Documente Academic
Documente Profesional
Documente Cultură
informaionale
Necesitatea auditului sistemelor informaionale este indus i de:
-
organizaii;
alegerea unor sisteme care confer o ncredere ridicat partenerilor de afaceri i
Misiunea de audit, reprezint o realizare care are un obiectiv definibil, consum resurse i
se afl sub constrngerea unor elemente precum timpul, costurile i calitatea.
Scopul misiunilor de audit este de reducerea nivelului estimat pentru riscul erorilor de
analiz i de control a produselor informatice auditate. Din acest punct de vedere, auditul
este un proces iterativ prin care se efectueaz corecii asupra modalitilor n care se includ
procedee tehnice, metode i modele de analiz i control a produselor informatice.
Procesul de audit anual iterativ continu, se face pentru a aduce estimarea probabilitii ca
rezultatele auditrii informatice s fie afectate de erori la un prag ct mai redus, concluziile
misiunilor de audit anterioare fiind un element de intrare pentru misiunea curent.
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe
pentru a determina dac sistemul informatic, permite atingerea obiectivelor strategice ale
ntreprinderii i utilizeaz eficient resursele informaionale1.
n viziunea ISACA (Information Systems Audit and Control Associaton) auditul sistemelor
informaionale presupune verificarea i evaluarea tuturor aspectelor legate de sistemele de
prelucrare automat a datelor, incluznd i prelucrrile manuale care au legtur cu sistemul
i interfeele ntre cele dou sisteme. n literatura de specialitate, Ron Weber l define te ca
fiind procesul prin care se colecteaz i evalueaz probe cu scopul de a determina dac
sistemul informaional i resursele implicate sunt protejate corespunztor, menin integritatea
datelor, ofer informaii relevante i contribuie la atingerea obiectivelor organizaiei.
Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura ASE
2005, pagina 26
Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu, Mirela
Gheorghe, Delia Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i controlul
sistemelor informaionale, editura Economic 2007
guvernanei IT;
Evaluarea calitii personalului utilizator al sistemelor i aplicaiilor informatice;
Evaluarea securitii sistemului informatic;
Evaluarea disponibilitii i accesibilitii informaiilor;
Evaluarea managementului schimbrilor i al continuitii sistemului;
Evaluarea sistemului de management al documentelor;
Evaluarea utilizrii serviciilor electronice disponibile;
Evaluarea schimbului de informaii i a comunicrii cu alte instituii;
Conformitatea cu legislaia n vigoare;
Identificarea i analiza riscurilor decurgnd din utilizarea sistemului informatic,
o
o
o
o
o
entitii auditate;
consultarea unor materiale documentare relevante privind activitatea entitii;
consultarea legislaiei aferente tematicii;
consultarea documentaiilor tehnice;
documentare n domeniul standardelor i bunelor practici;
interviuri cu persoanele implicate n coordonarea, monitorizarea, administrarea,
o
o
componentele sistemului;
activitile, problematica i nivelele de decizie;
atribuiile entitii, pe nivele de implicare;
coordonarea i monitorizarea proiectelor IT;
normele metodologice i standardele n domeniu;
cadrul legislativ i de reglementare n care entitatea i desfoar activitatea;
soluia organizatoric privind implementarea sistemului informatic (desfurare n
teritoriu, etapizarea activitilor, alocarea sarcinilor i responsabilitilor, selecia
personalului);
arhitectura sistemului informatic: platforma hardware / software (soluii de
implementare, echipamente, arhitecturi de reea, licene, desfurare n teritoriu,
locaii funcionale, versiuni operaionale); fluxuri de colectare / transmitere / stocare a
schimbul
de
date
ntre
structuri,
interoperabilitate,
anomalii
rata
cderilor,
puncte
critice,
instruirea
personalului
utilizator,
necorespunztor. Riscul de audit este dependent de nivelele stabilite pentru riscul inerent,
respectiv sensibilitatea unei zone de audit ctre erori care ar fi semnificative, presupunnd
c nu sunt controale interne asociate zonei respective, riscul de control, respectiv riscul ca o
slbiciune semnificativ s nu fie prevenit sau detectat de controalele interne, precum i
riscul de detecie, respectiv riscul ca testele substaniale s nu detecteze erori care ar fi
semnificative. Aceste riscuri sunt determinate cnd auditorul realizeaz aprecierea riscului
asupra organizaiei.
