Sunteți pe pagina 1din 60

Auditul sistemelor informaionale

Necesitatea auditului sistemelor informaionale este indus i de:


-

amploarea utilizrii sistemelor informatice n susinere proceselor din cadrul unei


organizaii;

alegerea unor sisteme care confer o ncredere ridicat partenerilor de afaceri i


care permit organizaiei s i desfoare activitatea la cele mai ridicate standarde;

necesitatea certificrii nivelului de securitate informaional oferit de sistemele


implementate n cadrul organizaiei, la toate nivelele necesare.

Misiunea de audit, reprezint o realizare care are un obiectiv definibil, consum resurse i
se afl sub constrngerea unor elemente precum timpul, costurile i calitatea.
Scopul misiunilor de audit este de reducerea nivelului estimat pentru riscul erorilor de
analiz i de control a produselor informatice auditate. Din acest punct de vedere, auditul
este un proces iterativ prin care se efectueaz corecii asupra modalitilor n care se includ
procedee tehnice, metode i modele de analiz i control a produselor informatice.
Procesul de audit anual iterativ continu, se face pentru a aduce estimarea probabilitii ca
rezultatele auditrii informatice s fie afectate de erori la un prag ct mai redus, concluziile
misiunilor de audit anterioare fiind un element de intrare pentru misiunea curent.
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe
pentru a determina dac sistemul informatic, permite atingerea obiectivelor strategice ale
ntreprinderii i utilizeaz eficient resursele informaionale1.
n viziunea ISACA (Information Systems Audit and Control Associaton) auditul sistemelor
informaionale presupune verificarea i evaluarea tuturor aspectelor legate de sistemele de
prelucrare automat a datelor, incluznd i prelucrrile manuale care au legtur cu sistemul
i interfeele ntre cele dou sisteme. n literatura de specialitate, Ron Weber l definete ca
fiind procesul prin care se colecteaz i evalueaz probe cu scopul de a determina dac
sistemul informaional i resursele implicate sunt protejate corespunztor, menin integritatea
datelor, ofer informaii relevante i contribuie la atingerea obiectivelor organizaiei.
Auditul sistemelor informaionale2 reprezint o activitate complex de evaluare a unui
sistem informatic n scopul emiterii unei opinii fundamentate asupra gradului de conformitate

Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura ASE 2005, pagina 26
Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu, Mirela Gheorghe, Delia
Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i controlul sistemelor informaionale, editura
Economic 2007
2

a sistemului cu standardele n domeniu i, totodat, asupra capacitii sistemului informatic


de a atinge obiectivele strategice ale unei organizaii, utiliznd eficient resursele
informaionale i asigurnd integritatea datelor prelucrate i stocate.
Auditul sistemului informaional poate fi realizat la nivelul oricrei organizaii, regsindu-se
ca o component a auditului intern, dar poate fi realizat i sub forma unui audit extern, atunci
cnd managementul unei organizaii solicit acest lucru.

1. Etapele procesului de audit informatic


Misiunea de audit include etapele prezentate n figura 1.1.
Stabilirea termenilor misiunii permite auditorului s stabileasc scopul i obiectivele care
stau la baza relaiei dintre auditor i organizaia auditat. Scrisoarea de angajament trebuie
s adreseze obligaiile (scopul, independena, documentele care vor fi furnizate la sfritul
misiunii), autoritatea (drepturile de acces la informaie) i responsabilitatea (drepturile
entitii auditate, data de finalizare agreat) auditorului.
Analiza preliminar permite auditorului s adune informaii din cadrul entitii auditate n
vederea crerii planului de audit. Aprecierea preliminar va identifica strategia organizaiei,
responsabilitile managementului i controlul aplicaiilor informatice.
Auditorul va realiza o analiz aprofundat asupra sistemelor clientului pentru a stabili care
aplicaii i elemente de infrastructur sunt semnificative pentru procesele incluse n scopul
misiunii. Obinerea unor date generale despre companie, identificarea zonele acoperite de
sisteme informatice, analiz preliminar asupra pragului de semnificaie i riscurilor mediului
de afaceri n care clientul activeaz i pregtirea unui plan preliminar de audit sunt
elementele acestei etape.
Planificarea auditului asigur eficiena i eficacitatea misiunii de audit, dac este realizat
n mod adecvat. La dezvoltarea planului de audit, auditorul ia n considerare rezultatele
analizei preliminare asupra organizaiei auditate.

Figura 1.1. Etapele misiunii de audit al sistemului informaional


Evaluarea controlului intern a sistemului dezvoltat de organizaie furnizeaz o ncredere
rezonabil c obiectivele organizaiei sunt realizate prin urmrirea urmtoarelor elemente:
eficien i eficacitate n operaii, ncredere n raportrile prezentate, n conformitate cu legile
i reglementrile aplicabile n domeniu.
n dezvoltarea nelegerii asupra controalelor interne, auditorul ia n considerare informaii
din auditurile anterioare, riscul inerent care a fost stabilit, deciziile luate anterior asupra
materialitii i complexitatea operaiilor organizaiei i a sistemelor utilizate.
Realizarea procedurilor de audit dezvoltate pe baza nelegerii auditorului asupra
organizaiei i a mediului n care activeaz. O abordare substanial a procesului de audit
este folosit atunci cnd este auditat ntreg sistemul informatic al unei organizaii.
Emiterea raportului de audit se realizeaz odat ce procedurile de audit au fost finalizate
i rezultatele au fost evaluate. Auditorul emite un raport de audit care conine o opinie
calificat (modificat) sau necalificat, pe baza constatrilor fcute.

1.1. Obiective generale i obiective specifice ale auditului


Obiectivele misiunii de audit au un rol determinant n abordarea auditului, din acestea
decurgnd cerine i restricii privind desfurarea activitilor n toate etapele misiunii de
audit: planificarea auditului, efectuarea auditului, raportare, revizuire.
Abordarea general a auditului IT / IS se bazeaz pe evaluarea riscurilor. Pentru auditul
performanei implementrii i utilizrii sistemelor informatice se asociaz i abordarea pe
rezultate. Auditul se poate efectua pentru ntreg ciclul de via al sistemelor i aplicaiilor
informatice sau se poate raporta numai la anumite componente specificate sau la anumite
etape de dezvoltare a sistemului.
Formularea obiectivelor generale se face n funcie de scopul evalurii: evaluarea
performanei unei activiti bazate pe tehnologia informaiei, evaluarea unui program sau a
unui sistem bazat pe tehnologia informaiei, evaluarea tehnic a unui sistem sau a unor
aplicaii, evaluarea unor componente ale sistemului dintr-un punct de vedere precizat.
Scopul generic al misiunilor de audit al sistemelor informatice este obinerea unei asigurri
rezonabile asupra implementrii i funcionrii sistemului, n conformitate cu prevederile
legislaiei n vigoare, cu reglementrile n domeniu, cu standardele internaionale i ghidurile
de bune practici, precum i evaluarea sistemului din punctul de vedere al furnizrii unor
servicii informatice de calitate sau prin prisma performanei privind modernizarea
administraiei i asigurarea ncrederii n utilizarea mijloacelor electronice.
n funcie de tematica auditului, auditorul are sarcina de a clarifica obiectivele auditului, de a
identifica referenialul pentru efectuarea auditrii (standarde, bune practici, reglementri,
reguli, proceduri, dispoziii contractuale etc.) i de a examina gradul n care cerinele care
decurg sunt aplicate i contribuie la realizarea obiectivelor entiti.
n principiu, exist dou categorii de probleme care pot constitui obiective generale ale
auditului:
o

stabilirea conformitii rezultatelor entitii cu un document de referin, conformitate


asupra creia trebuie s se pronune auditorul;

evaluarea eficienei cadrului procedural i de reglementare i a focalizrii acestuia pe


obiectivele entitii.

Pornind de la obiectivul general, se formuleaz obiective specifice care determin direciile


de audit, cerinele concrete i criteriile care vor sta la baza evalurilor. Ca obiective specifice
generice, se vor avea n vedere:

Evaluarea soluiilor arhitecturale i de implementare a sistemului informatic;


4

Evaluarea infrastructurii hardware i software: echipamente, sisteme, aplicaii;

Evaluarea implicrii managementului de la cel mai nalt nivel n perfecionarea


guvernanei IT;

Evaluarea calitii personalului utilizator al sistemelor i aplicaiilor informatice;

Evaluarea securitii sistemului informatic;

Evaluarea disponibilitii i accesibilitii informaiilor;

Evaluarea managementului schimbrilor i al continuitii sistemului;

Evaluarea sistemului de management al documentelor;

Evaluarea utilizrii serviciilor electronice disponibile;

Evaluarea schimbului de informaii i a comunicrii cu alte instituii;

Conformitatea cu legislaia n vigoare;

Identificarea i analiza riscurilor decurgnd din utilizarea sistemului informatic,


precum i a impactului acestora;

Evaluarea efectelor implementrii i utilizrii infrastructurii IT n modernizarea


activitii entitii auditate.

1.2. Analiza preliminar


Pentru stabilirea unei strategii de audit, auditorul trebuie s obin informaii i cunotine
legate de entitatea auditat i de mediul n care aceasta opereaz. Activitatea de
documentare are ca scop cunoaterea obiectivelor entitii cu privire la performana
tehnologiei informaiei, precum i a principalelor aspecte legate de coordonarea, structura i
funcionalitatea sistemelor, serviciilor i aplicaiilor care susin obiectivele, n vederea alegerii
celor mai adecvate metode, tehnici i proceduri de audit.
Metodele utilizate pentru colectarea informaiilor n faza de documentare sunt:
o

prezentri n cadrul unor discuii preliminare cu reprezentanii managementului


entitii auditate;

consultarea unor materiale documentare relevante privind activitatea entitii;

consultarea legislaiei aferente tematicii;

consultarea documentaiilor tehnice;

documentare n domeniul standardelor i bunelor practici;

interviuri cu persoanele implicate n coordonarea, monitorizarea, administrarea,


ntreinerea i utilizarea sistemului informatic;

participarea la demonstraii privind utilizarea sistemului;

studiul documentar realizat prin accesarea pe Internet a unor informaii publicate pe


website-ul entitii auditate.

Cunoaterea suficient a entitii, respectiv a sistemului informatic este fundamental pentru


planificarea i efectuarea procedurilor de audit, precum i pentru definirea criteriilor,
metodelor i tehnicilor de evaluare a rezultatelor i a indicatorilor de performan. Pe baza
acesteia, auditorul realizeaz o evaluare preliminar a sistemului i identific punctele critice
care vor fi testate n detaliu n cadrul auditului.

In faza de cunoatere a entitii, auditorul va lua n considerare identificarea i analiza


factorilor care pot influena procesul de audit:

componentele sistemului;

activitile, problematica i nivelele de decizie;

atribuiile entitii, pe nivele de implicare;

coordonarea i monitorizarea proiectelor IT;

normele metodologice i standardele n domeniu;

cadrul legislativ i de reglementare n care entitatea i desfoar activitatea;

soluia organizatoric privind implementarea sistemului informatic (desfurare n


teritoriu, etapizarea activitilor, alocarea sarcinilor i responsabilitilor, selecia
personalului);

arhitectura sistemului informatic: platforma hardware / software (soluii de


implementare, echipamente, arhitecturi de reea, licene, desfurare n teritoriu,
locaii funcionale, versiuni operaionale); fluxuri de colectare / transmitere / stocare a
informaiilor (documente text, coninut digital, tehnici multimedia);

factorii care influeneaz funcionalitatea sistemului: complexitatea componentelor


software, sistemul de constituire, achiziie, validare, utilizare a fondului documentar
(documente text, coninut digital, tehnici multimedia), operarea sistemului, interfaa
utilizator,

schimbul

de

date

ntre

structuri,

interoperabilitate,

anomalii

implementare, modaliti de raportare i operare a coreciilor, sigurana n


funcionare,

rata

cderilor,

puncte

critice,

instruirea

personalului

utilizator,

documentaie tehnic, ghiduri.

1.3. Planificarea auditului


n conformitate cu standardele n vigoare, auditorul informatic planific zona de acoperire a
auditului sistemelor informaionale astfel nct s adreseze (vizeze) obiectivele auditului i
s fie n concordan att cu legile n vigoare ct i cu standardele de audit.
Prima sarcin pe care auditorul o ndeplinete cnd planific auditul const n dezvoltarea
unui buget cadru de lucru pentru care, managerul de audit informatic, trebuie s cunoasc
abilitile i disponibilitatea personalului care va fi alocat proiectului de audit. Pe lng
6

bugetarea timpului de lucru necesar realizrii testelor de audit, managerul de audit informatic
bugeteaz timpul necesar pentru a instrui personalul de audit iar, dac este necesar, aloc
timp i pentru situaii neprevzute, n vederea corectrii erorilor.
n timpul planificrii auditului, managerul de audit decide care este nivelul riscului de a
ajunge la o concluzie incorect pe baza constatrilor fcute pe care este dispus s l
accepte. Cu ct munca auditorului este mai eficace i mai extins, cu att este mai redus
riscul ca o slbiciune s treac nedetectat iar auditorul s emit un raport de audit
necorespunztor. Riscul de audit este dependent de nivelele stabilite pentru riscul inerent,
respectiv sensibilitatea unei zone de audit ctre erori care ar fi semnificative, presupunnd
c nu sunt controale interne asociate zonei respective, riscul de control, respectiv riscul ca o
slbiciune semnificativ s nu fie prevenit sau detectat de controalele interne, precum i
riscul de detecie, respectiv riscul ca testele substaniale s nu detecteze erori care ar fi
semnificative. Aceste riscuri sunt determinate cnd auditorul realizeaz aprecierea riscului
asupra organizaiei.
Pentru a ndeplini obiectivele auditului i pentru a se asigura c resursele pentru audit sunt
folosite eficient, auditorul stabilete nivelul de materialitate (pragul de semnificaie). n
stabilirea materialitii auditorul ia n considerare att aspectele cantitative ct i cele
calitative. Prin realizarea analizei riscului se furnizeaz o asigurare rezonabil c toate
elementele semnificative vor fi acoperite adecvat pe parcursul muncii de audit. Aceast
analiz identific zonele cu un risc relativ ridicat de existena problemelor semnificative.
Planificarea auditului prezint urmtoarele faze importante:
-

dezvoltarea unui buget cadru pentru misiunea de audit cu alocarea orelor


necesare pentru principalele faze ale auditului ca procent din numrul total de ore;

aprecierea pragului de semnificaie, n cadrul creia auditorul informatic ia n


considerare urmtoarele: nivelul agregat al erorii acceptabile pentru management,
auditor i pentru organismele de reglementare n domeniu; potenialul ca efectul
cumulat al erorilor sau slbiciunilor mici s devin semnificativ. n plus auditorul
analizeaz includerea n cadrul materialitii a elementelor non-financiare, cum sunt:
controalele de acces fizic, controalele de acces logic, sistemele de management al
personalului, controalele de fabricaie, dezvoltare, proiectare i calitate, precum i
generarea parolelor. n situaia n care sistemul analizat nu proceseaz tranzacii
financiare, urmtoarele elemente sunt luate n considerare pentru aprecierea
materialitii: nivelul de importan a proceselor de business i operaiilor suportate
de ctre sistem; costul sistemului sau al operaiei din punct de vedere hardware,
software, servicii realizate ctre o ter parte; costul potenial al erorilor; numrul de
accesri, tranzacii, interogri procesate ntr-o perioad de timp; penalitile pentru
nereuita n a corespunde cerinelor legale i contractuale;
7

evaluarea riscului, prin care auditorul documenteaz n fiierele de lucru


urmtoarele: descrierea tehnicii folosite pentru aprecierea riscului; riscurile
semnificative identificate; riscurile pe care auditul le adreseaz;

realizarea planului de audit, care detaliaz obiectivele de audit i etapele pe care


auditorul le urmeaz pentru a se asigura c toate aspectele semnificative sunt
acoperite.

Planul de audit include:

nelegerea mediului, realizat de ctre auditor;


riscurile poteniale de audit;
procedurile de audit care vor fi realizate;
alocarea resurselor de audit n cadrul misiunii, exprimate n om/ore, pe baza
bugetului cadru iniial.

Obiectivul planului de audit este de a asista auditorul n realizarea unui audit eficient.
Planificarea auditului are la baz o strategie de audit, care se formuleaz pornind de la
definirea abordrii auditului i precizeaz elemente legate de coordonarea misiunii de audit,
echipa implicat n aceast misiune, atribuiile n cadrul echipei, orizontul de timp i direciile
principale de aciune.
Planificarea auditului sistemelor informatice trebuie s includ toate fazele necesare atingerii
obiectivelor misiunii auditului, respectiv: documentarea privind activitatea auditat,
programul sau sistemul care face obiectul auditului, stabilirea strategiei de audit, stabilirea
procedurilor de audit i a tehnicilor aferente, a metodelor de sintetizare, analiz i
interpretare a probelor de audit, identificarea i evaluarea riscurilor generate de furnizarea
serviciilor electronice.
n cazul auditrii sistemelor informatice financiar-contabile, trebuie analizat impactul acestor
sisteme asupra planului misiunii de audit. Aceast analiz are la baz urmtoarele activiti:

cunoaterea relaiei dintre situaiile financiare i sistemele informatice care le susin;

evaluarea necesitii implicrii n audit a specialitilor n audit IT;

luarea n considerare a impactului implementrii i utilizrii sistemului informatic


asupra riscului, att la nivelul entitii ct i pentru domeniul financiar-contabil;

luarea n considerare a posibilitilor de utilizare a tehnicilor de audit asistat de


calculator pentru susinerea auditului, inclusiv identificarea celor mai adecvate
mijloace de accesare i analiz a datelor aferente tranzaciilor;

analiza modului de includere a evalurii controalelor IT n abordarea auditului;

identificarea sistemelor informatice financiar-contabile n curs de dezvoltare care vor


necesita implicarea auditului.

