliti cu privire la asigurarea fizica a echipamentelor.
Consecina Posibilitatea de dispariie a unor echipamente lsate nesupravegheate, cat si
accesul nepermis la date si informaii ale organizaiei si utilizarea acestora in alte
scopuri fata de interesul organizaiei.
Recomandarea Introducerea de instrumente de control adecvate astfel incit orice acces la
echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile
in care acesta este permis sa fie supravegheat in totalitate.

Popesc Sorin Dumitru Daniel Structur auditat

204


ENTITATEA PUBLIC



Obiectivul V.
PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR

Nr.
crt.
A Proiectarea i elaborarea programelor i aplicaiilor
1. Achiziia programelor informatice
Verificai dac s-a realizat o fundamentare a deciziei privind achiziia
unui program existent pe pia, sau dezvoltarea acestuia n cadrul
entitii;
X

Verificai dac s-a realizat un studiu al pieei care s vizeze ofertele
furnizorilor de programe necesare a fi achiziionate;
X

Verificai dac modul de concepere a programelor ine cont de cerinele
activitii utilizatorilor i sunt compatibile cu alte sisteme utilizate de
entitate;
X

Verificai dac aplicaia/programul este conceput astfel nct s suporte
situaii imprevizibile n utilizarea lui de ctre organizaie;
X

Verificai dac activitile de testare se realizeaz astfel nct s nu
afecteze prelucrrile;
X

1. Proiectarea programului informatic
1.1. Verificai dac n proiectarea unui program/aplicaii fluxul de date a fost
identificat corect i complet n funcie de specificul activitilor i
periodicitatea acestora;
X

1.2. Verificai dac n proiectarea programului/ aplicaiei fluxul de date se au
n vedere rezultatele ateptate;
X

1.3. Verificai dac pentru proiectarea unui program sau aplicaie, procedurile
sunt stabilite corect i complet n funcie de prelucrrile care se vor aplica
datelor n vederea obinerii rezultatelor ateptate;
X

1.4. Verificai dac proiectarea unui program aplicaie analizeaz situaia
existent pentru a identifica potenialele deficiene n fluxul de date;
X

1.5. Verificai dac algoritmul programului este elaborat adecvat pentru
rezolvarea corect a problemei;
X

1.6. Verificai dac interfaa programului ine cont de structura i formatul
datelor de intrare;
X

1.7. Verificai dac modelele de organizare, accesare, prelucrare i arhivare a
datelor sunt elaborate riguros prin folosirea celor mai adecvate soluii
tehnice;
X

1.8. Verificai dac nivelul de independen fa de platforma suport hardware
i software sunt stabilite conform specificaiilor;
X

1.9. Verificai dac mediile i instrumentele de dezvoltare a
programului/aplicaiei sunt stabilite cu respectarea specificaiilor;
X

205
1.10. Verificai dac structura datelor introduse asigur o minim redundan; X
1.11. Verificai dac sunt definite criterii de performan;
1.12. Verificai dac pentru fiecare aplicaie n parte sunt stabilite urmtoarele:
numrul de utilizatori, rolurile acestora, privilegiile i restriciile
aplicabile fiecrui rol in parte, accesul restricionat;
X

1.13. Verificai dac aplicaia funcioneaz cu respectarea filtrelor, proteciilor,
verificrilor implicite;
X

1.14. Verificai dac au fost definite criterii pentru acceptarea aplicaiilor; X
1.15. Verificai dac proiectarea aplicaiei este monitorizat; X
1.16. Verificai dac erorile de funcionare sunt transmise programatorilor; X
1.17. Verificai dac aplicaia este instalat conform instruciunilor; X
1.18. Verificai dac versiunile aplicaiilor instalate ulterior sunt compatibile i
utilizeaz toate resursele versiunilor anterioare;
X

1.19. Verificai dac, n cazul n care noile versiuni nu sunt funcionale, se mai
pot restaura versiunile anterioare;
X

1.20. Verificai dac cerinele de dezvoltare a aplicaiei sunt identificate de
ctre utilizatori;
X

1.21. Verificai dac comunicarea cu echipa de specialiti este permanent pe
timpul proiectrii i utilizrii aplicaiei;
X

1.22 Verificai dac schemele logice ale fiecrui program/aplicaie sunt
realizate corect i complet;
X

1.23. Verificai dac aplicaiile permit reconfigurarea anumitor algoritmi,
indicatori sau modele de calcul (de exemplu programele contabile s
permit modificarea cotei TVA, etc.) n funcie de schimbrile legislative
sau de alt natur.
X

1.24. Verificai dac este implementat un sistem de raportare a erorilor ctre
departamentul de suport tehnic.
X

2. Elaborarea programului informatic
2.1. Verificai dac algoritmul programului/aplicaiei este conform cu logica
operaiilor pentru obinerea rezultatelor dorite;
X

2.2. Verificai dac algoritmul respect cerinele de integrare ale aplicaiei; X
2.3. Verificai dac interfaa programului cu utilizatorul corespunde cerinelor
de comunicare om-calculator;
X

2.4. Verificai dac limbajul de programare ales corespunde cerinelor de
proiectare;
X

2.5. Verificai dac soluiile de programare sunt utilizate n mod performant; X
2.6. Verificai dac graficul de realizare a programului i bugetul sunt
respectate;
X

2.7. Verificai dac disfuncionalitile sau neconformitile aprute n rularea
programului sunt identificate pe baza mesajelor generate;
X

2.8. Verificai dac identificarea erorilor este completat cu anumite coduri de
eroare care nsoesc mesajele furnizate de aplicaie;
X

2.9. Verificai dac mesajele sunt analizate i interpretate pentru identificarea
cauzelor care au condus la apariia lor;
X

2.10. Verificai dac integrarea prilor componente ale unui program se face
respectnd cerinele utilizatorilor;
X

2.11. Verificai dac documentaia programului este conform cu funciile
realizate de acesta;
X

2.12. Verificai dac documentaia realizat prezint n detaliu necesitile
tehnice hardware i software;
X

B. Testarea i implementarea programelor i aplicaiilor
1. Testarea programului i aplicaiei
1.1. Verificai dac modul de testare al programului este stabilit n
concordan cu precizrile din documentaie;
X

1.2. Verificai dac datele de test sunt definite corespunztor prelucrrilor
programului pe toate ramurile acestuia;
X

1.3. Verificai dac datele de test evideniaz riguros condiiile de validare
definite de program;
X

1.4. Verificai dac programul / aplicaia este executat cu date de test
specifice pentru a constata modul de funcionare a acestuia;
X

1.5. Verificai dac neconformitile i erorile constatate n cursul testrii sunt
analizate cu atenie;
X

206
1.6. Verificai dac exist un sistem automat de testare unitar a
funcionalitilor de baz ale aplicaiei.
X

1.7. Verificai dac componentele testate sunt integrate n sistemul informatic
dup un plan bine stabilit, cu minimizarea consecinelor negative;
X

1.8. Verificai dac componentele nou integrate sunt testate cu rigurozitate; X
1.9. Rezultatele testrii sunt evaluate n concordan cu precizrile din
documentaia programului/aplicaiei;
X

1.10. Verificai dac neconformitile i erorile semnalate n cursul testrii sunt
analizate i soluionate;
X

1.11. Verificai dac coreciile ce trebuie operate n program sunt stabilite i
conduc la o mbuntire;
X

1.12. Verificai dac programul/aplicaia este instalat la utilizator conform
procedurii specifice;
X

1.13. Verificai dac datele de testare sunt generate n conformitate cu
manualele de operare i utilizare;
X

1.14. Verificai dac simulrile se realizeaz conform manualului de utilizare; X
1.15. Verificai dac rezultatele testrilor sunt analizate centralizat; X
1.16. Verificai dac rezultatele testrii sunt interpretate conform manualelor
de utilizare i operare;
X

1.17. Verificai dac aplicaia corespunde cerinelor reale; X
1.18. Verificai dac aplicaia cu date reale ruleaz conform manualului de
utilizare;
X

1.19 Verificai dac rezultatele sunt interpretate conform documentaiei
aplicaiei;
X

1.20. Verificai dac erorile constatate sunt comunicate programatorilor; X
1.21. Verificai dac corectitudinea rezultatelor este asigurat prin algoritmii
de calcul utilizai de program/aplicaie
X

1.22. Verificai dac corectitudinea datelor este verificat prin modaliti
specifice;
X

1.23. Verificai dac sunt puse la dispoziia utilizatorului up-date-uri ale
aplicaiilor;
X

1.24. Verificai dac filtrele, proteciile i verificrile asigurate de
program/aplicaie sunt semnalate beneficiarului;
X

1.25. Verificai dac erorile cauzate de algoritmii de calcul sunt ndeprtate
prin corectarea acestora;
X

1.26. Verificai dac etapele de testare sunt reluate corect i n totalitate pentru
a verifica ndeprtarea erorilor i pentru a se asigura c nu au aprut
altele noi.
X

1.27 Verificai dac dup implementarea unui nou modul al aplicaiei,
documentaia aferent este actualizat.
X

2. Asigurarea corectitudinii rezultatelor
2.1 Verificai dac opiunile i parametrii de lucru ai programului/aplicaiei
sunt stabilii conform specificaiilor din documentaii;
X

2.2. Verificai dac cerinele hardware /software necesare rulrii
programului/aplicaiei sunt adecvat specificate;
X

2.3. Verificai dac condiiile de funcionare a programului/aplicaiei sunt
stabilite n concordan cu solicitrile beneficiarului i n funcie de
cerinele aplicaiei;
X

2.4. Verificai dac condiiile de funcionare a programului/aplicaiei sunt
stabilite n concordan cu solicitrile utilizatorului.
X

2.5. Verificai dac procedura de instalare este elaborat cu respectarea
condiiilor de funcionare a programului;
X

2.6. Verificai dac programul/aplicaia este instalat la beneficiar conform
procedurii specifice i urmare a solicitrii acestuia;
X

Verificai dac stocarea datelor asigur urmtoarele:
a) dac o dat sau informaie este stocat ntr-un singur fiier
b) dac accesul se realizeaz uor la o dat stocat i n funcie de nivelul
de autorizare
c) dac datele se pot accesa n mod global n cazul realizrii de noi
programe sau de utilizare a celor existente
2.7.
d) dac o dat sau informaie este prezentat sau transmis n aceeai
form de la un fiier la altul
X
Test nr. 5.1.
FIAP nr. 5.1.
207
2.8. Verificai dac opiunile i parametrii de operare ai
programului/aplicaiei sunt setai conform specificaiilor din
documentaii;
X

2.9. Verificai dac condiiile de funcionare a programului/ aplicaiei sunt
refcute dup incidente hardware sau software;
X

2.10. Verificai dac implementarea programului/aplicaiei este monitorizat; X
2.11. Verificai dac istoricul aplicaiilor menioneaz operaiile de ntreinere
sau up-date-urile realizate;
X

2.12. Verificai dac istoricul programului/ aplicaiei este pstrat n siguran; X
2.13. Verificai dac utilizatori sunt instruii pentru nsuirea modului de
operare cu programul/aplicaia n conformitate cu documentaia aferent;
X

2.14. Verificai dac eventualele dezvoltrii ale aplicaiei sunt aduse la
cunotina utilizatorilor;
X

2.15. Verificai dac utilizatorii sunt asistai n lucrul efectiv cu
programul/aplicaia;
X

2.16. Verificai dac reinstalarea aplicaiei se realizeaz respectnd procedurile
standardizate;
X

2.17. Verificai dac jurnalul privind interveniile de service este adus la
cunotina persoanelor responsabile;
X

2.18. Verificai dac opiunile i parametrii de lucru ai aplicaiei sunt setai
conform documentaiei aplicaiei;
X

Auditori,

Popescu Sorin
Radu George
208

ENTITATEA PUBLICA

TEST nr. 5.1.


Obiectul testului Asigurarea corectitudini datelor n cadrul programelor informatice
Obiectivele
testului
Organizarea datelor n sistemele informatice
Descrierea
testului

Populaia statistic a fost constituit din fiierele da date constituite n vederea
organizrii i pstrrii datelor.
Eantionul pentru realizarea testrii modului de organizare a datelor n sistemele
informatice a fost constituit prin selectarea unui eantion reprezentativ care cuprinde
date din cadrul tuturor domeniilor de activitate din cadrul entitii.
- dac o dat sau informaie este stocat ntr-un singur fiier
- dac accesul se realizeaz uor la o dat stocat i n funcie de nivelul de
autorizare
- dat datele se pot accesa n mod global n cazul realizrii de noi programe sau
de utilizare a acelor existente
- dac o dat sau informaie este prezentat sau transmis n aceeai form de la
un fiier la altul

Testarea s-a concretizat n elaborarea unei Liste de control privind organizarea
i pstrarea datelor n cadrul sistemelor informatice.
Constatri

Datele sunt stocate n memoria intern i memoria extern a oricrui sistem de calcul.
Organizarea datelor trebuie s asigure:
- timp de acces minim la date;
- apariia n sistem a datelor o singur dat;
- spaiu de memorie intern i extern pentru date ct mai mic;
- reflectarea prin organizare a tuturor legturilor dintre procesele economice
pe care aceste date le reprezint;
- posibilitatea modificrii structurii datelor i a relaiilor dintre date fr a
produce schimbri n programele care le gestioneaz.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor
fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s
permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de
indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a
unei nregistrri din fiier.
Organizarea datelor n fiierele de date prezint urmtoarele disfuncii:
- redundan mare stocarea datelor n mai multe fiiere
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii
suplimentare de sortare, fuziune, ventilare
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s
209
acceseze datele ntr-o manier global
- actualizarea datelor prin adugare, modificare, tergere genereaz erori
atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date
- dependena programelor fa de date modificrile din structura datelor
oblig la efectuarea de corecturi n programele de calculator
- fiecare dat este descris independent n toate fiierele n care apar dac
ntr-un fiier se modific formatul i valoarea unei date, acea modificare nu
se transmite automat, pentru aceeai dat, n toate fiierele de date.
Concluzii

Organizarea datelor n fiierele de date nu asigur o stocare i utilizare eficient a
acestora.


210

ENTITATEA PUBLICA



Problema Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a
acestora.
Constatarea Datele sunt stocate n memoria intern i memoria extern a oricrui sistem de calcul.
Organizarea datelor trebuie s asigure:
- timp de acces minim la date;
- apariia n sistem a datelor o singur dat;
- spaiu de memorie intern i extern pentru date ct mai mic;
- reflectarea prin organizare a tuturor legturilor dintre procesele economice
pe care aceste date le reprezint;
- posibilitatea modificrii structurii datelor i a relaiilor dintre date fr a
produce schimbri n programele care le gestioneaz.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor
fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s
permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de
indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a
unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii
suplimentare de sortare, fuziune, ventilare
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s
acceseze datele ntr-o manier global
- actualizarea datelor prin adugare, modificare, tergere genereaz erori
atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date
- dependena programelor fa de date modificrile din structura datelor
oblig la efectuarea de corecturi n programele de calculator
fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier
se modific formatul i valoarea unei date, acea modificare nu se transmite automat,
pentru aceeai dat, n toate fiierele de date.
Cauza Lipsa specialitilor, precum i a participrii personalului la diversele cursuri de
specialitate organizate n afara entitii, n vederea dobndirii cunotinelor necesare
pentru organizarea eficient a datelor.
Consecina Exploatarea cu dificultate a datelor, apariia erorilor n cadrul sistemelor de date
existente urmare utilizrii i stocrii incorecte a datelor, posibilitatea de modificare n
mod necontrolat a unui sistem de date.
Recomandarea Urmare creterii necesarului de date i informaii i a progreselor tehnologiilor
informaiei este necesar organizarea datelor n baze de date, respectiv un fiier format
din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor:
- definirea, structurarea, ordonarea i gruparea datelor n colecii de date
omogene;
211
- stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat;
- memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de
calcul.