Pentru a ndeplini obiectivele auditului i pentru a se asigura c resursele pentru audit sunt
folosite eficient, auditorul stabilete nivelul de materialitate (pragul de semnificaie). n
stabilirea materialitii auditorul ia n considerare att aspectele cantitative ct i cele
calitative. Prin realizarea analizei riscului se furnizeaz o asigurare rezonabil c toate
elementele semnificative vor fi acoperite adecvat pe parcursul muncii de audit. Aceast
analiz identific zonele cu un risc relativ ridicat de existena problemelor semnificative.
Planificarea auditului prezint urmtoarele faze importante:
-
necesare pentru principalele faze ale auditului ca procent din numrul total de ore;
aprecierea pragului de semnificaie, n cadrul creia auditorul informatic ia n
considerare urmtoarele: nivelul agregat al erorii acceptabile pentru management,
auditor i pentru organismele de reglementare n domeniu; potenialul ca efectul
cumulat al erorilor sau slbiciunilor mici s devin semnificativ. n plus auditorul
analizeaz includerea n cadrul materialitii a elementelor non-financiare, cum sunt:
controalele de acces fizic, controalele de acces logic, sistemele de management al
personalului, controalele de fabricaie, dezvoltare, proiectare i calitate, precum i
generarea parolelor. n situaia n care sistemul analizat nu proceseaz tranzacii
financiare, urmtoarele elemente sunt luate n considerare pentru aprecierea
materialitii: nivelul de importan a proceselor de business i operaiilor suportate
de ctre sistem; costul sistemului sau al operaiei din punct de vedere hardware,
software, servicii realizate ctre o ter parte; costul potenial al erorilor; numrul de
accesri, tranzacii, interogri procesate ntr-o perioad de timp; penalitile pentru
Obiectivul planului de audit este de a asista auditorul n realizarea unui audit eficient.
Planificarea auditului are la baz o strategie de audit, care se formuleaz pornind de la
definirea abordrii auditului i precizeaz elemente legate de coordonarea misiunii de audit,
echipa implicat n aceast misiune, atribuiile n cadrul echipei, orizontul de timp i direciile
principale de aciune.
Planificarea auditului sistemelor informatice trebuie s includ toate fazele necesare atingerii
obiectivelor misiunii auditului, respectiv: documentarea privind activitatea auditat,
programul sau sistemul care face obiectul auditului, stabilirea strategiei de audit, stabilirea
procedurilor de audit i a tehnicilor aferente, a metodelor de sintetizare, analiz i
interpretare a probelor de audit, identificarea i evaluarea riscurilor generate de furnizarea
serviciilor electronice.
n cazul auditrii sistemelor informatice financiar-contabile, trebuie analizat impactul acestor
sisteme asupra planului misiunii de audit. Aceast analiz are la baz urmtoarele activiti:
n DEX controlul este definit ca fiind analiza permanent sau periodic a unei activit i, a
unei situaii etc. pentru a urmri mersul ei i pentru a lua msuri de mbuntire.
Standardele de audit internaionale definesc sistemul de control intern ca fiind procesul
organizat de conducerea organizaiei cu scopul obinerii unei asigurri rezonabile privind
ndeplinirea obiectivelor entitii, respectiv la raportarea financiar, eficiena i eficacitatea
operaiunilor derulate, precum i conformitatea cu legislaia n vigoare.
Pe lng nelegerea componentelor de control ale organizaiei, auditorul evalueaz
controalele generale i controalele de aplicaie ale organizaiei.
Controalele generale se refer la ntregul mediu de procesare a informaiei i au un impact
semnificativ asupra operaiilor computerizate realizate.
Controalele generale cuprind urmtoarele:
-
controale
organizaionale,
care
includ
controalele
referitoare
la
mprirea
responsabilitilor;
controale ale centrului de date i a operaiunilor n reea, care asigur introducerea
controale de capturare a datelor, prin care se asigur faptul c toate tranzaciile sunt
cuprinse n aplicaie, tranzaciile sunt nregistrate o singur dat i, c tranzaciile
respinse sunt identificate, controlate, corectate i reintroduse n sistem dac este
cazul;
controale de validare a datelor, asigur faptul c toate datele de intrare din tranzac ii
o
o
o
o
Stabilirea eantionului n audit reprezint aplicarea procedurilor de audit asupra unui procent
mai mic de 100% din populaia studiat, care permit auditorului informatic s evalueze
probele de audit n cadrul unei clase de tranzacii n scopul formulrii unei concluzii
referitoare la ntreaga populaie. Atunci cnd proiecteaz mrimea i structura eantionului,
11
selecia aleatorie, care asigur faptul c toate combinaiile de elemente din cadrul
tehnic structurat;
selecia pe baza experienei profesionale, care utilizeaz experiena auditorului n
stabilirea criteriilor de selecie asupra elementelor eantionului: prag de relevan,
excluderea unor categorii de date din populaie.