1.4. Evaluarea controlului intern


n cadrul, Committess of Sponsoring Organizations of the Treadway Commission - COSO,
controlul intern se definete ca un proces influenat de consiliul de conducere al organizaiei,
managementul organizaiei i de ali angajai, acesta avnd scopul de a furniza o asigurare
rezonabil n privina eficacitii i eficienei operaiilor, ncrederii n raportrile financiare i
n privina conformitii cu legile i standardele n vigoare.
Auditorul evalueaz structura de control a organizaiei prin nelegerea componentelor de
control intercorelate ale organizaiei:
-

aprecierea riscului, const n identificarea riscurilor i analiza acestora;

activitile de control, constau n politicile i procesele care asigur c angajaii


urmeaz instruciunile managementului;
tipurile de activiti de control pe care organizaiile le implementeaz sunt:
controale preventive, prin care se intenioneaz s se opreasc apariia
unei erori; controale de detecie, prin care se intenioneaz s se
detecteze dac o eroare a aprut; i controale corective, care acioneaz
pentru a remedia erorile detectate;

informare i comunicare, prin care se asigur c organizaia obine informaii


pertinente i le comunic n cadrul organizaiei;

monitorizarea i revizuirea ieirilor generate de ctre activitile de control i


realizarea unor evaluri speciale dac rezultatele nu sunt conforme.

n DEX controlul este definit ca fiind analiza permanent sau periodic a unei activiti, a
unei situaii etc. pentru a urmri mersul ei i pentru a lua msuri de mbuntire.
Standardele de audit internaionale definesc sistemul de control intern ca fiind procesul
organizat de conducerea organizaiei cu scopul obinerii unei asigurri rezonabile privind
ndeplinirea obiectivelor entitii, respectiv la raportarea financiar, eficiena i eficacitatea
operaiunilor derulate, precum i conformitatea cu legislaia n vigoare.
Pe lng nelegerea componentelor de control ale organizaiei, auditorul evalueaz
controalele generale i controalele de aplicaie ale organizaiei.
Controalele generale se refer la ntregul mediu de procesare a informaiei i au un impact
semnificativ asupra operaiilor computerizate realizate.
Controalele generale cuprind urmtoarele:
-

controale

organizaionale,

care

includ

controalele

referitoare

la

mprirea

responsabilitilor;
-

controale ale centrului de date i a operaiunilor n reea, care asigur introducerea


corect a datelor primare n aplicaii i verific modul de corectare a erorilor;

controale referitoare la achiziia de echipamente hardware i software, i ntreinerea


acestora, care includ controale ce compar acurateea datelor introduse de dou ori
de ctre dou dispozitive diferite;

controale ale accesului securizat, care asigur protecia fizic a echipamentelor


software, a datelor i se preocup de mpiedicarea pierderii activelor sau informaiilor
datorit furturilor sau folosirii neautorizate;

controale ale achiziiei de aplicaii, dezvoltare i ntreinere, care asigur ncrederea n


corecta procesare a informaiilor.

Controalele de aplicaie sunt aplicate la procesarea datelor de ctre aplicaii i ajut la


asigurarea completitudinii i acurateei n ceea ce privete procesarea, autorizarea i
validarea tranzaciilor.
Controalele de aplicaii cuprind:
-

controale de capturare a datelor, prin care se asigur faptul c toate tranzaciile sunt
cuprinse n aplicaie, tranzaciile sunt nregistrate o singur dat i, c tranzaciile
respinse sunt identificate, controlate, corectate i reintroduse n sistem dac este
cazul;

controale de validare a datelor, asigur faptul c toate datele de intrare din tranzacii
sunt evaluate pe baza setului de criterii stabilit;

controale de procesare, prin care se verific procesarea corect a tranzaciilor;

controale pentru rezultate, prin care se asigur c informaiile de ieire generate de


aplicaii nu sunt distribuite sau prezentate utilizatorilor neautorizai;

controale pentru erori, prin care erorile sunt detectate, corectate i datele corecte sunt
reintroduse n sistem la etapa corespunztoare din succesiunea de procesare.

n funcie de experiena i abilitile auditorului, propunerile venite n urma misiunii de audit


privind mbuntirea sistemului de control intern vor fi luate n considerare de ctre
organizaia auditat, care le analizeaz din punct de vedere al eficienei i eficacitii lor n
cadrul organizaiei auditate.
Atunci cnd evalueaz sistemul de control intern, auditorul trebuie s ia n considerare
factorii specifici mediului informatizat. De exemplu, auditorul trebuie s ia n considerare
atitudinea i contientizarea managementului n ceea ce privete operaiile informatizate:
Considerarea riscurilor i beneficiilor aplicaiilor informatice;
Comunicarea politicilor privind funciile informatizate i responsabilitile;
Supervizarea politicilor i procedurilor referitoare la dezvoltarea, modificarea,
ntreinerea i utilizarea programelor i fiierelor, precum i pentru controlul accesului
la acestea;
Considerarea riscului inerent i a riscului de control aferente calculatoarelor i datelor
electronice;
10

Reacia la recomandrile i cerinele anterioare;


Planificarea operativ i eficace a activitilor IT / IS;
Contientizarea dependenei de sistemul informatic n luarea deciziei.
n cadrul documentrii se vor identifica punctele critice care acumuleaz potenialul unor
riscuri generate de implementarea i utilizarea sistemului informatic:
o

slaba implicarea a managementului;

obiective neatinse sau ndeplinite parial;

iniiative nefundamentate corespunztor;

sisteme interne de control organizate sau conduse necorespunztor;

pierderi importante cauzate de calamiti naturale, furturi etc.;

lipsa ncrederii n tehnologia informaiei;

lipsa de interes fa de planificarea continuitii sistemului (proceduri de salvare a


datelor, securitatea sistemului informatic, recuperare n caz de dezastru);

calitatea necorespunztoare a serviciilor furnizate utilizatorilor sistemului;

cheltuieli nejustificate: intranet, Internet, resurse umane;

costuri i depiri semnificative ale termenelor;

existena unor reclamaii, observaii, contestaii.

Pentru toate tipurile de audit, se va realiza o evaluare a controalelor generale IT pe baza


Listei de verificare a controalelor generale IT, care conine urmtoarele categorii de obiective
de control:
managementul funciei IT;
securitatea fizic i controalele de mediu;
securitatea informaiei i a sistemelor;
continuitatea sistemelor;
managementul schimbrii i dezvoltarea de sistem;
auditul intern.
Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de
ctre auditor, n funcie de obiectivele specifice ale auditului. De asemenea, se va analiza
modul n care aceste controale afecteaz eficacitatea sistemului de control intern al entitii.

11

1.5. Proceduri de audit i consideraii privind standardul de audit ISAE


3000
Procedurile de audit sunt sarcini specifice realizate de ctre auditor cu scopul de a strnge
probe pentru a determina dac obiectivele de audit sunt ndeplinite. Standardele de audit
prevd urmtoarele: n cursul unui audit, auditorul informatic trebuie s obin probe de
ncredere, relevante dar i suficiente pentru ndeplinirea obiectivelor de audit. Constatrile i
concluziile auditorului trebuie s se bazeze pe analize i interpretri adecvate ale
respectivelor date.
Realizarea procedurilor de audit prezint urmtoarele faze:
-

stabilirea eantionului de audit: selecia eantionului, testarea, evaluarea i realizarea


documentaiei aferente acestor operaii;

utilizarea tehnicilor de auditare asistate de calculator;

stabilirea dovezilor de audit.

Stabilirea eantionului n audit reprezint aplicarea procedurilor de audit asupra unui procent
mai mic de 100% din populaia studiat, care permit auditorului informatic s evalueze
probele de audit n cadrul unei clase de tranzacii n scopul formulrii unei concluzii
referitoare la ntreaga populaie. Atunci cnd proiecteaz mrimea i structura eantionului,
auditorul informatic ia n considerare obiectivele de audit determinate n etapa de planificare
a auditului, natura populaiei i metodele de selectare i de eantionare folosite.
Selectarea eantionului - auditorul stabilete selecia n aa fel nct aceasta s fie
reprezentativ pentru populaia studiat. Cele mai folosite metode de selecie sunt metodele
statistice i nestatistice.
Metode statistice de evaluare, care includ:
-

selecia aleatorie, care asigur faptul c toate combinaiile de elemente din cadrul
populaiei au anse egale de selecie;

selecia sistematic, care implic selectarea elementelor folosindu-se un interval fix


ntre selecii, primul interval avnd un nceput aleatoriu.

Metode nestatistice de evaluare, care includ:


-

selecia ntmpltoare, prin care auditorul selecteaz eantionul fr a urma o


tehnic structurat;

selecia pe baza experienei profesionale, care utilizeaz experiena auditorului n


stabilirea criteriilor de selecie asupra elementelor eantionului: prag de relevan,
excluderea unor categorii de date din populaie.

Auditarea asistat de calculator este folosit pentru a testa controalele de aplicaie i, de


asemenea, pentru a realiza teste de substan pe selecia fcut. n literatura de specialitate
sunt precizate urmtoarele tipuri de auditare asistate de calculator:
12

programe de audit generalizate, permit auditorului s realizeze teste pe fiierele


calculatoarelor i baze de date;

programe de audit particularizate care sunt proiectate de ctre auditori pentru a


realiza o anumit sarcin de audit; programele particularizate sunt necesare atunci
cnd sistemele utilizate de ctre client nu sunt compatibile cu programele de audit
generalizate sau cnd auditorul dorete s realizeze teste care nu sunt posibile prin
utilizarea programelor de audit generalizate;

date de test generate automat cuprinznd toate scenariile posibile, care sunt
utilizate pentru a testa controalele de aplicaie direct n sistemele clientului; auditorul
include date simulate valide i invalide pentru a testa acurateea operaiilor
sistemului; metoda este folosit pentru a verifica controalele de validarea datelor i
rutinele de detectare a erorilor, controalele de procesare logic i calculele
aritmetice;

simularea paralel, prin care se construiesc module similare celor din mediul de
producie pentru a simula secvene de procesare;

dispozitiv de testare integrat, prin care auditorul introduce datele de test mpreun
cu datele reale ntr-un mediu de producie.

Dovezile de audit trebuie s fie suficiente, solide, relevante i folositoare, pentru a permite
auditorului s i formeze o opinie i pentru a conferi suport concluziilor i constatrilor
fcute. Dac auditorul nu i-a format o opinie pe baza dovezilor de audit obinute, va solicita
noi dovezi de audit pn la clarificarea tuturor pailor nefinalizai.
Terminarea auditului cuprinde urmtoarele:
-

emiterea raportului;

arhivarea documentaiei colectate i generate n timpul misiunii;

urmrirea implementrii concluziilor auditului, prin stabilirea unor ntlniri ulterioare


de verificare a progresului realizat;

evaluarea auditului, de ctre o echip independent.

Evaluarea prin sondaj a misiunilor de audit este necesar pentru a verifica respectarea
standardelor i metodologiilor asumate de ctre auditori. Practica n domeniu ne arat c
pentru asigurarea calitii, evaluarea prin sondaj de ctre o echip independent trebuie s
devin obligatorie indiferent de organizaia care a efectuat auditul.
Standardul de audit ISAE 3000 Angajamente de asigurare, altele dect auditul sau
revizuirea informaiilor financiare aferente perioadelor anterioare, este unul dintre cele mai
folosite standarde pentru misiunile de audit informatic.
Acest standard folosete termenii angajament de asigurare rezonabil i angajament de
asigurare limitat, pentru a face distincia ntre cele dou tipuri de misiuni de asigurare, pe
care un practicant este autorizat s le execute.
13

Obiectivul unui angajament de asigurare rezonabil este de a reduce riscul


angajamentului sau misiunii de asigurare la un nivel acceptabil de sczut n condiiile
angajamentului, ca baz pentru o form pozitiv de exprimare a concluziilor misiunii.
Obiectivul unui angajament de asigurare limitat este o reducere a riscului
angajamentului sau misiunii de asigurare la un nivel care este acceptabil n condiiile
angajamentului, caz n care riscul este mai mare dect pentru un angajament de asigurare
rezonabil, ca baz pentru o form negativ de exprimare a concluziilor misiunii.
Experiena n domeniu arat c principalul criteriu luat n considerare de mediul economic n
selecia furnizorului de servicii de audit este preul misiunii de audit, fr a se pune accent
pe modul n care urmeaz a fi formulat opinia de audit.
Auditorul trebuie s planifice i s desfoare un angajament cu o atitudine de scepticism
profesional, admind c exist circumstane care s determine ca informaiile analizate s
fie denaturate n mod semnificativ. O atitudine de scepticism profesional nseamn c
auditorul va face o evaluare critic, avnd o atitudine de examinator, asupra validitii
probelor obinute i este atent la probe, punnd n discuie ncrederea documentaiei sau
declaraiile date de ctre persoanele responsabile.
Auditorul trebuie s obin o nelegere a subiectului i a altor circumstane ale
angajamentului, suficient pentru a identifica i evalua riscurile ca informaiile analizate s fie
semnificativ denaturate i suficient pentru a proiecta i efectua proceduri viitoare de
colectare a probelor.
Asigurarea rezonabil este mai redus dect asigurarea absolut. Reducerea riscului
angajamentului de asigurare la zero este foarte rar atins sau eficient din punct de vedere al
costurilor implicate, ca urmare a unor factori precum:
-

utilizarea unor selecii pentru testare;

limitrile inerente ale controlului intern;

faptul c o mare parte a dovezilor disponibile auditorului sunt mai degrab


persuasive dect conclusive;

utilizarea aprecierii n colectarea i evaluarea probelor i formarea concluziilor;

n funcie de situaie, caracteristicile informaiilor analizate.

Att angajamentele de asigurare rezonabil, ct i cele de asigurare limitat, necesit


aplicarea unor aptitudini i tehnici n strngerea unor probe suficient de adecvate, ca partea
unui proces iterativ i sistematic, care include obinerea unei nelegeri a subiectului i a altor
circumstane ale angajamentului.
Natura, momentul de aplicare i aria de acoperire a procedurilor pentru strngerea unor
dovezi suficient de adecvate ntr-un angajament de asigurare limitat sunt, totui, n mod
deliberat limitate n raport cu un angajament de asigurare rezonabil.

14

Pentru diferite tipuri de informaii analizate exist standarde ISAE specifice care ofer
ndrumare cu privire la procedurile pentru strngerea unor dovezi suficient de adecvate
pentru un angajament de asigurare limitat. n absena unor standarde ISAE specifice,
procedurile pentru strngerea unor dovezi suficient de adecvate vor varia n funcie de
circumstanele angajamentului, avnd n vedere: obiectul, informaiile analizate, nevoile
utilizatorilor crora le este destinat i ale organizaiei auditate, inclusiv constrngerile
temporale i bugetare relevante. Pentru ambele tipuri de angajamente, n cazul n care
auditorul devine contient de o problem care conduce auditorul la ntrebri cu privire la
faptul c o modificare material, ar trebui s se aplice informaiilor analizate, auditorul va
urmri problema prin efectuarea unor proceduri suficiente pentru a permite tragerea unei
concluzii n raport.
Diferena major ntre angajamentul de asigurare rezonabil i angajamentul de asigurare
limitat const n modul de analizare a zonelor auditate, care este mult mai restrns n cazul
asigurrii limitate, prin reducerea seleciilor de test i a pailor de audit.
Raportul de audit mpreun cu recomandrile de audit, pregtit de echipa de audit i,
revizuit i asumat de ctre eful echipei de audit, trebuie s includ urmtoarele elemente:
(a) un titlu care s indice n mod clar c raportul este un raport de audit independent;
(b) destinatarul raportului, pentru a identifica partea sau prile crora raportul le este
adresat;
(c) identificarea i descrierea informaiilor analizate:

momentul sau perioada de timp la care se refer evaluarea;

numele entitii sau a componentelor analizate;

o explicaie a acelor caracteristici ale informaiei despre care utilizatorii ar


trebui s fie contieni i modul n care aceste caracteristici influeneaz
precizia evalurii.

Atunci cnd concluzia auditorului este formulat n referin cu aseriunile


managementului, aceste aseriuni sunt anexate la raportul de audit, fiind reproduse
n raportul de audit sau referine n cadrul acestuia ctre o surs care este disponibil
utilizatorilor crora le este destinat.
(d) identificarea criteriilor n raport cu care informaiile au fost evaluate sau msurate,
astfel nct utilizatorii s neleag baza pentru concluziile auditorului; raportul de
audit include criteriile utilizate sau face referin la ele; auditorul trebuie s analizeze
dac este relevant s dezvluie urmtoarele:
-

sursa criteriilor i dac acestea sunt incluse sau nu n legi sau reglementri
emise de ctre organismele abilitate;

metodele de msurare utilizate pentru situaiile n care criteriile permit


alegerea ntre un numr de metode;
15

orice interpretri semnificative realizate n aplicarea criteriilor n condiiile


angajamentului;

dac au existat modificri ale metodelor de msurare utilizate.

(e) o descriere a oricror limitri inerente semnificative asociate cu evaluarea sau


msurarea informaiilor analizate pe baza criteriilor, dac este cazul;
(f) atunci cnd criteriile folosite pentru a evalua sau msura informaiile analizate sunt
disponibile numai unor utilizatori specifici, sau sunt relevante pentru un scop specific,
va fi inclus o declaraie care restricioneaz utilizarea raportului de audit;
(g) o declaraie pentru identificarea prilor responsabile i pentru descrierea
responsabilitilor prilor i ale auditorului;
(h) o declaraie c misiunea a fost efectuat n conformitate cu ISAE;
(i) un rezumat al activitii desfurate, care va ajuta utilizatorii s neleag natura
asigurrilor transmise prin raportul de audit; n cazul n care nu exist un ISAE
specific care s ofere ndrumri cu privire la procedurile de colectare a probelor
pentru un anumit subiect, rezumatul include o descriere detaliat a muncii efectuate;
pentru c ntr-un angajament de asigurare limitat o apreciere a naturii, timpului i
ntinderii procedurilor de colectare a dovezilor efectuate este esenial pentru
nelegerea asigurrii transmise de ctre o concluzie exprimat ntr-o form negativ,
rezumatul activitii desfurate are urmtoare caracteristici:
-

este mai detaliat dect pentru un angajament de asigurare rezonabil i


identific limitrile cu privire la natura, timpul i ntinderea procedurilor de
colectare a probelor; este recomandabil s se indice procedurile care nu au
fost realizate i care ar fi fost n mod normal efectuate ntr-un angajament de
asigurare rezonabil;

precizeaz procedurile de colectare a probelor care sunt mai limitate dect


pentru un angajament de asigurare rezonabil i, prin urmare, se obine o
asigurare mai redus dect ntr-un angajament de asigurare rezonabil.

(j) opinia auditorului este format din mai multe concluzii separate atunci cnd
informaiile analizate sunt grupate n mai multe aspecte, iar fiecare concluzie este
exprimat n forma necesar, ca angajament de asigurare rezonabil sau limit;dac
este cazul, concluzia trebuie s informeze utilizatorii cu privire la contextul n care
trebuie citit, cum ar fi: aceast opinie a fost formulat pe baza, i este supus unor
limitri inerente prezentate n alt parte n acest raport independent de audit;ntr-un
angajament de asigurare rezonabil, concluzia trebuie s fie exprimat ntr-o form
pozitiv: n opinia noastr controlul intern este eficace, n toate aspectele
semnificative, pe baza criteriilor incluse n sfera misiunii sau precizate n
reglementrile care stau la baza auditului; ntr-un angajament de asigurare limitat,
16

concluzia trebuie s fie exprimat sub form negativ: pe baza muncii noastre
descris n acest raport, nimic nu a ajuns n atenia noastr care s ne determine s
credem c, la nivelul organizaiei, controlul intern nu este eficient, n toate aspectele
semnificative, pe baza criteriilor incluse n sfera misiunii sau precizate n
reglementrile care stau la baza auditului;
(k) n cazul n care exist urmtoarele circumstane i, efectul este sau ar fi anse s
ajung semnificativ, opinia va fi calificat (modificat) sau cu rezerve:
-

exist o limitare a sferei misiunii auditorului, prin apariia unor circumstane


care mpiedic obinerea de probe necesare pentru reducerea riscului unui
angajament de asigurare la un nivel adecvat;

n cazurile n care concluzia este formulat cu privire la aseriunile


managementului, iar acestea nu cuprind toate aspectele semnificative, sau
informaiile analizate sunt semnificativ denaturate;

atunci cnd se descoper, dup ce a fost acceptat misiunea, inadecvarea


criteriilor sau faptul c informaia analizat nu este adecvat pentru un
angajament de asigurare.