212

ENTITATEA PUBLIC



Obiectivul VI.
ELABORAREA I IMPLEMENTAREA PROIECTELOR IT

Nr.
crt.
A Dezvoltarea proiectelor IT
1. Iniierea i elaborarea proiectelor IT
1.1. Analizai dac situaia pentru care trebuie implementat un proiect IT
este bine izolat i evaluat folosind mijloace specifice;
X

1.2. Analizai dac lansarea proiectului pentru implementarea unor noi
soluii IT este stabilit dup analiza detaliat a cauzelor i efectelor
pe termen lung ale perpeturii deficienelor actuale;
X

1.3. Verificai dac soluiile propuse pentru implementarea unui proiect
IT corespund cerinelor identificate;
X

1.4. Verificai dac obiectivele generale ale proiectului sunt stabilite cu
respectarea strategiei generale a organizaiei;
X

1.5. Analizai dac componentele proiectului reflect soluiile ce trebuie
implementate i care vor conduce la realizarea obiectivelor stabilite;
X

1.6. Verificai dac componentele proiectului sunt compatibile direct sau
prin interfee cu proiectele aflate n derulare;
X

1.7. Verificai dac rezultatele intermediare i finale ale proiectului sunt
evaluate folosind criterii adecvate;
X

1.8. Verificai dac bugetul alocat proiectului permite obinerea
configuraiilor hard/soft propuse;
X

1.9. Verificai dac cheltuielile cu mentenana acoper durata optim de
exploatare;
X

1.10. Verificai dac implementarea proiectului propus beneficiaz de
asisten tehnic;
X

1.11. Verificai dac cerinele utilizatorilor proiectului sunt identificate
corect i complet;
X

1.12. Verificai dac proiectele IT se pliaz pe cerinele utilizatorilor
crora le sunt destinate;
X

1.13. Verificai dac proiectul propus a fi elaborat este comparat cu cele
din portofoliul organizaiei, pentru a identifica asemnri i deosebiri
de care s se in cont;
X

1.14. Verificai dac proiectele propuse sunt competitive pentru
organizaie;
X

1.15. Verificai dac monitorizarea riscurilor asigur viabilitatea planului
de continuitate a activitilor;
X

1.16. Verificai dac frecvena i complexitatea testrilor proiectelor
implementate se bazeaz pe riscurile necontrolate.
X

2. Monitorizarea performanelor soluiilor IT implementate

213
2.1. Verificai dac parametrii de referin i valorile etalon ale
programelor elaborate respect specificaiile i se ncadreaz n
standarde;
X

2.2. Verificai dac regulile i procedurile stabilite pentru supravegherea
i colectarea valorilor parametrilor de referin nu afecteaz lucrul
utilizatorilor i nici funcionarea aplicaiilor;
X

2.3. Verificai dac regulile i procedurile utilizate pentru evaluarea
programelor nu conduc la ambiguiti i identific posibilitatea
apariiei unei erori de funcionare;
X

2.4. Verificai dac jurnalele cu valorile de referin monitorizate sunt
pstrate i analizate periodic, pentru a se stabili coreciile necesare;
X

2.5. Verificai dac disfuncionalitile hard i soft sesizate de ctre
utilizatori sunt recepionate i sunt detectate cauzele;
X

2.6. Verificai dac analizele i rapoartele privind implementarea
proiectelor IT propuse sunt ntocmite riguros i dac evenimentele
sau disfunciunile sunt evaluate i se elaboreaz soluii de remediere.
X

B. Implementarea i funcionarea programelor i aplicaiilor
1. Reproiectarea soluiilor IT pentru programe i aplicaii
1.1. Verificai dac punctele slabe, critice i limitrile unui
program/aplicaie sunt identificate;
X

1.2. Verificai dac documentaia cu fluxul de date i prelucrrile
necesare este elaborat adecvat situaiei reale;
X

1.3. Verificai dac documentaia ntocmit constituie baza procesului de
proiectare;
X

1.4. Verificai dac soluiile IT sunt proiectate pornind de la punctele
slabe, critice detectate, de la evoluiile tehnologice existente i cele
prefigurate de dezvoltarea entitii;
X

1.5. Verificai dac soluiile noi propuse sunt axate pe atingerea
obiectivelor strategiei de dezvoltare a organizaiei;
X

1.6. Verificai dac soluiile noi au la baz o analiz cauz-efect, o
analiz tehnic, precum i o analiz a eficienei investiiei;
X

1.7. Verificai dac soluiile acceptate conduc la mbuntirea
performanelor intelor propuse;
X

1.8. Verificai dac soluiile noi in cont de constrngerile existente n
cadrul entitii;
X

1.9. Verificai dac soluiile noi se ncadreaz n strategia de funcionare
i dezvoltare a organizaiei;
X

1.10. Verificai dac studiile i analizele elaborate evideniaz clar
impactul tehnologiilor propuse;
X

1.11. Verificai dac riscurile legate de securitatea datelor sunt identificate
i evaluate corect i complet;
X

1.12. Verificai dac msurile pentru prevenirea i contracararea riscurilor
sunt gndite adecvat situaiei;
X

1.13. Verificai dac procedurile pentru minimizarea unui atac la
securitatea sistemului sunt elaborate i sunt adecvate;
X

2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
2.1. Verificai dac utilizarea computerelor/echipamentelor periferice sau
a componentelor de conectare n reea se realizeaz potrivit
procedurilor specifice;
X

2.2. Verificai dac se monitorizeaz mesajele de eroare n funcionarea
echipamentelor/aplicaiilor;
X

2.3. Verificai dac erorile sunt corectate direct sau prin intervenii ale
personalului de specialitate;
X

2.4. Verificai dac informaiile despre modul de funcionare a
calculatorului sau a echipamentelor sunt transmise n timp util
utilizatorului;
X

2.5. Verificai dac supravegherea proceselor aflate n execuie i a
performanelor aplicaiilor, sistemelor sau programelor se realizeaz
prin aplicarea procedurilor i respectarea lor;
X

2.6. Verificai dac evenimentele care indic performanele i starea
sistemelor sunt nscrise i pstrate n jurnale;
X

2.7. Verificai dac imprimantele i alte echipamente de reea sunt corect X

214
instalate i sunt configurate corespunztor accesului partajat;
2.8. Verificai dac funcionarea echipamentelor de tiprire i accesul
utilizatorilor la acestea sunt verificate periodic;
X

Verificai dac utilizatorii beneficiaz permanent de asisten
tehnic;
Verificai situaia licenelor deinute pentru sistemul de operare
Windows
Verificai situaia licenelor deinute pentru pachetul de programe
Microsoft Office
Verificai dac entitatea public a achiziionat licene pentru
programele utilizate
Analizai dac au fost identificate limitrile bugetare n privina
achiziiilor licenelor i dac au fost gsite soluii alternative
Analizai eventualele disfuncionaliti aprute n procesul de
achiziionare a licenelor
Verificai existena soft-urilor neliceniate instalate de utilizatori
Verificai desemnarea responsabilitilor privind achiziionarea
licenelor pentru programele de calculator
2.9.
Verificai existena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au
achiziionat licene
X
Test nr. 6.1.
Foaie de lucru nr. 6.1.
List de control 6.1.
FIAP nr. 6.1.
2.10. Verificai dac conectarea i comunicarea calculatoarelor n reea
sunt permanent supravegheate i meninute;
X

2.11. Verificai dac funcionarea serviciilor din reea i accesul
utilizatorilor la servicii sunt atent monitorizate;
X

2.12. Verificai dac interconectarea reelelor, inclusiv conectarea la
reeaua Internet este supravegheat cu responsabilitate;
X

2.13. Verificai dac apariia situaiilor deosebite sunt aduse la cunotina
administratorului de reea;
X

2.14. Verificai dac dispozitivele de stocare a datelor sunt utilizate
conform instruciunilor specifice de lucru;
X

2.15. Verificai dac salvrile de siguran sunt pstrate n condiii
adecvate;
X

2.16. Verificai dac datele salvate anterior se pot restaura la nevoie i
utilizatorii sunt asistai pentru recuperarea integral a acestora;
X

2.17. Verificai dac procedurile de salvare sunt corespunztoare strategiei
de securitate;
X

2.18. Verificai dac sistemele de operare i aplicaiile sunt instalate,
modernizate sau configurate folosind proceduri standardizate;
X

2.19. Verificai dac modul de funcionare a echipamentelor, a sistemelor
de operare i a aplicaiilor folosite de utilizatori este verificat
periodic;
X

2.20. Verificai dac erorile i incidentele aprute sunt remediate operativ; X

Auditori,

Popescu Sorin

Radu George

215

ENTITATEA PUBLICA

TEST nr. 6.1.


Obiectul testului Situaia licenelor pentru programele de calculator

Obiectivele
testului

Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea
public;
Identificarea eventualelor limitri bugetare n privina achiziionrii licenelor i
a aciunilor ntreprinse de departamentul IT n aceste condiii;
Analiza eventualelor disfuncionaliti aprute n procesul de achiziionare a
licenelor i a modului de soluionare a lor.

Descrierea
testului

Eantionul pentru realizarea testrii situaiei licenelor pentru programele de
calculator utilizate a fost stabilit pe baza unui procent de 5%, din totalul populaiei de
580 de calculatoare, respectiv 29 calculatoare personale, conform foii de lucru anexate.
Pentru fiecare post de lucru dotat cu calculator a fost verificat situaia licenelor
deinute att pentru sistemul de operare Windows, ct i pentru pachetul de programe
Microsoft Office.
Testarea a constat n examinarea elementelor stabilite potrivit listei de verificare,
i anume:
- verificarea situaiei licenelor deinute pentru sistemul de operare Windows;
- verificarea situaiei licenelor deinute pentru pachetul de programe
Microsoft Office;
- verificarea dac entitatea public a achiziionat licene pentru programele
utilizate;
- identificarea eventualelor limitri bugetare n privina achiziionrii
licenelor;
- analiza eventualelor disfuncionaliti aprute n procesul de achiziionare a
licenelor;
- verificarea existenei soft-urilor neliceniate instalate de utilizatori;
- verificarea desemnrii responsabilitilor privind achiziionarea licenelor
pentru programele de calculator;
- verificarea existenei controalelor de sistem ce alerteaz administratorul n
cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Testarea s-a concretizat n elaborarea Listei de control nr. 3.5. privind situaia
licenelor pentru programele de calculator.
Constatri

Din analiza Listei de control nr. 3.5, s-au constatat ca angajaii unor
departamente folosesc programe aferente pachetului Microsoft Office fr ca pentru
acestea entitatea public s fi achiziionat licene. Aceste programe au fost instalate
folosind coduri piratate.
De asemenea, sistemul IT al entitii publice nu a fost prevzut cu controale
care s-i permit alertarea administratorului de sistem n cazul utilizrii unor astfel de
programe, fr licen.
Concluzii

Utilizarea n cadrul entitii publice a unor programe software fr licen


216

ENTITATEA PUBLICA



Obiectul nr. 3: Situaia licenelor pentru programele de calculator

Obiectivul : Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea public


- eantionul se va constitui din calculatoarele existente n Lista de inventariere a calculatoarelor
personale din entitatea public ncepnd de la poziia 0 i va cuprinde computerele cu numerele de
inventar: 50, 100, 150, 200, 250

Data: 18.04.2009


217

ENTITATEA PUBLICA

privind Situaia licenelor pentru programele de calculator


Elemente
testate

Eantion
Verificarea
situaiei
licenelor
deinute att
pentru sistemul
de operare
Windows
Verificarea
situaiei
licenelor
deinute att
pentru pachetul
de programe
Microsoft Office
Verificarea
existenei soft-
urilor
neliceniate
instalate de
utilizatori
Verificarea existenei
controalelor de sistem
ce alerteaz
administratorul n cazul
utilizrii de soft-uri
pentru care nu s-au
achiziionat licene
Computer nregistrat cu
numr de inventar 50
X X X FIAP
numr de inventar 100
X FIAP X FIAP
X FIAP X FIAP
X X X FIAP
X X X FIAP

Data: 18.09.2009


218

ENTITATEA PUBLICA



Problema Utilizarea n cadrul entitii publice a unor programe software fr licen.
Constatarea Cu toate c entitatea public a achiziionat licene pentru pachetul de programe
Lotus, s-au constatat c n cadrul unor departamente se folosesc programe aferente
pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat
licene. Practic salariaii au instalat programe utiliznd CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de
sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au
achiziionat licene.

Cauza Salariaii entitii publice au observat c dei programele existente permit realizarea
sarcinilor de serviciu, totui programele din pachetul Microsoft Office sunt mai
fiabile, mai flexibile i permit realizarea unui numr mai mare de operaiuni, cu care
sunt deja familiarizai.
De asemenea aceast situaie a fost generat i de primirea de la alte entiti publice
a unor fiiere electronice create cu programele din pachetul Microsoft Office, i
care nu au putut fi prelucrate n continuare folosind programele Lotus.

Consecina Entitatea public este pasibil de sanciuni din partea Oficiului Romn
pentru Drepturi de Autor, pentru utilizarea unor programe fr licen;
Soft-urile neliceniate instalate de utilizatori pot conine virui, troieni sau
alte programe ce ar putea afecta n mod grav subsistemele IT la care au acces aceti
utilizatori, sau chiar sistemul IT n ansamblul su;
Recomandarea Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind
utilizarea programelor fr licen;
Dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office;
Realizarea unei analize complexe n urma creia managementul entitii
publice s decid asupra oportunitii schimbrii programelor existente i
achiziionarea unui numr adecvat de licene Microsoft Office.


219

ENTITATEA PUBLIC



Obiectivul 7.
PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIUNE A UNEI
REELE

Nr.
crt.
A Proiectarea, instalarea i administrarea reelei de calculatoare
1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare
1.1. Verificai dac resursele materiale necesare pentru urmrirea
performanelor i meninerea n funciune a reelei de calculatoare
sunt stabilite corect pe componente, respectiv server, client,
echipament de conectare la reea;
X

1.2. Verificai dac resursele umane sunt identificate i stabilite ca
dimensiune att numeric, ct i n raport de competenele necesare;
X

1.3. Verificai dac echipamentele din reea sunt administrate centralizat; X
1.4. Verificai dac pentru fiecare echipament din reea i sunt asociate
proceduri, operaii i termene de efectuare;
X

1.5. Verificai dac subsistemele existente pot fi configurate i
supravegheate individual;
X

1.6. Verificai dac configurarea reelei, conectarea componentelor n
reea, distribuirea serviciilor conduc la creterea productivitii
muncii n organizaie;
X

1.7. Verificai dac numrul componentelor de tip server i al celor de tip
client se stabilete n conformitate cu activitile desfurate n
organizaie;
X

1.8. Verificai dac serverele i staiile client sunt amplasate n reea i
configurate conform regulilor impuse prin strategia de securitate;
X

1.9. Verificai dac riscul apariiei erorilor previzibile este corect evaluat; X
1.10. Verificai dac la apariia incidentelor neprevzute, sunt puse n
practic proceduri de rspuns special prevzute;
X

1.11. Verificai dac regulile stabilite i implementate asigur accesul
controlat i sigur al utilizatorilor numai la acele resurse de care au
nevoie pentru ndeplinirea sarcinilor de serviciu conform fiei
postului;
X

1.12. Verificai dac datele disponibile i folosite n reea sunt corecte,
sigure i obinute la timp;
X

1.13. Verificai dac regulile stabilite i implementate pentru urmrirea
traficului de informaii n reea, a ncrcrii reelei, a performanelor
serverelor i serviciilor sunt folosite numai pentru evaluarea corect
a strii de funcionare a reelei i a componentelor ei;
X

1.14. Verificai dac dezvoltarea, adaptarea sau reconfigurarea reelei se
realizeaz pe baza evalurii modului de funcionare i au drept scop
creterea performanelor serviciilor i diminuarea ncrcrii reelei n
anumite puncte;
X

1.15. Verificai dac lista parametrilor de referin i valorile etalon
folosite pentru evaluarea performanelor echipamentelor hardware i
ale componentelor software respect specificaiile productorilor i
se ncadreaz n standarde;
X

220
1.16. Verificai dac pentru fiecare echipament este stabilit un set propriu
de parametri i valori acceptate, conform standardelor de
funcionare;
X

1.17. Verificai dac regulile, procedurile i criteriile folosite pentru
evaluarea performanelor nu conduc la ambiguiti i identific din
timp posibilitatea apariiei unor erori de funcionare.
X

1.18. Verificai dac jurnalele cu valorile msurate ale parametrilor de
referin sunt pstrate i analizate periodic, n vederea stabilirii
coreciilor suplimentare pentru prentmpinarea apariiei erorilor de
funcionare;
X

1.19. Verificai dac erorile, nefuncionalitile sunt evaluate i sunt
elaborate soluii de remediere;
X

1.20. Verificai dac vulnerabilitile sunt identificate i corectate; X
1.21. Verificai dac fiecare component a reelei este evaluat conform
unui etalon standard.
X

2. Administrarea serverelor
2.1. Verificai dac resursele hardware instalate respect indicaiile
productorului;
X

2.2. Verificai dac resursele hardware instalate i configurate respect
cerinele IT implementate n organizaie;
X

2.3. Verificai dac accesul i utilizarea resurselor serverului respect
strategia de securitate a reelei;
X

2.4. Verificai dac programele sunt instalate i configurate conform
specificaiei productorilor;
X

2.5. Verificai dac permisiunea de administrare a unui program este
acordat numai personalului calificat i cu respectarea strategiei de
securitate a reelei;
X

2.6. Verificai dac administrarea programelor se face de la distan
folosind instrumente specifice;
X

2.7. Verificai dac activitile de ntreinere hardware sau software sunt
planificate conform cerinelor din instruciunile de utilizare;
X

2.8. Verificai dac soluiile de salvare ale unui program sunt corecte i
eficiente;
X

2.9. Verificai dac jurnalele obinute prin monitorizarea programelor
sunt pstrate pentru a fi periodic consultate;
X

2.10. Verificai dac jurnalele identific utilizatorii care au avut acces la
program, n limita permisiunilor ce le-au fost acordate;
X

2.11. Verificai dac jurnalele identific tentativele nereuite ale
utilizatorilor de a avea acces la programe;
X

2.12 Verificai dac intruii din interior sau exterior pot fi identificai prin
informaiile pstrate n jurnale.
X

B. Interconectarea i securitatea reelei
1. Interconectarea reelelor
1.1. Verificai dac conexiunile dintre reele sunt conforme cu arhitectura
general i respect standardele de interconectare;
X

1.2. Verificai dac componentele hardware i software ale
echipamentelor de legtur sunt configurate respectnd regulile de
securitate a transmisiilor de date din strategia de securitate a
organizaiei;
X

1.3. Verificai dac tabelele de rutare sunt corect configurate i indic
adresele reelelor accesibile;
X

1.4. Verificai dac instalarea i configurarea echipamentelor de legtur
ntre reele respect instruciunile din documentaia tehnic;
X

1.5. Verificai dac instalarea i configurarea componentelor software
respect indicaiile productorilor i sunt conforme strategiei de
securitate;
X

1.6. Verificai dac cerinele de conectare la Internet sunt identificate n
conformitate cu fia postului pentru fiecare categorie de personal i
respect strategia de securitate;
X

1.7. Verificai dac accesul permis din reeaua Internet la programele i
aplicaiile organizaiei respect strategia de securitate privitoare la
accesul la informaiile organizaiei;
X

221
1.8. Verificai dac conectarea la Internet se realizeaz n conformitate cu
standardele de securitate n vigoare;
X

1.9. Verificai dac sunt implementate reguli de securitate pentru accesul
la i din reeaua Internet n conformitate cu strategia de securitate a
organizaiei;
X