aritmetice;
simularea paralel, prin care se construiesc module similare celor din mediul de
Dovezile de audit trebuie s fie suficiente, solide, relevante i folositoare, pentru a permite
auditorului s i formeze o opinie i pentru a conferi suport concluziilor i constatrilor
12
fcute. Dac auditorul nu i-a format o opinie pe baza dovezilor de audit obinute, va solicita
noi dovezi de audit pn la clarificarea tuturor pailor nefinalizai.
Terminarea auditului cuprinde urmtoarele:
-
emiterea raportului;
arhivarea documentaiei colectate i generate n timpul misiunii;
urmrirea implementrii concluziilor auditului, prin stabilirea unor ntlniri ulterioare
Evaluarea prin sondaj a misiunilor de audit este necesar pentru a verifica respectarea
standardelor i metodologiilor asumate de ctre auditori. Practica n domeniu ne arat c
pentru asigurarea calitii, evaluarea prin sondaj de ctre o echip independent trebuie s
devin obligatorie indiferent de organizaia care a efectuat auditul.
Standardul de audit ISAE 3000 Angajamente de asigurare, altele dect auditul sau
revizuirea informaiilor financiare aferente perioadelor anterioare, este unul dintre cele mai
folosite standarde pentru misiunile de audit informatic.
Acest standard folosete termenii angajament de asigurare rezonabil i angajament de
asigurare limitat, pentru a face distincia ntre cele dou tipuri de misiuni de asigurare, pe
care un practicant este autorizat s le execute.
Obiectivul unui angajament de asigurare rezonabil este de a reduce riscul
angajamentului sau misiunii de asigurare la un nivel acceptabil de sczut n condiiile
angajamentului, ca baz pentru o form pozitiv de exprimare a concluziilor misiunii.
Obiectivul unui angajament de asigurare limitat este o reducere a riscului
angajamentului sau misiunii de asigurare la un nivel care este acceptabil n condiiile
angajamentului, caz n care riscul este mai mare dect pentru un angajament de asigurare
rezonabil, ca baz pentru o form negativ de exprimare a concluziilor misiunii.
Experiena n domeniu arat c principalul criteriu luat n considerare de mediul economic n
selecia furnizorului de servicii de audit este preul misiunii de audit, fr a se pune accent
pe modul n care urmeaz a fi formulat opinia de audit.
Auditorul trebuie s planifice i s desfoare un angajament cu o atitudine de scepticism
profesional, admind c exist circumstane care s determine ca informaiile analizate s
fie denaturate n mod semnificativ. O atitudine de scepticism profesional nseamn c
auditorul va face o evaluare critic, avnd o atitudine de examinator, asupra validitii
probelor obinute i este atent la probe, punnd n discuie ncrederea documentaiei sau
declaraiile date de ctre persoanele responsabile.
Auditorul trebuie s obin o nelegere a subiectului i a altor circumstane ale
angajamentului, suficient pentru a identifica i evalua riscurile ca informaiile analizate s fie
semnificativ denaturate i suficient pentru a proiecta i efectua proceduri viitoare de
colectare a probelor.
13
Asigurarea rezonabil este mai redus dect asigurarea absolut. Reducerea riscului
angajamentului de asigurare la zero este foarte rar atins sau eficient din punct de vedere al
costurilor implicate, ca urmare a unor factori precum:
-
14
angajamentului;
- dac au existat modificri ale metodelor de msurare utilizate.
