C0 PG Auditul Informatic - V w2003 Verificat

C0-Auditul sistemelor
informaionale
Necesitatea auditului sistemelor informaionale este indus i de:
-
amploarea utilizrii sistemelor informatice n susinere proceselor din cadrul unei
organizaii;
alegerea unor sisteme care confer o ncredere ridicat partenerilor de afaceri i
care permit organizaiei s i desfoare activitatea la cele mai ridicate standarde;

necesitatea certificrii nivelului de securitate informaional oferit de sistemele
implementate n cadrul organizaiei, la toate nivelele necesare.
Misiunea de audit, reprezint o realizare care are un obiectiv definibil, consum resurse i
se afl sub constrngerea unor elemente precum timpul, costurile i calitatea.
Scopul misiunilor de audit este de reducerea nivelului estimat pentru riscul erorilor de
analiz i de control a produselor informatice auditate. Din acest punct de vedere, auditul
este un proces iterativ prin care se efectueaz corecii asupra modalitilor n care se includ
procedee tehnice, metode i modele de analiz i control a produselor informatice.
Procesul de audit anual iterativ continu, se face pentru a aduce estimarea probabilitii ca
rezultatele auditrii informatice s fie afectate de erori la un prag ct mai redus, concluziile
misiunilor de audit anterioare fiind un element de intrare pentru misiunea curent.
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe
pentru a determina dac sistemul informatic, permite atingerea obiectivelor strategice ale
ntreprinderii i utilizeaz eficient resursele informaionale1.
n viziunea ISACA (Information Systems Audit and Control Associaton) auditul sistemelor
informaionale presupune verificarea i evaluarea tuturor aspectelor legate de sistemele de
prelucrare automat a datelor, incluznd i prelucrrile manuale care au legtur cu sistemul
i interfeele ntre cele dou sisteme. n literatura de specialitate, Ron Weber l define te ca
fiind procesul prin care se colecteaz i evalueaz probe cu scopul de a determina dac
sistemul informaional i resursele implicate sunt protejate corespunztor, menin integritatea
datelor, ofer informaii relevante i contribuie la atingerea obiectivelor organizaiei.
Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura ASE
2005, pagina 26
Auditul sistemelor informaionale2 reprezint o activitate complex de evaluare a unui

sistem informatic n scopul emiterii unei opinii fundamentate asupra gradului de conformitate
a sistemului cu standardele n domeniu i, totodat, asupra capacitii sistemului informatic
de a atinge obiectivele strategice ale unei organizaii, utiliznd eficient resursele
informaionale i asigurnd integritatea datelor prelucrate i stocate.
Auditul sistemului informaional poate fi realizat la nivelul oricrei organizaii, regsindu-se
ca o component a auditului intern, dar poate fi realizat i sub forma unui audit extern, atunci
cnd managementul unei organizaii solicit acest lucru.
1. Etapele procesului de audit informatic

Misiunea de audit include etapele prezentate n figura 1.1.
Stabilirea termenilor misiunii permite auditorului s stabileasc scopul i obiectivele care
stau la baza relaiei dintre auditor i organizaia auditat. Scrisoarea de angajament trebuie
s adreseze obligaiile (scopul, independena, documentele care vor fi furnizate la sfritul
misiunii), autoritatea (drepturile de acces la informaie) i responsabilitatea (drepturile
entitii auditate, data de finalizare agreat) auditorului.
Analiza preliminar permite auditorului s adune informaii din cadrul entitii auditate n
vederea crerii planului de audit. Aprecierea preliminar va identifica strategia organizaiei,
responsabilitile managementului i controlul aplicaiilor informatice.
Auditorul va realiza o analiz aprofundat asupra sistemelor clientului pentru a stabili care
aplicaii i elemente de infrastructur sunt semnificative pentru procesele incluse n scopul
misiunii. Obinerea unor date generale despre companie, identificarea zonele acoperite de
sisteme informatice, analiz preliminar asupra pragului de semnificaie i riscurilor mediului
de afaceri n care clientul activeaz i pregtirea unui plan preliminar de audit sunt
elementele acestei etape.
Planificarea auditului asigur eficiena i eficacitatea misiunii de audit, dac este realizat
n mod adecvat. La dezvoltarea planului de audit, auditorul ia n considerare rezultatele
analizei preliminare asupra organizaiei auditate.
Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu, Mirela
Gheorghe, Delia Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i controlul
sistemelor informaionale, editura Economic 2007
Figura 1.1. Etapele misiunii de audit al sistemului informaional

Evaluarea controlului intern a sistemului dezvoltat de organizaie furnizeaz o ncredere
rezonabil c obiectivele organizaiei sunt realizate prin urmrirea urmtoarelor elemente:
eficien i eficacitate n operaii, ncredere n raportrile prezentate, n conformitate cu legile
i reglementrile aplicabile n domeniu.
n dezvoltarea nelegerii asupra controalelor interne, auditorul ia n considerare informaii
din auditurile anterioare, riscul inerent care a fost stabilit, deciziile luate anterior asupra
materialitii i complexitatea operaiilor organizaiei i a sistemelor utilizate.
Realizarea procedurilor de audit dezvoltate pe baza nelegerii auditorului asupra
organizaiei i a mediului n care activeaz. O abordare substanial a procesului de audit
este folosit atunci cnd este auditat ntreg sistemul informatic al unei organizaii.
Emiterea raportului de audit se realizeaz odat ce procedurile de audit au fost finalizate
i rezultatele au fost evaluate. Auditorul emite un raport de audit care conine o opinie
calificat (modificat) sau necalificat, pe baza constatrilor fcute.
1.1. Obiective generale i obiective specifice ale auditului

Obiectivele misiunii de audit au un rol determinant n abordarea auditului, din acestea
decurgnd cerine i restricii privind desfurarea activitilor n toate etapele misiunii de
audit: planificarea auditului, efectuarea auditului, raportare, revizuire.
Abordarea general a auditului IT / IS se bazeaz pe evaluarea riscurilor. Pentru auditul
performanei implementrii i utilizrii sistemelor informatice se asociaz i abordarea pe
rezultate. Auditul se poate efectua pentru ntreg ciclul de via al sistemelor i aplicaiilor
informatice sau se poate raporta numai la anumite componente specificate sau la anumite
etape de dezvoltare a sistemului.
Formularea obiectivelor generale se face n funcie de scopul evalurii: evaluarea
performanei unei activiti bazate pe tehnologia informaiei, evaluarea unui program sau a
unui sistem bazat pe tehnologia informaiei, evaluarea tehnic a unui sistem sau a unor
aplicaii, evaluarea unor componente ale sistemului dintr-un punct de vedere precizat.
Scopul generic al misiunilor de audit al sistemelor informatice este obinerea unei asigurri
rezonabile asupra implementrii i funcionrii sistemului, n conformitate cu prevederile
legislaiei n vigoare, cu reglementrile n domeniu, cu standardele internaionale i ghidurile
de bune practici, precum i evaluarea sistemului din punctul de vedere al furnizrii unor
servicii informatice de calitate sau prin prisma performanei privind modernizarea
administraiei i asigurarea ncrederii n utilizarea mijloacelor electronice.
n funcie de tematica auditului, auditorul are sarcina de a clarifica obiectivele auditului, de a
identifica referenialul pentru efectuarea auditrii (standarde, bune practici, reglementri,
reguli, proceduri, dispoziii contractuale etc.) i de a examina gradul n care cerinele care
decurg sunt aplicate i contribuie la realizarea obiectivelor entiti.
n principiu, exist dou categorii de probleme care pot constitui obiective generale ale
auditului:
o
stabilirea conformitii rezultatelor entitii cu un document de referin, conformitate
asupra creia trebuie s se pronune auditorul;

evaluarea eficienei cadrului procedural i de reglementare i a focalizrii acestuia pe
obiectivele entitii.
Pornind de la obiectivul general, se formuleaz obiective specifice care determin direciile

de audit, cerinele concrete i criteriile care vor sta la baza evalurilor. Ca obiective specifice
generice, se vor avea n vedere:
Evaluarea soluiilor arhitecturale i de implementare a sistemului informatic;

4
Evaluarea infrastructurii hardware i software: echipamente, sisteme, aplicaii;

Evaluarea implicrii managementului de la cel mai nalt nivel n perfecionarea
guvernanei IT;
Evaluarea calitii personalului utilizator al sistemelor i aplicaiilor informatice;
Evaluarea securitii sistemului informatic;
Evaluarea disponibilitii i accesibilitii informaiilor;
Evaluarea managementului schimbrilor i al continuitii sistemului;
Evaluarea sistemului de management al documentelor;
Evaluarea utilizrii serviciilor electronice disponibile;
Evaluarea schimbului de informaii i a comunicrii cu alte instituii;
Conformitatea cu legislaia n vigoare;
Identificarea i analiza riscurilor decurgnd din utilizarea sistemului informatic,
precum i a impactului acestora;

Evaluarea efectelor implementrii i utilizrii infrastructurii IT n modernizarea
activitii entitii auditate.
1.2. Analiza preliminar

Pentru stabilirea unei strategii de audit, auditorul trebuie s obin informaii i cunotine
legate de entitatea auditat i de mediul n care aceasta opereaz. Activitatea de
documentare are ca scop cunoaterea obiectivelor entitii cu privire la performana
tehnologiei informaiei, precum i a principalelor aspecte legate de coordonarea, structura i
funcionalitatea sistemelor, serviciilor i aplicaiilor care susin obiectivele, n vederea alegerii
celor mai adecvate metode, tehnici i proceduri de audit.
Metodele utilizate pentru colectarea informaiilor n faza de documentare sunt:
o
prezentri n cadrul unor discuii preliminare cu reprezentanii managementului
o
o
o
o
o
entitii auditate;
consultarea unor materiale documentare relevante privind activitatea entitii;
consultarea legislaiei aferente tematicii;
consultarea documentaiilor tehnice;
documentare n domeniul standardelor i bunelor practici;
interviuri cu persoanele implicate n coordonarea, monitorizarea, administrarea,
o
o
ntreinerea i utilizarea sistemului informatic;

participarea la demonstraii privind utilizarea sistemului;
studiul documentar realizat prin accesarea pe Internet a unor informaii publicate pe
website-ul entitii auditate.
Cunoaterea suficient a entitii, respectiv a sistemului informatic este fundamental pentru

planificarea i efectuarea procedurilor de audit, precum i pentru definirea criteriilor,
metodelor i tehnicilor de evaluare a rezultatelor i a indicatorilor de performan. Pe baza
acesteia, auditorul realizeaz o evaluare preliminar a sistemului i identific punctele critice
care vor fi testate n detaliu n cadrul auditului.
In faza de cunoatere a entitii, auditorul va lua n considerare identificarea i analiza

factorilor care pot influena procesul de audit:
componentele sistemului;
activitile, problematica i nivelele de decizie;
atribuiile entitii, pe nivele de implicare;
coordonarea i monitorizarea proiectelor IT;
normele metodologice i standardele n domeniu;
cadrul legislativ i de reglementare n care entitatea i desfoar activitatea;
soluia organizatoric privind implementarea sistemului informatic (desfurare n
teritoriu, etapizarea activitilor, alocarea sarcinilor i responsabilitilor, selecia
personalului);
arhitectura sistemului informatic: platforma hardware / software (soluii de
implementare, echipamente, arhitecturi de reea, licene, desfurare n teritoriu,
locaii funcionale, versiuni operaionale); fluxuri de colectare / transmitere / stocare a
informaiilor (documente text, coninut digital, tehnici multimedia);

factorii care influeneaz funcionalitatea sistemului: complexitatea componentelor
software, sistemul de constituire, achiziie, validare, utilizare a fondului documentar
(documente text, coninut digital, tehnici multimedia), operarea sistemului, interfaa
utilizator,
schimbul
de
date
ntre
structuri,
interoperabilitate,
anomalii
implementare, modaliti de raportare i operare a coreciilor, sigurana n

funcionare,
rata
cderilor,
puncte
critice,
instruirea
personalului
utilizator,
documentaie tehnic, ghiduri.
1.3. Planificarea auditului