1.10. Verificai dac accesul prin intermediul Internet-ului la programe
este strict monitorizat pentru detectarea tentativelor de acces
neautorizat;
X

1.11. Verificai dac tentativele de acces neautorizat sunt urmate de
declanarea procedurilor de securitate.
X

2. Proiectarea i asigurarea securitii reelei
2.1. Verificai dac cerinele de asigurare a securitii reelei sunt
identificate n funcie de activitile desfurate;
X

2.2. Verificai dac cerinele de asigurare a securitii transmisiilor de
date sunt stabilite n funcie de activitile desfurate;
X

2.3. Verificai dac vulnerabilitile i ameninrile sunt corect
identificate i prioritizate;
X

2.4. Verificai dac obiectivele activitii de management al riscurilor
sunt eliminarea, atenuarea sau transferul riscurilor;
X

2.5. Verificai dac fiecrui risc identificat i corespunde un set de
proceduri a cror aplicare conduce la atenuarea sau eliminarea
pagubelor;
X

2.6. Verificai dac procedurile de securitate respect principiul aprrii /
imunizrii procesului vizat de eventuale atacuri informatice;
X

2.7. Verificai dac procedurile de securitate elaborate pentru protecia
datelor, aplicaiilor, sistemelor de operare i echipamentelor sunt
eficiente;
X

2.8. Verificai dac procedurile de securitate ce trebuie implementate
sunt aduse operativ la cunotina personalului;
X

2.9. Verificai dac sistemele de operare i aplicaiile sunt configurate
astfel nct s aplice automat procedurile de securitate;
X

2.10. Verificai dac transmisiile de date i comunicaiile n reea sunt
configurate astfel nct s aplice automat procedurile de securitate;
X

2.11. Verificai dac jurnalele de evenimente sunt analizate periodic
pentru identificarea potenialelor lipsuri de securitate;
X

2.12. Verificai dac reaciile managerilor i ale personalului fa de
securitatea reelei sunt periodic i atent evaluate;
X

2.13. Verificai dac aplicarea procedurilor de securitate mpiedic buna
desfurare a activitilor organizaiei;
X

2.14. Verificai dac detectarea unui incident neprevzut determin o
reacie prestabilit.
X

2.15. Verificai modul de implementare a msurilor privind sigurana
accesului utilizatorilor n reea conform procedurilor;
X

2.16. Verificai modul de alocare a numelui de utilizator i parolei aferente
pentru accesul la reea;
2.17. Verificarea monitorizrii siguranei accesului utilizatorilor n reea
X
Test nr. 7.1.
Foaie de lucru nr. 7.1.
List de control 7.1.
FIAP nr. 7.1.
2.18. Analizai dac a fost elaborat documentaia tehnic adecvat
privind conectarea la Internet.
X

2.19. Verificai dac aceast documentaie este adecvat i actualizat X
2.20. Determinai dac manualele privind utilizarea reelei au n vedere
asigurarea securitii comunicrii datelor n reea.
X

2.21. Analizai aciunile ntreprinse n cazurile n care a fost ameninat
integritatea i eficacitatea transmiterii datelor n reea.
X

2.22. Verificai existena procedurilor i desemnarea responsabilitilor
pentru monitorizarea controalelor fizice;
X

2.23. Verificai efectuarea controalelor fizice conform procedurilor; X
2.24. Analiza siguranei accesului la reea i a comunicrii datelor n reea X
2.25 Monitorizarea conectrii la reea conform listei de logare; X
2.26. Analizai rapoartele de monitorizare a traficului datelor n reea. X
2.27. Verificai existena procedurilor i desemnarea responsabilitilor
pentru monitorizarea accesului utilizatorilor n reea;
X

222


ENTITATEA PUBLICA

TEST nr. 7.1.


Obiectul testului Proiectarea i asigurarea securitii reelei
Obiectivele
testului
Sigurana accesului la reea i a comunicrii datelor n reea
Descrierea
testului

Populaia statistic a fost constituit din cele 250 de calculatoare existente la
nivelul entitii publice, conform Listei de inventariere a calculatoarelor personale.
Eantionul pentru realizarea testrii siguranei accesului la reea a fost stabilit pe
baza unui procent de 2%, din totalul populaiei statistice, respectiv 5 calculatoare
personale, conform Foii de lucru nr. 4.5.
verificare nr. 4, poz. 4.5, i anume:
- Verificai modul de alocare a numelui de utilizator i parolei aferente pentru
accesul la reea ;
- Monitorizarea conectrii la reea conform listei de log-are.

Testarea s-a concretizat n elaborarea Listei de control nr. .. privind accesul i
comunicarea datelor n reea.
Constatri

Din analiza Listei de control rezultate, s-au constatat urmtoarele:
a. majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de
serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator
i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare
subsistem IT trebuie folosite nume de utilizator i parol diferite, n loc s se
foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se
conecteaz angajatul.
b. datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori
acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele
colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de
identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele
subsisteme IT.
c. practic, sistemul de parole nu mai are funcii principale de restricionare a
accesului persoanelor nepotrivite, ci ngreuneaz funcionarea sistemului.
d. n situaia apariiei unor incidente nu se pot stabili responsabilitile
aferente.
Concluzii Sistemul de parole este stabilit si utiliza in mod neadecvat


223


ENTITATEA PUBLICA



Obiectiv: Sigurana accesului la reea i a comunicrii datelor n reea

- eantionul se va constitui din calculatoarele existente n Lista IP-urilor
calculatoarelor ce se conecteaz la reeaua entitii publice la poziiile:
35, 85, 135, 185, 235

Data: 19.09.2009


224

ENTITATEA PUBLICA

Privind accesul i comunicarea datelor n reea

Elemente
Testate
Eantion

Verificai modul de alocare a numelui de
utilizator i parolei aferente pentru accesul la
reea

Monitorizarea conectrii la reea conform
listei de log-are
Computer aflat la poziia 35

FIAP X
Computer aflat la poziia 85 X X
Computer aflat la poziia 135 FIAP X
Computer aflat la poziia 185 FIAP X
Computer aflat la poziia 235 X X

Data: 19.09.2009


225

ENTITATEA PUBLICA



Problema Neutilizarea unui singur nume de utilizator i unei singure parole pentru
accesul la sistemul IT.
Constatarea Din evaluare s-a constatat c majoritatea salariailor din cadrul entitii
publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe
subsisteme IT care folosesc nume de utilizator i parole diferite.
Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT
trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc
acelai nume de utilizator i parol indiferent de subsistemul IT la care se
Cauza Inexistena unor proceduri de lucru adecvate potrivit crora sa fie reglementat
modul de conectare a echipamentelor la reea sau programe si aplicaii.
Consecina Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia
noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele
colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de
identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele
subsisteme IT.
n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.
Recomandarea Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul
entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au
nevoie utiliznd un singur nume de utilizator i o singur parol;

Auditor, Supervizor, Pentru conformitate
Radu George Dumitru Daniel Structura auditat

226

227
Procedura P10: REVIZUIREA DOCUMENTELOR DE LUCRU

Entitatea Public

CONSTITUIREA DOSARELOR DE AUDIT INTERN


Dup finalizarea interveniei la faa locului, se constituie Dosarele de audit intern n vederea
asigurrii unei legturi ntre obiectivele stabilite prin programul de audit, intervenia la faa locului i
raportul de audit public intern. Documentele culese i/sau ntocmite pe timpul misiunii de audit se
constituie n urmtoarele dosare:
A. Dosarul permanent, care cuprinde:
a) Seciunea A Raportul de audit intern i anexele acestuia:
- Ordinul de serviciu;
- Declaraia de independen;
- Rapoartele de audit intern (intermediar, final, sinteza Raportului de audit intern);
- teste;
- Fiele de identificare i analiz a problemelor;
- Formularele de constatare a iregularitilor;
- Programul interveniei la faa locului.
b) Seciunea B administrativ:
- Notificarea privind declanarea misiunii de audit;
- Minuta edinei de deschidere;
- Minuta reuniunii de conciliere;
- Minuta edinei de nchidere;
- Corespondena cu entitatea structurii auditate;
c) Seciunea C - documentaia misiunii de audit public intern:
- strategii interne;
- reguli, regulamente i legi aplicabile;
- proceduri de lucru;
- materiale despre entitatea/structura auditat;
- rapoarte de audit public intern anterioare;
- informaii privind fluxul de informaii;
- documentaia analizei riscului;
- documentaia privind sistemul de control (aprobri, autorizri, separarea
sarcinilor, supervizarea, reconcilierea, rapoarte etc.);
d) Seciunea D - supervizarea i revizuirea desfurrii misiunii i a rezultatelor
acesteia i cuprinde Lista de supervizare a documentelor;
B. Dosarul documentelor de lucru cuprinde copii xerox a documentelor justificative, care confirm i
sprijin concluziile. Dosarul se indexeaz prin atribuirea de litere i cifre pentru fiecare seciune/obiectiv din
cadrul programului.
Dosarele de audit public intern sunt proprietatea entitii publice i sunt confideniale i se pstreaz
pn la ndeplinirea recomandrilor din raportul de audit intern, dup care se arhiveaz potrivit
reglementarilor legale privind arhivarea.

228

Not:
Constituirea dosarelor de audit intern se realizeaz n finalul interveniei la faa locului i are ca
scop de a asigura o legtur ntre obiectivele misiunii de audit stabilite prin programul de audit,
constatrile efectuate n etapa de intervenie la faa locului i raportul de audit public intern.
Documentele de lucru trebuie organizate astfel nct s faciliteze trecerea n revist a dosarului i
s permit o comparaie rapid ntre constatrile i probele de audit.
Este necesar clasificarea tuturor documentelor de lucru, n funcie de etapa de activitate creia i
corespund.
Sursa de informaie trebuie indicat clar i precis, pentru a pstra i a verifica ulterior fiabilitatea
ei.

229
Procedura P10: REVIZUIREA DOCUMENTELOR DE LUCRU

Entitatea public

NOTA CENTRALIZATOARE A DOCUMENTELOR DE LUCRU

ntocmit: Popescu Sorin/ Radu George Data: 10.10..2009

Exist Auditori
Constatarea Document justificativ
Da Nu
Seciunea E Strategia i planificarea sistemelor informatice
Analiza proceselor-verbale
ale Comisiei numite la nivelul
entitii cu responsabiliti n
dezvoltarea IT, a direciilor
de aciune strategice i a
deciziilor luate n vederea
implementrii strategiei a pus
n eviden unele
disfuncionaliti, legate de
faptul c anumite proiecte de
dezvoltare IT derulate n
cadrul entitii nu au fost
supuse analizei i evalurii
comisiei.
Proces verbal 3242/23.01.2009
.
X Popescu Sorin
Radu George
Obiectivele specifice ale
structurii funcionale, definite
n cadrul strategiei, nu au fost
corelate cu posibilitile
efective ale organizaiei, cu
factorii interni i factori
externi.
List obiective specifice
List obiective generale
X Popescu Sorin
Radu George
..
Seciunea F- Organizarea i funcionarea departamentului IT
Atribuiile definite in sarcina
salariailor nu sunt
ntotdeauna conforme i nu
asigur competena de
realizare a activitilor i
aciunilor, acestea fiind
definite n multe cazuri la
modul general, nu indic, prin
modul de formulare o aciune,
nu asigur un coninut clar,
fiind definite sub forma unei
relaii funcionale sau avnd
caracter de activitate.
Fiele posturilor pentru eantionul constituit X Popescu Sorin
Radu George
Organigrama ca document
prin care se relev grafic
structura organizaiei i
substructurile acesteia nu
pune n eviden organizarea
i funcionarea
departamentului.
Compartimentele aflate n
subordinea departamentului
nu sunt nominalizate n
Organigrama departamentului X Popescu Sorin
Radu George
230
totalitate n cadrul
organigramei i nu este
precizat nici nivelul de
subordonare al
departamentului n cadrul
organizaiei.

Seciunea G - Operaii ale sistemului informatic
Analiza implementrii
subsistemelor IT, potrivit
planului anual ntocmit i
aprobat, a pus n evidenta
faptul ca termenele stabilite
pentru implementarea
programelor nu sunt
respectate, iar
departamentele ce ar trebui s
utilizeze deja noile aplicaii
IT ntmpin deficiene n
transmiterea datelor n format
electronic celorlalte
departamente care au nevoie
de aceste informaii i unde
funcioneaz deja de
programe performante.
Planul anual de dezvoltare a sistemului IT
Procesele verbale privind punerea n funciune
a aplicaiilor
X Popescu Sorin
Radu George
.
Seciunea H- Securitatea informaiilor
Inexistena unui sistem de
stabilire de ctre fiecare
utilizator a parolelor i a unui
responsabil cu verificarea
schimbrii periodice a
parolelor de acces.
Procedura privind schimbarea parolelor X Popescu Sorin
Radu George

Seciunea H Achiziionarea i testarea aplicaiilor
Organizarea datelor n
fiierele de date prezint
urmtoarele disfuncii:
redundan mare, acces dificil
la date, izolarea datelor,
actualizarea datelor prin
adugare, modificare,
tergerea genereaz erori
atunci cnd mai muli
utilizatori doresc s modifice
simultan aceleai date,
dependena programelor,
descrierea independent a
datelor n toate fiierele n
care apar.
Procedura privind organizarea datelor n fiiere
Fiele de intervenie la fiecare aplicaie
X Popescu Sorin
Radu George
.
Seciunea I Elaborarea i implementarea proiectelor IT
Cu toate c entitatea public
a achiziionat licene pentru
pachetul de programe Lotus,
s-au constatat c n cadrul
unor departamente se
folosesc programe aferente
pachetului Microsoft Office
fr ca pentru acestea
entitatea public s fi
achiziionat licene.
Lista staiilor de lucru pe care erau instalate
programe aferente Microsoft Office, fr licen
X Popescu Sorin
Radu George
231
.
Seciunea K Proiectarea i meninerea n funciune a unei reele
Sistemul IT este conceput
astfel nct pentru accesul la
fiecare subsistem IT trebuiesc
folosite: nume de utilizator i
parol diferite, n loc s se
foloseasc acelai nume de
utilizator i parol indiferent
de subsistemul IT la care se
Lista staiilor de lucru la care accesul se
realizeaz cu aceleai nume de utilizator i
parol
X Popescu Sorin
Radu George
.

Auditori,
Popescu Sorin
Radu George

Not:
Revizuirea documentelor asigur c documentele de lucru sunt pregtite n mod corespunztor i c
acestea furnizeaz un sprijin adecvat pentru munca efectuat i pentru dovezile adunate n timpul misiunii de
audit intern.
Auditorii revd documentele procedurale i documentele de lucru din punct de vedere al formei i al
coninutului, se asigur c dovezile de audit prezentate n susinerea constatrilor sunt justificative, respectiv
sunt suficiente, concludente i relevante.

232

233

Procedura P11: EDINA DE NCHIDERE

Entitatea Public

MINUTA EDINEI DE NCHIDERE


Lista participanilor:

B. Concluzii:

n cadrul edinei au fost prezentate obiectivele auditate i constatrile pentru fiecare obiect auditat. De asemenea, au
fost discutate constatrile, au fost analizate cauzele care au contribuit la realizarea disfuncionalitilor i au fost
comentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate.
In cadrul edinei de nchidere, structura auditat si-a nsuit n totalitate constatrile i recomandrile formulate de
echipa de auditori si, n acest sens, au prezentat Planul de aciune i Calendarul de implementare al
recomandrilor, cu termenele de realizare i persoanele responsabile, vor fi urmrite de echipa de auditori, pana la
implementarea acestora.
n consecin, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregtit pentru
aprobare i transmitere structurii auditate. Raportul de audit intern va fi nsoit de o SINTEZA care va conine
concluziile echipei de auditori interni cu prezentarea principalelor recomandri i opinia generala a acesteia.
Structura auditat se angajeaz sa completeze Planul de aciune i calendarul implementrii recomandrilor, cu
termenele de realizare i persoanele responsabile cu implementare acestora, pe care l vor discuta cu echipa de
auditori.

Numele Funcia
Direcia/
Serviciul
Nr.
telefon
E-mail Semntura
Dumitru Daniel Sef serviciu SAI

Popescu Sorin Auditor intern SAI

Radu George Auditor intern SAI

Minc Cristian Director Direcia IT

Negru Adrian Sef serviciu Serviciul 1 IT

Ciobanu Vasile ef serviciu Serviciul 2 IT

Butnaru Lenua ef serviciu Serviciul 3 IT

Vasilescu George ef serviciu Serviciul 4 IT

Toma Eugen Consilier Serviciul 2 IT

Stnescu Ioana Consilier Serviciul 3 IT

Istrate Viorica Consilier Serviciul 4 IT

234

Not:
edina de nchidere a interveniei la faa locului are ca scop prezentarea opiniei auditorilor interni, a
constatrilor i recomandrilor finale, precum i discutarea unui plan de aciune nsoit de un calendar de implementare
a recomandrilor.
n cadrul acestei edine se urmrete ca att constatrile, ct i recomandrile, s fie uor de neles, s nu
permit interpretri i s nu fie prtinitoare. Constatrile trebuie s aib la baz documente doveditoare, iar
recomandrile trebuie s ajute managementul entitii auditate n luarea deciziilor manageriale n vederea eliminrii
deficienelor constatate.