(e) o descriere a oricror limitri inerente semnificative asociate cu evaluarea sau
msurarea informaiilor analizate pe baza criteriilor, dac este cazul;
(f) atunci cnd criteriile folosite pentru a evalua sau msura informaiile analizate sunt
disponibile numai unor utilizatori specifici, sau sunt relevante pentru un scop specific,
va fi inclus o declaraie care restricioneaz utilizarea raportului de audit;
(g) o declaraie pentru identificarea prilor responsabile i pentru descrierea
responsabilitilor prilor i ale auditorului;
(h) o declaraie c misiunea a fost efectuat n conformitate cu ISAE;
(i) un rezumat al activitii desfurate, care va ajuta utilizatorii s neleag natura
asigurrilor transmise prin raportul de audit; n cazul n care nu exist un ISAE
specific care s ofere ndrumri cu privire la procedurile de colectare a probelor
pentru un anumit subiect, rezumatul include o descriere detaliat a muncii efectuate;
pentru c ntr-un angajament de asigurare limitat o apreciere a naturii, timpului i
ntinderii procedurilor de colectare a dovezilor efectuate este esenial pentru
nelegerea asigurrii transmise de ctre o concluzie exprimat ntr-o form negativ,
rezumatul activitii desfurate are urmtoare caracteristici:
- este mai detaliat dect pentru un angajament de asigurare rezonabil i
identific limitrile cu privire la natura, timpul i ntinderea procedurilor de
colectare a probelor; este recomandabil s se indice procedurile care nu au
fost realizate i care ar fi fost n mod normal efectuate ntr-un angajament de
asigurare rezonabil;
15
Datorit utilizrii lui pe scar larg pentru misiunile de audit informatic din ara noastr,
nelegerea acestui standard, precum i a tipurilor de opinii de audit care sunt emise n baza
acestui standard, este important.
18
Aceste liste de verificare se vor utiliza i n cadrul misiunilor de audit financiar sau de audit al
performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de
funcionarea sistemului informatic.
Listele de verificare generice nu exclud adugarea altor categorii de probleme considerate
semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului.
n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic
financiar-contabil pentru a formula o opinie privind ncrederea n informaiile furnizate de
sistemul informatic, auditorul va elabora Lista de verificare pentru testarea controalelor IT
specifice aplicaiei financiar-contabile, care conine urmtoarele categorii de controale de
aplicaie:
n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul
funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca
suport pentru asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidena,
prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de
raportare. Din acest motiv, o categorie special de controale IT se refer la conformitatea
sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare includ:
Legislaia din domeniul finanelor i contabilitii;
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
19
Chestionarele
Chestionarele conin ntrebri despre sistemele entitii auditate i constituie suportul pentru
colectarea informaiilor despre acestea.
Chestionarele conin, n general, opinii ale actorilor implicai n sistem referitoare la:
acceptarea sistemului, calitatea instruirii, efectele sistemului asupra activitii entitii,
calitatea documentaiei tehnice, ncrederea n sistemul informatic, dificultatea utilizrii
sistemului, efectele n planul modernizrii activitii, necesitatea extinderii sistemului.
n cazul n care chestionarele sunt proiectate pentru efectuarea unor analize statistice,
acestea conin ntrebri formulate astfel nct s poat fi agregate i analizate n funcie de
criterii stabilite. Rspunsurile pot fi de tip DA/NU, note, ponderi, i altele. De asemenea, sunt
20
21
ghidurile de bun practic elaborate de ISACA (Information Systems Audit and Control
Association), cu standardul de securitate ISO 27002 (ISO 17799), precum i cu standardele
ISA (International Standard Audit) - ISA 400 privind evaluarea riscurilor i controlul intern,
ISA 401 privind auditul ntr-un mediu cu sisteme informatizate.
Totodat s-a urmrit msura n care aplicaiile supuse analizei reflect actualizarea
prevederilor legale i modul de corelare a datelor.
n cadrul prezentei aciuni s-a ncercat pe ct posibil o abordare orientat pe rezultate, ceea
ce se refer n principal la analizarea performanei realizate n contextul celor 3E
(economicitate, eficien, eficacitate), prin compararea observaiilor auditorilor cu normele
existente (reglementri, standarde, obiective, inte) i cu criteriile de audit stabilite .
Formatul raportului de audit este cel recomandat n ghidul Auditului Performanei al Curii de
Conturi a Romniei, acoperind controalele puse n aplicare, procedurile pentru asigurarea
respectrii reglementrilor, precum i constatrile i recomandrile pentru eliminarea sau
diminuarea deficienelor identificate i concluziile rezultate pe parcursul desfurrii misiunii
de audit.
