Documente Academic
Documente Profesional
Documente Cultură
Misiunea de audit, reprezint o realizare care are un obiectiv definibil, consum resurse i
se afl sub constrngerea unor elemente precum timpul, costurile i calitatea.
Scopul misiunilor de audit este de reducerea nivelului estimat pentru riscul erorilor de
analiz i de control a produselor informatice auditate. Din acest punct de vedere, auditul
este un proces iterativ prin care se efectueaz corecii asupra modalitilor n care se includ
procedee tehnice, metode i modele de analiz i control a produselor informatice.
Procesul de audit anual iterativ continu, se face pentru a aduce estimarea probabilitii ca
rezultatele auditrii informatice s fie afectate de erori la un prag ct mai redus, concluziile
misiunilor de audit anterioare fiind un element de intrare pentru misiunea curent.
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe
pentru a determina dac sistemul informatic, permite atingerea obiectivelor strategice ale
ntreprinderii i utilizeaz eficient resursele informaionale1.
n viziunea ISACA (Information Systems Audit and Control Associaton) auditul sistemelor
informaionale presupune verificarea i evaluarea tuturor aspectelor legate de sistemele de
prelucrare automat a datelor, incluznd i prelucrrile manuale care au legtur cu sistemul
i interfeele ntre cele dou sisteme. n literatura de specialitate, Ron Weber l definete ca
fiind procesul prin care se colecteaz i evalueaz probe cu scopul de a determina dac
sistemul informaional i resursele implicate sunt protejate corespunztor, menin integritatea
datelor, ofer informaii relevante i contribuie la atingerea obiectivelor organizaiei.
Auditul sistemelor informaionale2 reprezint o activitate complex de evaluare a unui
sistem informatic n scopul emiterii unei opinii fundamentate asupra gradului de conformitate
Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura ASE 2005, pagina 26
Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu, Mirela Gheorghe, Delia
Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i controlul sistemelor informaionale, editura
Economic 2007
2
componentele sistemului;
schimbul
de
date
ntre
structuri,
interoperabilitate,
anomalii
rata
cderilor,
puncte
critice,
instruirea
personalului
utilizator,
bugetarea timpului de lucru necesar realizrii testelor de audit, managerul de audit informatic
bugeteaz timpul necesar pentru a instrui personalul de audit iar, dac este necesar, aloc
timp i pentru situaii neprevzute, n vederea corectrii erorilor.
n timpul planificrii auditului, managerul de audit decide care este nivelul riscului de a
ajunge la o concluzie incorect pe baza constatrilor fcute pe care este dispus s l
accepte. Cu ct munca auditorului este mai eficace i mai extins, cu att este mai redus
riscul ca o slbiciune s treac nedetectat iar auditorul s emit un raport de audit
necorespunztor. Riscul de audit este dependent de nivelele stabilite pentru riscul inerent,
respectiv sensibilitatea unei zone de audit ctre erori care ar fi semnificative, presupunnd
c nu sunt controale interne asociate zonei respective, riscul de control, respectiv riscul ca o
slbiciune semnificativ s nu fie prevenit sau detectat de controalele interne, precum i
riscul de detecie, respectiv riscul ca testele substaniale s nu detecteze erori care ar fi
semnificative. Aceste riscuri sunt determinate cnd auditorul realizeaz aprecierea riscului
asupra organizaiei.
Pentru a ndeplini obiectivele auditului i pentru a se asigura c resursele pentru audit sunt
folosite eficient, auditorul stabilete nivelul de materialitate (pragul de semnificaie). n
stabilirea materialitii auditorul ia n considerare att aspectele cantitative ct i cele
calitative. Prin realizarea analizei riscului se furnizeaz o asigurare rezonabil c toate
elementele semnificative vor fi acoperite adecvat pe parcursul muncii de audit. Aceast
analiz identific zonele cu un risc relativ ridicat de existena problemelor semnificative.