235

Procedura P16: SUPERVIZAREA MISIUNII DE AUDIT INTERN

Entitatea Public

LISTA DE SUPERVIZARE A DOCUMENTELOR


Nr.
crt.
Lucrarea
Propunerea efului
structurii de audit/
supervizorului misiunii,
ca urmare a revizuirii
documentului
Rspunsul
auditorilor
Revizuirea
rspunsurilor
auditorilor de ctre
eful structurii de
audit/supervizor
1. Declaraia de
independen
Nu exist incompatibilitate De acord
2
Colectarea
informaiilor
Nu exista un centralizator al
documentelor colectate i
prelucrate
Se va ntocmi i
elabora documentul
procedura de lucru
privind documentele
colectate i prelucrate
De acord
3. Programul de
audit intern
In programul de audit nu
apare obiectivul cu privire la
definirea structurilor
organizatorice
Programul de audit a
fost refcut, obiectivul
privind definirea
structurilor
organizatorice a fost
cuprins n program
De acord
4 Constatarea i
raportarea
iregularitilor
Nu s-a ntocmit i elaborat
fisa de constatare i
raportare a iregularitilor
pentru constatarea cu privire
la necalcularea taxei pentru
eliberarea autorizaiilor de
construire
Se va ntocmi i
elabora FCRI n acest
caz
De acord
5 Nota
centralizatoare a
documentelor de
lucru
Nu s-a ntocmit i elaborat
nota centralizatoare a
Se va elabora i
ntocmi i elabora
nota centralizatoare a
De acord
.
.
.
.. . ..
n Raportul de audit Raportul de audit nu
prezint cauzele i
consecinele constatrilor
efectuate
Raportul de audit va fi
completat cu
precizarea cauzelor i
consecinelor aferente
constatrilor efectuate
De acord

Supervizor,
Georgescu Cristian
236

Not:
Supervizarea reprezint activitatea de ndrumare, consiliere, supraveghere i verificare efectuat de
ctre supervizor asupra activitii echipei de audit, se realizat pe tot parcursul derulrii misiunii de audit
intern prin semnarea documentelor ntocmite.
Scopul activitii de supervizare este asigurarea c obiectivele misiunii de audit intern au fost atinse
n condiii de calitate.
Documentele de audit elaborate (procedurale sau ntocmite de auditor cu privire la constatri
efectuate) trebuie supervizate pentru a se asigura c acestea vin n sprijinul raportului de audit i c toate
procedurile de audit necesare au fost efectuate.

237

Procedura ELABORARE RAPORT DE AUDIT INTERN

Entitatea Public

PROIECT
DE RAPORT DE AUDIT INTERN


ACTIVITATEA IT

BUCURETI
2009

238

CAPITOLUL I

DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN

Echipa de auditare - a fost format din:
Ordinul de efectuare a misiunii de audit - auditarea activitilor cuprinse n Planul de audit intern pe anul
2010, s-a fcut n baza Ordinului de serviciu nr. 11/12.08.2009.

Baza legal a aciunii de auditare:
Planul de audit intern pentru anul 2009, aprobat de conducerea entitii publice;
Legea nr. 672/2002 privind auditul public intern;
OMFP nr. 38/15.01.2003 pentru aprobarea Normelor generale de privind exercitarea activitii
de audit public intern.
Normele proprii de audit public intern ale entitii, avizate i aprobate de conducere, privind
exercitarea activitii de audit intern n cadrul entitii.

Durata misiunii de audit: 01.09.2009 20.10.2009.


Scopul aciunii de auditare const n:
- asigurarea conducerii asupra funcionrii echipamentelor, aplicaiilor i programelor n
concordan cu cerinele stabilite;
- asigurarea aplicrii corecte a msurilor de testarea i implementarea noilor aplicaii, de a
soluiona problemele aprute n funcionarea aplicaiilor.

Obiectivele aciunii de auditare au urmrit:

Tipul de auditare - audit de conformitate/regularitate.
Tehnici de audit intern utilizate:
- verificarea se realizeaz n vederea asigurrii validitii, realitii i acurateei nregistrrilor n
contabilitate a documentelor i a concordanei cu legile i regulamentele n vigoare, precum i a eficacitii
controlului intern prin cu ajutorul urmtoarele tehnici de verificare:
a) comparaia: pentru confirmarea identitii unor informaii, dup obinerea lor din dou sau
mai multe surse diferite;
b) examinarea: pentru detectarea erorilor i/sau iregularitilor;
c) recalcularea: verificarea algoritmilor de calcul i a calculelor matematice;
d) punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de
nregistrri;

239
e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul
validrii acestora;
f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea
nregistrrilor spre documentele justificative;
g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru
verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au
fost nregistrate.
- observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i
formeaz o imagine de ansamblu asupra structurii auditate;
- interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor
auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru
eventualele explicaii suplimentare se solicit note de relaii;
- analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate,
cuantificate i msurate distinct.

Instrumentele de audit intern utilizate:
- Chestionarul de luare la cunotin - CLC: pentru obinerea unor informaii referitoare la
contextul socio-economic, organizare intern, funcionarea entitii/structurii auditate;
- Chestionarul de control intern - CCI: orienteaz auditorii interni n activitatea de
identificare obiectiv a disfunciunilor i cauzelor reale ale acestora. Acesta a fost utilizat pentru evaluarea
instrumentelor de control existente, mpreun cu alte informaii relevante pentru audit, pe parcursul
desfurrii misiunii de audit intern;
- List de verificare - LV: pentru stabilirea condiiilor de regularitate pe care trebuie s le
ndeplineasc fiecare domeniu auditabil. Cuprinde un set de operaii ce trebuie parcurse de auditor pentru a
analiza activitile de control intern ncorporate n proceduri, existena responsabilitilor pentru efectuarea
acestora i permite stabilirea testelor de conformitate atunci cnd sunt semnalate diferite disfuncionaliti;
- Fia de identificare i analiz a problemelor FIAP: ntocmit pentru fiecare
disfuncionalitate constatat;
- Formularul de constatare i raportare a iregularitilor FCRI: ntocmit cu scopul de a
informa conducerea direciei cu privire la iregularitatea constat.

Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat
documentaia aferent perioadei auditate, respectiv 01.01.2008 30.06.2009, care a cuprins urmtoarele:
- legi i regulamente aplicabile structurii auditate;
- strategia n domeniul IT;
- organigrama Direciei IT;
- Regulamentul de Organizare i Funcionare;
- Fiele posturilor;
- Proceduri operaionale de lucru;
- Rapoarte de evaluare;
- Liste de achiziii n domeniul IT;
- aplicaii informatic;
- programe informatice achiziionate;
- Planul privind continuitatea activitilor, etc.

Documente i materiale ntocmite pe timpul auditrii:
- documentaia aferent analizei riscurilor;
- tabelul puncte tari i puncte slabe;
- tematica n detaliu a misiunii de audit intern;
- programul de audit intern;
- liste de verificare structurate pe obiective;
- foi de lucru pentru stabilirea eantioanelor;
- chestionare de control intern;
- teste;
- liste de control;
- fie de identificare i analiz a problemelor constatate - FIAP-uri;
240
- formulare de constatare i raportare a iregularitilor - FCRI-uri;
- proiectul raportul de audit intern;
- minutele edinelor de deschidere, de nchidere i de conciliere;
- Raportul de audit intern;
- planul de aciune i calendarul de implementare a recomandrilor;
- fia de urmrire a implementrilor recomandrilor.
- foi de lucru privind descrierea activitilor auditate;
- documente de lucru;
- note de relaii;
- interviuri.

Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4
posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar
conform organigramei i Regulamentului de organizare i funcionare.
Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de
subordonare i de colaborare, precum i sarcinile de serviciu.

II. CONSTATRI

II. CONSTATRI I RECOMANDRI

Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n
perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor
semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de
management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.

Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE

1.1. Strategia IT este concordan cu scopurile organizaiei


Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor
informatice.
Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv
i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la
dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem
informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.
Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul
dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i
elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast
comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza
realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu
privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza
raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de
implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente,
care au influen n decizia managerial i dezvoltarea strategic.
Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea
IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden
241
unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu
au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit
proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la
proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii,
astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt
ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul
soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din
cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor
tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare
a achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest
program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n
testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a
proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest
caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul
organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma
evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea
s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au
legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea
proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de
realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic
Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare
strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii

Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de
dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
e) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia;
f) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de
aciune stabilite la nivelul organizaiei;
g) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i
implementrii strategiei;
h) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care
se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n
vedere urmtoarelor etape:
d) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o
anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei
analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode
statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor
specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea
structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
e) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea;
f) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost
corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei
242
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s
putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le
obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost
implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat
n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la
nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia
astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate
i la atingerea obiectivelor strategice ale organizaiei.
n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul
de fundamentare a necesarului de resurse pentru elaborarea strategiei.

Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii
funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint
exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia.
n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c
acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care
dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea
coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale
organizatorice ntr-o viziune optimizant pe termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic,
tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de
obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de
realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la
implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul
economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o
dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici,
cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru
dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n
condiii de performan, la obinerea impactului definit de obiectivele strategice.
Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de
organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie.
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.

1.2. Planurile IT se adreseaz ntregii organizaii

243
Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea
de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin
atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n
cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a
nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea
competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce
a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta
a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru
nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului
anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul
de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au
pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor
angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori
deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru
implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a
normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei,
importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor
generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii
i resursele interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate
corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura
competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din
noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului
funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de
mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile
de atingere a obiectivelor planului.
Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a
salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate
s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate
corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele
necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii
planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n
limitele stabilite.

1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT
sunt alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
desfoar n cadrul acestora.
244
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a
recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n
privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu
au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor.
Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu
cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.

1.3. Obiectivele IT ndeplinesc obiectivele organizaiei


1.4. Comitetul IT determin strategia IT

1.4.1. Comitetul IT transpune strategia n planuri pe termen scurt i pe
termen mediu
.

1.4.2. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea
sistemelor i activitilor realizate
.

1.5. Organizarea IT corespunde necesitilor organizaiei


1.5.2. Adecvarea practicilor i procedurilor IT la procesele existente
..

1.6. Elaborarea strategiei IT corespunde strategiei entitii

1.6.1. Dotarea actual cu tehnic de calcul a stat la baza strategiei IT
..

2. ORGANIYAREA I FUNCIONAREA DEPARTAMENTULUI IT

2.1. Definirea atribuiilor i activitilor

2.1.1. Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT
Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de
competen privind realizarea activitilor i aciunilor repartizate.
Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de
realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin
modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale
sau avnd caracter de activitate.
n acest sens s-a recomandat contientizarea managementului responsabil cu procesul de stabilire
i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a
245
unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea
activitilor.

Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii
acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a
muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri)
i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv
specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni
concrete de realizare a acestora, fie indic o aciune comun de realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate
aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care
asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea
dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i
probleme semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i
stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv.
Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a
activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s
redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se
asigure c obiectivele vor fi realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii
rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.

2.2. Stabilirea structurii organizatorice

2.2.1. Organizarea funcional a Departamentului IT

Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia
nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea
departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor
de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare
este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct
al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat
directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor
efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare
a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de
informaii i date ntre structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n
cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel
ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor
i relaiilor ierarhice.
Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare
i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n
totalitate activitile desfurate.

246
Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au
coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel
salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu
privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite
cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial.
Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.

Departamentului IT
Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu
este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele
de control intern implementate pentru limitarea acestora.
Pentru aceast deficien s-a recomandat elaborarea mecanismelor procedurale i metodologice
privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control
pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul
acceptabil.
Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce
trebuie alocate n vederea atingerii obiectivelor.
Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele
activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale
performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale
sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra
tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i
contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate
stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au
fost delegate n responsabilitatea unor posturi inferioare.
Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor
identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri
de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn,
detecteze i s corecteze n mod eficient denaturrile semnificative.

n acelai timp din analiza efectuat a mai rezultat c la nivelul departamentului nu este organizat i
nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt
monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului
riscurilor la nivelul organizaiei.

2.3. Stabilirea responsabilitilor


Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de
scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza
fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa
orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
247
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i
competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel
al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al
studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece
persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea
de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit
cunotine IT de nivel superior i chiar anumite specializri.
Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii
aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel.

Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme
i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma
unei relaii funcionale sau avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte
structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia
funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n
realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate
la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n
utilizarea echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie,
ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul
departamentului IT.
n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul
documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale
pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.

3. OPERAII ALE SISTEMULUI INFORMATIC

3.1. Managementul operaiunilor

Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii
legate de gestionarea acestora, astfel:
- n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de
auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce
altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne),
fiind utilizate n proporie de max. 10-15%.
- echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind
restricionat.
- n urma inventarierii interveniilor efectuate asupra computerelor, imprimantelor i
copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au
fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n
majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective.
- analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul
proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului
specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme
i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc.
- Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i
programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a
constatat c o anumit parte din aceste verificri se realizeaz manual.
248
Pentru deficienele constatate s-a recomandat urmtoarele:
- implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de
gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT
i resursele alocate acestor scopuri.
- mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat.
- procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp
stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens.
- constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea
operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de
specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
- elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile
efectuate asupra operaiilor informatice.

administratorilor

3.1.3. Elaborarea planului anual de activitate
..

3.2. Managementul problemelor


Din analiz s-a constatat neaplicarea n mod unitar a politicii de securitate IT, care a condus la
infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a
verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2
departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua
calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i,
n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece
se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Urmare acestei
constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c
toate erau infectate cu virui.
Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de
verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n
cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea
sunt dezactivate i produc disfuncii n cadrul organizaiei.


Din analiza efectuat a rezultat c, subsistemele IT nu au fost realizate la termenele stabilite. Astfel,
analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul
ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui
s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja
existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate.
ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor
departamente, deoarece datele i informaiile sunt reluate i introduse manual.
Pentru deficienele constatate s-a recomandat analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate
numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac
exista resursele necesare aprobate prin buget.

249
3.3. Funcionalitatea Departamentului IT

.

.

3.4. Mentenana echipamentelor


.


3.5.1. Realizarea eficient a operaiilor n cadrul Departamentului IT
.

.

Din evaluare, auditorii interni au mai constatat c nu exist un sistem de controale generale care s fie
avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor
IT ce ruleaz pe echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii
(ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt
complete;
Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate
subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze
corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de
instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz.

4. SECURITATEA INFORMAIEI

4.1. Organizarea securitii informaiilor


.

4.1.3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii
autorizai
.
250


.



4.3. Asigurarea funcionrii programelor i aplicaiilor

4.3.1. Asigurarea introducerii corecte a datelor
..


4.3.3. Asigurarea securitii datelor i documentelor
PROBLEMA
Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile
specifice privind asigurarea securitii reelelor, astfel:
- la nivelul departamentului IT au fost ntocmite hri privind infrastructura reelelor IT, ns una
din cele 3 hri cuprinse n eantion nu fusese actualizat, astfel nct aplicaiile copiate pe un numr de 4
sisteme nu au fost protejate prin intermediul programelor antivirus. De asemenea, aplicaiile contabile au
fost copiate de pe unul din calculatoarele existente, fr a se proceda la instalarea acestora de ctre
personalul specializat din cadrul departamentului IT, ocazie cu care nu au putut fi asigurata integritatea
tuturor modulelor.
- dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n
parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei
acestora n vederea alocrii corespunztoare a resurselor de securitate.
- la nivelul entitii s-a procedat la identificarea i nlturarea celor mai critice vulnerabiliti ale
reelelor, ns nu a fost avut n vedere un sistem de management al vulnerabilitilor, la cel mai profund
nivel, actualizat, care s permit identificarea precis i cuprinztoare a ultimilor vulnerabiliti ale
sistemului sau a greelilor de configurare, bazndu-se pe informaii precise i configuraii de sistem i de
reea adecvate.
- administratorii de sistem au procedat la ntocmirea de rapoarte care detaliaz nivelul critic al
vulnerabilitilor i au furnizat soluii de remediere ns informaiile nu au fost strnse, adaptate i prezentate
acelor persoane care decid asupra situaiei securitii n cadrul entitii publice. Astfel, conducerea entitii
nu a avut la dispoziie informaiile necesare cuantificrii efortului necesar pentru asigurarea securitii
reelelor.
Pentru remedierea deficienelor constatate au fost formulate urmtoarele recomandri:
1. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n
timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct
schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la
riscuri;
2. Prioritizare i a aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse
considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat;
3. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis,
cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
4. Toate rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie
corelate i aduse la cunotina conducerii entitii publice.
251

4.4. Implementarea instrumentelor de control

Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
neasigurndu-se o intervenie prompt i rapid, iar securitatea datelor i informaiilor nu este asigurat pe
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole.
La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost
stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a
imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului
de management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele
hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a
constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei,
fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i
implementarea de programe antivirus adecvate.
La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea
au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau
care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul
acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi
sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii
(tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n
ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n
vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul
serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate
ca i sistemul integrat privind conducerea organizaiei.
Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul
vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate
persoanelor cu responsabiliti decizionale asupra securitii informaionale.
Recomandrile formulate au fcut referire la prioritizarea aplicaiilor informatice, n funcie de
importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare.
Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse
la cunotina conducerii organizaiei.

4.4.2. Introducerea instrumentelor de control fizic asupra echipamentelor IT al
aplicaiilor
Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor.
Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul
necontrolat la cele trei locaii selectate att a persoanelor din cadrul altor departamente ct i a altor persoane
din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate.
Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt
echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei
autorizaii scrise.
Pentru deficienele constatate s-a recomandat introducerea de instrumente de control adecvate
astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile

252



4.6.1. Utilizatori au parole de acces individuale
Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui responsabil cu
verificarea schimbrii periodice a parolelor de acces.
Analiza interviului a scos n eviden, de asemenea, faptul c nu exist un sistem de securitate a
sistemului informatic i un responsabil cu administrarea acestui sistem.
Recomandarea s-a referit la schimbarea sistematic a parolelor de acces de ctre utilizatorii
sistemului informatic, precum i stabilirea unei persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de acces.