Reforma sistemului judiciar reprezint o prioritate n cadrul procesului de reform
instituional din Romnia. Obiectivele acesteia au fost stabilite prin Strategia de reform a
sistemului judiciar pe perioada 2005-2007 i prin Planul de aciune pentru implementarea
Strategiei de reforma a sistemului judiciar pe perioada 2005-2007, aprobate prin H.G. nr.
232 din 30 martie 2005. La Capitolul VI planul prevede Continuarea procesului de
informatizare a sistemului judiciar pe perioada respectiv.
Totodat, prin H.G. nr. 543 din 9 iunie 2005 au fost aprobate Strategia de informatizare a
sistemului judiciar pe perioada 2005-2009 precum i organizarea i funcionarea Comisiei de
monitorizare i implementare a acestei Strategii.
n cadrul acestei Strategii se arat c utilizarea tehnologiilor informatice moderne va accelera
procesul de reform, prin asigurarea standardizrii procedurilor la nivelul ntregului sistem,
unificarea acestora, precum i prin introducerea unor indicatori de msurare a eficienei
actului de justiie.
Informatizarea sistemului judiciar, prin obiectivele sale privind eficientizarea procedurilor
judiciare, creterea gradului de transparen, securizarea informaiilor cu caracter personal
i a celor cu caracter secret, eliminarea corupiei, gestionarea eficient a resurselor umane,
financiare, materiale, vizeaz, printre altele, aspecte legate de:
creterea calitii actului de justiie i scurtarea timpului de rezolvare a cauzelor aflate pe
rolul instanelor;
eliminarea treptat a gestionrii datelor n format hrtie prin utilizarea formei electronice a
dosarelor i a celorlalte documente specifice;
accesul rapid la legislaie, jurispruden i la informaii privind cauzele aflate pe rol pentru
personalul instanelor i parchetelor;
creterea gradului de pregtire n domeniul informatic al magistrailor i personalului
auxiliar, n scopul utilizrii eficiente a noilor tehnologii;
23
servicii electronice pentru ceteni, avocai i ali specialiti implicai n actul de justiie;
deschiderea ctre alte sisteme informatice pentru a prelua i a transmite informa ii ctre
acestea, ntr-o tehnologie standard;
creterea gradului de securizare al reelelor de comunicaii i implementarea unei politici de
acces n sistem pentru fiecare utilizator;
repartizarea aleatorie a cauzelor pe complete de judecat;
eliminarea posibilitilor de intervenie neautorizat asupra datelor din dosare;
managementul informatizat al documentelor interne;
gestionarea corespunztoare a patrimoniului.
Misiunea de audit i-a propus obinerea unei asigurri rezonabile asupra urmtoarelor criterii
de evaluare i efecte ale sistemului:
a) dac sistemul informatic a fost implementat cu succes la nivelul instanelor de judecat i
dac a permis aplicarea corect i n mod eficient a legislaiei de care depinde succesul
reformei sistemului judiciar, dac au intervenit schimbri la nivelul activitii auditate datorate
utilizrii tehnologiei IT i dac s-au obinut rezultate i s-au furnizat servicii de calitate;
b) dac resursele umane, materiale i tehnice au fost utilizate corespunztor;
c) identificarea i analiza riscurilor generate de utilizarea sistemului informatic;
d) dac au fost utilizate instrumente, mijloace i politici manageriale adecvate care s fi
contribuit n fapt la implementarea unui sistem informatic de care depinde succesul reformei
n justiie.
De asemenea, la stabilirea performanei sistemului s-au avut n vedere cele mai bune
practici n materie.
Pornind de la aceste considerente auditul s-a concentrat asupra urmtoarelor obiective
specifice:
- Evaluarea Strategiei de informatizare, din punct de vedere al stadiului, finanrii i a
perspectivelor;
- Evaluarea stadiului de implementare a sistemului informatic;
- Respectarea politicilor, standardelor i procedurilor cu privire la calitatea datelor;
24
25
La nivelul judeelor n care s-au desfurat aciuni de audit au fost chestionai un numr de
527 beneficiari, utilizatori ai paginilor de web ale Ministerului Justiiei i naltei Curi de
Casaie i Justiie precum i ai portalului instanelor de judecat i a celui de legislaie,
selectai dintre ceteni, avocai, juriti i specialiti implicai n actul de justiie.