Recomandrile de audit trebuie s arate clar deficienele nregistrate care au dus la


recomandarea respectiv, ponderea acestor deficiene n totalul populaiei analizate,
impactul lor asupra organizaiei, sau constatrile care stau la baza observaiilor de
mbuntire a activitii i valoarea adugat adus de implementarea recomandrii.
Experiena arat c pentru o mai bun nelege a raportului este necesar includerea unor
elemente care s specifice clar mrimea seleciilor realizate i o descriere detaliat a
proceselor testate. ns, o solicitare din partea organizaiei auditate de extindere a
specificaiilor raportului de audit trebuie refuzat pentru c ar arta implicaiile utilizrii
criteriului preului cel mai redus n selectarea furnizorului de servicii de audit.
Datorit utilizrii lui pe scar larg pentru misiunile de audit informatic din ara noastr,
nelegerea acestui standard, precum i a tipurilor de opinii de audit care sunt emise n baza
acestui standard, este important.

1.6. Realizarea procedurilor de audit (efectuarea auditului)


Obinerea probelor de audit
Probele de audit specifice sistemelor informatice pot fi ncadrate n urmtoarele categorii:
a) Probe de audit fizice - rezultate din demonstraii ale aplicaiilor, documentaii tehnice,
diagrame, scheme de arhitectur i alte elemente echivalente acestora.
b) Probe de audit verbale rspunsuri la interviuri, sondaje.

17

c) Probe de audit documentare documente, documentaii, manuale n form scris sau n


format electronic.
d) Probe de audit analitice rezultate obinute n urma evalurilor i analizei fondului de
informaii (indicatori, tendine).
Auditorii vor colecta probe de audit suficiente i adecvate. n cazul n care probele de audit
nu sunt suficiente i/sau adecvate, auditorii vor extinde procedurile de colectare cu teste
suplimentare, aprofundate asupra sistemului informatic.
n cadrul auditului se vor efectua teste asupra controalelor specializate pentru identificarea
unor elemente sau aciuni care constituie factori de risc i se va face o analiz a impactului
acestora asupra activitii entitii.
Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice
ale funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i conduc la
obinerea unor rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere
volumul mare al tranzaciilor i complexitatea algoritmilor de prelucrare. Ca urmare a
gestionrii automate a unui volum mare de date, fr implicare uman, exist riscul
nedetectrii pentru o perioad lung de timp a unor erori datorate unor anomalii de
proiectare sau de actualizare a unor componente software.
Tehnici de audit
Pentru obinerea probelor de audit se vor utiliza, n principal, urmtoarele tehnici de audit:

Realizarea de interviuri cu persoane cheie implicate n proiect (coordonatori,


utilizatori, administratori de sistem IT etc.);
Utilizarea chestionarelor i machetelor;
Examinarea unor documentaii tehnice, economice, de monitorizare i de raportare:
grafice de implementare, coresponden, rapoarte interne, situaii de raportare,
rapoarte de stadiu al proiectului, registre de eviden, documentaii de monitorizare a
utilizrii, contracte, sinteze statistice, metodologii, standarde;
Participarea la demonstraii privind utilizarea sistemului;
Evaluarea portalului i a serviciilor electronice;
Utilizarea tehnicilor i instrumentelor de audit asistat de calculator (IDEA, TeamMate,
ACL sau alte aplicaii utilizate);
Documentarea pe Internet n scopul informrii asupra unor evenimente, comunicri,
evoluii legate de sistemul IT sau pentru consultarea unor documentaii tehnice.

Colectarea i inventarierea probelor de audit


Colectarea i inventarierea probelor de audit se refer la constituirea fondului de date n
format electronic i / sau n format tiprit pe baza machetelor, chestionarelor i a listelor de
verificare completate, precum i la organizarea i stocarea acestora.
Natura probelor de audit este dependent de scopul auditului i de modelul de auditare
utilizat. Dei modelele de auditare pot diferi n ceea ce privete detaliile, ele reflect i
acoper cerina comun de a furniza o asigurare rezonabil c obiectivele i criteriile impuse
n cadrul unei misiuni de audit (de exemplu, audit financiar) sunt satisfcute.
18

Documentarea probelor de audit


Obinerea probelor de audit i nscrierea acestora n documentele de lucru reprezint
activiti eseniale ale procesului de audit. Documentele de lucru se ntocmesc pe msura
desfurrii activitilor din toate etapele auditului. Documentele de lucru trebuie s fie
ntocmite i completate cu acuratee, s fie clare i inteligibile, s fie lizibile i aranjate n
ordine, s se refere strict la aspectele semnificative, relevante i utile din punctul de vedere
al auditului.
Aceleai cerine se aplic i pentru documentele de lucru utilizate n format electronic.
Documentarea corespunztoare a activitii de audit are n vedere urmtoarele
considerente:
o
o
o
o
o
o

Confirm i susine opiniile auditorilor exprimate n raportul de audit;


mbuntete performana activitii de audit;
Constituie o surs de informaii pentru pregtirea raportului de audit sau pentru a
rspunde oricror ntrebri ale entitii auditate sau ale altor pri interesate;
Constituie dovada respectrii de ctre auditor a standardelor i a manualului de
audit;
Faciliteaz monitorizarea auditului;
Furnizeaz informaii privind expertiza n audit.

Documentele de lucru, elaborate n format tiprit, vor fi organizate n dosare, iar


documentele elaborate n format electronic vor fi organizate n colecii de fiiere i / sau baze
de date.
Documentele trebuie s fie prezentate ntr-o manier inteligibil, coerent, consistent cu
obiectivele auditului.
Pentru descrierea sistemelor entitii auditate se utilizeaz urmtoarele tipuri de documente:
diagrame de tip flowchart, prezentri narative, machete i chestionare. Alegerea acestor
tehnici variaz n funcie de practicile locale de audit, de preferina personal a auditorului i
de complexitatea sistemelor auditate.
Diagramele flowchart exprim n mod grafic descrierea sistemului auditat. Diagramele
flowchart nregistreaz ciclul de via al unei tranzacii, de la iniiere pn la stocarea
acesteia i evideniaz controalele i procedurile automate i manuale.
Descrierea narativ a ciclului de prelucrare a tranzaciilor este utilizat, de asemenea, n
documentarea sistemelor. Se utilizeaz n conjuncie cu alte metode de documentare a
sistemelor. Descrierea narativ include: obiectivele sistemului i intele, procesele i
procedurile, legturi i interfee cu alte sisteme, controale, proceduri pentru condiii speciale.
Listele de verificare
n cazul evalurilor efectuate pentru auditarea infrastructurii IT, se vor utiliza urmtoarele
liste de verificare:

Lista de verificare privind evaluarea controalelor generale IT;


Lista de verificare privind evaluarea riscurilor generate de funcionarea sistemului IT.
19

Aceste liste de verificare se vor utiliza i n cadrul misiunilor de audit financiar sau de audit al
performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de
funcionarea sistemului informatic.
Listele de verificare generice nu exclud adugarea altor categorii de probleme considerate
semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului.
n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic
financiar-contabil pentru a formula o opinie privind ncrederea n informaiile furnizate de
sistemul informatic, auditorul va elabora Lista de verificare pentru testarea controalelor IT
specifice aplicaiei financiar-contabile, care conine urmtoarele categorii de controale de
aplicaie:

controale privind integritatea fiierelor;


controale privind securitatea aplicaiei;
controale ale datelor de intrare;
controale de prelucrare;
controale ale ieirilor;
controale privind reeaua i comunicaia;
controale ale fiierelor cu date permanente.

n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul
funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca
suport pentru asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidena,
prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de
raportare. Din acest motiv, o categorie special de controale IT se refer la conformitatea
sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare includ:
Legislaia din domeniul finanelor i contabilitii;
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii
informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional se folosesc liste de
verificare specializate: lista de verificare pentru evaluarea guvernanei sistemelor de tip eguvernare, lista de verificare pentru evaluarea portalului web, lista de evaluare a perimetrului
de securitate, liste de verificare pentru evaluarea serviciilor electronice, liste de verificare
pentru evaluarea cadrului de interoperabilitate, precum i alte liste de verificare a cror
necesitate decurge din obiectivele auditului.
Avnd n vedere specificul i complexitatea ridicat a unor astfel de misiuni de audit, cadrul
de auditare asociat necesit o tratare separat.

20

Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare


urmtoarele aspecte:

Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii;


Modul n care managementul adecvat al configuraiilor IT contribuie la creterea
valorii adugate prin utilizarea sistemului informatic, reflectat n economii privind
costurile de achiziie i creterea calitii serviciilor;
Creterea semnificativ a productivitii unor activiti de rutin foarte mari
consumatoare de timp i resurse, care, transpuse n proceduri electronice
(tehnoredactare, redactarea automat a documentelor, cutri n arhive electronice,
reutilizarea unor informaii, accesarea pachetelor software legislative), se
materializeaz n reduceri de costuri cu aceste activiti;
Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii
unor proceduri pentru remedierea acestora;
Eliminarea paralelismelor i integrarea proceselor, care se reflect n creterea
eficienei activitii prin eliminarea redundanelor;
Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului
de rspuns;
Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i
dezvoltarea de noi aptitudini;
Reducerea costurilor administrative.

Chestionarele
Chestionarele conin ntrebri despre sistemele entitii auditate i constituie suportul pentru
colectarea informaiilor despre acestea.
Chestionarele conin, n general, opinii ale actorilor implicai n sistem referitoare la:
acceptarea sistemului, calitatea instruirii, efectele sistemului asupra activitii entitii,
calitatea documentaiei tehnice, ncrederea n sistemul informatic, dificultatea utilizrii
sistemului, efectele n planul modernizrii activitii, necesitatea extinderii sistemului.
n cazul n care chestionarele sunt proiectate pentru efectuarea unor analize statistice,
acestea conin ntrebri formulate astfel nct s poat fi agregate i analizate n funcie de
criterii stabilite. Rspunsurile pot fi de tip DA/NU, note, ponderi, i altele. De asemenea, sunt
admise aprecieri personale i comentarii. Pe baza informaiilor colectate se pot elabora
diagrame i grafice care s exprime sugestiv concluzii referitoare la percepia unei populaii
despre efectele implementrii i utilizrii sistemului informatic supus evalurii.
Machetele
Machetele sunt elaborate de auditori i constituie suportul pentru colectarea informaiilor
legate de: bugetul IT / IS, configuraia hardware / software, infrastructura de reea, sistemul
aplicativ, instruirea personalului, utilizarea sistemului informatic, costuri, furnizori.
Sintetizarea, analiza i interpretarea probelor de audit
Auditorii vor face o evaluare a sistemelor informatice i a aplicaiilor, prin analiza,
interpretarea i sinteza informaiilor obinute n cadrul interviurilor sau colectate din sursele
documentare i prin intermediul machetelor, chestionarelor i listelor de verificare.
21

Aceste operaiuni se bazeaz n principal pe elaborarea i/sau utilizarea unor tabele


sintetice, reprezentri grafice, indicatori de performan, matrici de corelaie etc. n acest
scop se utilizeaz, pe scar din ce n ce mai larg, instrumentele i tehnicile bazate pe
calculator.
Formularea constatrilor i recomandrilor
Evaluarea i revizuirea sistemului informatic se fac prin analiza constatrilor rezultate i
interpretarea acestora. n funcie de impactul pe care l au neconformitile constatate, se
formuleaz recomandri pentru remedierea acestora i reducerea nivelului riscurilor. Aceste
recomandri reflect opiniile auditorului asupra entitii auditate prin prisma obiectivelor
misiunii de audit. Sintetic, constatrile se vor referi la urmtoarele aspecte: evaluarea
complexitii sistemelor informatice, evaluarea general a riscurilor entitii n cadrul
mediului IT, evaluarea riscurilor n cadrul fiecrei aplicaii, precum i un punct de vedere al
auditorului privind fezabilitatea unui demers de audit bazat pe controale.

1.7. Elemente ale raportului de audit (Exemplu3)


Pornind de la premisa c auditul sistemelor informatice reprezint o activitate de evaluare a
sistemelor informatice prin prisma optimizrii gestiunii resurselor informatice disponibile
(tehnologii, faciliti, resurse umane, aplicaii, date etc.), n scopul atingerii obiectivelor
entitii auditate prin asigurarea unor criterii de eficien, confidenialitate, integritate,
disponibilitate, siguran n funcionare i conformitate cu un cadru de referin (standarde,
bune practici, cadru legislativ etc.), se dorete ca raportul s se constituie ntr-un demers de
sensibilizare a factorilor implicai n procesul de reform i modernizare a sistemului, att n
ceea ce privete accelerarea implementrii sistemului informatic, ct i n ceea ce privete
creterea stabilitii i utilitii acestuia, prin clarificarea unor aspecte metodologice i
procedurale.
1.4.1. Prezentarea cadrului instituional general i a problematicii abordate
Direcia de Exploatare a Tehnologiei Informaiei (DETI), actualmente Direcia Tehnologia
Informaiei (DTI), din cadrul Ministerului Justiiei (MJ) este compartimentul care coordoneaz
activitatea informatic n scopul constituirii unui sistem informatic judiciar unitar i care
implementeaz programele guvernamentale de informatizare, stabilite prin Strategia de
informatizare, n unitile sistemului judiciar.
n vederea unei bune organizri a activitii informatice n instane, precum i pentru
atingerea ct mai rapid a obiectivelor stabilite prin Strategia de informatizare a sistemului
judiciar, prin Ordinul Ministrului Justiiei nr. 1493/C/08.09.2004 s-au stabilit atribuiile
personalului de specialitate informatic. Acestea transpun la nivelul instanelor judectoreti
atribuiile direciei de profil de la nivelul ministerului.

Personalul de specialitate informatic de la nivelul instanelor de judecat are ca principale


atribuii:

CURTEA DE CONTURI A ROMNIE R A P O R T D E A U D I T Auditul sistemului informatic al instanelor


de judecat (www.curteadeconturi.ro/.../Rapoarte...audit/Informatica/informatica5.pdf)

22

a) participarea, la solicitarea Ministerului Justiiei, la partea de analiz i implementare a


aplicaiilor informatice comune privind activitatea instanelor;
b) asigurarea exploatrii programelor informatice elaborate la nivel central, instalarea
produselor informatice i controlul periodic al respectrii instruciunilor de utilizare de ctre
operatorii de aplicaie;
c) coordonarea i controlul activitilor cu profil informatic;
d) asigurarea iniierii i instruirii personalului instanei n exploatarea aplicaiilor;
e) supravegherea modului de utilizare a tehnicii de calcul i luarea msurilor necesare
pentru asigurarea bunei funcionari a acesteia.
1.4.2. Obiectivul general i obiectivele specifice ale auditului
Auditul a urmrit furnizarea de informaii i analize independente i Impariale Parlamentului,
entitilor implicate i justiiabililor, cu privire la Strategia de reform a sistemului judiciar prin
utilizarea sistemului informatic i implementarea programelor i politicilor aferente Strategiei
de informatizare, precum i formularea de recomandri n scopul accelerrii procesului de
reform datorat utilizrii tehnologiilor informatice, a optimizrii rezultatelor i a mbuntirii
serviciilor oferite.
S-a urmrit de asemenea eficientizarea procedurilor judiciare, din punct de vedere
informatic, creterea gradului de transparen, securizarea informaiilor cu caracter personal,
gestionarea eficient a resurselor umane, financiare i materiale, precum i identificarea
cauzelor care au condus la apariia unor eventuale deficiene n derularea programului de
informatizare a instanelor judectoreti i formularea unor recomandri n vederea
continurii i atingerii obiectivelor stabilite de Strategia de informatizare.
Misiunea de audit s-a desfurat n conformitate cu Manualul Auditului Performanei elaborat
de Curtea de Conturi a Romniei, asigurnd compatibilitatea cu cerinele standardelor
internaionale de audit acceptate de INTOSAI (International Organisation of Supreme Audit
Institutions), cu cadrul CoBIT (Control OBjectives for Information and related Technology),
cu ghidurile de bun practic elaborate de ISACA (Information Systems Audit and Control
Association), cu standardul de securitate ISO 27002 (ISO 17799), precum i cu standardele
ISA (International Standard Audit) - ISA 400 privind evaluarea riscurilor i controlul intern,
ISA 401 privind auditul ntr-un mediu cu sisteme informatizate.
Totodat s-a urmrit msura n care aplicaiile supuse analizei reflect actualizarea
prevederilor legale i modul de corelare a datelor.
n cadrul prezentei aciuni s-a ncercat pe ct posibil o abordare orientat pe rezultate, ceea
ce se refer n principal la analizarea performanei realizate n contextul celor 3E
(economicitate, eficien, eficacitate), prin compararea observaiilor auditorilor cu normele
existente (reglementri, standarde, obiective, inte) i cu criteriile de audit stabilite .
Formatul raportului de audit este cel recomandat n ghidul Auditului Performanei al Curii de
Conturi a Romniei, acoperind controalele puse n aplicare, procedurile pentru asigurarea
respectrii reglementrilor, precum i constatrile i recomandrile pentru eliminarea sau
diminuarea deficienelor identificate i concluziile rezultate pe parcursul desfurrii misiunii
de audit.
23