Planificarea auditului prezint urmtoarele faze importante:
-
Obiectivul planului de audit este de a asista auditorul n realizarea unui audit eficient.
Planificarea auditului are la baz o strategie de audit, care se formuleaz pornind de la
definirea abordrii auditului i precizeaz elemente legate de coordonarea misiunii de audit,
echipa implicat n aceast misiune, atribuiile n cadrul echipei, orizontul de timp i direciile
principale de aciune.
Planificarea auditului sistemelor informatice trebuie s includ toate fazele necesare atingerii
obiectivelor misiunii auditului, respectiv: documentarea privind activitatea auditat,
programul sau sistemul care face obiectul auditului, stabilirea strategiei de audit, stabilirea
procedurilor de audit i a tehnicilor aferente, a metodelor de sintetizare, analiz i
interpretare a probelor de audit, identificarea i evaluarea riscurilor generate de furnizarea
serviciilor electronice.
n cazul auditrii sistemelor informatice financiar-contabile, trebuie analizat impactul acestor
sisteme asupra planului misiunii de audit. Aceast analiz are la baz urmtoarele activiti:
n DEX controlul este definit ca fiind analiza permanent sau periodic a unei activiti, a
unei situaii etc. pentru a urmri mersul ei i pentru a lua msuri de mbuntire.
Standardele de audit internaionale definesc sistemul de control intern ca fiind procesul
organizat de conducerea organizaiei cu scopul obinerii unei asigurri rezonabile privind
ndeplinirea obiectivelor entitii, respectiv la raportarea financiar, eficiena i eficacitatea
operaiunilor derulate, precum i conformitatea cu legislaia n vigoare.
Pe lng nelegerea componentelor de control ale organizaiei, auditorul evalueaz
controalele generale i controalele de aplicaie ale organizaiei.
Controalele generale se refer la ntregul mediu de procesare a informaiei i au un impact
semnificativ asupra operaiilor computerizate realizate.
Controalele generale cuprind urmtoarele:
-
controale
organizaionale,
care
includ
controalele
referitoare
la
mprirea
responsabilitilor;
-
controale de capturare a datelor, prin care se asigur faptul c toate tranzaciile sunt
cuprinse n aplicaie, tranzaciile sunt nregistrate o singur dat i, c tranzaciile
respinse sunt identificate, controlate, corectate i reintroduse n sistem dac este
cazul;
controale de validare a datelor, asigur faptul c toate datele de intrare din tranzacii
sunt evaluate pe baza setului de criterii stabilit;
controale pentru erori, prin care erorile sunt detectate, corectate i datele corecte sunt
reintroduse n sistem la etapa corespunztoare din succesiunea de procesare.
11
Stabilirea eantionului n audit reprezint aplicarea procedurilor de audit asupra unui procent
mai mic de 100% din populaia studiat, care permit auditorului informatic s evalueze
probele de audit n cadrul unei clase de tranzacii n scopul formulrii unei concluzii
referitoare la ntreaga populaie. Atunci cnd proiecteaz mrimea i structura eantionului,
auditorul informatic ia n considerare obiectivele de audit determinate n etapa de planificare
a auditului, natura populaiei i metodele de selectare i de eantionare folosite.
Selectarea eantionului - auditorul stabilete selecia n aa fel nct aceasta s fie
reprezentativ pentru populaia studiat. Cele mai folosite metode de selecie sunt metodele
statistice i nestatistice.
Metode statistice de evaluare, care includ:
-
selecia aleatorie, care asigur faptul c toate combinaiile de elemente din cadrul
populaiei au anse egale de selecie;
date de test generate automat cuprinznd toate scenariile posibile, care sunt
utilizate pentru a testa controalele de aplicaie direct n sistemele clientului; auditorul
include date simulate valide i invalide pentru a testa acurateea operaiilor
sistemului; metoda este folosit pentru a verifica controalele de validarea datelor i
rutinele de detectare a erorilor, controalele de procesare logic i calculele
aritmetice;
simularea paralel, prin care se construiesc module similare celor din mediul de
producie pentru a simula secvene de procesare;
dispozitiv de testare integrat, prin care auditorul introduce datele de test mpreun
cu datele reale ntr-un mediu de producie.