26
Pentru evaluarea riscurilor s-au avut n vedere o serie de factori, cum ar fi:
- Existena unor obiective neatinse sau ndeplinite parial;
- Implicarea necorespunztoare a conducerii n derularea proiectelor IT. Existena unor
iniiative fundamentate necorespunztor;
- Detectarea unor depiri semnificative ale termenelor;
- Organizarea i funcionarea necorespunztoare a a sistemelor interne de control;
- Existena unor deficiene n asigurarea securitii sistemului IT i n planificarea continuitii
sistemului;
- Existena unor discontinuiti n perfecionarea utilizatorilor sistemului IT;
- Calitatea necorespunztoare a serviciilor IT, identificarea de reclamaii, observaii,
contestaii, privind sistemul auditat.
n acest sens, pentru evaluarea sistemului informatic au fost urmrite cu precdere,
urmtoarele activiti i operaiuni:
. analiza infrastructurii hardware/software existente, necesiti i funcionaliti;
analiza structurii personalului din punct de vedere numeric, al pregtirii profesionale i
experienei n domeniu;
administrarea reelelor de calculatoare locale i de arie extins;
gestionarea echipamentelor hardware i de comunicaii n reeaua instanelor de judecat;
asigurarea ntreinerii echipamentelor de calcul;
existena controlului intern n toate fazele funcionrii sistemului, funcionarea principiului
separrii atribuiilor/sarcinilor;
protocoale privind securitatea accesului n sistem, back-up, aprobri pentru modificrile
sistemului, restricionare, siguran, consisten i acuratee a datelor.
Criteriile de audit decurg din termenii de referin identificai, standardele fa de care este
apreciat atingerea performanei (legislaie, ghiduri, standarde i reglementri
departamentale, indicatori relevani, obiective de performan relevante) i se raporteaz la
bunele practici n domeniu. Acestea vizeaz atingerea performanei att din punctul de
vedere al administratorului i utilizatorului sistemului informatic, ct i al interesului general
al justiiabilului.
27
29
30
31
are n cadrul msurilor ntreprinse pentru mbuntirea calitii actului de justiie, crete
riscul ca sistemul informatic s nu poat fi implementat conform graficelor stabilite i
conduce la imposibilitatea evalurii corecte a eficienei activitii IT, cu att mai mult cu ct sa constatat lipsa unei proceduri de evaluare a investiiilor n IT i faptul c la nivelul
ministerului nu s-a analizat evoluia costurilor n urma implementrii Strategiei de
informatizare.
Personalul de specialitate din DTI, alocat exclusiv acestui proiect, este insuficient.
Implementarea sistemului se realizeaz cu aceleai persoane implicate n actualizarea i
ntreinerea aplicaiilor sistemului informatic. Situaia se repet la multe instane, inclusiv la
cea suprem.
Nu exist o politic clar de recrutare, pregtire i evaluare a personalului IT. Att la nivelul
DTI, ct i al instanelor, exist cunotine IT concentrate la nivelul unui numr redus de
persoane, crendu-se o dependen semnificativ de persoane cheie. Acest fapt,
coroborat cu fluctuaia personalului i lipsa unei Strategii pe termen lung de pregtire a
personalului IT, implic riscuri legate de buna funcionare a sistemului informatic n situaia
migrrii sau indisponibilitii acestor persoane.
Datorit unor condiii conjuncturale, legate de posibila ncetare a detarii/delegrii
personalul de la A.N.P., i de creterea preconizat a salariilor personalului de specialitate IT
din cadrul ministerului, ncepnd cu anul 2008, exist riscul apariiei, la nivelul DTI, a unor
disfuncionaliti n ceea ce privete asigurarea continuitii procesului de informatizare a
sistemului judiciar i, implicit, al atingerii obiectivelor Strategiei de reform n justiie.
La nivelul operrii i controlului sistemelor IT:
Nu exist proceduri formale de acces n locaiile care gzduiesc echipamentele IT
importante. Protecia fizic a sistemelor IT nu este totdeauna asigurat corespunztor,
numeroase locaii din teritoriu, n care sunt amplasate serverele, nedispunnd de toate
componentele necesare controalelor de mediu i proteciei fizice (sisteme de prevenire a
incendiilor, climatizare, elemente de protecie a cablurilor de reea, etc.). Exist astfel riscul
alterrii sau pierderii datelor prin deteriorarea fizic a echipamentelor.