Reforma sistemului judiciar reprezint o prioritate n cadrul procesului de reform


instituional din Romnia. Obiectivele acesteia au fost stabilite prin Strategia de reform a
sistemului judiciar pe perioada 2005-2007 i prin Planul de aciune pentru implementarea
Strategiei de reforma a sistemului judiciar pe perioada 2005-2007, aprobate prin H.G. nr.
232 din 30 martie 2005. La Capitolul VI planul prevede Continuarea procesului de
informatizare a sistemului judiciar pe perioada respectiv.
Totodat, prin H.G. nr. 543 din 9 iunie 2005 au fost aprobate Strategia de informatizare a
sistemului judiciar pe perioada 2005-2009 precum i organizarea i funcionarea Comisiei de
monitorizare i implementare a acestei Strategii.
n cadrul acestei Strategii se arat c utilizarea tehnologiilor informatice moderne va accelera
procesul de reform, prin asigurarea standardizrii procedurilor la nivelul ntregului sistem,
unificarea acestora, precum i prin introducerea unor indicatori de msurare a eficienei
actului de justiie.
Informatizarea sistemului judiciar, prin obiectivele sale privind eficientizarea procedurilor
judiciare, creterea gradului de transparen, securizarea informaiilor cu caracter personal
i a celor cu caracter secret, eliminarea corupiei, gestionarea eficient a resurselor umane,
financiare, materiale, vizeaz, printre altele, aspecte legate de:
creterea calitii actului de justiie i scurtarea timpului de rezolvare a cauzelor aflate pe
rolul instanelor;
eliminarea treptat a gestionrii datelor n format hrtie prin utilizarea formei electronice a
dosarelor i a celorlalte documente specifice;
accesul rapid la legislaie, jurispruden i la informaii privind cauzele aflate pe rol pentru
personalul instanelor i parchetelor;
creterea gradului de pregtire n domeniul informatic al magistrailor i personalului
auxiliar, n scopul utilizrii eficiente a noilor tehnologii;
servicii electronice pentru ceteni, avocai i ali specialiti implicai n actul de justiie;
deschiderea ctre alte sisteme informatice pentru a prelua i a transmite informaii ctre
acestea, ntr-o tehnologie standard;
creterea gradului de securizare al reelelor de comunicaii i implementarea unei politici de
acces n sistem pentru fiecare utilizator;
repartizarea aleatorie a cauzelor pe complete de judecat;
eliminarea posibilitilor de intervenie neautorizat asupra datelor din dosare;
managementul informatizat al documentelor interne;
gestionarea corespunztoare a patrimoniului.
Obiectivul general al auditului const n evaluarea componentelor sistemului informatic al
instanelor judectoreti, a instrumentelor, tehnologiilor informatice i infrastructurii existente,
24

a ncadrrii n obiectivele stabilite de Strategia de informatizare, precum i formularea unor


recomandri n scopul accelerrii atingerii acestor obiective i a mbuntirii serviciilor
oferite.
Misiunea de audit i-a propus obinerea unei asigurri rezonabile asupra urmtoarelor criterii
de evaluare i efecte ale sistemului:
a) dac sistemul informatic a fost implementat cu succes la nivelul instanelor de judecat i
dac a permis aplicarea corect i n mod eficient a legislaiei de care depinde succesul
reformei sistemului judiciar, dac au intervenit schimbri la nivelul activitii auditate datorate
utilizrii tehnologiei IT i dac s-au obinut rezultate i s-au furnizat servicii de calitate;
b) dac resursele umane, materiale i tehnice au fost utilizate corespunztor;
c) identificarea i analiza riscurilor generate de utilizarea sistemului informatic;
d) dac au fost utilizate instrumente, mijloace i politici manageriale adecvate care s fi
contribuit n fapt la implementarea unui sistem informatic de care depinde succesul reformei
n justiie.
De asemenea, la stabilirea performanei sistemului s-au avut n vedere cele mai bune
practici n materie.
Pornind de la aceste considerente auditul s-a concentrat asupra urmtoarelor obiective
specifice:
- Evaluarea Strategiei de informatizare, din punct de vedere al stadiului, finanrii i a
perspectivelor;
- Evaluarea stadiului de implementare a sistemului informatic;
- Respectarea politicilor, standardelor i procedurilor cu privire la calitatea datelor;
- Respectarea standardelor de securitate a datelor;
- Evaluarea modului de valorificare a informaiilor i asigurarea transparenei actului de
justiie;
- Interoperabilitatea cu sistemele altor instituii n vederea asigurrii prevenirii i combaterii
fenomenelor de corupie;
- Evaluarea impactului utilizrii sistemului informatic;
- Evaluarea existenei unor indicatori de performan.

1.4.3. Abordarea auditului


Aa cum am artat n capitolul anterior, auditul i-a propus evaluarea componentelor
sistemului informatic al instanelor judectoreti, a ncadrrii n obiectivele stabilite de
Strategia de informatizare.
25

Au fost avute n vedere urmtoarele aspecte:


dotarea cu tehnic de calcul i software;
infrastructura de comunicaii;
modul de organizare i structura personalului informatic din sistemul judiciar;
proiectele de dezvoltare n derulare.
Strategia de dezvoltare a sistemului informatic al justiiei n ansamblul su, vizeaz
realizarea unei infrastructuri integrate, ntr-o tehnologie coerent, care s permit
personalului sistemului judiciar o activitate transparent, eficient i performant, astfel nct
prin colaborare cu instituiile administraiei publice, agenii, ONG-uri s furnizeze comunitii
servicii care s rspund necesitilor acesteia.
Obiectivele i proiectele care deriv din Strategia de informatizare au fost realizate
preponderent centralizat, la nivelul Ministerului Justiiei, n cadrul programelor de reform, cu
finanare internaional (ndeosebi PHARE i Banca Mondial) precum i din surse proprii,
sub monitorizarea organismelor abilitate.
...
La nivel teritorial auditul s-a desfurat la tribunalul din fiecare ora reedin de jude i la
cte o judectorie, precum i curile de apel, acolo unde funcioneaz aceste instane (14 din
cele 15 existente).
n privina elementelor legate de teritoriu nu a existat posibilitatea surprinderii tuturor
aspectelor legate de problematica abordat. Din acest motiv apare i riscul emiterii unor
constatri, concluzii i recomandri incomplete sau cu un grad diminuat de generalitate n
ceea ce privete situaia existent la restul instanelor de judecat, necuprinse n programul
de audit.

La nivelul judeelor n care s-au desfurat aciuni de audit au fost chestionai un numr de
527 beneficiari, utilizatori ai paginilor de web ale Ministerului Justiiei i naltei Curi de
Casaie i Justiie precum i ai portalului instanelor de judecat i a celui de legislaie,
selectai dintre ceteni, avocai, juriti i specialiti implicai n actul de justiie.
1.4.4. Metode i tehnici de colectare i analiz a probelor de audit
Pentru realizarea obiectivelor auditului au fost utilizate urmtoarele metode de obinere i
analizare a probelor de audit:
Observaia direct prin inspecia spaiilor de lucru n care sunt instalate serverele i
echipamentele de comunicaie i participarea la demonstraii pentru nelegerea modului de
funcionare a sistemului informatic;
Examinarea documentaiei privind:

26

- Strategia naional de informatizare i implementare n ritm accelerat a societii


informaionale (H.G. nr. 58/1998);
- Strategia de reform a sistemului judiciar pe perioada 2005-2007 (H.G. nr. 232/2005);
- Strategia de informatizare a sistemului judiciar pe perioada 2005-2009 (H.G. nr. 543/2005);
- Aide memoire-uri ale Bncii Mondiale cu privire la Proiectul privind reforma sistemului
judiciar;
...
Interviuri cu:
- persoane din conducerea unitilor auditate;
- personalul de specialitate IT;
- utilizatorii aplicaiilor, desfurate pe baza listelor de verificare privind evaluarea riscurilor
IT, a controalelor IT i a aplicaiilor informatice, precum i a chestionarului pentru evaluarea
sistemului informatic;
Eantionare pentru selectarea utilizatorilor care au rspuns la chestionarul de evaluare a
portalului instanelor de judecat i a celui legislativ;
Teste de detaliu privind modul de funcionare a aplicaiilor analizate;
Centralizarea probelor de audit obinute n funcie de natura lor, n vederea cuantificrii
rezultatelor.

Pentru evaluarea riscurilor s-au avut n vedere o serie de factori, cum ar fi:
- Existena unor obiective neatinse sau ndeplinite parial;
- Implicarea necorespunztoare a conducerii n derularea proiectelor IT. Existena unor
iniiative fundamentate necorespunztor;
- Detectarea unor depiri semnificative ale termenelor;
- Organizarea i funcionarea necorespunztoare a a sistemelor interne de control;
- Existena unor deficiene n asigurarea securitii sistemului IT i n planificarea continuitii
sistemului;
- Existena unor discontinuiti n perfecionarea utilizatorilor sistemului IT;
- Calitatea necorespunztoare a serviciilor IT, identificarea de reclamaii, observaii,
contestaii, privind sistemul auditat.
n acest sens, pentru evaluarea sistemului informatic au fost urmrite cu precdere,
urmtoarele activiti i operaiuni:
. analiza infrastructurii hardware/software existente, necesiti i funcionaliti;
27

analiza structurii personalului din punct de vedere numeric, al pregtirii profesionale i


experienei n domeniu;
administrarea reelelor de calculatoare locale i de arie extins;
gestionarea echipamentelor hardware i de comunicaii n reeaua instanelor de judecat;
asigurarea ntreinerii echipamentelor de calcul;
existena controlului intern n toate fazele funcionrii sistemului, funcionarea principiului
separrii atribuiilor/sarcinilor;
protocoale privind securitatea accesului n sistem, back-up, aprobri pentru modificrile
sistemului, restricionare, siguran, consisten i acuratee a datelor.

1.4.5. Prezentarea criteriilor utilizate pentru evaluarea performanei

Criteriile de audit decurg din termenii de referin identificai, standardele fa de care este
apreciat atingerea performanei (legislaie, ghiduri, standarde i reglementri
departamentale, indicatori relevani, obiective de performan relevante) i se raporteaz la
bunele practici n domeniu. Acestea vizeaz atingerea performanei att din punctul de
vedere al administratorului i utilizatorului sistemului informatic, ct i al interesului general
al justiiabilului.

Performana implementrii i utilizrii unui sistem informatic, are n vedere:


- eficiena procesului de implementare i utilizare a sistemului, astfel nct efectele pe care
acesta le produce asupra utilizatorilor, prin introducerea unor tehnici moderne, s asigure
dezvoltarea de noi abiliti precum i abordarea de obiective care nu se pot atinge prin
metode i tehnici clasice;
- identificarea, evaluarea impactului i remedierea disfuncionalitilor existente n
funcionarea sistemului pentru a contribui la creterea calitii serviciilor oferite utilizatorilor.
Evaluarea performanei sistemului informatic al instanelor de judecat s-a axat pe
examinarea componentelor auditate sub aspectul economicitii, eficienei i eficacitii
acestora.
Economicitatea reprezint msura n care se asigur minimizarea costului resurselor
utilizate, fr a compromite realizarea n bune condiii a obiectivelor declarate. Problema
central este aceea dac resursele au fost alocate, administrate i utilizate cu
economicitate, potrivit cerinelor Strategiei de informatizare, dac mijloacele alese pentru
atingerea obiectivelor care deriv din aceasta reprezint modul cel mai economic de utilizare
a resurselor alocate, respectiv, dac au fost respectate reglementrile n domeniu, n
conformitate cu principiile i practicile unui management performant.
28

Informatizarea sistemului judiciar a beneficiat, de-a lungul ultimilor ani, de finanri prin
programe PHARE, contribuii naionale la acestea i, la nivelul instanelor, de finanri din
surse proprii. Cele mai importante programe derulate ncepnd cu anul 1997, sau n curs de
derulare, sunt:
o RO 9705.02-Provision of Technical Assistance and Supply Procurement Services for the
Creation of a Legal Library and Documentation System (LLDS) and Case and Document
Management System (CDMS), n valoare de 3.479.890 euro;
o RO0004.01-01Continuation of the Development of the Case and Document Management
System (CDMS)- Lot 1, n valoare de 7.977.543 euro;
...
Pentru ndeplinirea obligaiei de cofinanare aferente programului PHARE 2000-ntrirea
sistemului judiciar i penitenciar, n scopul informatizrii sistemului judiciar, prin H.G. nr.
455/2005 i H.G. nr. 605/2005, Ministerul Justiiei, respectiv Ministerul Public au fost
autorizate s contracteze cte o finanare de tip leasing financiar, pe o perioad de 4 ani, cu
valoarea de achiziie de 12 milioane euro, respectiv 10 milioane euro. Sumele efectiv
cheltuite au fost de 10.152.202,03 euro pentru Ministerul Justiiei, respectiv 8,194,056,15
euro pentru Ministerul Public.
Programele respective s-au desfurat dup proceduri specifice i au fost atent monitorizate
de Oficiul de Pli i Contractare PHARE (O.P.C.P.) i de organismele abilitate ale Comisiei
Uniunii Europene. Totodat, prin H.G.nr. 543/2005, s-a hotrt i constituirea Comisiei de
monitorizare i implementare a Strategiei de informatizare a sistemului judiciar pe perioada
2005-2009. Comisia este compus din reprezentanii tuturor structurilor sistemului judiciar i
are ca principale atribuii:
- avizarea specificaiilor tehnice pentru proiectele de achiziii de echipamente de tehnic de
calcul sau servicii cu specific IT a cror valoare estimat este mai mare de 2.000 euro;
- elaborarea proiectelor de buget n domeniul IT pentru instituiile sistemului judiciar;
- stabilirea politicilor comune n domeniul securitii sistemelor informatice i a
comunicaiilor.

n acest context misiunea de audit a avut ca prioritate evaluarea ndeplinirii obiectivelor


propuse prin Strategia de informatizare, concentrndu-se pe corectitudinea modului de
lucru, n sensul obinerii rezultatelor scontate.
Eficiena, prin definiie, reprezint raportul dintre rezultatele obinute i resursele utilizate
pentru obinerea lor. Sunt vizate, printre altele, gradul de utilizare a sistemului, rezultatele
superioare obinute n noua abordare comparativ cu rezultatele obinute prin folosirea
metodelor clasice de lucru. n cazul de fa, prin prisma acestui criteriu s-a analizat n ce
msur resursele materiale i umane au fost utilizate pentru exploatarea aplicaiilor
existente, implementarea noilor componente i obinerea rezultatelor dorite. Au fost avute n
vedere pe de o parte numrul, structura i performanele echipamentelor informatice pe care
sunt instalate aplicaiile i, pe de alt parte, numrul i pregtirea personalului care particip
la implementarea i exploatarea aplicaiilor.
29

Prin prisma eficacitii s-au analizat efectele n planul rezultatelor obinute ca urmare a
utilizrii noilor tehnologii, impactul noului sistem asupra modernizrii activitii instanelor de
judecat, respectiv n ce msur sistemul informatic contribuie la obinerea unei imagini mai
bune privind principalele sfere de activitate. S-a avut n vedere, de asemenea, evaluarea
gradului n care, prin utilizarea sistemului informatic, pot fi obinute n timp util toate datele i
informaiile necesare desfurrii activitii curente a instanelor sau cele necesare unor pri
interesate.
n concluzie, auditul i-a propus o abordare orientat pe rezultate, concentrat n principal pe
analizarea performanei componentelor sistemului informatic al instanelor de judecat sub
aspectul eficienei i eficacitii acestora, prin compararea observaiilor auditorului cu
normele existente (reglementri, standarde, obiective, inte) i cu criteriile de audit stabilite.
Astfel, auditul a urmrit s rspund cu prioritate urmtoarelor ntrebri:
Dac la nivelul Ministerului Justiiei, respectiv al instanelor de judecat Strategia de
informatizare se aplic n mod unitar;
Dac la nivelul Ministerului Justiiei i al instanelor de judecat a fost alocat un buget
separat pentru tehnologia informaiei care s in seama de necesitile de susinere a
Strategiei de informatizare a sistemului judiciar, n conformitate cu prioritile acesteia;
Dac a avut loc o evaluare cost performan a activitilor privind tehnologia informaiei;
Dac exist o implicare a conducerii ministerului i a instanelor de judecat n monitorizarea
implementrii i evaluarea calitii proiectelor aferente atingerii obiectivelor Strategiei de
reform a justiiei pe perioada 2005-2009;
Dac n cadrul Ministerului Justiiei i al instanelor de judecat exist resurse umane cu
pregtire de specialitate care s rspund necesitilor activitilor curente i poteniale n
ceea ce privete tehnologia informaiei, msura n care la nivelul instanelor personalul IT
este dimensionat corespunztor cu volumul de activitate i cu schimbrile datorate
modificrilor legislative;
Dac resursele tehnice, hardware i software, asigur necesitile de funcionare n bune
condiiuni ale sistemului informatic, n ansamblul su;
Dac sistemul informatic reuete s sprijine ntr-o msur corespunztoare funciile
sistemului judiciar, respectiv ale instanelor de judecat;
Dac se utilizeaz repartizarea aleatorie a cauzelor i alocarea numrului unic de dosar la
nivel naional;
n ce msur este asigurat transparena actului de justiie precum i accesul justiiabililor la
informaiile referitoare la dosarele aflate pe rol;
n ce msur sistemul informatic, prin componentele analizate, este unitar, permind
interoperatibilitatea aplicaiilor i evitarea prelucrrii repetate a informaiilor identice;
Dac sistemul informatic poate face fa, n mod corespunztor, creterii volumului
informaiilor de prelucrat;
Dac sistemul informatic este flexibil n raport cu modificrile legislaiei;
30

Dac la nivelul Ministerului Justiiei i al instanelor de judecat exist o politic referitoare


la asigurarea securitii fizice i logice a informaiilor i sistemelor gestionate.

1.4.6. Constatrile auditului


a) Strategia de informatizare, stadiul actual i perspective n contextul implementrii
sistemului informatic
Realizarea unui sistem judiciar independent, imparial, credibil i eficient reprezint o
condiie necesar pentru supremaia legii i a principiilor statului de drept. Msurile de
consolidare a independenei sistemului judiciar trebuie s duc nu numai la afirmarea
principiului separaiei puterilor n stat, dar i la aplicarea acestuia n practic.
...
Informatizarea sistemului judiciar se refer la cinci direcii principale:
- Eficientizarea procedurilor judiciare;
- Creterea gradului de transparen;
- Securizarea informaiilor cu caracter personal i a celor cu caracter secret;
- Eliminarea corupiei;
- Gestionarea eficienta a resurselor umane, financiare, materiale ...
Stadiul actual al procesului de informatizare, derulat pn la momentul auditului, poate fi
sintetizat astfel:
1. Dotarea cu tehnic de calcul i produse software a tuturor instituiilor sistemului judiciar ...
2. Crearea unei reele informatice securizate i interconectarea tuturor instituiilor sistemului
judiciar prin aceast reea...
3. Implementarea unei politici de securitate comune, la nivelul ntregului sistem judiciar
...
b) Evaluarea soluiei de implementare, a arhitecturii hardware i software, a resurselor
tehnologice i de personal
...
c) Identificarea i analiza riscurilor, respectarea standardelor de securitate, a politicilor i
procedurilor privind calitatea datelor
Preocuparea permanent, manifestat la nivelul DTI cu privire la identificarea, evaluarea i
managementul riscurilor aferente implementrii Strategiei de informatizare, nu se reflect n
aceeai msur la nivelul instanelor auditate. Exist astfel pericolul de a nu fi identificate
31

riscuri majore i de a nu fi asociate controale interne adecvate pentru reducerea efectelor


riscurilor la un nivel acceptabil pentru entitile auditate.
Analiza modului de desfurare a activitii n domeniul IT att la nivel central ct i la nivel
teritorial, a identificat anumii factori de risc, n ceea ce privete managementul activitilor
IT, resursele necesare (n special cele legate de personal), operarea i controlul sistemelor
IT i impactului mediului legislativ.