n conformitate cu standardele n vigoare, auditorul informatic planific zona de acoperire a
auditului sistemelor informaionale astfel nct s adreseze (vizeze) obiectivele auditului i
s fie n concordan att cu legile n vigoare ct i cu standardele de audit.
Prima sarcin pe care auditorul o ndeplinete cnd planific auditul const n dezvoltarea
unui buget cadru de lucru pentru care, managerul de audit informatic, trebuie s cunoasc
abilitile i disponibilitatea personalului care va fi alocat proiectului de audit. Pe lng
bugetarea timpului de lucru necesar realizrii testelor de audit, managerul de audit
informatic bugeteaz timpul necesar pentru a instrui personalul de audit iar, dac este
necesar, aloc timp i pentru situaii neprevzute, n vederea corectrii erorilor.
n timpul planificrii auditului, managerul de audit decide care este nivelul riscului de a
ajunge la o concluzie incorect pe baza constatrilor fcute pe care este dispus s l
accepte. Cu ct munca auditorului este mai eficace i mai extins, cu att este mai redus
riscul ca o slbiciune s treac nedetectat iar auditorul s emit un raport de audit
6
necorespunztor. Riscul de audit este dependent de nivelele stabilite pentru riscul inerent,
respectiv sensibilitatea unei zone de audit ctre erori care ar fi semnificative, presupunnd
c nu sunt controale interne asociate zonei respective, riscul de control, respectiv riscul ca o
slbiciune semnificativ s nu fie prevenit sau detectat de controalele interne, precum i
riscul de detecie, respectiv riscul ca testele substaniale s nu detecteze erori care ar fi
semnificative. Aceste riscuri sunt determinate cnd auditorul realizeaz aprecierea riscului
asupra organizaiei.
Pentru a ndeplini obiectivele auditului i pentru a se asigura c resursele pentru audit sunt
folosite eficient, auditorul stabilete nivelul de materialitate (pragul de semnificaie). n
stabilirea materialitii auditorul ia n considerare att aspectele cantitative ct i cele
calitative. Prin realizarea analizei riscului se furnizeaz o asigurare rezonabil c toate
elementele semnificative vor fi acoperite adecvat pe parcursul muncii de audit. Aceast
analiz identific zonele cu un risc relativ ridicat de existena problemelor semnificative.
Planificarea auditului prezint urmtoarele faze importante:
-
dezvoltarea unui buget cadru pentru misiunea de audit cu alocarea orelor
necesare pentru principalele faze ale auditului ca procent din numrul total de ore;
aprecierea pragului de semnificaie, n cadrul creia auditorul informatic ia n
considerare urmtoarele: nivelul agregat al erorii acceptabile pentru management,
auditor i pentru organismele de reglementare n domeniu; potenialul ca efectul
cumulat al erorilor sau slbiciunilor mici s devin semnificativ. n plus auditorul
analizeaz includerea n cadrul materialitii a elementelor non-financiare, cum sunt:
controalele de acces fizic, controalele de acces logic, sistemele de management al
personalului, controalele de fabricaie, dezvoltare, proiectare i calitate, precum i
generarea parolelor. n situaia n care sistemul analizat nu proceseaz tranzacii
financiare, urmtoarele elemente sunt luate n considerare pentru aprecierea
materialitii: nivelul de importan a proceselor de business i operaiilor suportate
de ctre sistem; costul sistemului sau al operaiei din punct de vedere hardware,
software, servicii realizate ctre o ter parte; costul potenial al erorilor; numrul de
accesri, tranzacii, interogri procesate ntr-o perioad de timp; penalitile pentru
nereuita n a corespunde cerinelor legale i contractuale;

evaluarea riscului, prin care auditorul documenteaz n fiierele de lucru
urmtoarele: descrierea tehnicii folosite pentru aprecierea riscului; riscurile
semnificative identificate; riscurile pe care auditul le adreseaz;

realizarea planului de audit, care detaliaz obiectivele de audit i etapele pe care
auditorul le urmeaz pentru a se asigura c toate aspectele semnificative sunt
acoperite.
Planul de audit include:
nelegerea mediului, realizat de ctre auditor;

riscurile poteniale de audit;
procedurile de audit care vor fi realizate;
alocarea resurselor de audit n cadrul misiunii, exprimate n om/ore, pe baza
bugetului cadru iniial.
Obiectivul planului de audit este de a asista auditorul n realizarea unui audit eficient.
Planificarea auditului are la baz o strategie de audit, care se formuleaz pornind de la
definirea abordrii auditului i precizeaz elemente legate de coordonarea misiunii de audit,
echipa implicat n aceast misiune, atribuiile n cadrul echipei, orizontul de timp i direciile
principale de aciune.
Planificarea auditului sistemelor informatice trebuie s includ toate fazele necesare atingerii
obiectivelor misiunii auditului, respectiv: documentarea privind activitatea auditat,
programul sau sistemul care face obiectul auditului, stabilirea strategiei de audit, stabilirea
procedurilor de audit i a tehnicilor aferente, a metodelor de sintetizare, analiz i
interpretare a probelor de audit, identificarea i evaluarea riscurilor generate de furnizarea
serviciilor electronice.
n cazul auditrii sistemelor informatice financiar-contabile, trebuie analizat impactul acestor
sisteme asupra planului misiunii de audit. Aceast analiz are la baz urmtoarele activiti:
cunoaterea relaiei dintre situaiile financiare i sistemele informatice care le susin;

evaluarea necesitii implicrii n audit a specialitilor n audit IT;
luarea n considerare a impactului implementrii i utilizrii sistemului informatic
asupra riscului, att la nivelul entitii ct i pentru domeniul financiar-contabil;

luarea n considerare a posibilitilor de utilizare a tehnicilor de audit asistat de
calculator pentru susinerea auditului, inclusiv identificarea celor mai adecvate
mijloace de accesare i analiz a datelor aferente tranzaciilor;

analiza modului de includere a evalurii controalelor IT n abordarea auditului;
identificarea sistemelor informatice financiar-contabile n curs de dezvoltare care vor
necesita implicarea auditului.
1.4. Evaluarea controlului intern

n cadrul, Committess of Sponsoring Organizations of the Treadway Commission - COSO,
controlul intern se definete ca un proces influenat de consiliul de conducere al organizaiei,
managementul organizaiei i de ali angajai, acesta avnd scopul de a furniza o asigurare
rezonabil n privina eficacitii i eficienei operaiilor, ncrederii n raportrile financiare i n
privina conformitii cu legile i standardele n vigoare.
Auditorul evalueaz structura de control a organizaiei prin nelegerea componentelor de

control intercorelate ale organizaiei:
-
aprecierea riscului, const n identificarea riscurilor i analiza acestora;

activitile de control, constau n politicile i procesele care asigur c angajaii
urmeaz instruciunile managementului;
tipurile de activiti de control pe care organizaiile le implementeaz sunt:
controale preventive, prin care se intenioneaz s se opreasc apariia
unei erori; controale de detecie, prin care se intenioneaz s se
detecteze dac o eroare a aprut; i controale corective, care acioneaz
pentru a remedia erorile detectate;

informare i comunicare, prin care se asigur c organizaia obine informaii
pertinente i le comunic n cadrul organizaiei;

monitorizarea i revizuirea ieirilor generate de ctre activitile de control i
realizarea unor evaluri speciale dac rezultatele nu sunt conforme.
n DEX controlul este definit ca fiind analiza permanent sau periodic a unei activit i, a
unei situaii etc. pentru a urmri mersul ei i pentru a lua msuri de mbuntire.
Standardele de audit internaionale definesc sistemul de control intern ca fiind procesul
organizat de conducerea organizaiei cu scopul obinerii unei asigurri rezonabile privind
ndeplinirea obiectivelor entitii, respectiv la raportarea financiar, eficiena i eficacitatea
operaiunilor derulate, precum i conformitatea cu legislaia n vigoare.
Pe lng nelegerea componentelor de control ale organizaiei, auditorul evalueaz
controalele generale i controalele de aplicaie ale organizaiei.
Controalele generale se refer la ntregul mediu de procesare a informaiei i au un impact
semnificativ asupra operaiilor computerizate realizate.
Controalele generale cuprind urmtoarele:
-
controale
organizaionale,
care
includ
controalele
referitoare
la
mprirea
responsabilitilor;
controale ale centrului de date i a operaiunilor n reea, care asigur introducerea
corect a datelor primare n aplicaii i verific modul de corectare a erorilor;

controale referitoare la achiziia de echipamente hardware i software, i ntreinerea
acestora, care includ controale ce compar acurateea datelor introduse de dou ori
de ctre dou dispozitive diferite;

controale ale accesului securizat, care asigur protecia fizic a echipamentelor
software, a datelor i se preocup de mpiedicarea pierderii activelor sau informaiilor
datorit furturilor sau folosirii neautorizate;

controale ale achiziiei de aplicaii, dezvoltare i ntreinere, care asigur ncrederea n
corecta procesare a informaiilor.
Controalele de aplicaie sunt aplicate la procesarea datelor de ctre aplicaii i ajut la

asigurarea completitudinii i acurateei n ceea ce privete procesarea, autorizarea i
validarea tranzaciilor.
Controalele de aplicaii cuprind:
-
controale de capturare a datelor, prin care se asigur faptul c toate tranzaciile sunt
cuprinse n aplicaie, tranzaciile sunt nregistrate o singur dat i, c tranzaciile
respinse sunt identificate, controlate, corectate i reintroduse n sistem dac este
cazul;
controale de validare a datelor, asigur faptul c toate datele de intrare din tranzac ii
sunt evaluate pe baza setului de criterii stabilit;

controale de procesare, prin care se verific procesarea corect a tranzaciilor;
controale pentru rezultate, prin care se asigur c informaiile de ie ire generate de
aplicaii nu sunt distribuite sau prezentate utilizatorilor neautorizai;

controale pentru erori, prin care erorile sunt detectate, corectate i datele corecte sunt
reintroduse n sistem la etapa corespunztoare din succesiunea de procesare.
n funcie de experiena i abilitile auditorului, propunerile venite n urma misiunii de audit

privind mbuntirea sistemului de control intern vor fi luate n considerare de ctre
organizaia auditat, care le analizeaz din punct de vedere al eficienei i eficacitii lor n
cadrul organizaiei auditate.
Atunci cnd evalueaz sistemul de control intern, auditorul trebuie s ia n considerare
factorii specifici mediului informatizat. De exemplu, auditorul trebuie s ia n considerare
atitudinea i contientizarea managementului n ceea ce privete operaiile informatizate:
Considerarea riscurilor i beneficiilor aplicaiilor informatice;
Comunicarea politicilor privind funciile informatizate i responsabilitile;
Supervizarea politicilor i procedurilor referitoare la dezvoltarea, modificarea,
ntreinerea i utilizarea programelor i fiierelor, precum i pentru controlul accesului
la acestea;
Considerarea riscului inerent i a riscului de control aferente calculatoarelor i datelor
electronice;
Reacia la recomandrile i cerinele anterioare;
Planificarea operativ i eficace a activitilor IT / IS;
Contientizarea dependenei de sistemul informatic n luarea deciziei.
n cadrul documentrii se vor identifica punctele critice care acumuleaz potenialul unor
riscuri generate de implementarea i utilizarea sistemului informatic:
o
o
o
o
o
o
slaba implicarea a managementului;

obiective neatinse sau ndeplinite parial;
iniiative nefundamentate corespunztor;
sisteme interne de control organizate sau conduse necorespunztor;
pierderi importante cauzate de calamiti naturale, furturi etc.;
lipsa ncrederii n tehnologia informaiei;
10
lipsa de interes fa de planificarea continuitii sistemului (proceduri de salvare a
o
o
o
o
datelor, securitatea sistemului informatic, recuperare n caz de dezastru);

calitatea necorespunztoare a serviciilor furnizate utilizatorilor sistemului;
cheltuieli nejustificate: intranet, Internet, resurse umane;
costuri i depiri semnificative ale termenelor;
existena unor reclamaii, observaii, contestaii.
Pentru toate tipurile de audit, se va realiza o evaluare a controalelor generale IT pe baza

Listei de verificare a controalelor generale IT, care conine urmtoarele categorii de obiective
de control:
managementul funciei IT;

securitatea fizic i controalele de mediu;
securitatea informaiei i a sistemelor;
continuitatea sistemelor;
managementul schimbrii i dezvoltarea de sistem;
auditul intern.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de

ctre auditor, n funcie de obiectivele specifice ale auditului. De asemenea, se va analiza
modul n care aceste controale afecteaz eficacitatea sistemului de control intern al entitii.
1.5. Proceduri de audit i consideraii privind standardul de

audit ISAE 3000
Procedurile de audit sunt sarcini specifice realizate de ctre auditor cu scopul de a strnge
probe pentru a determina dac obiectivele de audit sunt ndeplinite. Standardele de audit
prevd urmtoarele: n cursul unui audit, auditorul informatic trebuie s obin probe de
ncredere, relevante dar i suficiente pentru ndeplinirea obiectivelor de audit. Constatrile i
concluziile auditorului trebuie s se bazeze pe analize i interpretri adecvate ale
respectivelor date.
Realizarea procedurilor de audit prezint urmtoarele faze:
-
stabilirea eantionului de audit: selecia eantionului, testarea, evaluarea i realizarea
documentaiei aferente acestor operaii;

utilizarea tehnicilor de auditare asistate de calculator;
stabilirea dovezilor de audit.
Stabilirea eantionului n audit reprezint aplicarea procedurilor de audit asupra unui procent
mai mic de 100% din populaia studiat, care permit auditorului informatic s evalueze
probele de audit n cadrul unei clase de tranzacii n scopul formulrii unei concluzii
referitoare la ntreaga populaie. Atunci cnd proiecteaz mrimea i structura eantionului,
11
auditorul informatic ia n considerare obiectivele de audit determinate n etapa de planificare

a auditului, natura populaiei i metodele de selectare i de eantionare folosite.
Selectarea eantionului - auditorul stabilete selecia n aa fel nct aceasta s fie
reprezentativ pentru populaia studiat. Cele mai folosite metode de selecie sunt metodele
statistice i nestatistice.
Metode statistice de evaluare, care includ:
-
selecia aleatorie, care asigur faptul c toate combinaiile de elemente din cadrul
populaiei au anse egale de selecie;

selecia sistematic, care implic selectarea elementelor folosindu-se un interval fix
ntre selecii, primul interval avnd un nceput aleatoriu.
Metode nestatistice de evaluare, care includ:

-
selecia ntmpltoare, prin care auditorul selecteaz eantionul fr a urma o
tehnic structurat;
selecia pe baza experienei profesionale, care utilizeaz experiena auditorului n
stabilirea criteriilor de selecie asupra elementelor eantionului: prag de relevan,
excluderea unor categorii de date din populaie.
Auditarea asistat de calculator este folosit pentru a testa controalele de aplicaie i, de

asemenea, pentru a realiza teste de substan pe selecia fcut. n literatura de specialitate
sunt precizate urmtoarele tipuri de auditare asistate de calculator:
-
programe de audit generalizate, permit auditorului s realizeze teste pe fiierele
calculatoarelor i baze de date;

programe de audit particularizate care sunt proiectate de ctre auditori pentru a
realiza o anumit sarcin de audit; programele particularizate sunt necesare atunci
cnd sistemele utilizate de ctre client nu sunt compatibile cu programele de audit
generalizate sau cnd auditorul dorete s realizeze teste care nu sunt posibile prin
utilizarea programelor de audit generalizate;

date de test generate automat cuprinznd toate scenariile posibile, care sunt
utilizate pentru a testa controalele de aplicaie direct n sistemele clientului; auditorul
include date simulate valide i invalide pentru a testa acurateea operaiilor
sistemului; metoda este folosit pentru a verifica controalele de validarea datelor i
rutinele de detectare a erorilor, controalele de procesare logic i calculele
aritmetice;
simularea paralel, prin care se construiesc module similare celor din mediul de
producie pentru a simula secvene de procesare;

dispozitiv de testare integrat, prin care auditorul introduce datele de test mpreun
cu datele reale ntr-un mediu de producie.
Dovezile de audit trebuie s fie suficiente, solide, relevante i folositoare, pentru a permite
auditorului s i formeze o opinie i pentru a conferi suport concluziilor i constatrilor
12
fcute. Dac auditorul nu i-a format o opinie pe baza dovezilor de audit obinute, va solicita
noi dovezi de audit pn la clarificarea tuturor pailor nefinalizai.
Terminarea auditului cuprinde urmtoarele:
-
emiterea raportului;
arhivarea documentaiei colectate i generate n timpul misiunii;
urmrirea implementrii concluziilor auditului, prin stabilirea unor ntlniri ulterioare
de verificare a progresului realizat;

evaluarea auditului, de ctre o echip independent.
Evaluarea prin sondaj a misiunilor de audit este necesar pentru a verifica respectarea
standardelor i metodologiilor asumate de ctre auditori. Practica n domeniu ne arat c
pentru asigurarea calitii, evaluarea prin sondaj de ctre o echip independent trebuie s
devin obligatorie indiferent de organizaia care a efectuat auditul.
Standardul de audit ISAE 3000 Angajamente de asigurare, altele dect auditul sau
revizuirea informaiilor financiare aferente perioadelor anterioare, este unul dintre cele mai
folosite standarde pentru misiunile de audit informatic.
Acest standard folosete termenii angajament de asigurare rezonabil i angajament de
asigurare limitat, pentru a face distincia ntre cele dou tipuri de misiuni de asigurare, pe
care un practicant este autorizat s le execute.
Obiectivul unui angajament de asigurare rezonabil este de a reduce riscul
angajamentului sau misiunii de asigurare la un nivel acceptabil de sczut n condiiile
angajamentului, ca baz pentru o form pozitiv de exprimare a concluziilor misiunii.
Obiectivul unui angajament de asigurare limitat este o reducere a riscului
angajamentului sau misiunii de asigurare la un nivel care este acceptabil n condiiile
angajamentului, caz n care riscul este mai mare dect pentru un angajament de asigurare
rezonabil, ca baz pentru o form negativ de exprimare a concluziilor misiunii.
Experiena n domeniu arat c principalul criteriu luat n considerare de mediul economic n
selecia furnizorului de servicii de audit este preul misiunii de audit, fr a se pune accent
pe modul n care urmeaz a fi formulat opinia de audit.
Auditorul trebuie s planifice i s desfoare un angajament cu o atitudine de scepticism
profesional, admind c exist circumstane care s determine ca informaiile analizate s
fie denaturate n mod semnificativ. O atitudine de scepticism profesional nseamn c
auditorul va face o evaluare critic, avnd o atitudine de examinator, asupra validitii
probelor obinute i este atent la probe, punnd n discuie ncrederea documentaiei sau
declaraiile date de ctre persoanele responsabile.
Auditorul trebuie s obin o nelegere a subiectului i a altor circumstane ale
angajamentului, suficient pentru a identifica i evalua riscurile ca informaiile analizate s fie
semnificativ denaturate i suficient pentru a proiecta i efectua proceduri viitoare de
colectare a probelor.
13
Asigurarea rezonabil este mai redus dect asigurarea absolut. Reducerea riscului
angajamentului de asigurare la zero este foarte rar atins sau eficient din punct de vedere al
costurilor implicate, ca urmare a unor factori precum:
-
utilizarea unor selecii pentru testare;

limitrile inerente ale controlului intern;
faptul c o mare parte a dovezilor disponibile auditorului sunt mai degrab
persuasive dect conclusive;

utilizarea aprecierii n colectarea i evaluarea probelor i formarea concluziilor;
n funcie de situaie, caracteristicile informaiilor analizate.
Att angajamentele de asigurare rezonabil, ct i cele de asigurare limitat, necesit

aplicarea unor aptitudini i tehnici n strngerea unor probe suficient de adecvate, ca partea
unui proces iterativ i sistematic, care include obinerea unei nelegeri a subiectului i a altor
circumstane ale angajamentului.
Natura, momentul de aplicare i aria de acoperire a procedurilor pentru strngerea unor
dovezi suficient de adecvate ntr-un angajament de asigurare limitat sunt, totui, n mod
deliberat limitate n raport cu un angajament de asigurare rezonabil.
Pentru diferite tipuri de informaii analizate exist standarde ISAE specifice care ofer
ndrumare cu privire la procedurile pentru strngerea unor dovezi suficient de adecvate
pentru un angajament de asigurare limitat. n absena unor standarde ISAE specifice,
procedurile pentru strngerea unor dovezi suficient de adecvate vor varia n funcie de
circumstanele angajamentului, avnd n vedere: obiectul, informaiile analizate, nevoile
utilizatorilor crora le este destinat i ale organizaiei auditate, inclusiv constrngerile
temporale i bugetare relevante. Pentru ambele tipuri de angajamente, n cazul n care
auditorul devine contient de o problem care conduce auditorul la ntrebri cu privire la
faptul c o modificare material, ar trebui s se aplice informaiilor analizate, auditorul va
urmri problema prin efectuarea unor proceduri suficiente pentru a permite tragerea unei
concluzii n raport.
Diferena major ntre angajamentul de asigurare rezonabil i angajamentul de asigurare
limitat const n modul de analizare a zonelor auditate, care este mult mai restrns n cazul
asigurrii limitate, prin reducerea seleciilor de test i a pailor de audit.
Raportul de audit mpreun cu recomandrile de audit, pregtit de echipa de audit i,
revizuit i asumat de ctre eful echipei de audit, trebuie s includ urmtoarele elemente:
(a) un titlu care s indice n mod clar c raportul este un raport de audit independent;
(b) destinatarul raportului, pentru a identifica partea sau prile crora raportul le este
adresat;
(c) identificarea i descrierea informaiilor analizate:
momentul sau perioada de timp la care se refer evaluarea;
numele entitii sau a componentelor analizate;
14
o explicaie a acelor caracteristici ale informaiei despre care utilizatorii ar

trebui s fie contieni i modul n care aceste caracteristici influeneaz
precizia evalurii.
Atunci cnd concluzia auditorului este formulat n referin cu aseriunile

managementului, aceste aseriuni sunt anexate la raportul de audit, fiind reproduse
n raportul de audit sau referine n cadrul acestuia ctre o surs care este disponibil
utilizatorilor crora le este destinat.
(d) identificarea criteriilor n raport cu care informaiile au fost evaluate sau msurate,
astfel nct utilizatorii s neleag baza pentru concluziile auditorului; raportul de
audit include criteriile utilizate sau face referin la ele; auditorul trebuie s analizeze
dac este relevant s dezvluie urmtoarele:
- sursa criteriilor i dac acestea sunt incluse sau nu n legi sau reglementri
-
emise de ctre organismele abilitate;

metodele de msurare utilizate pentru situaiile n care criteriile permit
alegerea ntre un numr de metode;

orice interpretri semnificative realizate n aplicarea criteriilor n condiiile
angajamentului;
- dac au existat modificri ale metodelor de msurare utilizate.
(e) o descriere a oricror limitri inerente semnificative asociate cu evaluarea sau
msurarea informaiilor analizate pe baza criteriilor, dac este cazul;
(f) atunci cnd criteriile folosite pentru a evalua sau msura informaiile analizate sunt
disponibile numai unor utilizatori specifici, sau sunt relevante pentru un scop specific,
va fi inclus o declaraie care restricioneaz utilizarea raportului de audit;
(g) o declaraie pentru identificarea prilor responsabile i pentru descrierea
responsabilitilor prilor i ale auditorului;
(h) o declaraie c misiunea a fost efectuat n conformitate cu ISAE;
(i) un rezumat al activitii desfurate, care va ajuta utilizatorii s neleag natura
asigurrilor transmise prin raportul de audit; n cazul n care nu exist un ISAE
specific care s ofere ndrumri cu privire la procedurile de colectare a probelor
pentru un anumit subiect, rezumatul include o descriere detaliat a muncii efectuate;
pentru c ntr-un angajament de asigurare limitat o apreciere a naturii, timpului i
ntinderii procedurilor de colectare a dovezilor efectuate este esenial pentru
nelegerea asigurrii transmise de ctre o concluzie exprimat ntr-o form negativ,
rezumatul activitii desfurate are urmtoare caracteristici:
- este mai detaliat dect pentru un angajament de asigurare rezonabil i
identific limitrile cu privire la natura, timpul i ntinderea procedurilor de
colectare a probelor; este recomandabil s se indice procedurile care nu au
fost realizate i care ar fi fost n mod normal efectuate ntr-un angajament de
asigurare rezonabil;
15
precizeaz procedurile de colectare a probelor care sunt mai limitate dect

pentru un angajament de asigurare rezonabil i, prin urmare, se obine o
asigurare mai redus dect ntr-un angajament de asigurare rezonabil.

(j) opinia auditorului este format din mai multe concluzii separate atunci cnd
informaiile analizate sunt grupate n mai multe aspecte, iar fiecare concluzie este
exprimat n forma necesar, ca angajament de asigurare rezonabil sau limit;dac
este cazul, concluzia trebuie s informeze utilizatorii cu privire la contextul n care
trebuie citit, cum ar fi: aceast opinie a fost formulat pe baza, i este supus unor
limitri inerente prezentate n alt parte n acest raport independent de audit;ntr-un
angajament de asigurare rezonabil, concluzia trebuie s fie exprimat ntr-o form
pozitiv: n opinia noastr controlul intern este eficace, n toate aspectele
semnificative, pe baza criteriilor incluse n sfera misiunii sau precizate n
reglementrile care stau la baza auditului; ntr-un angajament de asigurare limitat,
concluzia trebuie s fie exprimat sub form negativ: pe baza muncii noastre
descris n acest raport, nimic nu a ajuns n atenia noastr care s ne determine s
credem c, la nivelul organizaiei, controlul intern nu este eficient, n toate aspectele
semnificative, pe baza criteriilor incluse n sfera misiunii sau precizate n
reglementrile care stau la baza auditului;
(k) n cazul n care exist urmtoarele circumstane i, efectul este sau ar fi anse s
ajung semnificativ, opinia va fi calificat (modificat) sau cu rezerve:
- exist o limitare a sferei misiunii auditorului, prin apariia unor circumstane
care mpiedic obinerea de probe necesare pentru reducerea riscului unui
-
angajament de asigurare la un nivel adecvat;

n cazurile n care concluzia este formulat cu privire la aseriunile
managementului, iar acestea nu cuprind toate aspectele semnificative, sau
informaiile analizate sunt semnificativ denaturate;

atunci cnd se descoper, dup ce a fost acceptat misiunea, inadecvarea
criteriilor sau faptul c informaia analizat nu este adecvat pentru un
angajament de asigurare.
Recomandrile de audit trebuie s arate clar deficienele nregistrate care au dus la

recomandarea respectiv, ponderea acestor deficiene n totalul populaiei analizate,
impactul lor asupra organizaiei, sau constatrile care stau la baza observaiilor de
mbuntire a activitii i valoarea adugat adus de implementarea recomandrii.
Experiena arat c pentru o mai bun nelege a raportului este necesar includerea unor
elemente care s specifice clar mrimea seleciilor realizate i o descriere detaliat a
proceselor testate. ns, o solicitare din partea organizaiei auditate de extindere a
specificaiilor raportului de audit trebuie refuzat pentru c ar arta implicaiile utilizrii
criteriului preului cel mai redus n selectarea furnizorului de servicii de audit.
16
Datorit utilizrii lui pe scar larg pentru misiunile de audit informatic din ara noastr,
nelegerea acestui standard, precum i a tipurilor de opinii de audit care sunt emise n baza
acestui standard, este important.
1.6. Realizarea procedurilor de audit (efectuarea auditului)