Nu este finalizat nc o politic formal n domeniul securitii sistemului IT. Elementele unei
astfel de politici, care s prevad responsabiliti formale privind administrarea securitii,
controlul accesului logic (revizuirea log-urilor aplicaiilor, administrarea utilizatorilor, reguli
privind modul de stabilire a parolelor, monitorizarea activitii administratorilor, etc.) precum
i separarea responsabilitilor de utilizare a aplicaiilor informatice de cele de administrare a
sistemelor de operare i a bazelor de date, nu au fost implementate n totalitate la toate
instanele. Apare astfel, riscul ca anumite operaii accidentale sau frauduloase din sistem s
rmn nedetectate.
Administrarea soluiei antivirus este suficient de fiabil, actualizarea definiiilor antivirus
efectundu-se n mod unitar, riscul alterrii datelor fiind relativ redus.
La nivelul DTI exist un plan de recuperare n caz de dezastru, dar n teritoriu astfel de
planuri nu au fost implementate la toate instanele.
S-a constatat c la unele instane copiile de siguran ale sistemelor i bazelor de date se
gsesc n aceeai locaie cu serverele i, fapt general valabil, fietele destinate copiilor de
33
siguran nu sunt protejate la foc, situaie care conduce la riscuri majore privind reluarea
activitii n cazul unor dezastre. La nivelul instanelor, inclusiv cea suprem, se constat c
dei exist o procedur de salvare a datelor, aplicaiilor i sistemelor, nu exist o procedur
formal de testare a copiilor de siguran i nici de refacere n caz de incident.
Apariia problemelor legate de funcionarea sistemului informatic, n cadrul instanelor sau
ministerului, se comunic serviciului IT, respectiv DTI, telefonic, verbal sau prin e-mail;
evidena problemelor nu se ine pe baza unui registru sau document centralizator care s
identifice problemele aprute n funcionarea sistemului. n vederea dezvoltrii noilor versiuni
ECRIS, DTI a centralizat anomaliile i noile funcionaliti solicitate din partea tuturor
instanelor.
Pe parcursul misiunii de audit s-a evideniat faptul c nc se manifest o serie de
disfuncionaliti legate de modul de procesare i de procedurile de validare. Blocarea
conexiunilor poate determina apariia unor probleme la replicarea datelor pe portal.
Toate aplicaiile informatice evaluate sunt exploatate local sau central i coordonate de
ctre DTI. Schimbarea i dezvoltarea sistemului informatic la nivelul instanelor este limitat,
fiind acceptat, doar pentru un numr redus de aplicaii, exploatate la nivel local. De la acest
nivel se fac doar sugestii i propuneri pentru dezvoltarea sau implementarea de noi aplicaii
sau faciliti ale ECRIS. Acestea se centralizeaz la nivelul DTI n vederea efecturii
coreciilor necesare i includerii n dezvoltri viitoare.
Sistemul informatic al instanelor de judecat nu se constituie ntr-o soluie integrat, acesta
fiind compus din implementri de aplicaii insularizate, dedicate unor probleme punctuale
(aplicaii dedicate activitilor de baz specifice instanelor, aplicaii financiar-contabile etc.),
generate de soluii de proiectare orientate pe atribuiile eterogene ale ministerului. Lipsesc
interfeele dintre aplicaii, tranzaciile sunt procesate n cadrul unor aplicaii distincte,
informaiile introduse n sistem sunt validate ntr-o manier eterogen, prin proceduri
automate combinate cu proceduri manuale, pentru detectarea i corectarea erorilor de
intrare i detectarea inconsistenei sau redundanei datelor. Gradul ridicat de fragmentare a
sistemului informatic implic aciuni frecvente ale utilizatorului, ceea ce crete riscul de
eroare.
Direcia Audit Intern i Control asigur, conform art. 85, lit. i.11) din Regulamentul de
Organizare Intern a ministerului, auditarea sistemelor informatice. Anual DTI a informat
direcia de audit cu privire la riscurile asociate procesului de informatizare, dar pn n
prezent, datorit unei echipe insuficiente din punct de vedere numeric (14 auditori la 120
entiti) i a deselor misiuni care se efectueaz n teritoriu, nu au fost efectuate misiuni de
audit IT la minister sau la instane. Cu toate acestea, la nivelul direc iei i la nivelul
compartimentului de profil din cadrul naltei Curi de Casaie i Justiie, exist o preocupare
deosebit pentru domeniul IT i pentru includerea auditrii acestuia n aciunile viitoare.