Astfel, la nivelul managementului:


Dei obiectivele manageriale IT sunt coroborate cu obiectivele generale ale instituiei, de
multe ori la nivelul instanelor, raportrile activitilor IT ctre conducere sunt ocazionale,
eventual la solicitarea acesteia. ntlnirile conducerii cu reprezentanii compartimentelor IT
nu sunt realizate n mod periodic, problematica abordat se comunic verbal, nu se
ntocmesc procese verbale, minute sau rapoarte;
Conducerea, dei contientizeaz importana sistemului IT i a riscurilor care decurg din
utilizarea acestuia, nu s-a implicat direct n depistarea, evaluarea i reducerea riscurilor
asociate;
Opiunea de externalizare a implementrii sistemului vine s rezolve, pe moment, aspecte
legate de gestionarea mai puin coerent a resurselor umane la nivelul ministerului i al
instanelor. Decizia n sine este una strategic i nu diminueaz cu nimic responsabilitatea
conducerii privind asigurarea confidenialitii, integritii i disponibilitii datelor n condiii
de securitate. Pe termen lung aceast soluie implic asumarea unor riscuri mari, legate de
creterea dependenei de furnizorul de servicii IT, pierderea flexibilitii sistemului, pierderea
specialitilor interni proprii i a expertizei n domeniu, opoziia personalului propriu,
asigurarea integritii mediului informatic.
La nivelul managementului IT:
Coordonarea implementrii Strategiei de informatizare a sistemului judiciar se realizeaz
prin intermediul Comisiei de monitorizare i implementare. Fiind compus din reprezentani ai
tuturor structurilor sistemului judiciar, are avantajul emiterii unor decizii comune, armonizate
la nivelul ntregului sistem, dar exist i riscul unei disipri a responsabilitii. La nivelul DTI
coordonarea s-a realizat iniial de ctre coordonatorul direciei i de actualul director adjunct,
iar din luna aprilie 2007 numai de ctre directorul adjunct.
Fiind direct implicat de la nceputul procesului de informatizare, acesta a constituit principalul
element de continuitate i, n acelai timp, factor de diminuare a riscului aferent.
Cu toate acestea nu exist un manager dedicat exclusiv implementrii Strategiei de
informatizare. ntrzierile n luarea unor decizii pot induce costuri suplimentare, cu
repercusiuni asupra calitii proiectului.
Datorit fluctuaiei de personal, schimbrilor frecvente la nivel managerial i modificrilor
cadrului legislativ apar riscuri legate de continuitatea proiectului.
Schimbarea echipei manageriale la nivel nalt reprezint un moment foarte dificil pentru
implementarea Strategiei ntruct s-a constatat c sunt necesare perioade semnificative de
32

timp pentru ca noua echip s se acomodeze i s se implice n sprijinirea i coordonarea


eficient a activitilor IT.
Nu este asigurat o echip dedicat pentru implementarea proiectului. Alocarea atribuiilor
privind participarea la analiz, testare, evaluare, acceptan se face fr degrevarea
participanilor de sarcinile zilnice legate de meninerea n funciune a sistemului.
Planificarea activitilor se face funcie de vrfurile de activitate, fr a se ine cont de
ncrcarea zilnic. Personalul are sarcini eterogene i este suprancrcat.

La nivelul resurselor necesare:


Implementarea Strategiei presupune nu doar finanare extern ci i cofinanare. Lipsa unui
buget separat pentru IT care s contribuie la susinerea funciilor sistemului judiciar, n
conformitate cu prioritile impuse de informatizarea sa i cu importana pe care aceasta o
are n cadrul msurilor ntreprinse pentru mbuntirea calitii actului de justiie, crete
riscul ca sistemul informatic s nu poat fi implementat conform graficelor stabilite i
conduce la imposibilitatea evalurii corecte a eficienei activitii IT, cu att mai mult cu ct sa constatat lipsa unei proceduri de evaluare a investiiilor n IT i faptul c la nivelul
ministerului nu s-a analizat evoluia costurilor n urma implementrii Strategiei de
informatizare.
Personalul de specialitate din DTI, alocat exclusiv acestui proiect, este insuficient.
Implementarea sistemului se realizeaz cu aceleai persoane implicate n actualizarea i
ntreinerea aplicaiilor sistemului informatic. Situaia se repet la multe instane, inclusiv la
cea suprem.
Nu exist o politic clar de recrutare, pregtire i evaluare a personalului IT. Att la nivelul
DTI, ct i al instanelor, exist cunotine IT concentrate la nivelul unui numr redus de
persoane, crendu-se o dependen semnificativ de persoane cheie. Acest fapt,
coroborat cu fluctuaia personalului i lipsa unei Strategii pe termen lung de pregtire a
personalului IT, implic riscuri legate de buna funcionare a sistemului informatic n situaia
migrrii sau indisponibilitii acestor persoane.
Datorit unor condiii conjuncturale, legate de posibila ncetare a detarii/delegrii
personalul de la A.N.P., i de creterea preconizat a salariilor personalului de specialitate
IT din cadrul ministerului, ncepnd cu anul 2008, exist riscul apariiei, la nivelul DTI, a unor
disfuncionaliti n ceea ce privete asigurarea continuitii procesului de informatizare a
sistemului judiciar i, implicit, al atingerii obiectivelor Strategiei de reform n justiie.
La nivelul operrii i controlului sistemelor IT:
Nu exist proceduri formale de acces n locaiile care gzduiesc echipamentele IT
importante. Protecia fizic a sistemelor IT nu este totdeauna asigurat corespunztor,
numeroase locaii din teritoriu, n care sunt amplasate serverele, nedispunnd de toate
componentele necesare controalelor de mediu i proteciei fizice (sisteme de prevenire a
incendiilor, climatizare, elemente de protecie a cablurilor de reea, etc.). Exist astfel riscul
alterrii sau pierderii datelor prin deteriorarea fizic a echipamentelor.

33

Nu este finalizat nc o politic formal n domeniul securitii sistemului IT. Elementele unei
astfel de politici, care s prevad responsabiliti formale privind administrarea securitii,
controlul accesului logic (revizuirea log-urilor aplicaiilor, administrarea utilizatorilor, reguli
privind modul de stabilire a parolelor, monitorizarea activitii administratorilor, etc.) precum
i separarea responsabilitilor de utilizare a aplicaiilor informatice de cele de administrare a
sistemelor de operare i a bazelor de date, nu au fost implementate n totalitate la toate
instanele. Apare astfel, riscul ca anumite operaii accidentale sau frauduloase din sistem s
rmn nedetectate.
Administrarea soluiei antivirus este suficient de fiabil, actualizarea definiiilor antivirus
efectundu-se n mod unitar, riscul alterrii datelor fiind relativ redus.
La nivelul DTI exist un plan de recuperare n caz de dezastru, dar n teritoriu astfel de
planuri nu au fost implementate la toate instanele.
S-a constatat c la unele instane copiile de siguran ale sistemelor i bazelor de date se
gsesc n aceeai locaie cu serverele i, fapt general valabil, fietele destinate copiilor de
siguran nu sunt protejate la foc, situaie care conduce la riscuri majore privind reluarea
activitii n cazul unor dezastre. La nivelul instanelor, inclusiv cea suprem, se constat c
dei exist o procedur de salvare a datelor, aplicaiilor i sistemelor, nu exist o procedur
formal de testare a copiilor de siguran i nici de refacere n caz de incident.
Apariia problemelor legate de funcionarea sistemului informatic, n cadrul instanelor sau
ministerului, se comunic serviciului IT, respectiv DTI, telefonic, verbal sau prin e-mail;
evidena problemelor nu se ine pe baza unui registru sau document centralizator care s
identifice problemele aprute n funcionarea sistemului. n vederea dezvoltrii noilor versiuni
ECRIS, DTI a centralizat anomaliile i noile funcionaliti solicitate din partea tuturor
instanelor.
Pe parcursul misiunii de audit s-a evideniat faptul c nc se manifest o serie de
disfuncionaliti legate de modul de procesare i de procedurile de validare. Blocarea
conexiunilor poate determina apariia unor probleme la replicarea datelor pe portal.
Toate aplicaiile informatice evaluate sunt exploatate local sau central i coordonate de
ctre DTI. Schimbarea i dezvoltarea sistemului informatic la nivelul instanelor este limitat,
fiind acceptat, doar pentru un numr redus de aplicaii, exploatate la nivel local. De la acest
nivel se fac doar sugestii i propuneri pentru dezvoltarea sau implementarea de noi aplicaii
sau faciliti ale ECRIS. Acestea se centralizeaz la nivelul DTI n vederea efecturii
coreciilor necesare i includerii n dezvoltri viitoare.
Sistemul informatic al instanelor de judecat nu se constituie ntr-o soluie integrat, acesta
fiind compus din implementri de aplicaii insularizate, dedicate unor probleme punctuale
(aplicaii dedicate activitilor de baz specifice instanelor, aplicaii financiar-contabile etc.),
generate de soluii de proiectare orientate pe atribuiile eterogene ale ministerului. Lipsesc
interfeele dintre aplicaii, tranzaciile sunt procesate n cadrul unor aplicaii distincte,
informaiile introduse n sistem sunt validate ntr-o manier eterogen, prin proceduri
automate combinate cu proceduri manuale, pentru detectarea i corectarea erorilor de
intrare i detectarea inconsistenei sau redundanei datelor. Gradul ridicat de fragmentare a
sistemului informatic implic aciuni frecvente ale utilizatorului, ceea ce crete riscul de
eroare.
34

Direcia Audit Intern i Control asigur, conform art. 85, lit. i.11) din Regulamentul de
Organizare Intern a ministerului, auditarea sistemelor informatice. Anual DTI a informat
direcia de audit cu privire la riscurile asociate procesului de informatizare, dar pn n
prezent, datorit unei echipe insuficiente din punct de vedere numeric (14 auditori la 120
entiti) i a deselor misiuni care se efectueaz n teritoriu, nu au fost efectuate misiuni de
audit IT la minister sau la instane. Cu toate acestea, la nivelul direciei i la nivelul
compartimentului de profil din cadrul naltei Curi de Casaie i Justiie, exist o preocupare
deosebit pentru domeniul IT i pentru includerea auditrii acestuia n aciunile viitoare.

La nivelul mediului legislativ:


Modificrile legislative cu impact asupra structurii sistemului judiciar au condus la dese
adaptri i modificri n structura aplicaiilor informatice. ncercnd s rspund ntr-un timp
ct mai scurt tuturor cerinelor legate de legislaia n domeniu, aplicaiile au devenit mult mai
laborioase i mai greoaie, avnd repercusiuni nedorite asupra operativitii instruirii
utilizatorilor i asupra calitii activitii n general.
d) Impactul utilizrii sistemului informatic i asigurarea transparenei actului de justiie
...
e) Evaluarea unor indicatori de performan i interoperabilitatea cu sistemele altor instituii
Dei, pe parcursul misiunii de audit, s-a constatat inexistena unor indicatori de performan
legai de activitatea IT, constatrile prezentate anterior vin s confirme c sistemul
informatic, prin componenta sa central ECRIS, a contribuit n bun msur la creterea
performanei activitii IT prin:
- promovarea culturii informatice n rndul cetenilor;
- creterea ncrederii ceteanului n actul de justiie;
- reducerea timpului de ateptare i de acces la informaie;
- reducerea birocraiei i a blocajelor la ghieu;
- reducerea real a costurilor interne.
Situaia existent naintea demarrii Strategiei de informatizare, relev faptul c obiectivele
privind dotarea cu hardware i software, pregtirea i perfecionarea personalului,
comunicaia de date ntre toate componentele sistemului judiciar, accesul la date n mod
eficient, creterea gradului de securitate a informaiei pe suport electronic gestionate n
cadrul sistemului judiciar, reducerea timpilor de nefuncionare a sistemului, transferul
electronic al dosarelor ntre instane au demarat abia la mijlocul anului 2006, fiind realizate
cu preponderen n cursul anului 2007.
...
n ceea ce privete interoperabilitatea cu sistemele altor instituii, n vederea asigurrii
prevenirii i combaterii fenomenelor de corupie, s-a constatat c acest obiectiv, care nu a
35

fost realizat pn la data efecturii misiunii de audit, are ca termen final de realizare anul
2009.
Nerealizarea acestui obiectiv poate avea efecte negative asupra:
- crerii premiselor integrrii sistemului n sistemul electronic naional;
- crerii premiselor unei adaptri rapide i cu costuri reduse la cerinele procedurilor Uniunii
Europene;
- asigurrii unei infrastructuri mai ieftine pentru semntura electronic;
- constituirii centrului de suport tehnic i mentenan, avnd ca rol rezolvarea problemelor
tehnice aprute n teritoriu, monitorizarea activitii i configurarea de la distan;
- interconectrii sistemului informatic judiciar cu alte sisteme informatice din administraia
public, la nivel naional i european.
1.4.7. Concluziile auditului
Strategia de informatizare conine principalele obiective care trebuie duse la ndeplinire n
vedere implementrii Strategiei reformei judiciare. Lipsete o detaliere a Strategiei pn la
nivelul instanelor de judecat. n absena unei cunoateri complete a acestor elemente i a
resurselor umane insuficiente, dei coordonate corespunztor, la nivel de minister i
instane, activitile legate de sistemul informatic s-au derulat funcie de prioritile de
moment i nu conform unui plan stabilit i documentat sub form scris.
Se constat lipsa unui buget separat pentru IT, n directa corelaie cu necesitile de
susinere a funciilor instanelor de judecat i n conformitate cu prioritile impuse de
informatizarea sistemului judiciar. Alocarea insuficient de fonduri n sensul imposibilitii
susinerii din fonduri proprii poate compromite continuarea procesului de informatizare a
sistemului judiciar pe fondul lipsei unei proceduri de evaluare a investiiilor n IT. La nivelul
instituiei nu s-a analizat evoluia pe termen mediu a impactului financiar, determinat de
desele modificri ale cadrului legislativ, asupra implementrii sistemului informatic i, n
acest context, eficiena activitii IT.
La nivelul unor instane dotarea cu imprimante i staii de lucru este eterogen, putnd
determina ntrzierea, ndeplinirea defectuoas sau chiar nendeplinirea unor obiective.
Nu exist o politic clar de recrutare, pregtire i evaluare a resurselor umane IT. Personalul
de specialitate IT este insuficient din punct de vedere numeric, suprancrcat i eterogen din
punct de vedere al pregtirii n domeniu. Concentrarea cunoinelor IT la nivelul unui numr
restrns de personal a creat o dependen semnificativ de persoane cheie, inclusiv n
cazul administrrii sistemelor i aplicaiilor.

Soluia de implementare a sistemului informatic are un caracter unitar att pentru


componenta aplicaii ct i pentru componenta reea, fr a beneficia ns de personal
dedicat n ceea ce privete conducerea proiectelor i constituirea echipei de implementare,
pe fondul unei lipse evidente de separare a atribuiilor i n contextul existenei unor sarcini
uzuale legate de exploatarea i ntreinerea sistemului interimar.
36

Absena n Strategia de informatizare a unor prevederi explicite cu privire la pregtirea


personalului IT, altele dect cele aferente implementrii ECRIS i a celorlalte msuri, a fcut
ca accentul s se deplaseze i spre perfecionarea individual.
Modificrile legislative frecvente au condus la unele adaptri i modificri n structura
aplicaiilor informatice auditate. Acestea au devenit foarte laborioase, avnd repercusiuni
nedorite asupra operativitii instruirii utilizatorilor i asupra calitii activitii n general.
Nu a fost implementat nc, pe toate palierele sistemului informatic, o politic formal n
domeniul securitii sistemului IT, care s prevad responsabiliti formale privind
administrarea securitii, controlul accesului logic precum i separarea responsabilitilor de
utilizare a aplicaiilor informatice de cele de administrare a sistemelor i bazelor de date,
mrind astfel vulnerabilitatea sistemului informatic la diverse ameninri i crend premisa
ca operaiuni accidentale sau frauduloase din sistem s rmn nedetectate.
La nivelul instanelor nu este implementat un plan de recuperare n caz de dezastru. S-a
constatat totodat c administrarea soluiei antivirus este unitar, dar lipsa unor proceduri
formale n ceea ce privete managementul operaiunilor IT conduce la riscul pierderii unor
date i informaii.
Au fost evideniate o serie de disfuncionaliti legate de modul de funcionare a aplicaiilor
evaluate, reieind c nu s-au creat suficiente proceduri pentru validarea i corelarea datelor,
ceea ce mrete timpul de prelucrare i d posibilitatea producerii de erori.
Unele aplicaii nu furnizeaz toate informaiile de care are nevoie instituia, iar schimbul de
date on-line cu alte instituii nu este nc funcional.
Prin implementarea sistemului informatic ECRIS s-a obinut, n bun msur:
...
Concluzia general desprins n urma auditrii sistemului informatic al instanelor de judecat
este aceea c la momentul actual, sistemul informatic al instanelor auditate corespunde din
punct de vedere a dotrii cu tehnic de calcul, tehnologiile informatice i infrastructura
existent asigur ncadrarea n obiectivele stabilite de Strategia de informatizare, ns se
impune dezvoltarea n continuare a aplicaiilor utilizate, cu precdere a aplicaiei ECRIS i a
portalului instanelor de judecat.
1.4.8. Recomandrile auditului
Recomandrile din prezentul raport de audit cuprind doar o serie de direcii de urmat, fr a
se substitui factorilor decizionali sau manageriali i fr a detalia metodele de punere n
practic a acestora de ctre factorii de decizie din cadrul Ministerului Justiiei i al instanelor
de judecat.
Aplicarea msurilor adoptate pn n prezent privind ndeplinirea obiectivelor Strategiei de
informatizare a sistemului judiciar precum i a instrumentelor, tehnologiilor informatice i
infrastructurii aferente, n scopul asigurrii accesului la informaii publice i furnizrii de
servicii de calitate pentru ceteni, instituii publice i alte entiti, reprezint un nceput care