Obinerea probelor de audit
Probele de audit specifice sistemelor informatice pot fi ncadrate n urmtoarele categorii:
a) Probe de audit fizice - rezultate din demonstraii ale aplicaiilor, documentaii tehnice,
diagrame, scheme de arhitectur i alte elemente echivalente acestora.
b) Probe de audit verbale rspunsuri la interviuri, sondaje.
c) Probe de audit documentare documente, documentaii, manuale n form scris sau n
format electronic.
d) Probe de audit analitice rezultate obinute n urma evalurilor i analizei fondului de
informaii (indicatori, tendine).
Auditorii vor colecta probe de audit suficiente i adecvate. n cazul n care probele de audit
nu sunt suficiente i/sau adecvate, auditorii vor extinde procedurile de colectare cu teste
suplimentare, aprofundate asupra sistemului informatic.
n cadrul auditului se vor efectua teste asupra controalelor specializate pentru identificarea
unor elemente sau aciuni care constituie factori de risc i se va face o analiz a impactului
acestora asupra activitii entitii.
Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice
ale funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i conduc la
obinerea unor rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere
volumul mare al tranzaciilor i complexitatea algoritmilor de prelucrare. Ca urmare a
gestionrii automate a unui volum mare de date, fr implicare uman, exist riscul
nedetectrii pentru o perioad lung de timp a unor erori datorate unor anomalii de
proiectare sau de actualizare a unor componente software.
Tehnici de audit
Pentru obinerea probelor de audit se vor utiliza, n principal, urmtoarele tehnici de audit:
Realizarea de interviuri cu persoane cheie implicate n proiect (coordonatori,

utilizatori, administratori de sistem IT etc.);
Utilizarea chestionarelor i machetelor;
Examinarea unor documentaii tehnice, economice, de monitorizare i de raportare:
grafice de implementare, coresponden, rapoarte interne, situaii de raportare,
rapoarte de stadiu al proiectului, registre de eviden, documentaii de monitorizare a
utilizrii, contracte, sinteze statistice, metodologii, standarde;
Participarea la demonstraii privind utilizarea sistemului;
Evaluarea portalului i a serviciilor electronice;
17
Utilizarea tehnicilor i instrumentelor de audit asistat de calculator (IDEA, TeamMate,

ACL sau alte aplicaii utilizate);
Documentarea pe Internet n scopul informrii asupra unor evenimente, comunicri,
evoluii legate de sistemul IT sau pentru consultarea unor documentaii tehnice.
Colectarea i inventarierea probelor de audit

Colectarea i inventarierea probelor de audit se refer la constituirea fondului de date n
format electronic i / sau n format tiprit pe baza machetelor, chestionarelor i a listelor de
verificare completate, precum i la organizarea i stocarea acestora.
Natura probelor de audit este dependent de scopul auditului i de modelul de auditare
utilizat. Dei modelele de auditare pot diferi n ceea ce privete detaliile, ele reflect i
acoper cerina comun de a furniza o asigurare rezonabil c obiectivele i criteriile impuse
n cadrul unei misiuni de audit (de exemplu, audit financiar) sunt satisfcute.
Documentarea probelor de audit
Obinerea probelor de audit i nscrierea acestora n documentele de lucru reprezint
activiti eseniale ale procesului de audit. Documentele de lucru se ntocmesc pe msura
desfurrii activitilor din toate etapele auditului. Documentele de lucru trebuie s fie
ntocmite i completate cu acuratee, s fie clare i inteligibile, s fie lizibile i aranjate n
ordine, s se refere strict la aspectele semnificative, relevante i utile din punctul de vedere
al auditului.
Aceleai cerine se aplic i pentru documentele de lucru utilizate n format electronic.
Documentarea corespunztoare a activitii de audit are n vedere urmtoarele
considerente:
o
o
o
o
o
o
Confirm i susine opiniile auditorilor exprimate n raportul de audit;

mbuntete performana activitii de audit;
Constituie o surs de informaii pentru pregtirea raportului de audit sau pentru a
rspunde oricror ntrebri ale entitii auditate sau ale altor pri interesate;
Constituie dovada respectrii de ctre auditor a standardelor i a manualului de
audit;
Faciliteaz monitorizarea auditului;
Furnizeaz informaii privind expertiza n audit.
Documentele de lucru, elaborate n format tiprit, vor fi organizate n dosare, iar

documentele elaborate n format electronic vor fi organizate n colecii de fiiere i / sau baze
de date.
Documentele trebuie s fie prezentate ntr-o manier inteligibil, coerent, consistent cu
obiectivele auditului.
Pentru descrierea sistemelor entitii auditate se utilizeaz urmtoarele tipuri de documente:
diagrame de tip flowchart, prezentri narative, machete i chestionare. Alegerea acestor
tehnici variaz n funcie de practicile locale de audit, de preferina personal a auditorului i
de complexitatea sistemelor auditate.
18
Diagramele flowchart exprim n mod grafic descrierea sistemului auditat. Diagramele

flowchart nregistreaz ciclul de via al unei tranzacii, de la iniiere pn la stocarea
acesteia i evideniaz controalele i procedurile automate i manuale.
Descrierea narativ a ciclului de prelucrare a tranzaciilor este utilizat, de asemenea, n
documentarea sistemelor. Se utilizeaz n conjuncie cu alte metode de documentare a
sistemelor. Descrierea narativ include: obiectivele sistemului i intele, procesele i
procedurile, legturi i interfee cu alte sisteme, controale, proceduri pentru condiii speciale.
Listele de verificare
n cazul evalurilor efectuate pentru auditarea infrastructurii IT, se vor utiliza urmtoarele
liste de verificare:
Lista de verificare privind evaluarea controalelor generale IT;

Lista de verificare privind evaluarea riscurilor generate de funcionarea sistemului IT.
Aceste liste de verificare se vor utiliza i n cadrul misiunilor de audit financiar sau de audit al
performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de
funcionarea sistemului informatic.
Listele de verificare generice nu exclud adugarea altor categorii de probleme considerate
semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului.
n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic
financiar-contabil pentru a formula o opinie privind ncrederea n informaiile furnizate de
sistemul informatic, auditorul va elabora Lista de verificare pentru testarea controalelor IT
specifice aplicaiei financiar-contabile, care conine urmtoarele categorii de controale de
aplicaie:
controale privind integritatea fiierelor;

controale privind securitatea aplicaiei;
controale ale datelor de intrare;
controale de prelucrare;
controale ale ieirilor;
controale privind reeaua i comunicaia;
controale ale fiierelor cu date permanente.
n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul
funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca
suport pentru asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidena,
prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de
raportare. Din acest motiv, o categorie special de controale IT se refer la conformitatea
sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare includ:
Legislaia din domeniul finanelor i contabilitii;
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
19
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii

informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional se folosesc liste de
verificare specializate: lista de verificare pentru evaluarea guvernanei sistemelor de tip eguvernare, lista de verificare pentru evaluarea portalului web, lista de evaluare a
perimetrului de securitate, liste de verificare pentru evaluarea serviciilor electronice, liste de
verificare pentru evaluarea cadrului de interoperabilitate, precum i alte liste de verificare a
cror necesitate decurge din obiectivele auditului.
Avnd n vedere specificul i complexitatea ridicat a unor astfel de misiuni de audit, cadrul
de auditare asociat necesit o tratare separat.
Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare
urmtoarele aspecte:
Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii;

Modul n care managementul adecvat al configuraiilor IT contribuie la creterea
valorii adugate prin utilizarea sistemului informatic, reflectat n economii privind
costurile de achiziie i creterea calitii serviciilor;
Creterea semnificativ a productivitii unor activiti de rutin foarte mari
consumatoare de timp i resurse, care, transpuse n proceduri electronice
(tehnoredactare, redactarea automat a documentelor, cutri n arhive electronice,
reutilizarea unor informaii, accesarea pachetelor software legislative), se
materializeaz n reduceri de costuri cu aceste activiti;
Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii
unor proceduri pentru remedierea acestora;
Eliminarea paralelismelor i integrarea proceselor, care se reflect n creterea
eficienei activitii prin eliminarea redundanelor;
Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului
de rspuns;
Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i
dezvoltarea de noi aptitudini;
Reducerea costurilor administrative.
Chestionarele
Chestionarele conin ntrebri despre sistemele entitii auditate i constituie suportul pentru
colectarea informaiilor despre acestea.
Chestionarele conin, n general, opinii ale actorilor implicai n sistem referitoare la:
acceptarea sistemului, calitatea instruirii, efectele sistemului asupra activitii entitii,
calitatea documentaiei tehnice, ncrederea n sistemul informatic, dificultatea utilizrii
sistemului, efectele n planul modernizrii activitii, necesitatea extinderii sistemului.
n cazul n care chestionarele sunt proiectate pentru efectuarea unor analize statistice,
acestea conin ntrebri formulate astfel nct s poat fi agregate i analizate n funcie de
criterii stabilite. Rspunsurile pot fi de tip DA/NU, note, ponderi, i altele. De asemenea, sunt
20
admise aprecieri personale i comentarii. Pe baza informaiilor colectate se pot elabora

diagrame i grafice care s exprime sugestiv concluzii referitoare la percepia unei populaii
despre efectele implementrii i utilizrii sistemului informatic supus evalurii.
Machetele
Machetele sunt elaborate de auditori i constituie suportul pentru colectarea informaiilor
legate de: bugetul IT / IS, configuraia hardware / software, infrastructura de reea, sistemul
aplicativ, instruirea personalului, utilizarea sistemului informatic, costuri, furnizori.
Sintetizarea, analiza i interpretarea probelor de audit
Auditorii vor face o evaluare a sistemelor informatice i a aplicaiilor, prin analiza,
interpretarea i sinteza informaiilor obinute n cadrul interviurilor sau colectate din sursele
documentare i prin intermediul machetelor, chestionarelor i listelor de verificare.
Aceste operaiuni se bazeaz n principal pe elaborarea i/sau utilizarea unor tabele
sintetice, reprezentri grafice, indicatori de performan, matrici de corelaie etc. n acest
scop se utilizeaz, pe scar din ce n ce mai larg, instrumentele i tehnicile bazate pe
calculator.
Formularea constatrilor i recomandrilor
Evaluarea i revizuirea sistemului informatic se fac prin analiza constatrilor rezultate i
interpretarea acestora. n funcie de impactul pe care l au neconformitile constatate, se
formuleaz recomandri pentru remedierea acestora i reducerea nivelului riscurilor. Aceste
recomandri reflect opiniile auditorului asupra entitii auditate prin prisma obiectivelor
misiunii de audit. Sintetic, constatrile se vor referi la urmtoarele aspecte: evaluarea
complexitii sistemelor informatice, evaluarea general a riscurilor entitii n cadrul
mediului IT, evaluarea riscurilor n cadrul fiecrei aplicaii, precum i un punct de vedere al
auditorului privind fezabilitatea unui demers de audit bazat pe controale.
1.7. Elemente ale raportului de audit (Exemplu3)

Pornind de la premisa c auditul sistemelor informatice reprezint o activitate de evaluare a
sistemelor informatice prin prisma optimizrii gestiunii resurselor informatice disponibile
(tehnologii, faciliti, resurse umane, aplicaii, date etc.), n scopul atingerii obiectivelor
entitii auditate prin asigurarea unor criterii de eficien, confidenialitate, integritate,
disponibilitate, siguran n funcionare i conformitate cu un cadru de referin (standarde,
bune practici, cadru legislativ etc.), se dorete ca raportul s se constituie ntr-un demers de
sensibilizare a factorilor implicai n procesul de reform i modernizare a sistemului, att n
ceea ce privete accelerarea implementrii sistemului informatic, ct i n ceea ce prive te
creterea stabilitii i utilitii acestuia, prin clarificarea unor aspecte metodologice i
procedurale.
1.4.1. Prezentarea cadrului instituional general i a problematicii abordate
CURTEA DE CONTURI A ROMNIE R A P O R T D E A U D I T Auditul sistemului informatic

al instanelor
de judecat (www.curteadeconturi.ro/.../Rapoarte...audit/Informatica/informatica5.pdf)
21
Direcia de Exploatare a Tehnologiei Informaiei (DETI), actualmente Direcia Tehnologia