Dei, pe parcursul misiunii de audit, s-a constatat inexistena unor indicatori de performan
legai de activitatea IT, constatrile prezentate anterior vin s confirme c sistemul
informatic, prin componenta sa central ECRIS, a contribuit n bun msur la cre terea
performanei activitii IT prin:
- promovarea culturii informatice n rndul cetenilor;
- creterea ncrederii ceteanului n actul de justiie;
- reducerea timpului de ateptare i de acces la informaie;
- reducerea birocraiei i a blocajelor la ghieu;
- reducerea real a costurilor interne.
Situaia existent naintea demarrii Strategiei de informatizare, relev faptul c obiectivele
privind dotarea cu hardware i software, pregtirea i perfecionarea personalului,
comunicaia de date ntre toate componentele sistemului judiciar, accesul la date n mod
eficient, creterea gradului de securitate a informaiei pe suport electronic gestionate n
cadrul sistemului judiciar, reducerea timpilor de nefuncionare a sistemului, transferul
electronic al dosarelor ntre instane au demarat abia la mijlocul anului 2006, fiind realizate
cu preponderen n cursul anului 2007.
...
n ceea ce privete interoperabilitatea cu sistemele altor instituii, n vederea asigurrii
prevenirii i combaterii fenomenelor de corupie, s-a constatat c acest obiectiv, care nu a
fost realizat pn la data efecturii misiunii de audit, are ca termen final de realizare anul
2009.
Nerealizarea acestui obiectiv poate avea efecte negative asupra:
- crerii premiselor integrrii sistemului n sistemul electronic naional;
- crerii premiselor unei adaptri rapide i cu costuri reduse la cerinele procedurilor Uniunii
Europene;
- asigurrii unei infrastructuri mai ieftine pentru semntura electronic;
- constituirii centrului de suport tehnic i mentenan, avnd ca rol rezolvarea problemelor
tehnice aprute n teritoriu, monitorizarea activitii i configurarea de la distan;
35
36
Recomandrile din prezentul raport de audit cuprind doar o serie de direcii de urmat, fr a
se substitui factorilor decizionali sau manageriali i fr a detalia metodele de punere n
practic a acestora de ctre factorii de decizie din cadrul Ministerului Justiiei i al instanelor
de judecat.
Aplicarea msurilor adoptate pn n prezent privind ndeplinirea obiectivelor Strategiei de
informatizare a sistemului judiciar precum i a instrumentelor, tehnologiilor informatice i
infrastructurii aferente, n scopul asigurrii accesului la informaii publice i furnizrii de
servicii de calitate pentru ceteni, instituii publice i alte entiti, reprezint un nceput care
trebuie continuat i extins prin msuri coerente i consecvente, pn la eficientizarea
maxim i atingerea scopului propus.
Pentru a veni n sprijinul entitilor auditate, n vederea ndeplinirii obiectivelor strategice
privind informatizarea instanelor de judecat, auditorul face urmtoarele recomandri:
- Accelerarea procesului de implementare a sistemului informatic, prin mobilizarea ntregii
capaciti manageriale i de execuie i disponibilizarea tuturor resurselor materiale i
umane, astfel nct, mpreun i cu sprijinul partenerilor direct implicai s poat fi
ndeplinite, la termenele prevzute, obiectivele desprinse din Strategia de informatizare.
37
38
39
ntocmit,
Controlor financiar
...
Bibliografie
1) http://www.curteadeconturi.ro/sites/ccr/RO/Control%20si
%20Audit/Documente/MANUAL_AUDIT_IT.pdf
40
2) Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu,
Mirela Gheorghe, Delia Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i
controlul sistemelor informaionale, editura Economic 2007;
3) Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura
ASE 2005;
4) CURTEA DE CONTURI A ROMNIE R A P O R T D E A U D I T Auditul sistemului
informatic al instanelor de judecat
(www.curteadeconturi.ro/.../Rapoarte...audit/Informatica/informatica5.pdf)
5) www.isaca.org
41
Contents
1. Etapele procesului de audit informatic..............................................................1
1.1. Planificarea auditului................................................................................... 3
1.2. Evaluarea controlului intern.........................................................................4
1.3. Proceduri de audit i consideraii privind standardul de audit ISAE 3000....6
1.4. Cadrul pentru controlul intern...................................................................12
1.5. Abordri asupra riscurilor n afaceri...........................................................16
42