37

trebuie continuat i extins prin msuri coerente i consecvente, pn la eficientizarea


maxim i atingerea scopului propus.
Pentru a veni n sprijinul entitilor auditate, n vederea ndeplinirii obiectivelor strategice
privind informatizarea instanelor de judecat, auditorul face urmtoarele recomandri:
- Accelerarea procesului de implementare a sistemului informatic, prin mobilizarea ntregii
capaciti manageriale i de execuie i disponibilizarea tuturor resurselor materiale i
umane, astfel nct, mpreun i cu sprijinul partenerilor direct implicai s poat fi
ndeplinite, la termenele prevzute, obiectivele desprinse din Strategia de informatizare.
- Detalierea unor elemente ale Strategiei de informatizare pn la nivelul instanelor,
mpreun cu popularizarea ei la nivel teritorial. Aceasta ar contribui la o mai bun percepie
asupra problemelor cu care se confrunt instanele de judecat i totodat la cunoaterea i
implementarea corespunztoare a Strategiei de informatizare.
- Stabilirea unei Strategii de gestionare a riscurilor la nivelul ministerului i armonizarea
atribuiilor i responsabilitilor, alocate prin proceduri, cu cele existente n fia postului
referitor la gestionarea riscurilor la nivelul instanelor.
- Permanentizarea practicii instituite la nivelul DTI privind centralizarea necesitilor
funcionale, solicitate de instane, n vederea asigurrii analizei i proiectrii unitare a unor
aspecte specifice la nivel operativ i a unor situaii de sintez necesare fundamentrii
procesului de decizie.
- Adoptarea unei metodologii de lucru care s asigure, cu precdere la nivelul instanelor de
judecat, att definirea cerinelor ct i asumarea rspunderii n privina cererilor formulate,
a planurilor de implementare i dezvoltare, introducerea i respectarea unor clauze
referitoare la calitatea serviciilor IT.
- Analizarea posibilitii implicrii consistente a conducerii instanelor n coordonarea
activitilor informatice proprii, a elaborrii unui plan corespunztor i documentat privind
activitatea informatic i iniierea unor ntlniri periodice cu reprezentanii compartimentului
informatic pentru a stabili direciile de dezvoltare, perfecionare i utilizare a sistemului
informatic, care s fie cuprinse n documente oficiale scrise.
- Stabilirea unui buget separat pentru IT care s in seama de necesitile de susinere a
funciilor sistemului judiciar, n conformitate cu prioritile acestuia i cu sarcinile ce-i revin
conform Strategiei de reform a sistemului judiciar.
- Promovarea unor msuri privind introducerea n cadrul clasificaiei bugetare a unor poziii
distincte pentru domeniul tehnologiei informaiei i comunicaiilor astfel nct s poat fi
urmrite mai eficient cheltuielile aferente investiiilor IT i analizat evoluia costurilor, la
finalizarea diverselor obiective ale Strategiei de informatizare.
- Adaptarea politicii de angajri n domeniu IT n conformitate cu obiectivele strategice
privind informatizarea sistemului judiciar.
- mbuntirea dimensiunii structurii de personal funcie de cerinele i complexitatea
sistemului informatic, alinierea conducerilor instanelor de judecat la prevederile art. 110 din
Legea nr. 304/2004 i adoptarea unor msuri adecvate care s permit atragerea i
meninerea specialitilor IT.
38

- Evaluarea stadiului i nivelului de instruire, precum i a performanelor utilizatorilor la


nivelul instanelor de judecat n scopul proiectrii i implementrii unei politicii de instruire
unitare i al creterii eficienei acestora privind atingerea obiectivelor reformei proprii, prin
utilizarea instrumentelor moderne ale tehnologiilor informaiei i comunicaiilor. Diversificarea
tematicilor de instruire la nivel central i teritorial, cuprinderea n planul de instruire a tuturor
utilizatorilor
-- Includere unor prevederi referitoare la obligaiile ce decurg din cerinele impuse de
utilizarea sistemului de gestionare a dosarelor ECRIS, n fia postului fiecrei categorii de
personal din cadrul instanelor de judecat.
- Delimitarea responsabilitilor personalului IT prin formularea unor sarcini i atribuii clar
individualizate n fia postului pentru evitarea unor paralelisme n activitatea acestora i
creterea gradului de responsabilitate pentru activitatea desfurat. Introducerea unor
indicatori de performan a activitii personalului IT din cadrul instanelor i degrevarea
acestuia de munca nespecific specializrii sale.
- Elaborarea de ctre DTI a unui manual de proceduri, aplicabil la nivelul instanelor, privind
problemele legate de managementul i operarea sistemului informatic, securitatea fizic i
logic, asigurarea continuitii sistemului, managementul problemelor, managementul
schimbrii i dezvoltrii sistemului, auditul intern.
- Urgentarea implementrii pe toate palierele sistemului informatic a politicii formale de
securitate IT n vederea diminurii gradului de vulnerabilitate a sistemului.
- Asigurarea tuturor condiiilor de protecie a mediului, echipamentelor i datelor furnizate.
- Implementarea la nivelul instanelor a unui plan de recuperare n caz de dezastru.
- Punerea n practic a prevederilor art. 60, pct. c) din Regulamentul privind organizarea i
funcionarea administrativ a naltei Curi de Casaie i Justiie.
- Extinderea misiunilor de audit intern i asupra domeniului utilizrii tehnologiilor informaiei,
prin efectuarea unor aciuni specifice domeniului IT att la nivel central, ct i al instanelor
de judecat.
- Creterea gradului de interconectare a sistemului informatic cu sistemele informatice ale
altor instituii publice pentru folosirea comun a fondului de date n vederea prevenirii i
combaterii actelor de corupie.
- Organizarea unor grupuri de lucru i a unor ntlniri periodice, la nivelul coordonatorilor
compartimentelor IT din cadrul Ministerului Justiiei i al instanelor de judecat n vederea
uniformizrii i armonizrii msurilor menite s asigure atingerea obiectivelor cuprinse n
Strategia de informatizare Justiiabilii, utilizatori ai partalelor specializate, chestionai n
cadrul misiunii de audit, au formulat recomandri privind:
- Actualizarea operativ a informaiilor de pe portalul instanelor, prin stabilirea unor termene
clare de introducere n ECRIS a datelor, dup edinele de judecat;
- Operaionalizarea modulelor ECRIS care nu sunt funcionale;

39

- Introducerea unor documente standardizate pentru culegerea datelor n vederea reducerii


riscului de erori datorate prelurii greite a unor informaii;
- Asigurarea accesibilitii persoanelor care nu dispun de calculator sau legtur la reeaua
de internet, precum i a celor cu cerine speciale prin operaionalizarea de infochiocuri i
dezvoltarea unor puncte pentru accesul publicului la servicii;
- Evaluare periodic a serviciilor electronice puse la dispoziia beneficiarilor i crearea unei
proceduri de evaluare continu a interesului acestora i a gradului de utilizare a serviciilor.
Proiectul Raportului Auditul sistemului informatic al instanelor de judecat a fost
transmis, pentru analiza coninutului acestuia i formularea unui punct de vedere privind
constatrile i recomandrile auditului, entitilor auditate, Ministerul Justiiei i nalta Curte
de Casaie i Justiie.
Fa de constatrile, concluziile i recomandrile cuprinse n proiectul Raportului, entitile
auditate nu a formulat puncte de vedere divergente.
S-a apreciat n mod deosebit efortul echipei de audit pentru identificarea modalitilor optime
de mbuntire a activitii specifice, pentru accelerarea procesului de informatizare i
modernizare a sistemului judiciar.
Totodat, s-a subliniat faptul c Raportul, n ansamblul su, reflect cu obiectivitate stadiul
actual al informatizrii sistemului judiciar, iar prin recomandrile formulate acesta este de
natur s contribuie la eficientizarea, n etapa urmtoare, a procesului de informatizare la
nivelul ntregului sistem judiciar.
Entitile, prin intermediul reprezentanilor acestora, au precizat c, innd seama de
obiectivul de cretere a performanelor i gradului de securitate a sistemului informatic al
Ministerului Justiiei i instanelor de judecat, vor dispune, n cel mai scurt timp, msurile
necesare pentru implementarea recomandrilor formulate prin Raportul de audit al Curii de
Conturi.

ntocmit,
Controlor financiar
...

40

1.8. Cadrul pentru controlul intern


Cadrul de control intern este un model pentru stabilirea unui sistem de control intern n
cadrul organizaiei, care are urmtoarele caracteristici:
-

cadrul nu prescrie controale efective care s fie implementate, dar foreaz


managementul s se concentreze asupra unor zone de risc i s proiecteze
controale potrivite;

cadrul descrie familii de controale, care sunt grupri conceptuale de controale ce


ncearc s adreseze tipuri specifice de expunere la risc.

Cel mai cunoscute sisteme sunt: COSO, eSAC, COBIT i GTAG.


Cadrul de control cel mai bine cunoscut din SUA este Cadrul integrat de control
intern,publicat n 1992 de ctre COSO, denumit n mod obinuit cadrul COSO.
Cadrul de control intern COSO este definit ca un proces efectuat de ctre consiliul director al
organizaiei i alte categorii de personal, conceput pentru a oferi asigurri rezonabile privind
atingerea obiectivelor din urmtoarele categorii:
-

eficacitatea i eficiena operaiunilor;

autenticitatea raportrilor financiare;

conformitatea cu legile i reglementrile aplicabile.

Aceste principii sunt aplicabile funciilor informatice ale unei organizaii, aa cum sunt
aplicabile pentru orice alte funcii.
COSO descrie cele cinci componente ale unui sistem de control intern: mediul de control;
evaluarea riscului; activitile de control; informare i comunicare; monitorizare.
Importana i durabilitatea cadrului COSO a fost ntrit atunci cnd Bursa de Valori din
America a recunoscut c acest cadru este un model adecvat pentru proiectarea controalelor
interne n conformitate cu cerinele actului Sarbaness-Oxley din 2002.
Asigurarea i controlul sistemelor electronice eSAC, este o publicaie a Institutului de
Auditori Interni.
n modelul eSAC, procesele interne ale organizaiei primesc intrri i produc ieiri, cum sunt:

intrri: misiuni, valori, strategii i obiective;


ieiri: rezultate, reputaie i cunotine.

Obiectivele generale de control ale modelului eSAC sunt influenate de cele din cadrul
COSO, cum ar fi:
-

eficacitatea i eficiena n operare;

raportarea informaiilor financiare i a altor informaii de management;

conformitatea cu legile i reglementrile aplicabile;

protecia resurselor.
41

Obiectivele eSAC de asigurare a activitilor informatice sunt mprite n cinci categorii:


a. disponibilitatea resurselor, prin care organizaia trebuie s asigure c
informaiile, procesele i serviciile sunt disponibile n orice moment;
b. capacitatea organizaiei de a oferi asigurri c va finaliza tranzaciile la timp i
cu o fiabilitate corespunztoare;
c. funcionalitate, prin proiectarea sistemelor pe baza specificaiilor utilizatorilor,
pentru a ndeplini cerinele afacerii;
d. nivelul de protecie oferit de ctre organizaie printr-o combinaie de controale
fizice i logice care mpiedic accesul neautorizat la datele din sisteme;
e. responsabilitate, prin care organizaia asigur c tranzaciile sunt prelucrate
n conformitate cu propriile principii asupra proprietii datelor, identificare i
autentificare.
Proiectat special pentru controale informatice, cadrul pentru controlul intern cel mai bine
cunoscut este Control Objectives for Information and Related Technology - COBIT, publicat
de ctre IT Governance Institute.
Sistemele de prelucrare automat a informaiilor sunt din ce n ce mai ntreesute n funciile
organizaiilor moderne, ceea ce face ca guvernana informatic s fie o parte integrant a
guvernrii organizaionale. Modelul COBIT pentru guvernan informatic conine cinci zone
de interes:
(a) aliniere strategic, prin care se asigur colaborarea dintre planurile strategice ale
organizaiei i planurile de dezvoltare a infrastructurii informatice pentru a asigura
suport viitoarelor procese i funcii ale organizaiei; dezvoltarea dezechilibrat a
organizaiei, fr asigurarea nivelului necesar de infrastructur informatic,conduce
la incapacitatea de a furniza produse i servicii la nivelul cerut de pia, din punct de
vedere al costurilor, modurilor de promovare, metodelor de comandare, timpului de
furnizare i securitatea informaiilor procesate;
(b) furnizare de valoare prin concentrarea pe optimizarea costurilor aferente serviciilor
informatice n raport cu nivelul de dezvoltare al organizaiei i oferirea de servicii la
timp i fr ntreruperi;
(c) managementul resurselor, prin gestionarea optim a aplicaiilor, informaiilor,
infrastructurii i a resurselor umane; mbuntirea cunotinelor i adaptarea
infrastructurii la cerinele pieei trebuie s fie o prioritate n gestionarea resurselor,
cunotinele reprezentnd resursa cea mai important din cadrul organizaiei;
(d) managementul riscurilor, prin gestionarea corect a apetitului pentru risc, informarea
corect a managementului asupra riscurilor asumate, transparena procesului de
gestionare, asumare i responsabilizare n ceea ce privete riscurile; asumarea unor

42

riscuri prea mari sau nenelegerea riscurilor asumate de ctre management conduce
la situaii dificile pentru organizaie;
(e) msurarea performanelor urmrete implementarea strategiilor, desfurarea
proiectelor, utilizarea resurselor i nivelul serviciilor furnizate de departamentul
informatic; evaluarea corect a nivelului performanelor furnizeaz baza pentru
atingerea elurilor stabilite.
Cadrul COBIT ncorporeaz patru caracteristici: concentrat pe afaceri, orientat spre procese,
bazat pe controale, axat pe msurare.
Caracteristica concentrat pe afaceri conine apte criterii distincte pentru informaii:
eficacitatea, eficiena, confidenialitatea, integritatea, disponibilitatea, conformitatea i
ncrederea. Obiectivele organizaiei trebuie s furnizeze o baz pentru obiectivele
informatice care, la rndul lor, permit organizaiei s proiecteze arhitectura corespunztoare
pentru serviciile informatice. Resursele informatice includ aplicaii, informaii, infrastructur
i oameni.
Caracteristica orientat spre procese, conine patru zone de interes: planificare i
organizare, achiziie i implementare, livrare i ntreinere, monitorizare i evaluare.
Un obiectiv de control informatic este o declaraie a rezultatului dorit sau a scopului care se
dorete a fi atins prin procedurile de control implementate ntr-o anumit activitate
informatic. n cadrul caracteristicii bazate pe controale, COBIT separ controalele n trei
domenii:
(a) controale de proces se refer la managementul operaional care folosete procese
pentru a organiza i gestiona activitile informatice de zi de zi;
(b) controale de afaceri, care au impact la urmtoarele nivele: management executiv,
procesele afacerii i suport informatic;
(c) controale informatice generale care sunt ncorporate n procesele i serviciile
informatice, i controale de aplicaie care sunt ncorporate n aplicaiile care sunt n
procesele afacerii.
Piesa central a cadrului COBIT, n cadrul caracteristicii axat pe msurare, este modelul de
maturitate. Organizaia trebuie s evalueze ct de bine sunt controlate procesele
informatice. Scara de evaluare sugerat conine urmtoarele nivele: inexistent, iniiat,
repetabil, definit, gestionat i optimizat.
Obiectivele i metricile pentru msurarea performanei sunt definite n COBIT, pe trei
niveluri:
-

obiective i metrici informatice care definesc ceea ce ateapt celelalte departamente


de la responsabilii informatici;

obiective i metrici ale proceselor, care definesc ceea ce trebuie s furnizeze


procesele informatice pentru a sprijini obiectivele informatice;
43

metrici de msurare a performanei proceselor.

ncepnd cu anul 2005, Institutul de Auditori Interni nlocuiete recomandrile de specialitate


cu privire la sistemele informatice, cu proceduri detaliate, sub denumirea colectiv de Global
Technology Audit Guide - GTAG.
GTAG1 recunoate trei familii de controale:
controale generale i de aplicaie, care sunt incluse n cadrul COBIT;
controale preventive, detective i corective:
a1) controale preventive, care previn erorile, omisiunile, sau incidentele de
securitate s mai apar;
a2) controale detective pentru a detecta erorile sau incidentele care eludeaz
controalele preventive;
a3) controale corective, care corecteaz erorile, omisiunile sau incidentele dup
ce au fost detectate.
controale tehnice, de management i de guvernan:
b1) controalele tehnice sunt specifice tehnologiilor utilizate n cadrul infrastructurii
informatice din organizaie;
b2) controalele de management sunt implementate ca rezultat al aciunilor
managementului de a identifica riscurile la care este expus organizaia,
procesele i activele acesteia, i care instituie mecanisme i procese pentru
a atenua i gestiona riscurile;
b3) controalele de guvernan sunt legate de conceptul de guvernan
corporatist i sunt determinate de obiectivele i strategiile organizaionale,
i de ctre autoritile de reglementare.
Aceste cadre pentru controlul intern ofer o baz solid, furniznd toate instrumentele
necesare pentru dezvoltare sistemului de control intern la nivelul organizaiei: fundamente
pentru evaluarea eficacitii i eficienei operaiunilor, obiective pentru asigurarea activitilor
informatice, baz de controale orientate pe procese, metode de msurare a maturitii
sistemului control intern implementat.
ISO 27002 este un set complet de controale care conine cele mai bune practici n domeniul
siguranei informaiei. Acest standard ofer recomandri pentru managementul siguranei
informaiei pentru cei care sunt responsabili cu iniierea, implementarea sau meninerea
securitii n cadrul organizaiei.
Standardul are 10 seciuni ce refer diverse perspective ale controalelor de securitate (vezi
cursul 9).

Pentru a se efectua o misiune de audit asupra sistemului de control intern al unei organizaii,
din punct de vedere al siguranei informaiilor, organizaia trebuie s defineasc setul de
44

controale pe care le aplic i care vor fi auditate. Setul de controale trebuie s fie stabilit de
ctre experii tehnici pe care organizaia i are, pentru a reflecta ct mai fidel necesitile
organizaiei, sau se adopt controalele aplicabile definite n diferite standarde i cadre de
control consacrate. Cel mai ntlnit este un proces combinat prin care organizaia pornete
de la lucrri consacrate ISO 27002, CobiT, selecteaz dintre acestea ariile aplicabile pentru
organizaie, adapteaz controalele propuse la specificul intern i completeaz lista lor cu
ajutorul experilor interni, pentru a corespunde nevoilor proprii.