..





5. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR

5.1. Proiectarea i elaborarea programelor i aplicaiilor

5.1.1. Achiziia programelor informatice
.

.

.

5.2. Testarea i implementarea programelor i aplicaiilor


5.2.2. Asigurarea corectitudini rezultatelor
Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n
care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii.
253
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care
pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere;
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de
sortare, fuziune, ventilare;
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele
ntr-o manier global;
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli
utilizatori doresc s modifice simultan aceleai date;
- dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de
corecturi n programele de calculator;
- fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se
modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n
toate fiierele de date.
Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv
un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor
n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional
prelucrabil ntr-un sistem de calcul.

6. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT



6.2. Implementarea i funcionarea programelor i aplicaiilor

.

6.2.2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametri optimi

Din evaluarea realizat s-a constatat utilizarea n cadrul entitii publice a unor programe software fr
licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au
constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca
pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd
CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Pentru remedierea deficienelor constatate s-a recomandat inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor
programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize
complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii
programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.

7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIE A UNEI
REELE

7.1. Proiectarea, instalarea i administrarea reelei de calculatoare
254

..

.

7.2. Interconectarea i securitatea reelei


Din evaluare s-a constatat neutilizarea unui singur nume de utilizator i unei singure parole pentru
accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura
sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole
diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite:
nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de
subsistemul IT la care se conecteaz angajatul.
Pentru aceasta s-a recomandat realizarea unui proces de reenginering la nivelul sistemului IT din
cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un
singur nume de utilizator i o singur parol;

* *
*

Precizm faptul c, constatrile prezentate au la baz probe de audit, obinute pe baza testelor
efectuate, consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre
factorii de management ai entitii. Aceste evaluri au fost discutate i recomandrile auditorilor au fost
acceptate n edina de nchidere a misiunii i au fost apreciate de ctre participani ca fiind realiste i
fezabile.
Considerm c rezultatele evalurii auditorilor interni privind Activitatea IT se nscriu n parametri
normali pentru aceast perioad de consolidare a implementrii activitii de audit intern n cadrul entitilor.
De asemenea, prin implementarea recomandrilor echipei de auditori activitatea Direciei IT va cunoate o
ameliorare semnificativ.
Structura auditat are obligaia s respecte Programul de aciune i Calendarul implementrii
recomandrilor i s raporteze periodic echipei de auditori interni stadiul implementrii acestora.
Prezentul proiect de Raport de audit intern a fost ntocmit n baza tematicii n detaliu a obiectelor
auditabile selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor
efectuate n procedurile de colectare a dovezilor, din timpul interveniei pe teren, i s-au materializat n
elaborarea de FIAP-uri i FCRI-uri care au fost preluate n Raportul de audit intern.

Data: 18.10.2009

Auditori interni, Supervizor, Pentru conformitate,

Popescu Sorin Dumitru Daniel Director , Direcia IT
Radu George ..

255

Not:
Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului
general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n
urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit
utilizate.
La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele
de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte
documente de lucru.

256
Procedura P14: REUNIUNEA DE CONCILIERE

Entitatea Public
Serviciul de audit public intern

MINUTA EDINEI DE CONCILIERE


A. Lista participanilor:
Numele Funcia
Direcia/
Serviciul
Nr.
telefon
E-mail Semntura
Dumitru Daniel Coordonator CAPI

Popescu Sorin Auditor SAPI

Radu George Auditor SAPI

Ptrulescu George Director DIT

Voiculescu Alin Sef STDAM

Boerescu Ilie Sef SCD

Teodorescu Rodica Sef SEE

Eleodor Darius Sef SAPP

Iordache Camelia Sef SRC

Pun Elena Sef SSD

Badea tefan Sef SAT

B. Stenograma edinei

n cadrul edinei de conciliere s-a discutat asupra constatrilor i recomandrilor cuprinse n proiectul
Raportului de audit, iar reprezentanii structurii auditate au reiterat o parte din problemele cu care se
confrunt i anume:
- lipsa fondurilor necesare privind achiziia de echipamente performante;
- programe i aplicaii vechi care se adapteaz foarte greu nevoilor actuale de lucru i necesitilor
utilizatorilor;
- personal insuficient;
- participarea foarte slab i restrns la instruiri, datorit lipsei resurselor financiare.
Cu privire la constatrile i recomandrile formulate, conducerea entitii a formulat un singur punct de
vedere, respectiv existena sistemului potrivit cruia fiecare utilizator poate stabili i introduce propria
parol, n vederea protejrii echipamentului i a aplicaiilor pe care le utilizeaz. n acelai timp exist
responsabilizat persoan care verific dac parolele de acces au fost schimbate periodic i au prezentat n
acest sens documente justificative.
Auditori interni au reinut acest aspect, au evaluat documentele prezentate i au concluzionat c
raportul de audit va fi revizuit n mod corespunztor referitor la aceast informaie, iar recomandarea i
termenele de implementare vor ine seama aciunile planificate de entitate pentru implementarea acestui
program.
Pentru implementarea recomandrilor i remedierea problemelor constatate structura auditat a ntocmit
257
i ne-a prezentat planul de aciune i calendarul de implementare al recomandrilor, prin care s-au stabilit
persoanele responsabile pentru implementare, etapele i termenele de realizare.
Pentru toate celelalte constatri, structura auditat nu a formulat obiecii fiind de acord cu acestea,
recunoscnd deficienele din activitatea specific.

Not:
Scopul edinei de conciliere este de a analiza constatrile i concluziile i de a valida definitiv recomandrile i planul
de aciune elaborat pentru implementarea acestora, modalitile de punere n practic, responsabilii i calendarul de
implementare.
Participani vor fi persoanele prezente la edina de nchidere, conductorul structurii auditate i persoanele
responsabile cu punerea n practic a aciunilor stabilite.
edina de conciliere trebuie organizat n termen de 10 zile de la data primirii punctului de vedere al auditatului.

258

259

Procedura ELABORARE RAPORT DE AUDIT INTERN

Entitatea Public

RAPORT DE AUDIT INTERN


ACTIVITATEA IT

BUCURETI
2009

260
CAPITOLUL I

DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN

Echipa de auditare - a fost format din:
Ordinul de efectuare a misiunii de audit - auditarea activitilor cuprinse n Planul de audit intern pe anul
2010, s-a fcut n baza Ordinului de serviciu nr. 11/12.08.2009.

Baza legal a aciunii de auditare:
Planul de audit intern pentru anul 2009, aprobat de conducerea entitii publice;
Legea nr. 672/2002 privind auditul public intern;
OMFP nr. 38/15.01.2003 pentru aprobarea Normelor generale de privind exercitarea activitii
de audit public intern.
Normele proprii de audit public intern ale entitii, avizate i aprobate de conducere, privind
exercitarea activitii de audit intern n cadrul entitii.

Durata misiunii de audit: 01.09.2009 20.10.2009.


Scopul aciunii de auditare const n:
- asigurarea conducerii asupra funcionrii echipamentelor, aplicaiilor i programelor n
concordan cu cerinele stabilite;
- asigurarea aplicrii corecte a msurilor de testarea i implementarea noilor aplicaii, de a soluiona
problemele aprute n funcionarea aplicaiilor.

Obiectivele aciunii de auditare au urmrit:

Tipul de auditare - audit de conformitate/regularitate.
Tehnici de audit intern utilizate:
- verificarea se realizeaz n vederea asigurrii validitii, realitii i acurateei nregistrrilor n
contabilitate a documentelor i a concordanei cu legile i regulamentele n vigoare, precum i a eficacitii
controlului intern prin cu ajutorul urmtoarele tehnici de verificare:
a) comparaia: pentru confirmarea identitii unor informaii, dup obinerea lor din dou sau
mai multe surse diferite;
b) examinarea: pentru detectarea erorilor i/sau iregularitilor;
c) recalcularea: verificarea algoritmilor de calcul i a calculelor matematice;
d) punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de
nregistrri;
e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul
validrii acestora;
f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea
261
nregistrrilor spre documentele justificative;
g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru
verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au
fost nregistrate.

- observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i
formeaz o imagine de ansamblu asupra structurii auditate;
- interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor
auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru
eventualele explicaii suplimentare se solicit note de relaii;
- analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate,
cuantificate i msurate distinct.

Instrumentele de audit intern utilizate:
- Chestionarul de luare la cunotin - CLC: pentru obinerea unor informaii referitoare la
contextul socio-economic, organizare intern, funcionarea entitii/structurii auditate;
- Chestionarul de control intern - CCI: orienteaz auditorii interni n activitatea de
identificare obiectiv a disfunciunilor i cauzelor reale ale acestora. Acesta a fost utilizat pentru evaluarea
instrumentelor de control existente, mpreun cu alte informaii relevante pentru audit, pe parcursul
desfurrii misiunii de audit intern;
- List de verificare - LV: pentru stabilirea condiiilor de regularitate pe care trebuie s le
ndeplineasc fiecare domeniu auditabil. Cuprinde un set de operaii ce trebuie parcurse de auditor pentru a
analiza activitile de control intern ncorporate n proceduri, existena responsabilitilor pentru efectuarea
acestora i permite stabilirea testelor de conformitate atunci cnd sunt semnalate diferite disfuncionaliti;
- Fia de identificare i analiz a problemelor FIAP: ntocmit pentru fiecare
disfuncionalitate constatat;
- Formularul de constatare i raportare a iregularitilor FCRI: ntocmit cu scopul de a
informa conducerea direciei cu privire la iregularitatea constat.

Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat
documentaia aferent perioadei auditate, respectiv 01.01.2008 30.06.2009, care a cuprins urmtoarele:
- legi i regulamente aplicabile structurii auditate;
- strategia n domeniul IT;
- organigrama Direciei IT;
- Regulamentul de Organizare i Funcionare;
- Fiele posturilor;
- Proceduri operaionale de lucru;
- Rapoarte de evaluare;
- Liste de achiziii n domeniul IT;
- aplicaii informatic;
- programe informatice achiziionate;
- Planul privind continuitatea activitilor, etc.

Documente i materiale ntocmite pe timpul auditrii:
- documentaia aferent analizei riscurilor;
- tabelul puncte tari i puncte slabe;
- tematica n detaliu a misiunii de audit intern;
- programul de audit intern;
- liste de verificare structurate pe obiective;
- foi de lucru pentru stabilirea eantioanelor;
- chestionare de control intern;
- teste;
- liste de control;
- fie de identificare i analiz a problemelor constatate - FIAP-uri;
- formulare de constatare i raportare a iregularitilor - FCRI-uri;
- proiectul raportul de audit intern;
262
- minutele edinelor de deschidere, de nchidere i de conciliere;
- Raportul de audit intern;
- planul de aciune i calendarul de implementare a recomandrilor;
- fia de urmrire a implementrilor recomandrilor.
- foi de lucru privind descrierea activitilor auditate;
- documente de lucru;
- note de relaii;
- interviuri.

Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4
posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar
conform organigramei i Regulamentului de organizare i funcionare.
Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de
subordonare i de colaborare, precum i sarcinile de serviciu.

II. CONSTATRI

II. CONSTATRI I RECOMANDRI

Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n
perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor
semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de
management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.

Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE

1.1. Strategia IT este concordan cu scopurile organizaiei


Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor
informatice.
Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv
i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la
dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem
informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.
Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul
dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i
elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast
comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza
realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu
privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza
raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de
implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente,
care au influen n decizia managerial i dezvoltarea strategic.
Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea
IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden
unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu
au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au
263
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit
proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la
proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii,
astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt
ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul
soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din
cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor
tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare
a achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest
program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n
testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a
proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest
caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul
organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma
evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea
s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au
legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea
proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de
realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic
Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare
strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii

Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de
dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
i) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia;
j) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de
aciune stabilite la nivelul organizaiei;
k) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i
implementrii strategiei;
l) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care
se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n
vedere urmtoarelor etape:
g) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o
anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei
analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode
statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor
specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea
structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
h) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea;
i) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
264
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s
putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le
obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost
implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat
n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la
nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia
astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate
i la atingerea obiectivelor strategice ale organizaiei.
n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul
de fundamentare a necesarului de resurse pentru elaborarea strategiei.

Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii
funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint
exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia.
n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c
acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care
dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea
coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale
organizatorice ntr-o viziune optimizant pe termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic,
tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de
obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de
realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la
implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul
economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o
dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici,
cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru
dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n
condiii de performan, la obinerea impactului definit de obiectivele strategice.
Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de
organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.

1.2. Planurile IT se adreseaz ntregii organizaii

Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea
265
de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin
atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n
cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a
nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea
competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce
a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului
anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul
de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au
pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor
angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori
deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru
implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a
normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei,
importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor
generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii
i resursele interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate
corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura
competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din
noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului
funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de
mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile
de atingere a obiectivelor planului.
Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a
salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate
s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate
corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele
necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii
planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite.

1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt
alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a
recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n
privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu
266
au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor.
Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu
cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.

1.3. Obiectivele IT ndeplinesc obiectivele organizaiei


1.4. Comitetul IT determin strategia IT

1.4.1. Comitetul IT transpune strategia n planuri pe termen scurt i pe
termen mediu
.

1.4.2. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea
sistemelor i activitilor realizate
.

1.5. Organizarea IT corespunde necesitilor organizaiei


1.5.2. Adecvarea practicilor i procedurilor IT la procesele existente
..

1.6. Elaborarea strategiei IT corespunde strategiei entitii

1.6.1. Dotarea actual cu tehnic de calcul a stat la baza strategiei IT
..

2. ORGANIYAREA I FUNCIONAREA DEPARTAMENTULUI IT

2.1. Definirea atribuiilor i activitilor

2.1.1. Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT
Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de
competen privind realizarea activitilor i aciunilor repartizate.
Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de
realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin
modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale
sau avnd caracter de activitate.
n acest sens s-a recomandat contientizarea managementului responsabil cu procesul de stabilire
i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a
unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea
activitilor.

267
Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii
acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a
muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri)
i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv
specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni
concrete de realizare a acestora, fie indic o aciune comun de realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate
aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care
asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea
dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i
probleme semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i
stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv.
Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a
activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s
redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se
asigure c obiectivele vor fi realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii
rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.

2.2. Stabilirea structurii organizatorice


Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia
nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea
departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor
de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare
este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct
al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat
directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor
efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare
a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de
informaii i date ntre structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n
cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel
ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor
i relaiilor ierarhice.
Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare
i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n
totalitate activitile desfurate.

Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au
coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel
salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu
privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
268
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite
cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial.
Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.

Departamentului IT
Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu
este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele
de control intern implementate pentru limitarea acestora.
Pentru aceast deficien s-a recomandat elaborarea mecanismelor procedurale i metodologice
privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control
pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul
acceptabil.
Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce
trebuie alocate n vederea atingerii obiectivelor.
Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele
activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale
performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale
sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra
tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i
contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate
stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au
fost delegate n responsabilitatea unor posturi inferioare.
Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor
identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri
de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn,
detecteze i s corecteze n mod eficient denaturrile semnificative.

n acelai timp din analiza efectuat a mai rezultat c la nivelul departamentului nu este organizat i
nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt
monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului

2.3. Stabilirea responsabilitilor


Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de
scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza
fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa
orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i
competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel
al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al
269
studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece
persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea
de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit
cunotine IT de nivel superior i chiar anumite specializri.
Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i

Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme
i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma
unei relaii funcionale sau avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte
structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia
funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n
realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate
la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n
utilizarea echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie,
ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul
departamentului IT.
n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul
documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale
pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.

3. OPERAII ALE SISTEMULUI INFORMATIC

3.1. Managementul operaiunilor

Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii
legate de gestionarea acestora, astfel:
- n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de
auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce
altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne),
fiind utilizate n proporie de max. 10-15%.
- echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind
restricionat.
- n urma inventarierii interveniilor efectuate asupra computerelor, imprimantelor i
copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au
fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n
majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective.
- analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul
proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului
specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme
i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc.
- Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i
programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a
constatat c o anumit parte din aceste verificri se realizeaz manual.
Pentru deficienele constatate s-a recomandat urmtoarele:
- implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de
gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT
i resursele alocate acestor scopuri.
270
- mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat.
- procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp
stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens.
- constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea
operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de
specializate.
- elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile
efectuate asupra operaiilor informatice.

administratorilor

3.1.3. Elaborarea planului anual de activitate
..

3.2. Managementul problemelor


Din analiz s-a constatat neaplicarea n mod unitar a politicii de securitate IT, care a condus la
infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a
verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2
departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua
calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i,
n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece
se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Urmare acestei
constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c
toate erau infectate cu virui.
Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de


Din analiza efectuat a rezultat c, subsistemele IT nu au fost realizate la termenele stabilite. Astfel,
analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul
ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui
s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja
existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate.
ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor
departamente, deoarece datele i informaiile sunt reluate i introduse manual.
Pentru deficienele constatate s-a recomandat analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate
numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac
exista resursele necesare aprobate prin buget.

3.3. Funcionalitatea Departamentului IT

271
.

.

3.4. Mentenana echipamentelor


.


3.5.1. Realizarea eficient a operaiilor n cadrul Departamentului IT
.

.