Informaiei (DTI), din cadrul Ministerului Justiiei (MJ) este compartimentul care coordoneaz
activitatea informatic n scopul constituirii unui sistem informatic judiciar unitar i care
implementeaz programele guvernamentale de informatizare, stabilite prin Strategia de
informatizare, n unitile sistemului judiciar.
n vederea unei bune organizri a activitii informatice n instane, precum i pentru
atingerea ct mai rapid a obiectivelor stabilite prin Strategia de informatizare a sistemului
judiciar, prin Ordinul Ministrului Justiiei nr. 1493/C/08.09.2004 s-au stabilit atribuiile
personalului de specialitate informatic. Acestea transpun la nivelul instanelor judectoreti
atribuiile direciei de profil de la nivelul ministerului.
Personalul de specialitate informatic de la nivelul instanelor de judecat are ca principale

atribuii:
a) participarea, la solicitarea Ministerului Justiiei, la partea de analiz i implementare a
aplicaiilor informatice comune privind activitatea instanelor;
b) asigurarea exploatrii programelor informatice elaborate la nivel central, instalarea
produselor informatice i controlul periodic al respectrii instruciunilor de utilizare de ctre
operatorii de aplicaie;
c) coordonarea i controlul activitilor cu profil informatic;
d) asigurarea iniierii i instruirii personalului instanei n exploatarea aplicaiilor;
e) supravegherea modului de utilizare a tehnicii de calcul i luarea msurilor necesare
pentru asigurarea bunei funcionari a acesteia.
1.4.2. Obiectivul general i obiectivele specifice ale auditului
Auditul a urmrit furnizarea de informaii i analize independente i Impariale Parlamentului,
entitilor implicate i justiiabililor, cu privire la Strategia de reform a sistemului judiciar prin
utilizarea sistemului informatic i implementarea programelor i politicilor aferente Strategiei
de informatizare, precum i formularea de recomandri n scopul accelerrii procesului de
reform datorat utilizrii tehnologiilor informatice, a optimizrii rezultatelor i a mbunt irii
serviciilor oferite.
S-a urmrit de asemenea eficientizarea procedurilor judiciare, din punct de vedere
informatic, creterea gradului de transparen, securizarea informaiilor cu caracter personal,
gestionarea eficient a resurselor umane, financiare i materiale, precum i identificarea
cauzelor care au condus la apariia unor eventuale deficiene n derularea programului de
informatizare a instanelor judectoreti i formularea unor recomandri n vederea
continurii i atingerii obiectivelor stabilite de Strategia de informatizare.
Misiunea de audit s-a desfurat n conformitate cu Manualul Auditului Performanei elaborat
de Curtea de Conturi a Romniei, asigurnd compatibilitatea cu cerinele standardelor
internaionale de audit acceptate de INTOSAI (International Organisation of Supreme Audit
Institutions), cu cadrul CoBIT (Control OBjectives for Information and related Technology), cu
22
ghidurile de bun practic elaborate de ISACA (Information Systems Audit and Control
Association), cu standardul de securitate ISO 27002 (ISO 17799), precum i cu standardele
ISA (International Standard Audit) - ISA 400 privind evaluarea riscurilor i controlul intern,
ISA 401 privind auditul ntr-un mediu cu sisteme informatizate.
Totodat s-a urmrit msura n care aplicaiile supuse analizei reflect actualizarea
prevederilor legale i modul de corelare a datelor.
n cadrul prezentei aciuni s-a ncercat pe ct posibil o abordare orientat pe rezultate, ceea
ce se refer n principal la analizarea performanei realizate n contextul celor 3E
(economicitate, eficien, eficacitate), prin compararea observaiilor auditorilor cu normele
existente (reglementri, standarde, obiective, inte) i cu criteriile de audit stabilite .
Formatul raportului de audit este cel recomandat n ghidul Auditului Performanei al Curii de
Conturi a Romniei, acoperind controalele puse n aplicare, procedurile pentru asigurarea
respectrii reglementrilor, precum i constatrile i recomandrile pentru eliminarea sau
diminuarea deficienelor identificate i concluziile rezultate pe parcursul desfurrii misiunii
de audit.
Reforma sistemului judiciar reprezint o prioritate n cadrul procesului de reform
instituional din Romnia. Obiectivele acesteia au fost stabilite prin Strategia de reform a
sistemului judiciar pe perioada 2005-2007 i prin Planul de aciune pentru implementarea
Strategiei de reforma a sistemului judiciar pe perioada 2005-2007, aprobate prin H.G. nr.
232 din 30 martie 2005. La Capitolul VI planul prevede Continuarea procesului de
informatizare a sistemului judiciar pe perioada respectiv.
Totodat, prin H.G. nr. 543 din 9 iunie 2005 au fost aprobate Strategia de informatizare a
sistemului judiciar pe perioada 2005-2009 precum i organizarea i funcionarea Comisiei de
monitorizare i implementare a acestei Strategii.
n cadrul acestei Strategii se arat c utilizarea tehnologiilor informatice moderne va accelera
procesul de reform, prin asigurarea standardizrii procedurilor la nivelul ntregului sistem,
unificarea acestora, precum i prin introducerea unor indicatori de msurare a eficienei
actului de justiie.
Informatizarea sistemului judiciar, prin obiectivele sale privind eficientizarea procedurilor
judiciare, creterea gradului de transparen, securizarea informaiilor cu caracter personal
i a celor cu caracter secret, eliminarea corupiei, gestionarea eficient a resurselor umane,
financiare, materiale, vizeaz, printre altele, aspecte legate de:
creterea calitii actului de justiie i scurtarea timpului de rezolvare a cauzelor aflate pe
rolul instanelor;
eliminarea treptat a gestionrii datelor n format hrtie prin utilizarea formei electronice a
dosarelor i a celorlalte documente specifice;
accesul rapid la legislaie, jurispruden i la informaii privind cauzele aflate pe rol pentru
personalul instanelor i parchetelor;
creterea gradului de pregtire n domeniul informatic al magistrailor i personalului
auxiliar, n scopul utilizrii eficiente a noilor tehnologii;
23
servicii electronice pentru ceteni, avocai i ali specialiti implicai n actul de justiie;
deschiderea ctre alte sisteme informatice pentru a prelua i a transmite informa ii ctre
acestea, ntr-o tehnologie standard;
creterea gradului de securizare al reelelor de comunicaii i implementarea unei politici de
acces n sistem pentru fiecare utilizator;
repartizarea aleatorie a cauzelor pe complete de judecat;
eliminarea posibilitilor de intervenie neautorizat asupra datelor din dosare;
managementul informatizat al documentelor interne;
gestionarea corespunztoare a patrimoniului.
Obiectivul general al auditului const n evaluarea componentelor sistemului informatic al

instanelor judectoreti, a instrumentelor, tehnologiilor informatice i infrastructurii existente,
a ncadrrii n obiectivele stabilite de Strategia de informatizare, precum i formularea unor
recomandri n scopul accelerrii atingerii acestor obiective i a mbuntirii serviciilor
oferite.
Misiunea de audit i-a propus obinerea unei asigurri rezonabile asupra urmtoarelor criterii
de evaluare i efecte ale sistemului:
a) dac sistemul informatic a fost implementat cu succes la nivelul instanelor de judecat i
dac a permis aplicarea corect i n mod eficient a legislaiei de care depinde succesul
reformei sistemului judiciar, dac au intervenit schimbri la nivelul activitii auditate datorate
utilizrii tehnologiei IT i dac s-au obinut rezultate i s-au furnizat servicii de calitate;
b) dac resursele umane, materiale i tehnice au fost utilizate corespunztor;
c) identificarea i analiza riscurilor generate de utilizarea sistemului informatic;
d) dac au fost utilizate instrumente, mijloace i politici manageriale adecvate care s fi
contribuit n fapt la implementarea unui sistem informatic de care depinde succesul reformei
n justiie.
De asemenea, la stabilirea performanei sistemului s-au avut n vedere cele mai bune
practici n materie.
Pornind de la aceste considerente auditul s-a concentrat asupra urmtoarelor obiective
specifice:
- Evaluarea Strategiei de informatizare, din punct de vedere al stadiului, finanrii i a
perspectivelor;
- Evaluarea stadiului de implementare a sistemului informatic;
- Respectarea politicilor, standardelor i procedurilor cu privire la calitatea datelor;
24
- Respectarea standardelor de securitate a datelor;

- Evaluarea modului de valorificare a informaiilor i asigurarea transparenei actului de
justiie;
- Interoperabilitatea cu sistemele altor instituii n vederea asigurrii prevenirii i combaterii
fenomenelor de corupie;
- Evaluarea impactului utilizrii sistemului informatic;
- Evaluarea existenei unor indicatori de performan.
1.4.3. Abordarea auditului

Aa cum am artat n capitolul anterior, auditul i-a propus evaluarea componentelor
sistemului informatic al instanelor judectoreti, a ncadrrii n obiectivele stabilite de
Strategia de informatizare.
Au fost avute n vedere urmtoarele aspecte:
dotarea cu tehnic de calcul i software;
infrastructura de comunicaii;
modul de organizare i structura personalului informatic din sistemul judiciar;
proiectele de dezvoltare n derulare.
Strategia de dezvoltare a sistemului informatic al justiiei n ansamblul su, vizeaz
realizarea unei infrastructuri integrate, ntr-o tehnologie coerent, care s permit
personalului sistemului judiciar o activitate transparent, eficient i performant, astfel nct
prin colaborare cu instituiile administraiei publice, agenii, ONG-uri s furnizeze comunitii
servicii care s rspund necesitilor acesteia.
Obiectivele i proiectele care deriv din Strategia de informatizare au fost realizate
preponderent centralizat, la nivelul Ministerului Justiiei, n cadrul programelor de reform, cu
finanare internaional (ndeosebi PHARE i Banca Mondial) precum i din surse proprii,
sub monitorizarea organismelor abilitate.
...
La nivel teritorial auditul s-a desfurat la tribunalul din fiecare ora reedin de jude i la
cte o judectorie, precum i curile de apel, acolo unde funcioneaz aceste instane (14 din
cele 15 existente).
n privina elementelor legate de teritoriu nu a existat posibilitatea surprinderii tuturor
aspectelor legate de problematica abordat. Din acest motiv apare i riscul emiterii unor
constatri, concluzii i recomandri incomplete sau cu un grad diminuat de generalitate n
25
ceea ce privete situaia existent la restul instanelor de judecat, necuprinse n programul

de audit.
La nivelul judeelor n care s-au desfurat aciuni de audit au fost chestionai un numr de
527 beneficiari, utilizatori ai paginilor de web ale Ministerului Justiiei i naltei Curi de
Casaie i Justiie precum i ai portalului instanelor de judecat i a celui de legislaie,
selectai dintre ceteni, avocai, juriti i specialiti implicai n actul de justiie.
1.4.4. Metode i tehnici de colectare i analiz a probelor de audit

Pentru realizarea obiectivelor auditului au fost utilizate urmtoarele metode de obinere i
analizare a probelor de audit:
Observaia direct prin inspecia spaiilor de lucru n care sunt instalate serverele i
echipamentele de comunicaie i participarea la demonstraii pentru nelegerea modului de
funcionare a sistemului informatic;
Examinarea documentaiei privind:
- Strategia naional de informatizare i implementare n ritm accelerat a societii
informaionale (H.G. nr. 58/1998);
- Strategia de reform a sistemului judiciar pe perioada 2005-2007 (H.G. nr. 232/2005);
- Strategia de informatizare a sistemului judiciar pe perioada 2005-2009 (H.G. nr. 543/2005);
- Aide memoire-uri ale Bncii Mondiale cu privire la Proiectul privind reforma sistemului
judiciar;
...
Interviuri cu:
- persoane din conducerea unitilor auditate;
- personalul de specialitate IT;
- utilizatorii aplicaiilor, desfurate pe baza listelor de verificare privind evaluarea riscurilor
IT, a controalelor IT i a aplicaiilor informatice, precum i a chestionarului pentru evaluarea
sistemului informatic;
Eantionare pentru selectarea utilizatorilor care au rspuns la chestionarul de evaluare a
portalului instanelor de judecat i a celui legislativ;
Teste de detaliu privind modul de funcionare a aplicaiilor analizate;
Centralizarea probelor de audit obinute n funcie de natura lor, n vederea cuantificrii
rezultatelor.
26
Pentru evaluarea riscurilor s-au avut n vedere o serie de factori, cum ar fi:
- Existena unor obiective neatinse sau ndeplinite parial;
- Implicarea necorespunztoare a conducerii n derularea proiectelor IT. Existena unor
iniiative fundamentate necorespunztor;
- Detectarea unor depiri semnificative ale termenelor;
- Organizarea i funcionarea necorespunztoare a a sistemelor interne de control;
- Existena unor deficiene n asigurarea securitii sistemului IT i n planificarea continuitii
sistemului;
- Existena unor discontinuiti n perfecionarea utilizatorilor sistemului IT;
- Calitatea necorespunztoare a serviciilor IT, identificarea de reclamaii, observaii,
contestaii, privind sistemul auditat.
n acest sens, pentru evaluarea sistemului informatic au fost urmrite cu precdere,
urmtoarele activiti i operaiuni:
. analiza infrastructurii hardware/software existente, necesiti i funcionaliti;
analiza structurii personalului din punct de vedere numeric, al pregtirii profesionale i
experienei n domeniu;
administrarea reelelor de calculatoare locale i de arie extins;
gestionarea echipamentelor hardware i de comunicaii n reeaua instanelor de judecat;
asigurarea ntreinerii echipamentelor de calcul;
existena controlului intern n toate fazele funcionrii sistemului, funcionarea principiului
separrii atribuiilor/sarcinilor;
protocoale privind securitatea accesului n sistem, back-up, aprobri pentru modificrile
sistemului, restricionare, siguran, consisten i acuratee a datelor.
1.4.5. Prezentarea criteriilor utilizate pentru evaluarea performanei
Criteriile de audit decurg din termenii de referin identificai, standardele fa de care este
apreciat atingerea performanei (legislaie, ghiduri, standarde i reglementri
departamentale, indicatori relevani, obiective de performan relevante) i se raporteaz la
bunele practici n domeniu. Acestea vizeaz atingerea performanei att din punctul de
vedere al administratorului i utilizatorului sistemului informatic, ct i al interesului general
al justiiabilului.
27
Performana implementrii i utilizrii unui sistem informatic, are n vedere:

- eficiena procesului de implementare i utilizare a sistemului, astfel nct efectele pe care
acesta le produce asupra utilizatorilor, prin introducerea unor tehnici moderne, s asigure
dezvoltarea de noi abiliti precum i abordarea de obiective care nu se pot atinge prin
metode i tehnici clasice;
- identificarea, evaluarea impactului i remedierea disfuncionalitilor existente n
funcionarea sistemului pentru a contribui la creterea calitii serviciilor oferite utilizatorilor.
Evaluarea performanei sistemului informatic al instanelor de judecat s-a axat pe

examinarea componentelor auditate sub aspectul economicitii, eficienei i eficacitii
acestora.
Economicitatea reprezint msura n care se asigur minimizarea costului resurselor
utilizate, fr a compromite realizarea n bune condiii a obiectivelor declarate. Problema
central este aceea dac resursele au fost alocate, administrate i utilizate cu
economicitate, potrivit cerinelor Strategiei de informatizare, dac mijloacele alese pentru
atingerea obiectivelor care deriv din aceasta reprezint modul cel mai economic de utilizare
a resurselor alocate, respectiv, dac au fost respectate reglementrile n domeniu, n
conformitate cu principiile i practicile unui management performant.
Informatizarea sistemului judiciar a beneficiat, de-a lungul ultimilor ani, de finanri prin
programe PHARE, contribuii naionale la acestea i, la nivelul instanelor, de finanri din
surse proprii. Cele mai importante programe derulate ncepnd cu anul 1997, sau n curs de
derulare, sunt:
o RO 9705.02-Provision of Technical Assistance and Supply Procurement Services for the
Creation of a Legal Library and Documentation System (LLDS) and Case and Document
Management System (CDMS), n valoare de 3.479.890 euro;
o RO0004.01-01Continuation of the Development of the Case and Document Management
System (CDMS)- Lot 1, n valoare de 7.977.543 euro;
...
Pentru ndeplinirea obligaiei de cofinanare aferente programului PHARE 2000-ntrirea
sistemului judiciar i penitenciar, n scopul informatizrii sistemului judiciar, prin H.G. nr.
455/2005 i H.G. nr. 605/2005, Ministerul Justiiei, respectiv Ministerul Public au fost
autorizate s contracteze cte o finanare de tip leasing financiar, pe o perioad de 4 ani, cu
valoarea de achiziie de 12 milioane euro, respectiv 10 milioane euro. Sumele efectiv
cheltuite au fost de 10.152.202,03 euro pentru Ministerul Justiiei, respectiv 8,194,056,15
euro pentru Ministerul Public.
Programele respective s-au desfurat dup proceduri specifice i au fost atent monitorizate
de Oficiul de Pli i Contractare PHARE (O.P.C.P.) i de organismele abilitate ale Comisiei
Uniunii Europene. Totodat, prin H.G.nr. 543/2005, s-a hotrt i constituirea Comisiei de
28
monitorizare i implementare a Strategiei de informatizare a sistemului judiciar pe perioada

2005-2009. Comisia este compus din reprezentanii tuturor structurilor sistemului judiciar i
are ca principale atribuii:
- avizarea specificaiilor tehnice pentru proiectele de achiziii de echipamente de tehnic de
calcul sau servicii cu specific IT a cror valoare estimat este mai mare de 2.000 euro;
- elaborarea proiectelor de buget n domeniul IT pentru instituiile sistemului judiciar;
- stabilirea politicilor comune n domeniul securitii sistemelor informatice i a comunicaiilor.
n acest context misiunea de audit a avut ca prioritate evaluarea ndeplinirii obiectivelor

propuse prin Strategia de informatizare, concentrndu-se pe corectitudinea modului de
lucru, n sensul obinerii rezultatelor scontate.
Eficiena, prin definiie, reprezint raportul dintre rezultatele obinute i resursele utilizate
pentru obinerea lor. Sunt vizate, printre altele, gradul de utilizare a sistemului, rezultatele
superioare obinute n noua abordare comparativ cu rezultatele obinute prin folosirea
metodelor clasice de lucru. n cazul de fa, prin prisma acestui criteriu s-a analizat n ce
msur resursele materiale i umane au fost utilizate pentru exploatarea aplicaiilor
existente, implementarea noilor componente i obinerea rezultatelor dorite. Au fost avute n
vedere pe de o parte numrul, structura i performanele echipamentelor informatice pe care
sunt instalate aplicaiile i, pe de alt parte, numrul i pregtirea personalului care particip
la implementarea i exploatarea aplicaiilor.
Prin prisma eficacitii s-au analizat efectele n planul rezultatelor obinute ca urmare a
utilizrii noilor tehnologii, impactul noului sistem asupra modernizrii activitii instanelor de
judecat, respectiv n ce msur sistemul informatic contribuie la obinerea unei imagini mai
bune privind principalele sfere de activitate. S-a avut n vedere, de asemenea, evaluarea
gradului n care, prin utilizarea sistemului informatic, pot fi obinute n timp util toate datele i
informaiile necesare desfurrii activitii curente a instanelor sau cele necesare unor pri
interesate.
n concluzie, auditul i-a propus o abordare orientat pe rezultate, concentrat n principal pe
analizarea performanei componentelor sistemului informatic al instanelor de judecat sub
aspectul eficienei i eficacitii acestora, prin compararea observaiilor auditorului cu
normele existente (reglementri, standarde, obiective, inte) i cu criteriile de audit stabilite.
Astfel, auditul a urmrit s rspund cu prioritate urmtoarelor ntrebri:
Dac la nivelul Ministerului Justiiei, respectiv al instanelor de judecat Strategia de
informatizare se aplic n mod unitar;
Dac la nivelul Ministerului Justiiei i al instanelor de judecat a fost alocat un buget
separat pentru tehnologia informaiei care s in seama de necesitile de susinere a
Strategiei de informatizare a sistemului judiciar, n conformitate cu prioritile acesteia;
Dac a avut loc o evaluare cost performan a activitilor privind tehnologia informaiei;
29
Dac exist o implicare a conducerii ministerului i a instanelor de judecat n monitorizarea

implementrii i evaluarea calitii proiectelor aferente atingerii obiectivelor Strategiei de
reform a justiiei pe perioada 2005-2009;
Dac n cadrul Ministerului Justiiei i al instanelor de judecat exist resurse umane cu
pregtire de specialitate care s rspund necesitilor activitilor curente i poteniale n
ceea ce privete tehnologia informaiei, msura n care la nivelul instanelor personalul IT
este dimensionat corespunztor cu volumul de activitate i cu schimbrile datorate
modificrilor legislative;
Dac resursele tehnice, hardware i software, asigur necesitile de funcionare n bune
condiiuni ale sistemului informatic, n ansamblul su;
Dac sistemul informatic reuete s sprijine ntr-o msur corespunztoare func iile
sistemului judiciar, respectiv ale instanelor de judecat;
Dac se utilizeaz repartizarea aleatorie a cauzelor i alocarea numrului unic de dosar la
nivel naional;
n ce msur este asigurat transparena actului de justiie precum i accesul justiiabililor la
informaiile referitoare la dosarele aflate pe rol;
n ce msur sistemul informatic, prin componentele analizate, este unitar, permind
interoperatibilitatea aplicaiilor i evitarea prelucrrii repetate a informaiilor identice;
Dac sistemul informatic poate face fa, n mod corespunztor, creterii volumului
informaiilor de prelucrat;
Dac sistemul informatic este flexibil n raport cu modificrile legislaiei;
Dac la nivelul Ministerului Justiiei i al instanelor de judecat exist o politic referitoare
la asigurarea securitii fizice i logice a informaiilor i sistemelor gestionate.
1.4.6. Constatrile auditului
a) Strategia de informatizare, stadiul actual i perspective n contextul implementrii

sistemului informatic
Realizarea unui sistem judiciar independent, imparial, credibil i eficient reprezint o
condiie necesar pentru supremaia legii i a principiilor statului de drept. Msurile de
consolidare a independenei sistemului judiciar trebuie s duc nu numai la afirmarea
principiului separaiei puterilor n stat, dar i la aplicarea acestuia n practic.
...
Informatizarea sistemului judiciar se refer la cinci direcii principale:
- Eficientizarea procedurilor judiciare;
30
- Creterea gradului de transparen;

- Securizarea informaiilor cu caracter personal i a celor cu caracter secret;
- Eliminarea corupiei;
- Gestionarea eficienta a resurselor umane, financiare, materiale ...
Stadiul actual al procesului de informatizare, derulat pn la momentul auditului, poate fi
sintetizat astfel:
1. Dotarea cu tehnic de calcul i produse software a tuturor instituiilor sistemului judiciar ...
2. Crearea unei reele informatice securizate i interconectarea tuturor instituiilor sistemului
judiciar prin aceast reea...
3. Implementarea unei politici de securitate comune, la nivelul ntregului sistem judiciar
...
b) Evaluarea soluiei de implementare, a arhitecturii hardware i software, a resurselor
tehnologice i de personal
...
c) Identificarea i analiza riscurilor, respectarea standardelor de securitate, a politicilor i
procedurilor privind calitatea datelor
Preocuparea permanent, manifestat la nivelul DTI cu privire la identificarea, evaluarea i

managementul riscurilor aferente implementrii Strategiei de informatizare, nu se reflect n
aceeai msur la nivelul instanelor auditate. Exist astfel pericolul de a nu fi identificate
riscuri majore i de a nu fi asociate controale interne adecvate pentru reducerea efectelor
riscurilor la un nivel acceptabil pentru entitile auditate.
Analiza modului de desfurare a activitii n domeniul IT att la nivel central ct i la nivel
teritorial, a identificat anumii factori de risc, n ceea ce privete managementul activit ilor
IT, resursele necesare (n special cele legate de personal), operarea i controlul sistemelor
IT i impactului mediului legislativ.
Astfel, la nivelul managementului:

Dei obiectivele manageriale IT sunt coroborate cu obiectivele generale ale instituiei, de
multe ori la nivelul instanelor, raportrile activitilor IT ctre conducere sunt ocazionale,
eventual la solicitarea acesteia. ntlnirile conducerii cu reprezentanii compartimentelor IT
nu sunt realizate n mod periodic, problematica abordat se comunic verbal, nu se
ntocmesc procese verbale, minute sau rapoarte;
31
Conducerea, dei contientizeaz importana sistemului IT i a riscurilor care decurg din

utilizarea acestuia, nu s-a implicat direct n depistarea, evaluarea i reducerea riscurilor
asociate;
Opiunea de externalizare a implementrii sistemului vine s rezolve, pe moment, aspecte
legate de gestionarea mai puin coerent a resurselor umane la nivelul ministerului i al
instanelor. Decizia n sine este una strategic i nu diminueaz cu nimic responsabilitatea
conducerii privind asigurarea confidenialitii, integritii i disponibilitii datelor n condiii
de securitate. Pe termen lung aceast soluie implic asumarea unor riscuri mari, legate de
creterea dependenei de furnizorul de servicii IT, pierderea flexibilitii sistemului, pierderea
specialitilor interni proprii i a expertizei n domeniu, opoziia personalului propriu,
asigurarea integritii mediului informatic.
La nivelul managementului IT:
Coordonarea implementrii Strategiei de informatizare a sistemului judiciar se realizeaz
prin intermediul Comisiei de monitorizare i implementare. Fiind compus din reprezentani ai
tuturor structurilor sistemului judiciar, are avantajul emiterii unor decizii comune, armonizate
la nivelul ntregului sistem, dar exist i riscul unei disipri a responsabilitii. La nivelul DTI
coordonarea s-a realizat iniial de ctre coordonatorul direciei i de actualul director adjunct,
iar din luna aprilie 2007 numai de ctre directorul adjunct.
Fiind direct implicat de la nceputul procesului de informatizare, acesta a constituit principalul
element de continuitate i, n acelai timp, factor de diminuare a riscului aferent.
Cu toate acestea nu exist un manager dedicat exclusiv implementrii Strategiei de
informatizare. ntrzierile n luarea unor decizii pot induce costuri suplimentare, cu
repercusiuni asupra calitii proiectului.
Datorit fluctuaiei de personal, schimbrilor frecvente la nivel managerial i modificrilor
cadrului legislativ apar riscuri legate de continuitatea proiectului.
Schimbarea echipei manageriale la nivel nalt reprezint un moment foarte dificil pentru
implementarea Strategiei ntruct s-a constatat c sunt necesare perioade semnificative de
timp pentru ca noua echip s se acomodeze i s se implice n sprijinirea i coordonarea
eficient a activitilor IT.
Nu este asigurat o echip dedicat pentru implementarea proiectului. Alocarea atribuiilor
privind participarea la analiz, testare, evaluare, acceptan se face fr degrevarea
participanilor de sarcinile zilnice legate de meninerea n funciune a sistemului.
Planificarea activitilor se face funcie de vrfurile de activitate, fr a se ine cont de
ncrcarea zilnic. Personalul are sarcini eterogene i este suprancrcat.
La nivelul resurselor necesare:

Implementarea Strategiei presupune nu doar finanare extern ci i cofinanare. Lipsa unui
buget separat pentru IT care s contribuie la susinerea funciilor sistemului judiciar, n
conformitate cu prioritile impuse de informatizarea sa i cu importana pe care aceasta o
32
are n cadrul msurilor ntreprinse pentru mbuntirea calitii actului de justiie, crete
riscul ca sistemul informatic s nu poat fi implementat conform graficelor stabilite i
conduce la imposibilitatea evalurii corecte a eficienei activitii IT, cu att mai mult cu ct sa constatat lipsa unei proceduri de evaluare a investiiilor n IT i faptul c la nivelul
ministerului nu s-a analizat evoluia costurilor n urma implementrii Strategiei de
informatizare.
Personalul de specialitate din DTI, alocat exclusiv acestui proiect, este insuficient.
Implementarea sistemului se realizeaz cu aceleai persoane implicate n actualizarea i
ntreinerea aplicaiilor sistemului informatic. Situaia se repet la multe instane, inclusiv la
cea suprem.
Nu exist o politic clar de recrutare, pregtire i evaluare a personalului IT. Att la nivelul
DTI, ct i al instanelor, exist cunotine IT concentrate la nivelul unui numr redus de
persoane, crendu-se o dependen semnificativ de persoane cheie. Acest fapt,
coroborat cu fluctuaia personalului i lipsa unei Strategii pe termen lung de pregtire a
personalului IT, implic riscuri legate de buna funcionare a sistemului informatic n situaia
migrrii sau indisponibilitii acestor persoane.
Datorit unor condiii conjuncturale, legate de posibila ncetare a detarii/delegrii
personalul de la A.N.P., i de creterea preconizat a salariilor personalului de specialitate IT
din cadrul ministerului, ncepnd cu anul 2008, exist riscul apariiei, la nivelul DTI, a unor
disfuncionaliti n ceea ce privete asigurarea continuitii procesului de informatizare a
sistemului judiciar i, implicit, al atingerii obiectivelor Strategiei de reform n justiie.
La nivelul operrii i controlului sistemelor IT:
Nu exist proceduri formale de acces n locaiile care gzduiesc echipamentele IT
importante. Protecia fizic a sistemelor IT nu este totdeauna asigurat corespunztor,
numeroase locaii din teritoriu, n care sunt amplasate serverele, nedispunnd de toate
componentele necesare controalelor de mediu i proteciei fizice (sisteme de prevenire a
incendiilor, climatizare, elemente de protecie a cablurilor de reea, etc.). Exist astfel riscul
alterrii sau pierderii datelor prin deteriorarea fizic a echipamentelor.
Nu este finalizat nc o politic formal n domeniul securitii sistemului IT. Elementele unei
astfel de politici, care s prevad responsabiliti formale privind administrarea securitii,
controlul accesului logic (revizuirea log-urilor aplicaiilor, administrarea utilizatorilor, reguli
privind modul de stabilire a parolelor, monitorizarea activitii administratorilor, etc.) precum
i separarea responsabilitilor de utilizare a aplicaiilor informatice de cele de administrare a
sistemelor de operare i a bazelor de date, nu au fost implementate n totalitate la toate
instanele. Apare astfel, riscul ca anumite operaii accidentale sau frauduloase din sistem s
rmn nedetectate.
Administrarea soluiei antivirus este suficient de fiabil, actualizarea definiiilor antivirus
efectundu-se n mod unitar, riscul alterrii datelor fiind relativ redus.
La nivelul DTI exist un plan de recuperare n caz de dezastru, dar n teritoriu astfel de
planuri nu au fost implementate la toate instanele.
S-a constatat c la unele instane copiile de siguran ale sistemelor i bazelor de date se
gsesc n aceeai locaie cu serverele i, fapt general valabil, fietele destinate copiilor de
33
siguran nu sunt protejate la foc, situaie care conduce la riscuri majore privind reluarea
activitii n cazul unor dezastre. La nivelul instanelor, inclusiv cea suprem, se constat c
dei exist o procedur de salvare a datelor, aplicaiilor i sistemelor, nu exist o procedur
formal de testare a copiilor de siguran i nici de refacere n caz de incident.
Apariia problemelor legate de funcionarea sistemului informatic, n cadrul instanelor sau
ministerului, se comunic serviciului IT, respectiv DTI, telefonic, verbal sau prin e-mail;
evidena problemelor nu se ine pe baza unui registru sau document centralizator care s
identifice problemele aprute n funcionarea sistemului. n vederea dezvoltrii noilor versiuni
ECRIS, DTI a centralizat anomaliile i noile funcionaliti solicitate din partea tuturor
instanelor.
Pe parcursul misiunii de audit s-a evideniat faptul c nc se manifest o serie de
disfuncionaliti legate de modul de procesare i de procedurile de validare. Blocarea
conexiunilor poate determina apariia unor probleme la replicarea datelor pe portal.
Toate aplicaiile informatice evaluate sunt exploatate local sau central i coordonate de
ctre DTI. Schimbarea i dezvoltarea sistemului informatic la nivelul instanelor este limitat,
fiind acceptat, doar pentru un numr redus de aplicaii, exploatate la nivel local. De la acest
nivel se fac doar sugestii i propuneri pentru dezvoltarea sau implementarea de noi aplicaii
sau faciliti ale ECRIS. Acestea se centralizeaz la nivelul DTI n vederea efecturii
coreciilor necesare i includerii n dezvoltri viitoare.
Sistemul informatic al instanelor de judecat nu se constituie ntr-o soluie integrat, acesta
fiind compus din implementri de aplicaii insularizate, dedicate unor probleme punctuale
(aplicaii dedicate activitilor de baz specifice instanelor, aplicaii financiar-contabile etc.),
generate de soluii de proiectare orientate pe atribuiile eterogene ale ministerului. Lipsesc
interfeele dintre aplicaii, tranzaciile sunt procesate n cadrul unor aplicaii distincte,
informaiile introduse n sistem sunt validate ntr-o manier eterogen, prin proceduri
automate combinate cu proceduri manuale, pentru detectarea i corectarea erorilor de
intrare i detectarea inconsistenei sau redundanei datelor. Gradul ridicat de fragmentare a
sistemului informatic implic aciuni frecvente ale utilizatorului, ceea ce crete riscul de
eroare.
Direcia Audit Intern i Control asigur, conform art. 85, lit. i.11) din Regulamentul de
Organizare Intern a ministerului, auditarea sistemelor informatice. Anual DTI a informat
direcia de audit cu privire la riscurile asociate procesului de informatizare, dar pn n
prezent, datorit unei echipe insuficiente din punct de vedere numeric (14 auditori la 120
entiti) i a deselor misiuni care se efectueaz n teritoriu, nu au fost efectuate misiuni de
audit IT la minister sau la instane. Cu toate acestea, la nivelul direc iei i la nivelul
compartimentului de profil din cadrul naltei Curi de Casaie i Justiie, exist o preocupare
deosebit pentru domeniul IT i pentru includerea auditrii acestuia n aciunile viitoare.
La nivelul mediului legislativ:

Modificrile legislative cu impact asupra structurii sistemului judiciar au condus la dese
adaptri i modificri n structura aplicaiilor informatice. ncercnd s rspund ntr-un timp
ct mai scurt tuturor cerinelor legate de legislaia n domeniu, aplicaiile au devenit mult mai
34
laborioase i mai greoaie, avnd repercusiuni nedorite asupra operativitii instruirii

utilizatorilor i asupra calitii activitii n general.
d) Impactul utilizrii sistemului informatic i asigurarea transparenei actului de justiie

...
e) Evaluarea unor indicatori de performan i interoperabilitatea cu sistemele altor instituii
Dei, pe parcursul misiunii de audit, s-a constatat inexistena unor indicatori de performan
legai de activitatea IT, constatrile prezentate anterior vin s confirme c sistemul
informatic, prin componenta sa central ECRIS, a contribuit n bun msur la cre terea
performanei activitii IT prin:
- promovarea culturii informatice n rndul cetenilor;
- creterea ncrederii ceteanului n actul de justiie;
- reducerea timpului de ateptare i de acces la informaie;
- reducerea birocraiei i a blocajelor la ghieu;
- reducerea real a costurilor interne.
Situaia existent naintea demarrii Strategiei de informatizare, relev faptul c obiectivele
privind dotarea cu hardware i software, pregtirea i perfecionarea personalului,
comunicaia de date ntre toate componentele sistemului judiciar, accesul la date n mod
eficient, creterea gradului de securitate a informaiei pe suport electronic gestionate n
cadrul sistemului judiciar, reducerea timpilor de nefuncionare a sistemului, transferul
electronic al dosarelor ntre instane au demarat abia la mijlocul anului 2006, fiind realizate
cu preponderen n cursul anului 2007.
...
n ceea ce privete interoperabilitatea cu sistemele altor instituii, n vederea asigurrii
prevenirii i combaterii fenomenelor de corupie, s-a constatat c acest obiectiv, care nu a
fost realizat pn la data efecturii misiunii de audit, are ca termen final de realizare anul
2009.
Nerealizarea acestui obiectiv poate avea efecte negative asupra:
- crerii premiselor integrrii sistemului n sistemul electronic naional;
- crerii premiselor unei adaptri rapide i cu costuri reduse la cerinele procedurilor Uniunii
Europene;
- asigurrii unei infrastructuri mai ieftine pentru semntura electronic;
- constituirii centrului de suport tehnic i mentenan, avnd ca rol rezolvarea problemelor
tehnice aprute n teritoriu, monitorizarea activitii i configurarea de la distan;
35
- interconectrii sistemului informatic judiciar cu alte sisteme informatice din administraia

public, la nivel naional i european.
1.4.7. Concluziile auditului
Strategia de informatizare conine principalele obiective care trebuie duse la ndeplinire n
vedere implementrii Strategiei reformei judiciare. Lipsete o detaliere a Strategiei pn la
nivelul instanelor de judecat. n absena unei cunoateri complete a acestor elemente i a
resurselor umane insuficiente, dei coordonate corespunztor, la nivel de minister i
instane, activitile legate de sistemul informatic s-au derulat funcie de priorit ile de
moment i nu conform unui plan stabilit i documentat sub form scris.
Se constat lipsa unui buget separat pentru IT, n directa corelaie cu necesitile de
susinere a funciilor instanelor de judecat i n conformitate cu prioritile impuse de
informatizarea sistemului judiciar. Alocarea insuficient de fonduri n sensul imposibilitii
susinerii din fonduri proprii poate compromite continuarea procesului de informatizare a
sistemului judiciar pe fondul lipsei unei proceduri de evaluare a investiiilor n IT. La nivelul
instituiei nu s-a analizat evoluia pe termen mediu a impactului financiar, determinat de
desele modificri ale cadrului legislativ, asupra implementrii sistemului informatic i, n
acest context, eficiena activitii IT.
La nivelul unor instane dotarea cu imprimante i staii de lucru este eterogen, putnd
determina ntrzierea, ndeplinirea defectuoas sau chiar nendeplinirea unor obiective.
Nu exist o politic clar de recrutare, pregtire i evaluare a resurselor umane IT. Personalul
de specialitate IT este insuficient din punct de vedere numeric, suprancrcat i eterogen din
punct de vedere al pregtirii n domeniu. Concentrarea cunoinelor IT la nivelul unui numr
restrns de personal a creat o dependen semnificativ de persoane cheie, inclusiv n
cazul administrrii sistemelor i aplicaiilor.
Soluia de implementare a sistemului informatic are un caracter unitar att pentru

componenta aplicaii ct i pentru componenta reea, fr a beneficia ns de personal
dedicat n ceea ce privete conducerea proiectelor i constituirea echipei de implementare,
pe fondul unei lipse evidente de separare a atribuiilor i n contextul existenei unor sarcini
uzuale legate de exploatarea i ntreinerea sistemului interimar.
Absena n Strategia de informatizare a unor prevederi explicite cu privire la pregtirea
personalului IT, altele dect cele aferente implementrii ECRIS i a celorlalte msuri, a fcut
ca accentul s se deplaseze i spre perfecionarea individual.
Modificrile legislative frecvente au condus la unele adaptri i modificri n structura
aplicaiilor informatice auditate. Acestea au devenit foarte laborioase, avnd repercusiuni
nedorite asupra operativitii instruirii utilizatorilor i asupra calitii activitii n general.
Nu a fost implementat nc, pe toate palierele sistemului informatic, o politic formal n
domeniul securitii sistemului IT, care s prevad responsabiliti formale privind
administrarea securitii, controlul accesului logic precum i separarea responsabilitilor de
utilizare a aplicaiilor informatice de cele de administrare a sistemelor i bazelor de date,
36
mrind astfel vulnerabilitatea sistemului informatic la diverse ameninri i crend premisa

ca operaiuni accidentale sau frauduloase din sistem s rmn nedetectate.
La nivelul instanelor nu este implementat un plan de recuperare n caz de dezastru. S-a
constatat totodat c administrarea soluiei antivirus este unitar, dar lipsa unor proceduri
formale n ceea ce privete managementul operaiunilor IT conduce la riscul pierderii unor
date i informaii.
Au fost evideniate o serie de disfuncionaliti legate de modul de funcionare a aplicaiilor
evaluate, reieind c nu s-au creat suficiente proceduri pentru validarea i corelarea datelor,
ceea ce mrete timpul de prelucrare i d posibilitatea producerii de erori.
Unele aplicaii nu furnizeaz toate informaiile de care are nevoie instituia, iar schimbul de
date on-line cu alte instituii nu este nc funcional.
Prin implementarea sistemului informatic ECRIS s-a obinut, n bun msur:
...
Concluzia general desprins n urma auditrii sistemului informatic al instanelor de judecat
este aceea c la momentul actual, sistemul informatic al instanelor auditate corespunde din
punct de vedere a dotrii cu tehnic de calcul, tehnologiile informatice i infrastructura
existent asigur ncadrarea n obiectivele stabilite de Strategia de informatizare, ns se
impune dezvoltarea n continuare a aplicaiilor utilizate, cu precdere a aplicaiei ECRIS i a
portalului instanelor de judecat.
1.4.8. Recomandrile auditului
Recomandrile din prezentul raport de audit cuprind doar o serie de direcii de urmat, fr a
se substitui factorilor decizionali sau manageriali i fr a detalia metodele de punere n
practic a acestora de ctre factorii de decizie din cadrul Ministerului Justiiei i al instanelor
de judecat.
Aplicarea msurilor adoptate pn n prezent privind ndeplinirea obiectivelor Strategiei de
informatizare a sistemului judiciar precum i a instrumentelor, tehnologiilor informatice i
infrastructurii aferente, n scopul asigurrii accesului la informaii publice i furnizrii de
servicii de calitate pentru ceteni, instituii publice i alte entiti, reprezint un nceput care
trebuie continuat i extins prin msuri coerente i consecvente, pn la eficientizarea
maxim i atingerea scopului propus.
Pentru a veni n sprijinul entitilor auditate, n vederea ndeplinirii obiectivelor strategice
privind informatizarea instanelor de judecat, auditorul face urmtoarele recomandri:
- Accelerarea procesului de implementare a sistemului informatic, prin mobilizarea ntregii
capaciti manageriale i de execuie i disponibilizarea tuturor resurselor materiale i
umane, astfel nct, mpreun i cu sprijinul partenerilor direct implicai s poat fi
ndeplinite, la termenele prevzute, obiectivele desprinse din Strategia de informatizare.
37
- Detalierea unor elemente ale Strategiei de informatizare pn la nivelul instanelor,