1.9. Abordri asupra riscurilor n afaceri


Managementul riscului reprezint ntregul proces de identificare, control i diminuare a
riscurilor privind securitatea informaiilor. Acesta include evaluarea riscurilor, analiza costbeneficiu i selectarea, implementarea, testarea i evaluarea din punct de vedere al
securitii msurilor de control. Aceast revizie, din punctul de vedere a securitii
sistemului, ia n considerare att eficacitatea, ct i eficiena msurilor implementate,
inclusiv impactul asupra misiunii, a constrngerilor politicilor i reglementrilor aplicabile.
Managementul riscurilor privind securitatea informaiilor const n evaluarea,
controlarea, documentarea i raportarea riscului.
Managementul riscurilor privind securitatea informaiilor este un proces iterativ, parcurgnd
un circuit continuu de reacie ntre paii stabilii.
Se observ c abordarea ciclic, la intervale regulate, asupra managementului riscului este
vital pentru meninerea capacitii organizaiei de a rspunde modificrilor care apar n
mediul n care i desfoar activitatea.
Auditul sistemelor informatice reprezint un proces prin care o persoan sau un grup de
persoane, independente i calificate, numite auditori SI, fac o evaluare obiectiv a unui
sistem informatic, de obicei n raport cu un standard sau un obiectiv propus.
Abordarea tradiional consider riscul ca un element incert, dar posibil, ce apare permanent
n procesul activitilor socio-umane, ale crui efecte sunt pgubitoare i ireversibile.
O serie de organisme care elaboreaz standarde naionale, precum British Standard
Institute, National Standard of Canada, au utilizat pn nu demult definiia sub aspect
negativ a riscului. Astfel, British Standard Institute specific n standardul BS6079-3/2000 c
riscul este incertitudinea care afecteaz posibilitatea atingerii obiectivelor. International
Organization for Standardization precizeaz n standardul IEC Guide 73:2002 c riscul este
combinaia dintre probabilitatea de producere a unui eveniment i consecinele acestuia.
n standardul ISO 27005, riscul n securitatea informaiei este definit ca posibilitatea ca o
anumit ameninare s exploateze vulnerabilitile unei resurse sau grup de resurse i, prin
aceasta, s cauzeze pierderi organizaiei.
45

n standardul ISO 27001, riscul este definit prin componentele sale:


- resursele din cadrul sistemului de management a securitii informaiei i deintorii
acestor resurse;
- ameninrile asupra resurselor identificate;
- vulnerabilitile care sunt exploatate de aceste ameninri;
- impactul pe care pierderea confidenialitii, integritii i disponibilitii l are asupra
resurselor.
Ghidul managementului de proiect publicat de Project Management Institute definete riscul
de proiect ca pe un eveniment sau ca pe o condiie incert care, dac apare, are un efect
pozitiv sau negativ asupra obiectivului proiectului. Riscul proiectului include att ameninrile
asupra obiectivelor proiectului, ct i oportunitile de a mbunti aceste obiective.
Acceptarea i adoptarea unei definiii este decizia pe care experii i practicienii n domeniul
managementului riscului trebuie s o motiveze n cadrul proiectelor pe care le elaboreaz.
Clasificarea general a riscurilor care afecteaz activitatea unei organizaii ine cont
de patru categorii, dup cum urmeaz:
(a) riscuri de pia, categorie determinat de faptul c cererea pentru bunurile i
serviciile organizaiei este influenat de numeroi factori; capacitatea organizaiei de
a evalua acest risc este cel mai bine evideniat n analizele de marketing care sunt
realizate; ignorarea sau tratarea necorespunztoare n aceste analize a potenialului
competitorilor de pe pia i a evoluiei sau modificrilor tehnologice care apar n
domeniul n care organizaia activeaz, va avea un impact major asupra activitii
acesteia, ajungnd pn la eliminarea organizaiei de pe pia;
(b) riscuri financiare, ce depind de politica guvernamental reflectat n modificrile
ratei dobnzii, cursului de schimb, nivelului taxelor i impozitelor, prin impactul pe
care l au asupra costului asigurrii i meninerii capitalului unei organizaii;
managementul financiar al unei organizaii este important pentru supravieuirea
organizaiei, conducnd la pierderi sau ctiguri din activiti financiare; prezenta
criz economic ne-a artat ct de vulnerabile sunt organizaiile la schimbarea
condiiilor de finanare i la apariia unor dificulti n atragerea de capital pentru
continuarea activitilor; neglijarea managementului financiar conduce rapid, n
situaii de criz, la probleme financiare care culmineaz cu declanarea procedurii de
insolven i pierderea credibilitii n faa clienilor;
(c) riscuri de aprovizionare datorate situaiilor n care costul i disponibilitatea
materiilor prime sunt afectate de greve, falimente, schimbri tehnologice,
incapacitatea de adaptare la volumul de producie solicitat, indisponibilitatea forei de
munc; aceast categorie de riscuri este de cele mai multe ori netratat de ctre
organizaii, considerndu-se c este suficient includerea lor n activitile curente de
46

aprovizionare; prea puine organizaii realizeaz analize asupra impactului pe care


modificrile preurilor de achiziie, ale costurilor de transport, sau a timpului de
aprovizionare l au asupra activitii organizaiei i situaia n care este necesar
schimbarea unora dintre furnizorii principali; acolo unde dependena de anumii
furnizori este critic pentru organizaie, indisponibilitatea acestora trebuie s fie
inclus ca scenariu n planul de continuitate a afacerii;
(d) riscuri de mediu, avnd ca principal surs de apariie reglementrile privind
securitatea muncii sau cu privire la poluare; cerinele de mediu sunt n continu
schimbare, punnd presiune pe organizaii s reduc nivelul de de euri sau noxe
produse n cadrul activitii desfurate; neglijarea sau tergiversarea unor investiii n
acest domeniu este foarte ntlnit n Romnia, ns implic riscuri foarte mari pentru
organizaie.
Clasificarea general a riscurilor care afecteaz activitatea unei organizaii este incomplet,
pentru c nu include riscurile operaionale care conduc la ntreruperea activitii i, implicit,
la pierderi importante pentru organizaie.
Riscurile pot fi analizate din perspectiva relaiei cu strategia organizaiei i se obin
urmtoarele categorii de riscuri:
(a) riscuri strategice care provin din desfurarea activitii ntr-un anumit sector
economic sau ntr-o anumit zon geografic, prezentnd riscuri cum ar fi: inundaii,
cutremure, conflicte, schimbri politice cu efecte majore asupra legislaiei; aceste
riscuri strategice conduc la msuri de combatere pe care responsabilii cu sistemele
informatice le adopt: stocarea benzilor de backup ntr-o locaie secundar protejat
de inundaii, cutremure, sau crearea unui plan de continuitate a afacerii; securizarea
sistemelor pentru a veni n ntmpinarea unor cerine legislative;
(b) riscuri

operaionale

care

deriv

din

diversele

proceduri

operaionale

administrative folosite pentru implementarea strategiei; aceste riscuri depind n


foarte mare msur de specificul organizaiei i de domeniul n care activeaz, fiind
declanate de procesele operaionale implementate; reducerea impactului riscurilor
operaionale cu ajutorul sistemelor informatice se realizeaz prin implementarea de
controale care restricioneaz accesul la informaii, previn introducerea unor
informaii eronate sau prin interconectarea cu partenerii de afaceri utiliznd canale
de comunicaii securizate;
(c) riscuri financiare ce provin din structura financiar a organizaiei, din tranzaciile cu
tere pri i din sistemele sau produsele financiare folosite; controalele din
sistemele informatice aplicate asupra tranzaciilor financiare sau care produc fluxuri
financiare, cum sunt cele de aprobare pli sau aprobare comenzi, trebuie s fie

47

foarte restrictive, permind accesul nivelurilor de management din cadrul


organizaiei conform unor praguri stabilite n funcie de volumul tranzaciilor;
(d) riscuri de conformitate ce deriv din necesitatea respectrii legilor, reglementrilor
i a altor ateptri sociale mai puin formalizate care, dac sunt nclcate, aduc
daune companiei, mergnd pn la boicotarea activitii sau produselor organizaiei;
securizarea accesului la informaiile din sistemele informatice ale organizaiei este
un punct cheie n combaterea riscurilor de conformitate, prin reducerea situaiilor n
care informaiile confideniale sunt expuse accesului neautorizat; totui este
necesar evaluarea gradului n care msurile de securitate sporite vor fi percepute
de clieni ca ngreunnd accesul la servicii;
(e) riscuri de mediu sunt incluse n cadru riscurilor de conformitate, acestea avnd o
importan deosebit n funcie de domeniul de activitate al organizaiei, ceea ce
face necesar acordarea unei atenii speciale acestei categorii; problemele de
mediu se rezolv prin investiii majore i, din aceast cauz, programele care sunt
adoptate pentru respectarea legislaiei trebuie urmrite cu atenie, nendeplinirea la
timp a acestora conducnd la nchiderea activitii.
Evaluarea riscurilor se realizeaz n urmtoarele situaii:
-

apariia unor noi cerine exprese a politicii firmei sau ca urmare a nendeplinirii unor
cerine, n acest caz evaluarea riscurilor este necesar n cazul n care nu se respect
una sau mai multe politici ale companiei, pentru situaia n care verificarea conformitii
cu cerinele legale nu este ndeplinit complet, riscul asociat este estimat ca semnificativ,
impunndu-se revizuirea condiiilor de conformare; o alt situaie este aceea n care
evaluarea riscurilor este solicitat de politica organizaiei pentru procesarea informaiilor
confideniale;

managementul vulnerabilitilor detecteaz vulnerabiliti care nu sunt eliminate n timp


util i trebuie s fie examinate prin efectuarea unei evaluri a riscurilor; n mediul
informatic cele mai ntlnite situaii sunt vulnerabilitile raportate de o component a
infrastructurii interne sau de o scanare a unei aplicaii;

revizuiri ale politicilor care sunt declanate de modificri n funcionarea organizaiei,


impunnd o reanalizare a riscurilor ntr-o manier structurat, n conformitate cu noile
procese care stau la baza stabilirii politicilor organizaiei;

funcionarea sistemelor de siguran este evaluat prin rapoarte de audit care conin
rapoarte de observaii i recomandri asupra funcionrii sistemului; toate elementele
cuprinse n aceste rapoarte sunt evaluate din punct de vedere al riscurilor pe care le
prezint asupra organizaiei; aceste evaluri sunt solicitate de ctre nivelele superioare
de management din cadrul organizaiei pentru a avea o siguran sporit asupra
sistemelor din subordine;
48

accidentele informatice i recuperrile n urma dezastrelor lanseaz n urma lor o


reanalizare a riscurilor, pentru identificarea impactului problemelor aprute, n cazul n
care acestea nu au fost luate n considerare n timpul elaborrii planului de continuitate a
afacerii i a procedurilor suport;

auto-evaluarea siguranei informaiilor la nivel nalt prin analiza nivelurilor suport pe baza
ISO 27002 sau CobiT conduce uneori la identificarea unor probleme majore; aceste
probleme sunt analizate printr-o evaluare a riscurilor, iar controalele i verificrile
implementate sunt identificate i clasificate, urmrindu-se stabilirea msurilor care mai
trebuie implementate pentru a reduce riscul la un nivel acceptat de organizaie.

Evaluarea riscurilor pentru a identifica nevoia de contra msuri nu se realizeaz, dac


acestea sunt deja incluse n urmtoarele cerine pentru care organizaia este certificat:
-

cerine obligatorii ale politicilor i standardelor corporatiste internaionale, programul


WebTrust pentru autoritile de certificare;

cerine legale sau de reglementare obligatorii, Ordinul MCTI 389/2007 privind


procedura de avizare a instrumentelor de plat cu acces la distan, de tipul
aplicaiilor internet-banking, home-banking sau mobile-banking.

Varietatea riscurilor ntrete ideea c, indiferent de nivelul experienei acumulate n


derularea proiectelor, apariia riscurilor este un fenomen ce nu trebuie ignorat, dar a crui
exploatare adecvat genereaz multiple oportuniti sau conduce la evitarea unor pierderi.
Aceasta subliniaz necesitatea unei abordri structurate a riscului ca parte integrant a
managementului organizaiei.
Succesul managementului riscurilor, prin intermediul cruia sunt identificate riscurile la care
este supus organizaia, depinde considerabil de nivelul de implicare i suport furnizat de
managementul de vrf al organizaiei, care este responsabil de iniierea procesului,
coordonarea activitilor, stabilirea livrabilelor care trebuie furnizate la finalizarea etapelor
cheie i de stabilirea termenelor pentru aceste etape. Managementul de vrf este
responsabil de selectarea efului de echip pentru managementul riscurilor, iar acesta este
la rndul lui responsabil de selectarea echipei care va efectua acest proces. Selectarea
echipei este deosebit de important, fiind necesar identificarea acelor persoane care au
competenele i experiena necesar pentru aceast activitate. Membrii echipei trebuie s
acopere prin experiena lor toate procesele organizaiei pentru care se identific riscurile, i
nu trebuie s fie implicai singuri n identificarea riscurilor operaionale din propria activitate.
Lipsa unei segregri a responsabilitilor determin lacune majore n identificarea riscurilor
operaionale.
Procesul de management al riscurilor include urmtoarele etapele iterative (vezi i Cursul nr.
5):

49

Stabilirea contextului presupune definirea parametrilor de baz pentru managementul


riscului astfel nct acesta s fie aliniat culturii, proceselor i structurii organizaiei. Orice
lucru care prezint un risc pentru ceea ce face organizaia trebuie s fie luat n considerare,
inclusiv factorii sociali, economici, tehnici, politici, percepia publicului, imaginea sau factorii
de mediu. O parte din factori nu sunt controlai de ctre organizaie, dar se urmrete
reducerea riscului cumulat la care organizaia se expune. Definirea acestor factori se
realizeaz prin urmrirea analizei SWOT - puncte tari, puncte slabe, oportuniti i
ameninri, i a analizei PEST - politic, economic, social i tehnologic.
n stabilirea contextului sunt identificate prile interesate, care afecteaz sau care sunt
afectate de ctre deciziile luate n managementul riscurilor. Prile interesate includ:
angajaii, acionarii, companiile de asigurri, societile bancare, organismele statului,
furnizorii i vizitatorii.
Contextul pentru managementul riscului definete zona din organizaie, respectiv obiective,
activiti, procese sau proiecte, pentru care se aplic.
Identificarea riscurilor implic documentarea asupra condiiilor i evenimentelor, incluznd
evenimente extreme, care prezint importan pentru realizarea obiectivelor organizaiei sau
reprezint zone de exploatare pentru avantajul competitiv al acesteia.

Identificarea riscurilor necesit o cunoatere detaliat a organizaiei, a pieei pe care aceasta


activeaz, a mediului legal, social, politic i cultural n care i desfoar activitatea, dar i
dezvoltarea unei nelegeri precise a obiectivelor strategice i operaionale, incluznd factorii
critici pentru succesul companiei, ct i ameninrile i oportunitile legate de atingerea
acestor obiective.
Identificarea riscurilor are un impact major asupra rezultatelor analizei, deoarece ele conin
sursa i impactul. Identificarea riguroas a riscurilor va conduce la o eficientizare a strategiei
de tratare a riscului, care este direcionat ctre surs, pentru implementarea unor controale
preventive, sau ctre impact, pentru implementarea unor controale de detectare.
Identificarea riscurilor trebuie s ia n considerare aspectele referitoare la:
-

factorii cauzali i consecinele posibile, asupra tuturor resurselor din cadrul


organizaiei;

intervalul de timp n care se desfoar identificarea riscurilor, dat fiind faptul c


existena unui interval de timp foarte redus afecteaz calitatea rezultatului obinut;

corelarea cu alte riscuri, acordnd o atenie particular metodelor de influenare


reciproc a acestora i corelrilor negative ntre riscuri;

strategiile utilizate n mod curent pentru diminuarea riscului i gradul lor de


eficacitate; n situaia n care strategiile existente se rsfrng i asupra riscurilor noi
identificate, evaluarea gradului de eficacitate furnizeaz informaiile necesare pentru a
50

stabili dac este necesar implementare unor msuri noi sau dac msurile existente
sunt suficiente.
Informaiile pentru identificarea riscurilor sunt obinute prin:
-

cercetare la masa de lucru, care presupune studierea documentelor i a planurilor


elaborate de organizaie; principalele documente care sunt studiate: rapoartele
anuale de activitate, documentele financiar - contabile, situaia mijloacelor fixe,
documentaiile tehnice, condiiile de elaborare a contractelor, nregistrri privind
asigurrile organizaiei, rapoarte de analiz a eficienei departamentelor organizaiei,
rapoarte de testare a sistemelor, politici i proceduri privind securitatea informaiilor,
rapoarte privind incidentele informatice i incidentele de securitate a informaiei,
rapoarte de control emise de organizaii guvernamentale, rapoarte de audit emise de
auditori interni i externi, rapoarte de analiz aporturilor deschise pe echipamentele
de reea, precum i a traficului permis pe aceste porturi;

vizite la faa locului, care implic discuia cu cei expui la riscuri din diferite servicii
i departamente i crearea unei reele informaionale de contacte necesare
managerului de risc pentru a-i ntocmi i mbunti rapoartele; vizitele trebuie s fie
bine planificate, iar cei intervievai trebuie s fie informai, pentru a prezenta situaia
n care se afl departamentul analizat;

participri la manifestri n afara organizaiei concretizate prin conferine de


specialitate, ntruniri ale asociaiilor profesionale n care se discut aspecte legate de
riscuri care provin din mediul extern organizaiei, instruiri privind riscurile
organizaionale i cele asociate diverselor tehnologii existente pe pia;

utilizarea unor instrumente dedicate pentru scanarea vulnerabilitilor la care


sunt expuse sistemele de operare, sistemele de baze de date, echipamentele de
reea, precum i instrumente pentru analiza automat a jurnalelor de audit produse
de sistemele de operare i aplicaiile informatice;

Metodele de identificare a riscurilor care sunt folosite de ctre managerul de risc


includ:
-

utilizarea experienei intuitive a managerilor i a experilor din companie;

realizarea unor chestionare standard completate de persoanele implicate n


derularea activitilor selectate din cadrul fiecrui departament;

interviurile structurate cu persoanele implicate n derularea activitilor selectate din


cadrul fiecrui departament;

utilizarea metodelor i standardelor consacrate n domeniu i adaptarea acestora la


necesitile organizaiei;

utilizarea specialitilor, consultanilor externi, n cazul n care este necesar o


expertiz special de care nu se dispune n cadrul organizaiei.
51

Identificarea riscurilor este o activitate n care sunt implicate toate structurile din cadrul
organizaiei. Fiecare departament sau structur din cadrul organizaiei ntocmete i
transmite ctre managerul de risc un raport privind semnalarea riscurilor identificate. Pentru
ca aceste rapoarte de risc s fie relevante, personalul organizaiei rspunztor cu ntocmirea
lor este instruit i testat, pentru a se asigura dobndirea nivelului minim de cunotine
necesare.
Rezultatele identificrii riscurilor se concretizeaz n:
-

descrierea surselor de risc, ce trebuie s includ estimri referitoare la: frecvena de


apariie a evenimentelor determinate de acea surs, domeniul de variaie al
rezultatelor

posibile,

momentul

estimativ

al

producerii

evenimentului,

sau

evenimentelor, resursele afectate i nivelul impactului;


-

soluiile posibile pentru diverse situaii riscante, pentru care nu sunt implementate
controale compensatorii; n funcie de natura situaiei, aceste soluii sunt sau nu
incluse n planul de continuitate a afacerii elaborat la nivel de organizaie.