Din evaluare, auditorii interni au mai constatat c nu exist un sistem de controale generale care s fie
avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor
IT ce ruleaz pe echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii
(ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt
complete;
Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate

4. SECURITATEA INFORMAIEI

4.1. Organizarea securitii informaiilor


.

4.1.3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii
autorizai
.


272
.



4.3. Asigurarea funcionrii programelor i aplicaiilor

4.3.1. Asigurarea introducerii corecte a datelor
..


4.3.3. Asigurarea securitii datelor i documentelor
Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile
specifice privind asigurarea securitii reelelor, astfel:
- la nivelul departamentului IT au fost ntocmite hri privind infrastructura reelelor IT, ns una
din cele 3 hri cuprinse n eantion nu fusese actualizat, astfel nct aplicaiile copiate pe un numr de 4
sisteme nu au fost protejate prin intermediul programelor antivirus. De asemenea, aplicaiile contabile au
fost copiate de pe unul din calculatoarele existente, fr a se proceda la instalarea acestora de ctre
personalul specializat din cadrul departamentului IT, ocazie cu care nu au putut fi asigurata integritatea
tuturor modulelor.
- dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n
parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei
acestora n vederea alocrii corespunztoare a resurselor de securitate.
- la nivelul entitii s-a procedat la identificarea i nlturarea celor mai critice vulnerabiliti ale
reelelor, ns nu a fost avut n vedere un sistem de management al vulnerabilitilor, la cel mai profund
nivel, actualizat, care s permit identificarea precis i cuprinztoare a ultimilor vulnerabiliti ale
sistemului sau a greelilor de configurare, bazndu-se pe informaii precise i configuraii de sistem i de
reea adecvate.
- administratorii de sistem au procedat la ntocmirea de rapoarte care detaliaz nivelul critic al
vulnerabilitilor i au furnizat soluii de remediere ns informaiile nu au fost strnse, adaptate i prezentate
acelor persoane care decid asupra situaiei securitii n cadrul entitii publice. Astfel, conducerea entitii
nu a avut la dispoziie informaiile necesare cuantificrii efortului necesar pentru asigurarea securitii
reelelor.
Pentru remedierea deficienelor constatate au fost formulate urmtoarele recomandri:
1. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n
timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct
riscuri;
2. Prioritizare i a aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse
considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat;
3. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis,
cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
4. Toate rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie
corelate i aduse la cunotina conducerii entitii publice.

4.4. Implementarea instrumentelor de control

273
Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole.
La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost
stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a
imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului
de management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele
hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a
constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei,
fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i
implementarea de programe antivirus adecvate.
La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea
au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau
care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul
acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi
sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii
(tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n
ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n
vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul
serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate
ca i sistemul integrat privind conducerea organizaiei.
Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul
vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate
persoanelor cu responsabiliti decizionale asupra securitii informaionale.
Recomandrile formulate au fcut referire la prioritizarea aplicaiilor informatice, n funcie de
importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare.
Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse

4.4.2. Introducerea instrumentelor de control fizic asupra echipamentelor IT al
aplicaiilor
Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor.
Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul
necontrolat la cele trei locaii selectate att a persoanelor din cadrul altor departamente ct i a altor persoane
din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate.
Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt
echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei
autorizaii scrise.
Pentru deficienele constatate s-a recomandat introducerea de instrumente de control adecvate
astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile



274


4.6.1. Utilizatori au parole de acces individuale
Din verificarea efectuata a rezultat c nu exist o securitate a sistemului informatic i un responsabil
cu administrarea acestui sistem.
Recomandarea s-a referit la stabilirea unei persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de acces.

..





5. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR

5.1. Proiectarea i elaborarea programelor i aplicaiilor

5.1.1. Achiziia programelor informatice
.

.

.

5.2. Testarea i implementarea programelor i aplicaiilor


5.2.2. Asigurarea corectitudini rezultatelor
Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n
care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care
pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere;
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de
sortare, fuziune, ventilare;
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele
ntr-o manier global;
275
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli
utilizatori doresc s modifice simultan aceleai date;
- dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de
corecturi n programele de calculator;
- fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se
modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n
toate fiierele de date.
Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv
un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor
n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional
prelucrabil ntr-un sistem de calcul.

6. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT



6.2. Implementarea i funcionarea programelor i aplicaiilor

.

6.2.2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametri optimi

Din evaluarea realizat s-a constatat utilizarea n cadrul entitii publice a unor programe software fr
licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au
constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca
pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd
CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Pentru remedierea deficienelor constatate s-a recomandat inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor
programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize
complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii
programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.

7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIE A UNEI
REELE

7.1. Proiectarea, instalarea i administrarea reelei de calculatoare

..

.

276
7.2. Interconectarea i securitatea reelei


Din evaluare s-a constatat neutilizarea unui singur nume de utilizator i unei singure parole pentru
accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura
sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole
diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite:
nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de
subsistemul IT la care se conecteaz angajatul.
Pentru aceasta s-a recomandat realizarea unui proces de reenginering la nivelul sistemului IT din
cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un
singur nume de utilizator i o singur parol;

III. CONCLUZII

Echipa de auditori pe baza testrilor i analizelor efectuate evalueaz Activitatea de stabilire i
colectare a impozitelor i taxelor locale din entitatea auditat conform grilei:

APRECIERE
Nr..
Crt.
OBIECTIVUL
FUNCIONAL
DE
MBUNTIT
CRITIC
1. Strategia i planificarea sistemelor
informatice;
X
2. Organizarea i funcionarea
departamentului IT;
X
3. Operaii ale sistemului informatic; X
4. Securitatea informaiilor; X
5. Testarea programelor i aplicaiilor; X
6. Elaborarea i implementarea proiectelor
IT;
X
7. Proiectarea i meninerea n funciune a
unei reele.
X

Precizm, faptul c constatrile prezentate au la baz probe de audit obinute pe baza testelor
efectuate consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre factorii
de management ai entitii. Aceste evaluri au la baz discuiile care au avut loc cu privire la recomandrile
auditorilor n edinele de nchidere i conciliere ale misiunii, apreciate de ctre participanii la aceste edine,
ca fiind realiste i fezabile, i materializate n minutele edinelor de nchidere i conciliere.
Considerm c rezultatele evalurii auditorilor interni privind Activitatea privind tehnologia
informaiei se nscrie n parametri normali pentru aceast perioad de introducere a auditului intern n
entiti. De asemenea, prin implementarea recomandrilor echipei de auditori activitatea de stabilire i
colectare a impozitelor i taxelor locale va cunoate o ameliorare semnificativ.
Structura auditat are obligaia s ntocmeasc Programul de aciune i Calendarul implementrii
recomandrilor i s raporteze periodic echipei de auditori stadiul implementrii acestora.
Prezentul Raport de audit intern a fost ntocmit n baza Tematicii n detaliu a obiectelor auditabile
selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor efectuate n
timpul etapei de colectrii i prelucrrii informaiilor i n timpul Intervenie la fata locului. Toate
constatrile efectuate au la baz probe de audit realizate prin teste, interviuri, liste de control, note de relaii
i n urma analizei i interpretrii acestora s-au elaborat FIAP-uri i FCRI-uri care au condus la concluziile
cuprinse n Raportul de audit intern.

277

Data: 28.10.2009

Auditori interni, Supervizor,
Radu George

Not:
Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului
general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n
urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit
utilizate.
La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele
de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte
documente de lucru.

278

Procedura P15: ELABORAREA RAPORTULUI DE AUDIT INTERN

S I N T E Z A

RAPORTULUI DE AUDIT INTERN

I. INTRODUCERE

Misiunea de audit intern privind Activitatea de tehnologia informaiei din cadrul entitii publice s-a desfurat
conform prevederilor Legii nr. 672/2002 privind auditul public intern, cu modificrile i completrile ulterioare,
OMFP nr. 38/2003 de aprobare a Normelor generale privind exercitarea activitii de audit intern, a Normelor specifice
proprii de audit intern aprobate de conducere i a Planului de audit intern pe anul 2009, i a fost realizata de:
Popescu Sorin - auditor superior, coordonator echip
Radu George - auditor superior
Dumitru Daniel - supervizor.

II. CONCLUZII

APRECIERE
Nr..
Crt.
OBIECTIVUL
FUNCIONAL
DE
MBUNTIT
CRITIC
1. Strategia i planificarea sistemelor
informatice;
X
2. Organizarea i funcionarea
departamentului IT;
X
3. Operaii ale sistemului informatic; X
4. Securitatea informaiilor; X
5. Testarea programelor i aplicaiilor; X
6. Elaborarea i implementarea proiectelor
IT;
X
7. Proiectarea i meninerea n funciune a
unei reele.
X

III. CONSTATRI i RECOMANDRI

Principalele constatri i recomandri rezultate n urma evalurii:

1. Constatri: Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i
aplicaiilor informatice.
Recomandare: Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea
acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea
periodic a conducerii asupra realizrii acestora.

279
2. Constatri: La elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere evaluarea
situaiei actuale pe baza analizei diagnostic, identificarea punctelor tari i a punctelor slabe ale entitii i
fundamentarea variantelor strategice
Recomandri: Pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre
managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n
conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s
contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor
strategice ale organizaiei. n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de
lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei.

3. Constatri: Obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii funcionale
i nu contribuie la asigurarea realizrii mandatului organizaiei. Acestea reprezint exprimrile cantitative i
calitative ale scopului pentru care exist i funcioneaz organizaia.
Recomandri: Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale
sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont
de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea

4. Constatri: Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n totalitate, n
mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n cadrul compartimentelor n
corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri,
obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena necesar, n special a
celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor
competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea
activitilor. Activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
Recomandri: Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia
specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru
dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile
necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul
compartimentelor. Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii
economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor
necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura
ncadrarea n limitele stabilite.

5. Constatri: Departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
Recomandare: Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin
proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la
nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.

6. Constatri: Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna
aria de competen privind realizarea activitilor i aciunilor repartizate.
Recomandare: Contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor
prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set
de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor.

7. Constatri: Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea
complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
Recomandri: Realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s
stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei
managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate.

280
8. Constatri: Organigrama ca document prin care se relev grafic structura organizaiei i substructurile
acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n
subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici
nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a
raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de
subordonare, potrivit organigramei, Recomandare: Pentru remedierea deficienelor constatate s-a
recomandat analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor
definite departamentului astfel nct s acopere n totalitate activitile desfurate.

9. Constatri: Persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel
activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la
modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de
realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n funcie
de cunotinele i aptitudinile pe care le deineau.
Recomandare: Desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere
existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein
abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au
pregtirea de baz, de nivel superior, n domeniul IT.

10. Constatare: Riscurile nu sunt identificate i gestionate la nivelul departamentului i nu este condus
Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele de control
intern implementate pentru limitarea acestora.
Recomandare: Elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i
gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri
acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil.

11. Constatare: Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de
control ce trebuie alocate n vederea atingerii obiectivelor.
Recomandare: Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente
riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau
msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s
previn, detecteze i s corecteze n mod eficient denaturrile semnificative.

12. Constatare: La nivelul departamentului nu este organizat i nu se conduce registrul riscurilor. Riscurile
cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i
meninerii lor la un nivel acceptabil.
Recomandare: Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului

13. Constatare: Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine
cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia.
Recomandare: Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i

13. Constatare: Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i
nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul
general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma unei
relaii funcionale sau avnd caracter de activitate sau sarcin. Nu sunt definite n cadrul ROF-ului la
capitolul privind departamentul IT relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib
relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii
informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i
informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din
cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare.
Recomandare: n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n
cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor
funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.

281
14. Constatare: Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n
disfuncii legate de gestionarea acestora.
Recomandare: Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie
de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile
IT i resursele alocate acestor scopuri. Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii
sau accesului neautorizat. Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea
i rezolvarea operativ a problemelor de ordin tehnic, care s asigure i acordarea suportului tehnic de
specializate.

15. Constatare: Neaplicarea n mod unitar a politicii de securitate IT, care a condus la infectarea cu virui a
unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a verificat 5 de staii de
lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2 departamente din
cadrul entitii publice configuraia programului anti-virus pentru un numr de doua calculatoare a fost
modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a
fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera
c programul anti-virus are un efect negativ asupra performanei sistemului.
Recomandare: Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de

16. Constatare: Subsistemele IT nu au fost realizate la termenele stabilite. Astfel, analiza implementrii
subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite
pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile
aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au
nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Recomandare: Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor
financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii
acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja
implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget.

17. Constatare: Nu exist un sistem de controale generale care s fie avute n vedere n cadrul procesului
de proiectare, realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe echipamentele
entitii publice.
Recomandare: Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate

18. Constatare: Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect
procedurile specifice privind asigurarea securitii reelelor.
Recomandare: Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea
n timp util a situaiilor privind reelele IT. Tratarea securitii reelelor ca pe un proces continuu, astfel nct
riscuri. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis, cuprinztor
i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.

19. Constatare: Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole. La nivelul entitii au fost
elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor,
sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte
dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii
reelelor din cadrul entitii.
Recomandare: Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu.
Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i
282
greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma
identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii
organizaiei.

20. Constatri: Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea
echipamentelor.
Recomandare: Introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele
sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie
supravegheat in totalitate.

21. Constatri: Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui
responsabil cu verificarea schimbrii periodice a parolelor de acces.
Recomandare: Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului informatic,
precum i stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a
schimbrii periodice a parolelor de acces.

22. Constatare: Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a
acestora. Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n
secvena n care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a
nregistrrii.
Recomandare: Organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin
cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor:
definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene; stabilirea legturilor ntre
date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat, precum i
memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul.

23. Constatri: Utilizarea n cadrul entitii publice a unor programe software fr licen. Astfel, cu toate
c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au constatat c n cadrul
unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea
public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd CD-uri piratate.
Recomandare: Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea
programelor fr licen i dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office.
Totodat, s-a recomandat i realizarea unei analize complexe n urma creia managementul entitii publice
s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de
licene Microsoft Office.

24. Constatare: Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul
IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu,
trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT
este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i
parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care
se conecteaz angajatul.
Recomandare: Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice,
astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator
i o singur parol;

In ncheiere, consideram necesara implicarea colectivului n analiza i implementarea
recomandrilor propuse i a aciunilor discutate i informarea sistematica asupra evoluiei
acestora, att a managementului general, cat i a echipei de auditori interni.

Radu George

283
Procedura P18: URMRIREA RECOMANDRILOR

Entitatea Public

FIA DE URMRIRE A RECOMANDRILOR


RECOMANDAREA
Serviciul de Audit Intern Sfrit de lun

Misiunea de audit intern:
Stabilirea i colectarea
impozitelor i taxelor locale
Raport de audit
intern nr.
234532/
14.07.2010
Nr.
crt.
Recomandarea
I
m
p
l
e
m
e
n
t
a
t