mpreun cu popularizarea ei la nivel teritorial. Aceasta ar contribui la o mai bun percepie
asupra problemelor cu care se confrunt instanele de judecat i totodat la cunoaterea i
implementarea corespunztoare a Strategiei de informatizare.
- Stabilirea unei Strategii de gestionare a riscurilor la nivelul ministerului i armonizarea
atribuiilor i responsabilitilor, alocate prin proceduri, cu cele existente n fia postului
referitor la gestionarea riscurilor la nivelul instanelor.
- Permanentizarea practicii instituite la nivelul DTI privind centralizarea necesitilor
funcionale, solicitate de instane, n vederea asigurrii analizei i proiectrii unitare a unor
aspecte specifice la nivel operativ i a unor situaii de sintez necesare fundamentrii
procesului de decizie.
- Adoptarea unei metodologii de lucru care s asigure, cu precdere la nivelul instanelor de
judecat, att definirea cerinelor ct i asumarea rspunderii n privina cererilor formulate,
a planurilor de implementare i dezvoltare, introducerea i respectarea unor clauze
referitoare la calitatea serviciilor IT.
- Analizarea posibilitii implicrii consistente a conducerii instanelor n coordonarea
activitilor informatice proprii, a elaborrii unui plan corespunztor i documentat privind
activitatea informatic i iniierea unor ntlniri periodice cu reprezentanii compartimentului
informatic pentru a stabili direciile de dezvoltare, perfecionare i utilizare a sistemului
informatic, care s fie cuprinse n documente oficiale scrise.
- Stabilirea unui buget separat pentru IT care s in seama de necesitile de susinere a
funciilor sistemului judiciar, n conformitate cu prioritile acestuia i cu sarcinile ce-i revin
conform Strategiei de reform a sistemului judiciar.
- Promovarea unor msuri privind introducerea n cadrul clasificaiei bugetare a unor poziii
distincte pentru domeniul tehnologiei informaiei i comunicaiilor astfel nct s poat fi
urmrite mai eficient cheltuielile aferente investiiilor IT i analizat evoluia costurilor, la
finalizarea diverselor obiective ale Strategiei de informatizare.
- Adaptarea politicii de angajri n domeniu IT n conformitate cu obiectivele strategice
privind informatizarea sistemului judiciar.
- mbuntirea dimensiunii structurii de personal funcie de cerinele i complexitatea
sistemului informatic, alinierea conducerilor instanelor de judecat la prevederile art. 110 din
Legea nr. 304/2004 i adoptarea unor msuri adecvate care s permit atragerea i
meninerea specialitilor IT.
- Evaluarea stadiului i nivelului de instruire, precum i a performanelor utilizatorilor la
nivelul instanelor de judecat n scopul proiectrii i implementrii unei politicii de instruire
unitare i al creterii eficienei acestora privind atingerea obiectivelor reformei proprii, prin
utilizarea instrumentelor moderne ale tehnologiilor informaiei i comunicaiilor. Diversificarea
tematicilor de instruire la nivel central i teritorial, cuprinderea n planul de instruire a tuturor
utilizatorilor
38
-- Includere unor prevederi referitoare la obligaiile ce decurg din cerinele impuse de

utilizarea sistemului de gestionare a dosarelor ECRIS, n fia postului fiecrei categorii de
personal din cadrul instanelor de judecat.
- Delimitarea responsabilitilor personalului IT prin formularea unor sarcini i atribuii clar
individualizate n fia postului pentru evitarea unor paralelisme n activitatea acestora i
creterea gradului de responsabilitate pentru activitatea desfurat. Introducerea unor
indicatori de performan a activitii personalului IT din cadrul instanelor i degrevarea
acestuia de munca nespecific specializrii sale.
- Elaborarea de ctre DTI a unui manual de proceduri, aplicabil la nivelul instanelor, privind
problemele legate de managementul i operarea sistemului informatic, securitatea fizic i
logic, asigurarea continuitii sistemului, managementul problemelor, managementul
schimbrii i dezvoltrii sistemului, auditul intern.
- Urgentarea implementrii pe toate palierele sistemului informatic a politicii formale de
securitate IT n vederea diminurii gradului de vulnerabilitate a sistemului.
- Asigurarea tuturor condiiilor de protecie a mediului, echipamentelor i datelor furnizate.
- Implementarea la nivelul instanelor a unui plan de recuperare n caz de dezastru.
- Punerea n practic a prevederilor art. 60, pct. c) din Regulamentul privind organizarea i
funcionarea administrativ a naltei Curi de Casaie i Justiie.
- Extinderea misiunilor de audit intern i asupra domeniului utilizrii tehnologiilor informaiei,
prin efectuarea unor aciuni specifice domeniului IT att la nivel central, ct i al instanelor
de judecat.
- Creterea gradului de interconectare a sistemului informatic cu sistemele informatice ale
altor instituii publice pentru folosirea comun a fondului de date n vederea prevenirii i
combaterii actelor de corupie.
- Organizarea unor grupuri de lucru i a unor ntlniri periodice, la nivelul coordonatorilor
compartimentelor IT din cadrul Ministerului Justiiei i al instanelor de judecat n vederea
uniformizrii i armonizrii msurilor menite s asigure atingerea obiectivelor cuprinse n
Strategia de informatizare Justiiabilii, utilizatori ai partalelor specializate, chestionai n
cadrul misiunii de audit, au formulat recomandri privind:
- Actualizarea operativ a informaiilor de pe portalul instanelor, prin stabilirea unor termene
clare de introducere n ECRIS a datelor, dup edinele de judecat;
- Operaionalizarea modulelor ECRIS care nu sunt funcionale;
- Introducerea unor documente standardizate pentru culegerea datelor n vederea reducerii
riscului de erori datorate prelurii greite a unor informaii;
- Asigurarea accesibilitii persoanelor care nu dispun de calculator sau legtur la reeaua
de internet, precum i a celor cu cerine speciale prin operaionalizarea de infochiocuri i
dezvoltarea unor puncte pentru accesul publicului la servicii;
39
- Evaluare periodic a serviciilor electronice puse la dispoziia beneficiarilor i crearea unei

proceduri de evaluare continu a interesului acestora i a gradului de utilizare a serviciilor.
Proiectul Raportului Auditul sistemului informatic al instanelor de judecat a fost

transmis, pentru analiza coninutului acestuia i formularea unui punct de vedere privind
constatrile i recomandrile auditului, entitilor auditate, Ministerul Justiiei i nalta Curte
de Casaie i Justiie.
Fa de constatrile, concluziile i recomandrile cuprinse n proiectul Raportului, entitile
auditate nu a formulat puncte de vedere divergente.
S-a apreciat n mod deosebit efortul echipei de audit pentru identificarea modalitilor optime
de mbuntire a activitii specifice, pentru accelerarea procesului de informatizare i
modernizare a sistemului judiciar.
Totodat, s-a subliniat faptul c Raportul, n ansamblul su, reflect cu obiectivitate stadiul
actual al informatizrii sistemului judiciar, iar prin recomandrile formulate acesta este de
natur s contribuie la eficientizarea, n etapa urmtoare, a procesului de informatizare la
nivelul ntregului sistem judiciar.
Entitile, prin intermediul reprezentanilor acestora, au precizat c, innd seama de
obiectivul de cretere a performanelor i gradului de securitate a sistemului informatic al
Ministerului Justiiei i instanelor de judecat, vor dispune, n cel mai scurt timp, msurile
necesare pentru implementarea recomandrilor formulate prin Raportul de audit al Curii de
Conturi.
ntocmit,
Controlor financiar
...
Bibliografie
1) http://www.curteadeconturi.ro/sites/ccr/RO/Control%20si
%20Audit/Documente/MANUAL_AUDIT_IT.pdf
40
2) Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu,
Mirela Gheorghe, Delia Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i
controlul sistemelor informaionale, editura Economic 2007;
3) Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura
ASE 2005;
4) CURTEA DE CONTURI A ROMNIE R A P O R T D E A U D I T Auditul sistemului
informatic al instanelor de judecat
(www.curteadeconturi.ro/.../Rapoarte...audit/Informatica/informatica5.pdf)
5) www.isaca.org
41
Contents
1. Etapele procesului de audit informatic..............................................................1
1.1. Planificarea auditului................................................................................... 3
1.2. Evaluarea controlului intern.........................................................................4
1.3. Proceduri de audit i consideraii privind standardul de audit ISAE 3000....6
1.4. Cadrul pentru controlul intern...................................................................12
1.5. Abordri asupra riscurilor n afaceri...........................................................16
42

C0 PG Auditul Informatic - V w2003 Verificat

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

C0 PG Auditul Informatic - V w2003 Verificat

Încărcat de

Drepturi de autor:

Formate disponibile

C0-Auditul sistemelor

amploarea utilizrii sistemelor informatice n susinere proceselor din cadrul unei

care permit organizaiei s i desfoare activitatea la cele mai ridicate standarde;

Auditul sistemelor informaionale2 reprezint o activitate complex de evaluare a unui

1. Etapele procesului de audit informatic

Figura 1.1. Etapele misiunii de audit al sistemului informaional

1.1. Obiective generale i obiective specifice ale auditului

stabilirea conformitii rezultatelor entitii cu un document de referin, conformitate

asupra creia trebuie s se pronune auditorul;

Pornind de la obiectivul general, se formuleaz obiective specifice care determin direciile

Evaluarea soluiilor arhitecturale i de implementare a sistemului informatic;

Evaluarea infrastructurii hardware i software: echipamente, sisteme, aplicaii;

precum i a impactului acestora;

1.2. Analiza preliminar

prezentri n cadrul unor discuii preliminare cu reprezentanii managementului

ntreinerea i utilizarea sistemului informatic;

Cunoaterea suficient a entitii, respectiv a sistemului informatic este fundamental pentru

In faza de cunoatere a entitii, auditorul va lua n considerare identificarea i analiza

informaiilor (documente text, coninut digital, tehnici multimedia);

implementare, modaliti de raportare i operare a coreciilor, sigurana n

documentaie tehnic, ghiduri.

1.3. Planificarea auditului

dezvoltarea unui buget cadru pentru misiunea de audit cu alocarea orelor

nereuita n a corespunde cerinelor legale i contractuale;

semnificative identificate; riscurile pe care auditul le adreseaz;

Planul de audit include:

nelegerea mediului, realizat de ctre auditor;

cunoaterea relaiei dintre situaiile financiare i sistemele informatice care le susin;

asupra riscului, att la nivelul entitii ct i pentru domeniul financiar-contabil;

mijloace de accesare i analiz a datelor aferente tranzaciilor;

1.4. Evaluarea controlului intern

Auditorul evalueaz structura de control a organizaiei prin nelegerea componentelor de

aprecierea riscului, const n identificarea riscurilor i analiza acestora;

pentru a remedia erorile detectate;

pertinente i le comunic n cadrul organizaiei;

corect a datelor primare n aplicaii i verific modul de corectare a erorilor;

de ctre dou dispozitive diferite;

datorit furturilor sau folosirii neautorizate;

Controalele de aplicaie sunt aplicate la procesarea datelor de ctre aplicaii i ajut la

sunt evaluate pe baza setului de criterii stabilit;

aplicaii nu sunt distribuite sau prezentate utilizatorilor neautorizai;

n funcie de experiena i abilitile auditorului, propunerile venite n urma misiunii de audit

slaba implicarea a managementului;

lipsa de interes fa de planificarea continuitii sistemului (proceduri de salvare a

datelor, securitatea sistemului informatic, recuperare n caz de dezastru);

Pentru toate tipurile de audit, se va realiza o evaluare a controalelor generale IT pe baza

managementul funciei IT;

Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de

1.5. Proceduri de audit i consideraii privind standardul de

stabilirea eantionului de audit: selecia eantionului, testarea, evaluarea i realizarea

documentaiei aferente acestor operaii;

auditorul informatic ia n considerare obiectivele de audit determinate n etapa de planificare

populaiei au anse egale de selecie;

Metode nestatistice de evaluare, care includ:

selecia ntmpltoare, prin care auditorul selecteaz eantionul fr a urma o

Auditarea asistat de calculator este folosit pentru a testa controalele de aplicaie i, de

programe de audit generalizate, permit auditorului s realizeze teste pe fiierele

calculatoarelor i baze de date;

utilizarea programelor de audit generalizate;

producie pentru a simula secvene de procesare;

de verificare a progresului realizat;

utilizarea unor selecii pentru testare;

persuasive dect conclusive;