Pentru a permite formalizarea procedurilor de management al riscului, este indicat ca toate


informaiile obinute prin metodele enumerate, s fie structurate ntr-un format care s
permit stocarea n baze de date accesibile i care s fie uor consultate la derularea
oricrei afaceri sau proiect.
Se consider n continuare c a fost identificat riscul de furt prin efracie. Analiza riscurilor,
respectiv evaluarea probabilitii de apariie a evenimentelor i a consecinelor acestora
asupra resurselor afectate, impune folosirea unui spectru larg de metode de analiz, de la
cele calitative pn la cele semi-cantitative i cantitative.
n aceast etap sunt identificate controalele implementate pentru reducerea riscurilor
identificate i este evaluat eficacitatea acestora.
Controlul intern este un proces efectuat de o structur organizatoric, un flux de activitate,
autoritate, oameni i sisteme informatice, conceput pentru a ajuta organizaia n atingerea
obiectivelor specifice.
Controalele informatice sunt adesea mprite n dou categorii: controale informatice
generale i controale de aplicaie.
Controalele informatice generale includ controalele asupra mediului informatic, asupra
operaiunilor realizate de ctre sistemele informatice, asupra accesului la aplicaii i date,
asupra dezvoltrii i modificrii aplicaiilor. Controalele de aplicaie includ controalele de
procesare a tranzaciilor pornind de la intrrii, continund cu procesarea tranzaciei i ieirile
obinute.
Analiza riscurilor ia n considerare urmtoarele aspecte:
-

un singur factor de risc are, n funcie de circumstane, multiple consecine;

oportunitile i ameninrile interacioneaz n moduri neanticipate;


52

evaluarea riscului depinde de experiena i de tolerana la risc a indivizilor, n funcie


de care un anumit eveniment este perceput ca avnd un impact redus,mediu sau
ridicat asupra realizrii activitii.

Analiza

riscului

este

calitativ,

semi-cantitativ

sau

cantitativ

funcie

de

disponibilitatea unor date statistice i a unor valori numerice estimate referitoare la riscurile
analizate.
Sursele de informaii folosite pentru a obine o estimare ct mai exact a probabilitii i a
consecinelor sunt urmtoarele:
-

nregistrrile anterioare din fiiere jurnal sau rapoarte de activitate a sistemelor


analizate;

informaiile furnizate de departamentele i serviciile din cadrul organizaiei n cadrul


raportrilor periodice referitoare la riscurile identificate;

experienele relevante obinute n urma participrii la conferine de specialitate;

cercetri i studii prezentate n revistele de specialitate pentru auditul securitii


informaiei;

experienele i practicile specifice domeniului de activitate acumulate n decursul


timpului.

Tehnicile de analiz a riscului, pot include:


-

interviurile structurate realizate de ctre managerul de risc cu experii din diferite


departamente i servicii;

evaluarea individual pe baz de chestionare, adaptate zonelor de risc identificate;

raportarea situaiei existente n cadrul organizaiei la cele mai bune practici pentru
securitatea informaiei, enunate n publicaiile de specialitate;

utilizarea de metode cantitative asistate de programe informatice specializate pe


diverse seciuni ale mediului informatic: sisteme de operare, sisteme de gestiune a
bazelor de date, echipamente de reea.

Estimarea probabilitii de apariie a riscurilor se realizeaz de ctre managerul de risc pe


baza observaiilor proprii i a informaiilor furnizate prin raportul privind semnalarea riscurilor
identificate, combinate cu tehnicile pe baz de interviu i/sau chestionar. n situaia n care
managerul de risc nu deine suficiente informaii, acesta va apela la experii tehnici din
departamentele a cror resurse vor fi afectate de apariia respectivelor riscuri, iar dac
rezultatul obinut este considerat insuficient, se va apela i la experi externi care s asiste
organizaia la stabilirea acestor probabiliti.
Estimarea probabilitii se realizeaz pe baza analizei informaiilor disponibile referitoare
la frecvena apariiei evenimentului:

53

n situaiile n care exist nregistrri din perioada anterioar, estimarea probabilitii


se realizeaz prin raportarea numrului de apariii al evenimentului la numrul total
de posibiliti de apariie;

n situaia n care exist studii de ncredere pentru evenimentele analizate, se preiau


rezultatele studiilor adaptate la specificul organizaiei;

n restul situaiilor se utilizeaz experiena personalului implicat n derularea activitii


corelat cu intuiia i experiena managerului de risc.

Msurarea consecinelor, a impactului i riscului, se realizeaz prin urmtoarele uniti:


-

financiar, utiliznd orice unitate monetar, atta timp ct se asigur evaluarea


consecinelor asupra tuturor resurselor organizaionale afectate;

timp, ca ntrziere n realizarea unei activiti, sau ca interval de timp necesar pentru
restaurarea sistemului sau procesului la nivelul la care era naintea producerii
ameninrii;

reputaie, ca pierderi ale reputaiei sau de imagine, evaluate din punct de vedere al
clienilor pierdui ca urmare a producerii ameninrii. Evaluarea pierderii ia n
considerare impactul asupra clienilor existeni i a clienilor poteniali;

afeciuni ale sntii resurselor umane, evaluat prin numrul de zile de concediu
medical care sunt necesare pentru recuperare i impactul asupra proceselor
organizaiei datorit absenei personalului adecvat;

calitatea raportat la conformitate, prin diferenele fa de performanele stabilite prin


contracte, proceduri, regulamente, planuri.

Aceste uniti nu se exclud reciproc, ele fiind uneori folosite concomitent n exprimarea
consecinelor, dar n final se va ncerca convertirea acestora n termeni financiari.
Pentru estimarea consecinelor se folosesc numeroase metode i tehnici, n funcie de tipul
analizei de risc, respectiv calitativ sau cantitativ.
Pe lng abordarea din punct de vedere al materialitii daunelor, care prezint
inconvenientul dificultii n evaluarea valoric a informaiilor de pe sistemele de calcul,
impactul asupra resurselor organizaiei se evalueaz i din punct de vedere al pierderii
confidenialitii, integritii i disponibilitii. Fiecare resurs sau grup de resurse primete o
clasificare a importanei pentru organizaie.
n cadrul analizei riscurilor se verific modul n care controalele definite de organizaie
adreseaz riscurile identificate. Cu ajutorul acestei analize se calculeaz nivelului riscului
rezidual, n vederea stabiliri riscurilor pentru care organizaia trebuie s caute metode de
tratare, astfel nct i acestea s se ncadreze n apetitul pentru risc al organizaiei.
Considernd riscul identificat de furt prin efracie, organizaia stabilete c are urmtoarele
controale implementate: gardian la accesele principale n perimetrul organizaiei i sistem de
alarm care acoper toate spaiile organizaiei.
54

Evaluarea riscului este etapa n care se stabilesc riscurile care necesit un anumit
tratament, prin compararea rezultatelor analizei cu criteriile fixate de ctre organizaie n
etapa de stabilire a contextului managementului de risc, pentru a stabili dac riscurile sunt
acceptabile sau inacceptabile. Riscurile care sunt considerate acceptabile trebuie s fie
monitorizate i revizuite periodic pentru a se asigura c acestea rmn acceptabile.
Riscurile care sunt considerate inacceptabile intr n etapa de tratare a riscurilor.
Metoda de evaluare trebuie s fie documentat i aprobat de ctre management, pentru a
oferi o baz asupra gndirii care a condus la decizia de tratare a riscurilor inacceptabile.
Prin aplicarea metodei de evaluare a riscurilor, organizaia ajunge la concluzia c riscul
identificat drept furt prin efracie, este un risc mediu.
Tratarea riscurilor presupune gsirea i aplicarea celor mai adecvate metode pentru
reducerea ameninrilor i amplificarea oportunitilor.
Urmtoarele strategii de tratare a riscurilor sunt luate n considerare:
-

evitarea riscului prin ntreruperea activitii care l genereaz;

reducerea probabilitii de apariie prin implementarea de controale suplimentare;

reducerea consecinelor apariiei prin implementarea de controale suplimentare;

transferarea riscului ctre o alt organizaie: firme de asigurri, prestatori de servicii,


externalizare;

acceptarea riscului ca parte a activitii firmei care genereaz valoare adugat.

Pentru fiecare risc considerat inacceptabil se va selecta o metod de tratare, care va ine
cont de costurile implicate i de eficacitatea msurilor propuse.
Indiferent de opiunea de tratare aleas, se vor stabili detaliile de implementare:
responsabiliti, cerine, termen de punere n aplicare i monitorizare, nivelul previzionat
pentru risc dup implementarea msurilor.
Datorit faptului c riscul identificat drept furt prin efracie, este de nivel mediu, care nu este
considerat ca fiind un nivel acceptabil, organizaia ia n calcul urmtoarele variante de
tratare:
-

asigurarea bunurilor mpotriva furtului;

implementarea unui sistem de supraveghere video, care s acopere exteriorul cldirii


i principalele intrri;

implementarea unui sistem de acces pe baz de cartel;

realizarea unui contract cu o firm de paz care s verifice, prin sondaj, n afara
orelor de program, prezena i vigilena gardienilor.

n urma analizrii opiunilor de tratare, organizaia accept implementarea majoritii


msurilor, mai puin a poliei de asigurare, dat fiind dificultatea evalurii valorii documentelor
deinute de organizaie i a costului ridicat la care polia de asigurare ar ajunge n cazul
supraevalurii valorii informaiei organizaiei. Pentru toate aceste controale compensatorii
55

este desemnat un responsabil cu implementarea din serviciul de administrare a patrimoniului


i se stabilete un termen de implementare de 6 luni.
Organizaia reevalueaz riscul rmas n urma implementrii msurilor stabilite i obine un
risc redus, pentru care nu sunt necesare msuri de tratare.
Monitorizarea i actualizarea procesului de management al riscului se va realiza periodic i
presupune controlul modului n care sunt respectate procedurile de management al riscului
precum i actualizarea acestora n conformitate cu evoluiile din cadrul activitii companiei
sau reglementrilor privind funcionarea acesteia.
Managerul de risc are obligaia s monitorizeze eficiena planurilor de tratare a riscurilor i
s identifice noi riscuri care apar, pentru a fi tratate. Managerii au responsabilitatea de a
raporta lunar progresele nregistrate n tratarea riscurilor.
Pentru a se asigura independena i susinerea msurilor propuse, departamentul din care
face parte managerul de risc trebuie s fie subordonat comitetului de conducere.
Managerul de risc are urmtoarele responsabiliti:
-

formularea strategiilor de management a riscurilor i obinerea aprobrii din partea


conducerii organizaiei;

asigurarea faptului c politicile de risc sunt actualizate n mod periodic n


conformitate cu evoluia companiei, a tehnologiei i a mediului;

gestionarea proceselor de informare i de instruire a personalului cu privire la


riscurile aprute;

cooperarea cu departamentul juridic la definirea cerinelor de securitate n cadrul


contractelor ncheiate cu tere pri;

cooperarea cu auditorii externi i interni la stabilirea i desfurarea planului de audit;

stabilirea i meninerea nivelului agreat de control intern, pe baza analizelor


cost/beneficiu;

supravegherea implementrii planurilor de tratare a riscurilor;

s participe activ i s colaboreze cu echipa de rspuns la incidente pe parcursul


investigrii incidentelor.

Cerinele pentru managerul de risc sunt urmtoarele: studii superioare de lung durat,
cursuri de pregtire n managementul riscurilor, certificri tehnice n conformitate cu
specificul organizaiei, abiliti foarte bune de identificare i evaluare a riscurilor, abiliti n
stabilirea i implementarea controalelor, standarde nalte de onestitate, obiectivitate,
diligen i loialitate, gndire analitic i spirit de observaie.
Monitorizarea planului de tratare a riscului identificat, furt prin efracie, include monitorizarea
proiectului de implementare a controalelor suplimentare de securitate, prin edine de
monitorizare lunare.

56

Comunicarea i consultarea parilor interesate att din interiorul, ct i din exteriorul


organizaiei se realizeaz n fiecare etap a managementului de risc, n vederea culegerii
informaiilor necesare pentru identificarea i analiza riscurilor i a informrii prilor
interesate asupra situaiei curente privind riscurile identificate.
Organizaia identific ca pri interesate de evoluia nivelului riscului identificat clienii
organizaiei, pentru care ofer servicii de gzduire de informaii, i decide s i informeze
asupra rezultatelor obinute i a msurilor dispuse, pentru a crete ncrederea acestora n
disponibilitatea organizaiei de a adopta msuri pentru atingerea unor standarde ridicate.
Procesul de management a riscurilor este un proces ciclic, care se realizeaz o dat sau de
dou ori pe an, pentru a include riscurile nou aprute n intervalul scurs de la procesul
anterior i pentru a menine riscurile la un nivel acceptabil pentru organizaie. Lipsa
procesului ciclic de management a riscurilor conduce la expunerea organizaiei la situaii
pentru care se vor aplica soluii rapide, fr a avea n spate o analiz complex, care se vor
dovedi a fi, de multe ori, defavorabile.

1.10. Standarde i ghiduri pentru auditul sistemelor informaionale


Pe plan internaional, n domeniul auditului sistemelor informaionale (SI), cea mai cunoscut
autoritate este ISACA, asociaie care a elaborat: Codul de etic profesional pentru auditori,
Standarde internaionale de audit a sistemelor informaionale, Ghiduri metodologice i un set
de Proceduri.
Principalele standarde internaionale de audit pentru sistemele informaionale sunt:
S1. Contractul de audit (Audit Charter). n viziunea acestui standard, scopul,
responsabilitatea i autoritatea funciei de audit a sistemelor informaionale trebuie s fie n
mod clar stipulate printr-un contract de audit sau o scrisoare de angajament.
S2. Independena (Independence). Independena, n general, este piatra de ncercare a
profesiei de auditor. Standardul vizeaz dou aspecte de baz: independena profesional i
independena organizaional;
S3. Etica i standardele profesionale (Professional Ethics and Standards) care vizeaz
dou aspecte:
- auditorul SI trebuie s respecte Codul etic profesional emis de ISACA;
- auditorul SI trebuie s-i exercite profesia respectnd standardele profesionale de audit
aflate n vigoare, la momentul desfurrii misiunii.
S4. Competena profesional (Professional Competence). Auditorul SI trebuie s fie
competent din punct de vedere profesional i s-i menin competena profesional.
S5. Planificarea (Planning):

57

- auditorul SI trebuie s planifice activitatea de audit n funcie de obiectivele misiunii sale i


n concordan cu legile i standardele de audit aflate n vigoare;
- auditorul trebuie s dezvolte i s elaboreze o strategie de audit bazat pe riscuri;
- auditorul trebuie s elaboreze i s documenteze un plan de audit care s stabileasc
natura i obiectivele, durata i ntinderea misiunii de audit, ct i resursele necesare.
S6. Performana activitii de audit (Performance of Audit Work): supervizarea, probele de
audit i documentarea.
S7. Raportarea (Reporting):
- la sfritul misiunii de audit, auditorul va furniza un raport care trebuie s identifice
organizaia auditat, destinatarii raportului i eventualele restricii de circulaie a cestuia;
- raportul de audit reprezint instrumentul prin care se comunic scopul auditrii, obiectivele
urmrite, perioada acoperit, natura i ntinderea procedurilor de audit. n cuprinsul su se
regsesc, de asemenea, constatrile i concluziile misiunii, precum i orice rezerv pe care
auditorul o are asupra sistemului auditat;
- raportul de audit trebuie s fie semnat i realizat n termenul stabilit prin contractul de audit.
S8. Urmrirea recomandrilor raportului de audit (Follow-up Activities):
Dup raportarea concluziilor i a recomandrilor fcute, auditorul trebuie s revin i s
evalueze msurile luate de managementul organizaiei pentru realizarea recomandrilor
sale.
S9. Frauda i eroarea (Irregularities and Illegal Acts):
- n planificarea i desfurarea activitii de audit, pentru a reduce riscul de audit la un nivel
acceptabil, auditorul trebuie s evalueze riscul apariiei unor fraude i/sau erori;
- auditorul trebuie s-i menin o atitudine profesional de scepticism pe durata misiunii
sale.
S10. Guvernana IT (IT Governance): Auditorul trebuie:
- s analizeze i evalueze dac SI al organizaiei susine obiectivele i strategiile acesteia;
- s evalueze eficiena utilizrii resurselor SI i performana proceselor manageriale IT;
- s analizeze managementul riscurilor asociate tehnologiilor informatice.
S11. Utilizarea evalurii riscului n planificarea auditului (Use of Risk Assesment in Audit
Planning). n planificarea misiunii de audit i stabilirea prioritilor pentru o alocare efectiv a
resurselor de audit, auditorul trebuie s utilizeze o evaluare bazat pe riscuri. Aceast
abordare l va determina pe auditor s-i concentreze atenia asupra punctelor sensibile ale
sistemului auditat, fr a se pierde n detalii inutile.
S12. Pragul de semnificaie n audit (Audit materiality):
- auditorul trebuie s ia n considerare pragul de semnificaie i relaia acestuia cu riscul de
audit pentru a determina, natura, durata i ntinderea procedurilor de audit;

58

- exist o relaie invers ntre pragul de semnificaie i nivelul riscului de audit i anume, cu
ct este mai nalt pragul de semnificaie cu att este mai sczut riscul de audit i invers.
S13. Utilizarea informaiilor obinute de la ali experi (Using the Work of Other Experts):
- auditorul SI trebuie, acolo unde este cazul, s foloseasc experiena i expertiza unor
experi;
- auditorul trebuie s evalueze competena profesional i independena expertului i dac
serviciile i aria de cuprindere a expertului corespund scopului auditului.
S14. Probele de audit (Audit Evidence):
- auditorul trebuie s obin probe de audit suficiente i relevante pentru a fi capabil s emit
concluzii rezonabile pe care s se bazeze opinia de audit;
- auditorul trebuie s evalueze suficiena probelor obinute pe parcursul misiunii.

Bibliografie
1) http://www.curteadeconturi.ro/sites/ccr/RO/Control%20si%20Audit/Documente/MAN
UAL_AUDIT_IT.pdf
2) Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu,
Mirela Gheorghe, Delia Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i
controlul sistemelor informaionale, editura Economic 2007;
3) Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura
ASE 2005;
4) CURTEA DE CONTURI A ROMNIE R A P O R T D E A U D I T Auditul sistemului
informatic al instanelor de judecat
(www.curteadeconturi.ro/.../Rapoarte...audit/Informatica/informatica5.pdf)
5) www.isaca.org

59

Contents
1. Etapele procesului de audit informatic ............................................................................................... 2
1.1. Planificarea auditului ................................................................................................................... 6
1.2. Evaluarea controlului intern ........................................................................................................ 9
1.3. Proceduri de audit i consideraii privind standardul de audit ISAE 3000 ................................. 12
1.4. Cadrul pentru controlul intern ................................................................................................... 17
1.5. Abordri asupra riscurilor n afaceri .......................................................................................... 45

60