P
a
r
i
a
l

i
m
p
l
e
m
e
n
t
a
t

N
e
i
m
p
l
e
m
e
n
t
a
t

Data planificat/
Data implementrii
1 Reanalizarea atribuiilor Comisiei de planificare strategic n
domeniul IT i redefinirea acestora astfel nct s poat realiza
i monitorizarea implementrii proiectelor informatice i
informarea periodic a conducerii asupra realizrii acestora.
X 31.12.2009
2 Pregtirea profesional anticipat a personalului implicat n
elaborarea strategiei, de ctre managementul responsabil cu
aceasta. Reanalizarea strategiei definite la nivelul structurii
funcionale n conformitate cu procedura operaional
aprobat i actualizarea acesteia astfel nct implementarea sa
s contribuie la realizarea unui management modern in
domeniul de activitate i la atingerea obiectivelor strategice
ale organizaiei.
mbuntirea procedurilor operaionale de lucru privind
sistemul de fundamentare a necesarului de resurse pentru
elaborarea strategiei.
X 31.03.2010
3 Evaluarea performanelor actuale ale sistemului de organizare
i conducere a activitilor desfurate n cadrul structurii
funcionale, innd cont de influena factorilor de mediu,
interni i externi, n vederea redefinirii obiectivelor strategice.
Implicarea managementului pentru ca obiectivele strategice
redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai,
stabilite de metodologie. Totodat, la redefinirea acestora se
va urmri asigurarea resurselor necesare implementrii lor.
X 31.12.2009
4 Dezvoltarea unui sistem de instruire i pregtire a salariailor
astfel nct metodologia specific domeniului de activitate,
normativ i procedural, s fie aplicat corespunztor pentru
dezvoltarea i implementarea planurilor anuale. n baza
planurilor elaborate s se identifice toate atribuiile necesare
pentru atingerea obiectivelor stabilite, iar acestea s fie
repartizate corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii
resurselor umane pentru a obine competenele necesare
creterii economice n condiiile n care au loc reduceri de
personal, precum i evaluarea cuprinztoare a resurselor
X 31.12.2009
284
(financiare, instituionale, programe, personal) necesare
implementrii planurilor anuale de activitate i monitorizarea
eficient pentru a se asigura ncadrarea n limitele stabilite.
5 Coroborarea atribuiilor prezentate prin proceduri cu cele
stabilite prin fiele posturilor i inventarierea stadiului
implementrii subsistemelor IT la nivelul departamentelor
entitii publice i stabilirea necesitilor IT care trebuie
incluse n strategia IT.
X 31.12.2009
6 Contientizarea managementului responsabil cu procesul de
stabilire i definire a atribuiilor prin informri i consilieri
pentru clarificarea modalitilor practice de definire a unei
atribuii sau unui set de atribuii pentru asigurarea ariei de
competen necesar pentru realizarea activitilor.
X 31.12.2009
7 Realizarea unei analize riguroase a sarcinilor i
responsabilitilor fiecrui angajat, care s stea la baza oricrei
iniiative de organizare a activitii. Constituirea unei echipe,
pe baza deciziei managementului general, care s analizeze i
s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c
obiectivele vor fi realizate n totalitate. La stabilirea
obiectivelor se va urmri dac sunt ataate toate activitile
necesare obinerii rezultatelor stabilite, realizate efectiv n
cadrul compartimentului, formulate ca aciuni concrete.
X 31.03.2010
8 Analiza actului normativ de organizare i funcionare a
organizaiei i urmrirea atribuiilor definite departamentului
astfel nct s acopere n totalitate activitile desfurate.
X 31.12.2009
9 Desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul
departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale
necesare realizrii activitilor specifice celor dou servicii i
dac au pregtirea de baz, de nivel superior, n domeniul IT.
X 31.03.2010
10 Elaborarea mecanismelor procedurale i metodologice privind
identificarea riscurilor i gestionarea acestora, evaluarea
riscurilor identificate i diferenierea acestora n riscuri
inerente i riscuri acceptabile, precum i implementarea de
instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s
devin unul acceptabil.
X 31.03.2010
11 Stabilirea controalelor interne aferente riscurilor identificate i
determinarea gradului de funcionalitate al acestora i
proiectarea de instrumente sau msuri de introducere de
controale interne, fie individuale, fie n combinaie cu alte
controale, capabile s previn, detecteze i s corecteze n
mod eficient denaturrile semnificative.
X 31.12.2009
12 Analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului,
respectiv nivelul postului i urmrirea definirii aceluiai gen
de sarcini i atribuii numai dac posturile sunt de acelai
nivel.
X 31.12.2009
13 Identificarea i definirea corect n cadrul documentului de
organizare i funcionare, a atribuiilor specifice
departamentului, a relaiilor funcionale pe care
compartimentul la are cu alte structuri funcionale din cadrul
organizaiei.
X 31.12.2009
14 Implementarea unei aplicaii care s monitorizeze alocarea i
utilizarea resurselor n funcie de gradul de complexitate al
operaiilor efectuate. Urmrirea n permanen a echilibrului
ntre necesitile IT i resursele alocate acestor scopuri.
Protejarea mediile sau locaiile de stocare mpotriva
deteriorrii sau accesului neautorizat.
Realizarea corect i la intervale de timp stabilite n funcie de
X 31.03.2010
285
specificul fiecrei componente, numai de ctre personal
autorizat n acest sens, a procedurilor de mentenan a
echipamentelor s fie
Constituirea n cadrul departamentului IT a unui colectiv
specializat n raportarea i rezolvarea operativ a problemelor
de ordin tehnic (Help Desk), care s asigure i acordarea
suportului tehnic de specialitate ctre utilizatori, fie prin linii
telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
Elaborarea i implementarea unor programe care s
automatizeze pe ct posibil verificrile efectuate asupra
operaiilor informatice.
15 Constituirea unor echipe pentru efectuarea de verificri anti-
virus la nivelul tuturor staiilor de lucru din cadrul entitii
publice, configurarea corecta n cazurile n care aceste
programe au fost dezactivate, stabilirea de responsabiliti n
cazul n care acestea sunt dezactivate i produc disfuncii n
cadrul organizaiei.
X 31.12.2009
16 Analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru
finalizarea acestora, stabilirea de termene de finalizare i
urmrirea respectrii acestora. Noile aplicaii i programe vor
fi aprobate i achiziionate numai dac sunt compatibile cu
cele deja implementate sau aflate n faza de implementare i
numai dac exista resursele necesare aprobate prin buget.
X 31.-03.2010
17 Identificarea riscurilor care guverneaz toate subsistemele IT,
stabilirea controalelor interne care ar trebui s existe pentru ca
acestea s funcioneze corect, urmrirea controalelor interne
care exist i funcioneaz, identificarea i implementarea de
instrumente de control pentru controalele interne care nu sunt
X 31.12.2009
18 Implementarea procedurilor operaionale de lucru cu elemente
care s asigure actualizarea n timp util a situaiilor privind
reelele IT; Tratarea securitii reelelor ca pe un proces
continuu, astfel nct schimbrile n cadrul utilizatorilor,
echipamentelor sau aplicaiilor s se realizeze evitnd
expunerile la riscuri;
Prioritizarea aplicaiilor informatice, n funcie de importana
acestora, n vederea alocrii corespunztoare a msurilor de
securitate, avnd n vedere c acestea necesit de cele mai
multe ori resurse considerabile, care trebuie s fie direct
proporionale cu valoarea datelor sau echipamentelor de
protejat;
Implementarea unui sistem de management al
vulnerabilitilor, care s identifice precis, cuprinztor i
actualizat la zi, ultimele vulnerabiliti ale sistemului sau a
greelilor de configurare.
Corelarea rapoartelor ntocmite n urma identificrii i
soluionrii vulnerabilitilor reelelor i aducerea lor la
cunotina conducerii entitii publice.
X 31.03.2010
19 Prioritizarea aplicaiilor informatice, n funcie de importana
acestora, n vederea alocrii corespunztoare a msurilor de
securitate i tratarea securitii reelelor ca pe un proces
continuu. Implementarea unui sistem de management al
vulnerabilitilor, care s identifice vulnerabilitile i
greelile de configurare i s dispun msurile operative de
soluionare. Rapoartele ntocmite n urma identificrii i
soluionrii vulnerabilitilor reelelor s fie corelate i aduse
X 31.12.2009
20 Introducerea de instrumente de control adecvate astfel incit
orice acces la echipamentele sau datele si informaiile
organizaiei sa fie limitat, sau in cazurile in care acesta este
permis sa fie supravegheat in totalitate.
X 31.12.2009
286
21 Schimbarea sistematic a parolelor de acces de ctre
utilizatorii sistemului informatic, precum i stabilirea unei
persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de
acces.
X 31.12.2009
22 Organizarea datelor n baze de date, respectiv un fiier format
din nregistrri, care conin cmpuri i operaii de cutare,
sortare sau recombinare. Pentru aceasta este necesar realizarea
urmtoarelor: definirea, structurarea, ordonarea i gruparea
datelor n colecii de date omogene; stabilirea legturilor ntre
date, ntre elementele unei colecii de date i ntre coleciile de
date, dup o ierarhie bine precizat, precum i memorarea
datelor pe un suport informaional prelucrabil ntr-un sistem
de calcul.
X 31.03.2010
23 Inventarierea tuturor staiilor de lucru pentru a stabili situaia
real privind utilizarea programelor fr licen i
dezinstalarea tuturor programelor neliceniate din pachetul
Microsoft Office. Totodat, s-a recomandat i realizarea unei
analize complexe n urma creia managementul entitii
publice s decid asupra oportunitii schimbrii programelor
existente i achiziionarea unui numr adecvat de licene
Microsoft Office.
X 31.12.2009
24 Realizarea unui proces de reenginering la nivelul sistemului
IT din cadrul entitii publice, astfel nct salariaii s poat
accesa subsistemele IT de care au nevoie utiliznd un singur
nume de utilizator i o singur parol;
X 31.03.2010

Instruciuni
1. Introducei recomandrile de audit dup cum
sunt prezentate n Raportul de audit intern.
2. Verificai coloana corespunztoare:
implementat, parial implementat, neimplementat
3. Introducei data planificat pentru implementare
n Raportul de audit intern i data implementrii

Structura auditat: Departamentul Tehnologia
Informaiei
Data: 28.10.2009
Semntura conductorului .

Auditori: Popescu Sorin/ Radu George
Data i semntura

Radu George

Not:
Aceast etap a misiunii de audit presupune asigurarea c recomandrile din raportul de audit intern
sunt implementate ntocmai la termenele stabilite i n mod eficace, iar conducerea a evaluat riscul de
neaplicare a acestor recomandri.
Structura de audit intern va evalua eficacitatea i oportunitatea aciunilor stabilite i ntreprinse n
vederea implementrii recomandrilor, respectarea termenelor i va determina progresele nregistrate de
structura auditat i modul de mbuntire a activitilor stabilind valoarea nou creat de auditul intern.
Responsabilul entitii auditate asigur monitorizarea implementrii planului de aciune i l
informeaz periodic pe auditor.
Responsabilul din cadrul structurii de audit intern cu urmrirea recomandrilor trebuie s
implementeze i s actualizeze un proces de urmrire a implementrii recomandrilor care s permit
supravegherea i s garanteze c msurile au fost efectiv implementate de ctre management

287
Procedura P18: URMRIREA RECOMANDRILOR

Entitatea public
Serviciul audit intern

PLANUL DE ACIUNE I CALENDARUL
IMPLEMENTRII RECOMANDRILOR

Nr.
crt.
Recomandarea Plan de aciune
Calendar
implementa
re
Responsabil
cu
implementar
ea
1. Reanalizarea atribuiilor Comisiei de
planificare strategic n domeniul IT i
redefinirea acestora astfel nct s poat
realiza i monitorizarea implementrii
proiectelor informatice i informarea
periodic a conducerii asupra realizrii
acestora.
Identificarea atribuiilor Comisiei
de planificare strategic
Revizuirea atribuiilor i includerea
de atribuii i cu privire la
monitorizarea implementrii
proiectelor informatice, precum i
cu privire la raportarea stadiilor de
realizare.
Cuprinderea acestor atribuii n
cadrul procedurilor de lucru.
31.12.2009
eful Depart.
IT
2. Pregtirea profesional anticipat a
personalului implicat n elaborarea
strategiei, de ctre managementul
responsabil cu aceasta. Reanalizarea
strategiei definite la nivelul structurii
funcionale n conformitate cu procedura
operaional aprobat i actualizarea
acesteia astfel nct implementarea sa s
contribuie la realizarea unui management
modern in domeniul de activitate i la
atingerea obiectivelor strategice ale
organizaiei.
mbuntirea procedurilor operaionale de
lucru privind sistemul de fundamentare a
necesarului de resurse pentru elaborarea
strategiei.
Stabilirea temei de curs
Elaborarea cursului
Stabilirea grupului int
Organizarea i desfurarea
cursului
Revizuirea strategiei
Actualizarea strategiei
Revizuirea procedurilor de lucru
privind fundamentarea i
elaborarea strategiei IT
31.03.2010
eful Depart.
IT
3. Evaluarea performanelor actuale ale
sistemului de organizare i conducere a
activitilor desfurate n cadrul structurii
funcionale, innd cont de influena
factorilor de mediu, interni i externi, n
vederea redefinirii obiectivelor strategice.
Implicarea managementului pentru ca
obiectivele strategice redefinite s
ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi
nelese de salariai, stabilite de
metodologie. Totodat, la redefinirea
acestora se va urmri asigurarea resurselor
necesare implementrii lor.
Realizarea analizei diagnostic la
nivelul entitii
Identificarea punctelor forte
Identificarea punctelor slabe
Identificarea oportunitilor
Identificarea ameninrilor
Identificarea factorilor de influen
interni i externi n realizarea
strategiei
Redefinirea obiectivelor strategice
Urmrirea ca obiectivele strategice
s fie realiste, mobilizatoare,
stimulative i s fie nelese de
salariaii care particip la
implementarea lor.
Identificarea i aprobarea resurselor
necesare realizrii obiectivelor
strategice.
Responsabilizarea managementului
cu privire la urmrirea i
coordonarea activitilor n vederea
31.12.2009
eful Depart.
IT
288
realizrii obiectivelor strategice
4. Dezvoltarea unui sistem de instruire i
pregtire a salariailor astfel nct
metodologia specific domeniului de
activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea
i implementarea planurilor anuale. n baza
planurilor elaborate s se identifice toate
atribuiile necesare pentru atingerea
obiectivelor stabilite, iar acestea s fie
repartizate corespunztor n cadrul
compartimentelor.
Totodat, s-a mai recomandat promovarea
dezvoltrii resurselor umane pentru a
obine competenele necesare creterii
economice n condiiile n care au loc
reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare,
instituionale, programe, personal)
necesare implementrii planurilor anuale
de activitate i monitorizarea eficient
pentru a se asigura ncadrarea n limitele
stabilite.
Identificarea temelor de curs
necesare pentru ca personalul din
cadrul departamentului IT s
deprind cunotinele necesare
realizrii sarcinilor stabilite
posturilor.
Organizarea i cuprinderea n
cadrul seminarilor a ntregului
personal din cadrul departamentului
IT n funcie de nevoile identificate
Asigurarea c temele de curs
cuprind n mod adecvat
metodologia domeniului de
activitate
Analiza comparativ a atribuiilor
stabilite posturilor i a celor
necesare realizrii obiectivelor i
urmrirea dac acestea sunt
suficiente sau este necesar
completarea lor.
Redefinirea atribuiilor acolo unde
este necesar.
Urmrirea repartizrii n mod
omogen a atribuiilor n cadrul
posturilor
Pregtirea i instruirea personalului
n vederea dezvoltrii
competenelor necesare astfel nct
s contribuie la dezvoltarea
entitii.
Reevaluarea resurselor i urmrirea
ca acestea s fie suficiente pentru
implementarea planurilor de
activitate.
Monitorizarea resurselor astfel nct
s se asigure ncadrarea n limitele
stabilite
31.12.2009
eful Depart.
IT
5. Coroborarea atribuiilor prezentate prin
proceduri cu cele stabilite prin fiele
posturilor i inventarierea stadiului
implementrii subsistemelor IT la nivelul
departamentelor entitii publice i
stabilirea necesitilor IT care trebuie
incluse n strategia IT.
Compararea atribuiilor stabilite n
fiele posturilor cu activitile i
responsabilitile definite n cadrul
procedurilor i urmrirea ca acestea
s asigure aria necesar realizrii
lor.
Inventarierea stadiului
implementrii programelor i
aplicailor IT, analiza nerealizrilor
conform programelor i stabilirea
de msuri necesare a fi cuprinse n
cadrul strategiei.
31.12.2009
eful Depart.
IT
6. Contientizarea managementului
responsabil cu procesul de stabilire i
definire a atribuiilor prin informri i
consilieri pentru clarificarea modalitilor
practice de definire a unei atribuii sau
unui set de atribuii pentru asigurarea ariei
de competen necesar pentru realizarea
activitilor.
Organizarea de grupuri de lucru n
vederea contientizrii
managementului cu privire la
definirea i stabilirea atribuiilor
31.12.2009
eful
Depart.IT
7. Realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui
angajat, care s stea la baza oricrei
iniiative de organizare a activitii.
Constituirea unei echipe, pe baza deciziei
Evaluarea sarcinilor i
responsabilitilor stabilite
posturilor
Urmrirea dac sarcinile i
responsabilitile stabilite postului
31.03.2010
eful Depart.
IT
289
managementului general, care s analizeze
i s redefineasc activitile i aciunile
realizate n cadrul compartimentelor i
serviciilor, astfel nct s se asigure c
obiectivele vor fi realizate n totalitate. La
stabilirea obiectivelor se va urmri dac
sunt ataate toate activitile necesare
obinerii rezultatelor stabilite, realizate
efectiv n cadrul compartimentului,
formulate ca aciuni concrete.
individualizeaz n mod adecvat
postul respectiv.
Numirea comisiei cu atribuii de
evaluare a activitilor stabilite
fiecrui compartimente
Examinarea dac atribuiile stabilite
comisiei sunt suficiente i adecvate
pentru a evalua dac posturile
existente contribuie n mod adecvat
la realizarea obiectivelor
8. Analiza actului normativ de organizare i
funcionare a organizaiei i urmrirea
atribuiilor definite departamentului astfel
nct s acopere n totalitate activitile
desfurate.
Examinarea ROF-ului entitii i
urmrirea dac atribuiile
menionate pentru departamentul IT
asigur aria de competen necesar
realizrii activitilor desfurate n
cadrul acestuia.
31.12.2009
eful Depart.
IT
9. Desfurarea procesului de selecie i
recrutarea n vederea ocuprii posturilor de
conducere existente la nivelul
departamentului IT. n acelai timp se va
urmri dac persoanele selectate dein
abilitile i aptitudinile manageriale
necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de
baz, de nivel superior, n domeniul IT.
Stabilirea unei proceduri de lucru
cu privire la selecia i recrutarea
personalului n cadrul
departamentului IT.
Examinarea dac persoanele
selectate n posturile de conducere
dein abiliti i aptitudini
manageriale i dac specialitatea
studiilor corespunde necesitilor
postului.
31.03.2010
eful Depart.
IT
10. Elaborarea mecanismelor procedurale i
metodologice privind identificarea
riscurilor i gestionarea acestora, evaluarea
riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri
acceptabile, precum i implementarea de
instrumente de control pentru riscurile
inerente, astfel nct manifestarea acestora
s fie limitat i nivelul acestora s devin
unul acceptabil.
Responsabilizarea persoanelor cu
privire la gestiunea riscurilor
Identificarea riscurilor n cadrul
departamentului
Evaluarea i analiza riscurilor
Tratarea riscurilor
Controlul riscurilor
31.03.2010
eful Depart.
IT
11. Stabilirea controalelor interne aferente
riscurilor identificate i determinarea
gradului de funcionalitate al acestora i
proiectarea de instrumente sau msuri de
introducere de controale interne, fie
individuale, fie n combinaie cu alte
controale, capabile s previn, detecteze i
s corecteze n mod eficient denaturrile
semnificative.
Identificarea tuturor riscurilor
inerente n cadrul departamentului
Stabilirea instrumentelor de control
necesare limitrii riscurilor
Implementarea instrumentelor de
control
Urmrirea eficienei i
funcionalitii instrumentelor de
control i dac acestea au limitat
riscul i-l menin n limite
acceptabile.
31.12.2009
eful Depart.
IT
12. Analiza sarcinilor i atribuiilor definite n
fiele posturilor i stabilirea acestora n
funcie de caracteristicile postului,
respectiv nivelul postului i urmrirea
definirii aceluiai gen de sarcini i atribuii
numai dac posturile sunt de acelai nivel.
Reevaluarea sarcinilor stabilite
fiecrui post din cadrul
departamentului
Redefinirea acestora pe posturi n
funcie de caracteristicile i
cerinele acestora
Stabilirea de sarcini fiecrui post n
funcie de nivelul postului i natura
acestuia
31.12.2009
eful Depart.
IT
13. Identificarea i definirea corect n cadrul
documentului de organizare i funcionare,
a atribuiilor specifice departamentului, a
relaiilor funcionale pe care
compartimentul la are cu alte structuri
funcionale din cadrul organizaiei.
Revizuirea atribuiilor din cadrul
ROF-ului i redefinirea n mod
adecvat a acestora
Revizuirea relaiilor funcionale n
cadrul i n afara departamentului i
redefinirea adecvat a acestora
31.12.2009
eful Depart.
IT
290
14. Implementarea unei aplicaii care s
monitorizeze alocarea i utilizarea
resurselor n funcie de gradul de
complexitate al operaiilor efectuate.
Urmrirea n permanen a echilibrului
ntre necesitile IT i resursele alocate
acestor scopuri.
Protejarea mediile sau locaiile de stocare
mpotriva deteriorrii sau accesului
neautorizat.
Realizarea corect i la intervale de timp
stabilite n funcie de specificul fiecrei
componente, numai de ctre personal
autorizat n acest sens, a procedurilor de
mentenan a echipamentelor.
Constituirea n cadrul departamentului IT a
unui colectiv specializat n raportarea i
rezolvarea operativ a problemelor de
ordin tehnic (Help Desk), care s asigure i
acordarea suportului tehnic de specialitate
ctre utilizatori, fie prin linii telefonice
dedicate, fie prin e-mail sau deplasri ale
echipelor specializate.
Elaborarea i implementarea unor
programe care s automatizeze pe ct
posibil verificrile efectuate asupra
operaiilor informatice.
Conceperea i implementarea unei
aplicaii care va monitoriza alocarea
resurselor financiare pentru fiecare
activitate desfurat i care va
genera rapoarte cu privire la
utilizarea acestora.
Analiza comparativ a resurselor
consumate pentru realizarea
activitilor, n raport cu cele
aprobate
Examinarea locaiilor de stocare a
informaiilor i urmrirea dac
exist condiii adecvate de stocare.
Crearea de aplicaii care s
prentmpine accesul neautorizat la
programe i aplicaii.
Realizarea procedurilor de
mentenan la intervalele de timp
planificate
Numirea comisiei cu atribuii n
raportarea operativ a problemelor
tehnice
Stabilirea atribuiilor comisiei
numite.
Conceperea i implementarea unei
aplicaii care s monitorizeze
operaiile efectuate n cadrul
programelor i aplicaiilor derulate
n cadrul entitii.
31.03.2010
eful Depart.
IT
15. Constituirea unor echipe pentru efectuarea
de verificri anti-virus la nivelul tuturor
staiilor de lucru din cadrul entitii
publice, configurarea corecta n cazurile n
care aceste programe au fost dezactivate,
stabilirea de responsabiliti n cazul n
care acestea sunt dezactivate i produc
disfuncii n cadrul organizaiei.
Numirea unui responsabil cu
examinarea staiilor de lucru
virusate.
Examinarea fiecrei staii de lucru
i devirusarea acestora
Configurarea programelor anti-
virus pe fiecare staie de lucru pe
baz de licen.
Stabilirea rspunderilor n sarcina
utilizatorilor n cazul n care
programele antivirus sunt
dezactivate, iar aplicaiile sau
informaiile coninute de acestea
sufer denaturri.
31.12.2009
eful Depart.
IT
16. Analiza tuturor aplicaiilor i programelor
ncepute i nefinalizate, identificarea
resurselor financiare necesare pentru
finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii
acestora. Noile aplicaii i programe vor fi
aprobate i achiziionate numai dac sunt
compatibile cu cele deja implementate sau
aflate n faza de implementare i numai
dac exista resursele necesare aprobate
prin buget.
Identificarea tuturor aplicaiilor i
programelor din cadrul entitii
ncepute i neimplementate.
Identificarea resurselor financiare
pentru implementarea lor i
aprobarea acestora.
Stabilirea de grafice de
implementare i urmrirea
implementrii acestora.
Examinarea noilor programe i
aplicaii de achiziionat.
Achiziionarea acestora numai dac
sunt compatibile cu cele existente
i contribuie la integrarea
informaiilor
31.-03.2010
eful Depart.
IT
17. Identificarea riscurilor care guverneaz
toate subsistemele IT, stabilirea
controalelor interne care ar trebui s existe
pentru ca acestea s funcioneze corect,
urmrirea controalelor interne care exist
Identificarea riscurilor aferente
subsistemelor IT
Evaluarea instrumentelor de control
existente i urmrirea dac acestea
asigur un nivel acceptat al
31.12.2009
eful Depart.
IT
291
i funcioneaz, identificarea i
implementarea de instrumente de control
pentru controalele interne care nu sunt
riscurilor
Stabilirea instrumentelor de control
de implementat astfel nct s
asigure funcionalitatea acestora
18. Implementarea procedurilor operaionale
de lucru cu elemente care s asigure
actualizarea n timp util a situaiilor
privind reelele IT; Tratarea securitii
reelelor ca pe un proces continuu, astfel
nct schimbrile n cadrul utilizatorilor,
echipamentelor sau aplicaiilor s se
realizeze evitnd expunerile la riscuri;

Revizuirea procedurilor de lucru
Elaborarea unei proceduri de lucru
cu privire la tratarea securitii
reelelor.
Securizarea tuturor aplicaiilor i
programelor cu privire la accesul la
acestea, inclusiv la informaiile
coninute.

31.03.2010
eful Depart.
IT
19 Prioritizarea aplicaiilor informatice, n
funcie de importana acestora, n vederea
alocrii corespunztoare a msurilor de
securitate i tratarea securitii reelelor ca
pe un proces continuu. Implementarea unui
sistem de management al vulnerabilitilor,
care s identifice vulnerabilitile i
greelile de configurare i s dispun
msurile operative de soluionare.
Rapoartele ntocmite n urma identificrii
i soluionrii vulnerabilitilor reelelor s
fie corelate i aduse la cunotina
conducerii organizaiei.
Elaborarea unei proceduri de lucru
cu privire la tratarea
vulnerabilitilor.
Responsabilizarea unei persoane cu
privire la tratarea vulnerabilitilor.
Analiza periodic a
vulnerabilitilor i elaborarea de
rapoarte
Informarea conducerii cu privire la
vulnerabilitile identificate i
propunerea de soluii de remediere

31.12.2009
eful Depart.
IT
20 Introducerea de instrumente de control
adecvate astfel incit orice acces la
echipamentele sau datele si informaiile
organizaiei sa fie limitat, sau in cazurile in
care acesta este permis sa fie supravegheat
in totalitate.
Examinarea tuturor echipamentelor
i aplicaiilor
Identificarea celor care nu prezint
un sistem adecvat de accesare
Stabilirea unui sistem de parole n
vederea limitrii accesului
Stabilirea accesului la informaii pe
nivele de autorizare, n funcie de
nivelul i cerinele posturilor.
31.12.2009
eful Depart.
IT
21 Schimbarea sistematic a parolelor de
acces de ctre utilizatorii sistemului
informatic, precum i stabilirea unei
persoane care s aib n responsabilitate
atribuii i competene de verificare a
schimbrii periodice a parolelor de acces.
Responsabilizarea unei persoane
care s urmreasc schimbarea
periodic a parolelor.
Urmrirea schimbrii periodice a
parolelor.
31.12.2009
eful Depart.
IT
22 Organizarea datelor n baze de date,
respectiv un fiier format din nregistrri,
care conin cmpuri i operaii de cutare,
sortare sau recombinare. Pentru aceasta
este necesar realizarea urmtoarelor:
definirea, structurarea, ordonarea i
gruparea datelor n colecii de date
omogene; stabilirea legturilor ntre date,
ntre elementele unei colecii de date i
ntre coleciile de date, dup o ierarhie bine
precizat, precum i memorarea datelor pe
un suport informaional prelucrabil ntr-un
sistem de calcul.
Revizuirea bazelor de date
constituite
Organizarea informaiilor n cadrul
acestora n mod adecvat, respectiv:
- definirea datelor coninute;
- structurarea datelor n funcie de
importan;
- ordonarea i gruparea datelor
- stabilirea legturilor ntre date i
informaii;
- stabilirea nivelurilor de acces la
date i informaii
- organizarea sistemului de
securitate, protecie i acces la
datele i informaiile stocate.
31.03.2010
eful Depart.
IT
23 Inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind
utilizarea programelor fr licen i
dezinstalarea tuturor programelor
neliceniate din pachetul Microsoft Office.
Totodat, s-a recomandat i realizarea unei
analize complexe n urma creia
Identificarea staiilor de lucru
Examinarea aplicaiilor i
programelor utilizate de fiecare
staie de lucru i stabilirea celor
care sunt utilizate fr a exista
licene.
Dezinstalarea tuturor programelor
31.12.2009
eful Depart.
IT
292

managementul entitii publice s decid
asupra oportunitii schimbrii
programelor existente i achiziionarea
unui numr adecvat de licene Microsoft
Office.
utilizate fr licene.
Instalarea de programe i aplicaii
adecvate pentru care exist licene.
Analiza eficienei i eficacitii
aplicaiilor utilizate i a
oportunitii schimbrii acestora cu
unele cu caliti i performane
ridicate.
24 Realizarea unui proces de reenginering la
nivelul sistemului IT din cadrul entitii
publice, astfel nct salariaii s poat
accesa subsistemele IT de care au nevoie
utiliznd un singur nume de utilizator i o
singur parol;
Realizarea procesului de
reenginering la nivelul
departamentului IT i asigurarea c
salariaii pot accesa subsistemele IT
utiliznd un singur nume i o
singur parol de acces.
31.03.2010
eful Depart.
IT
293

PROGRAMUL DE ASIGURARE I MBUNTIRE A CALITII

eful structurii de audit intern trebuie s elaboreze un Program de asigurare i mbuntire
a calitii activitii de audit, adic respectarea normelor metodologice, a Codului privind conduita
etica a auditorului intern, a Standardelor i a bunei practici internaionale de ctre toi auditorii
interni.
Prin Programul de asigurare i mbuntire a calitii se realizeaz o evaluare prin adoptarea
unui proces permanent de supraveghere a eficacitii globale a programului de calitate.
Evaluarea const n supervizarea realizrii misiunii de audit intern, prin efectuarea de
controale permanente de ctre eful structurii de audit intern, prin care acesta examineaz
eficacitatea normelor de audit intern i dac procedurile de asigurare a calitii misiunii de audit
sunt aplicate n mod corespunztor garantnd calitatea Raportului de audit intern.
Supervizarea va permite depistarea deficienelor n anumite etape din derularea misiunii i va
permite iniierea de activiti de mbuntire a viitoarelor misiuni de audit intern i asigurarea
perfecionrii profesionale a auditorilor.
Evaluarea se realizeaz dup fiecare misiune de audit intern. Este formalizat prin ntocmirea
Fiei de evaluare a misiunii de audit intern.

EVALUAREA INTERN

Procedura P19: PROGRAMUL DE ASIGURARE A CALITII

Entitatea Public

FIA DE EVALUARE A MISIUNII DE AUDIT INTERN


Bugetul de timp planificat: 260
Bugetul de timp efectiv: 264 ore
1 2 3 4 5 Observaii
n etapa de pregtire a misiunii, auditorul a identificat
riscurile i controalele prevzute pentru procesele legate de
obiectivele de audit i a estimat corespunztor riscurile
activitii
X
Programele de audit au fost elaborate n vederea ndeplinirii
obiectivelor misiunii n cadrul bugetului de timp alocat
X
A fost necesar s se
lucreze peste orele
de program
Obiectivul auditului, scopul, procedurile i bugetul au fost
reanalizate n mod constant pentru a asigura o eficient
folosire a resurselor de audit
X
A existat o bun comunicare ntre auditor i auditat i ntre X
294
Bugetul de timp planificat: 260
Bugetul de timp efectiv: 264 ore
1 2 3 4 5 Observaii
auditor i conducerea structurii de audit intern;
A existat o bun comunicare ntre auditor i conducerea
structurii de audit intern
X
Au fost luate n considerare perspectivele i nevoile audiailor
n procesul de audit
X
Au fost atinse obiectivele de audit ntr-o manier eficient i
la timp
X
Auditaii au avut posibilitatea s revad constatrile i
recomandrile cnd au fost identificate problemele
X
Normele de audit intern, au fost respectate X
Constatrile de audit demonstreaz analize profunde i
concluzii, respectiv sunt formulate recomandri practice
pentru probleme identificate
X
Comunicrile scrise au fost clare, concise, obiective i corecte X
Exist probe de audit care s susin concluziile auditorului X
Procedurile de audit utilizate au avut ca rezultat dovezi
suficiente, competente, relevante i folositoare
X
Documentele au fost completate n mod corespunztor i n
conformitate cu normele de audit intern
X
Bugetul de timp a fost respectat X
Nivel de productivitate personal al auditorului intern. X

EVALUAREA EXTERN

Evaluarea misiunii de audit intern mai poate fi realizat i de conducerea structurii auditate creia i
se nainteaz un chestionar de evaluare prin care i se solicit s prezinte o apreciere asupra desfurrii
misiunii de audit i a modului de implicare al auditorilor interni pe parcursul misiunii.

Evaluarea misiunii de audit intern de ctre structura auditat este formalizat prin Fia de evaluare a
misiunii de audit intern ntocmit de ctre structura auditat.

295

Procedura P19: PROGRAMUL DE ASIGURARE A CALITII

Entitatea public

FIA DE EVALUARE A MISIUNII DE AUDIT INTERN
DE CTRE STRUCTURA AUDITAT


Note Nr.
crt.
Obiectiv auditat
1 2 3 4 5
Obs.
1. Obiectivele de audit au fost comunicate clar la
nceputul misiunii
X
2. Au fost furnizate suficiente informaii privind
misiunea de efectuat
X
3. Misiunea a contribuit la obinerea de rezultate sau la
mbuntirea unora deja existente
X
4. Misiunea a beneficiat de direcii clare i precise
privind modul de desfurare
X
5. Obiectivele de audit stabilite au fost n concordanta
cu activitile desfurate
X
6. Constatrile au fost prezentate ntr-o maniera logic,
structurat, dinamic i interesant
X
7. S-a rspuns n toate cazurile la ntrebrile legate de
misiunea de audit, iar rspunsurile au condus la
obinerea de concluzii relevante

X

8. Misiunea a fost desfurat adecvat, intervenia la
fata locului a privit doar obiectivele stabilite i
comunicate

X

9. A existat un feed-back pe tot parcursul misiunii, iar
acesta a fost util n gsirea de soluii la probleme

X

10. Cum evaluai n general misiunea de audit X
11. Considerai ca obiectivele de audit stabilite au privit
activitile cu riscuri majore
X
12. In desfurarea misiunii de audit au fost prezentate
constatrile i recomandrile cnd au fost identificate
probleme

X

13. A existat o buna comunicare intre auditor i auditat X
14. Auditorii au avut un comportament adecvat i
profesional
X
15. Ce v-a plcut cel mai mult pe timpul misiunii de audit descriei cel puin 3 aspecte care v-
au plcut cel mai mult
claritatea recomandrilor
conduita auditorilor interni
calitatea discuiilor
296
16. Ce v-a plcut cel mai puin pe timpul misiunii de audit descriei cel puin 3 aspecte care v-
au plcut cel mai puin
ntlnirile pe parcursul misiunii au fost limitate, nu ntotdeauna din vina auditatului.
17. Ce obiective de audit considerai c nu au fost atinse n totalitate din cele comunicate
Nu sunt comentarii.
18. Ce obiective de audit considerai c ar fi necesar a fi cuprinse n programul viitor de audit
Calitatea procedurilor privind achiziiile publice elaborate n urma recomandrilor.
19. Alte comentarii

Tabelele de mai sus vor fi completate innd cont de urmtorul sistem de punctaj:
1 pentru nesatisfctor;
2 pentru slab;
3 pentru satisfctor;
4 pentru bine;
5 pentru foarte bine.

Not: n practic se va urmri ca pentru orice notare sub 3 s se solicite explicaii scrise.

Evaluarea extern a funcionalitii activitii de audit intern se realizeaz i de U.C.A.A.P.I. i
organul ierarhic superior pentru structurile din subordine prin verificarea respectrii normelor metodologice
generale i specifice, a Standardelor de audit intern, a bunei practici recunoscute n domeniu i a Codului
etic al profesiei.
Activitatea de evaluare extern a activitii de audit intern, n Romnia, conform cadrului normativ
general, se realizeaz o dat la 5 ani, ocazie cu care, n funcie de necesiti, se iniiaz msuri corective n
colaborare cu conductorul entitii evaluate n cauz.

Documentele de evaluare intern i extern se arhiveaz n Dosarul permanent, Seciunea -
Supervizarea.

n sperana c prezentul ghid practic va constitui pentru cei interesai un
suport pentru realizarea misiunilor de audit intern la un nivel corespunztor bunei
practici recunoscut n domeniu, ateptm aprecierile i eventual sugestiile
dumneavoastr, de care vom ncerca s inem cont cu ocazia elaborrii viitoarelor
lucrri.

Ghid IT Ed II

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ghid IT Ed II

Încărcat de

Drepturi de autor:

Formate disponibile

MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN

S-ar putea să vă placă și