Dovezile de audit trebuie s fie suficiente, solide, relevante i folositoare, pentru a permite
auditorului s i formeze o opinie i pentru a conferi suport concluziilor i constatrilor
fcute. Dac auditorul nu i-a format o opinie pe baza dovezilor de audit obinute, va solicita
noi dovezi de audit pn la clarificarea tuturor pailor nefinalizai.
Terminarea auditului cuprinde urmtoarele:
-
emiterea raportului;
Evaluarea prin sondaj a misiunilor de audit este necesar pentru a verifica respectarea
standardelor i metodologiilor asumate de ctre auditori. Practica n domeniu ne arat c
pentru asigurarea calitii, evaluarea prin sondaj de ctre o echip independent trebuie s
devin obligatorie indiferent de organizaia care a efectuat auditul.
Standardul de audit ISAE 3000 Angajamente de asigurare, altele dect auditul sau
revizuirea informaiilor financiare aferente perioadelor anterioare, este unul dintre cele mai
folosite standarde pentru misiunile de audit informatic.
Acest standard folosete termenii angajament de asigurare rezonabil i angajament de
asigurare limitat, pentru a face distincia ntre cele dou tipuri de misiuni de asigurare, pe
care un practicant este autorizat s le execute.
13
14
Pentru diferite tipuri de informaii analizate exist standarde ISAE specifice care ofer
ndrumare cu privire la procedurile pentru strngerea unor dovezi suficient de adecvate
pentru un angajament de asigurare limitat. n absena unor standarde ISAE specifice,
procedurile pentru strngerea unor dovezi suficient de adecvate vor varia n funcie de
circumstanele angajamentului, avnd n vedere: obiectul, informaiile analizate, nevoile
utilizatorilor crora le este destinat i ale organizaiei auditate, inclusiv constrngerile
temporale i bugetare relevante. Pentru ambele tipuri de angajamente, n cazul n care
auditorul devine contient de o problem care conduce auditorul la ntrebri cu privire la
faptul c o modificare material, ar trebui s se aplice informaiilor analizate, auditorul va
urmri problema prin efectuarea unor proceduri suficiente pentru a permite tragerea unei
concluzii n raport.
Diferena major ntre angajamentul de asigurare rezonabil i angajamentul de asigurare
limitat const n modul de analizare a zonelor auditate, care este mult mai restrns n cazul
asigurrii limitate, prin reducerea seleciilor de test i a pailor de audit.
Raportul de audit mpreun cu recomandrile de audit, pregtit de echipa de audit i,
revizuit i asumat de ctre eful echipei de audit, trebuie s includ urmtoarele elemente:
(a) un titlu care s indice n mod clar c raportul este un raport de audit independent;
(b) destinatarul raportului, pentru a identifica partea sau prile crora raportul le este
adresat;
(c) identificarea i descrierea informaiilor analizate:
sursa criteriilor i dac acestea sunt incluse sau nu n legi sau reglementri
emise de ctre organismele abilitate;
(j) opinia auditorului este format din mai multe concluzii separate atunci cnd
informaiile analizate sunt grupate n mai multe aspecte, iar fiecare concluzie este
exprimat n forma necesar, ca angajament de asigurare rezonabil sau limit;dac
este cazul, concluzia trebuie s informeze utilizatorii cu privire la contextul n care
trebuie citit, cum ar fi: aceast opinie a fost formulat pe baza, i este supus unor
limitri inerente prezentate n alt parte n acest raport independent de audit;ntr-un
angajament de asigurare rezonabil, concluzia trebuie s fie exprimat ntr-o form
pozitiv: n opinia noastr controlul intern este eficace, n toate aspectele
semnificative, pe baza criteriilor incluse n sfera misiunii sau precizate n
reglementrile care stau la baza auditului; ntr-un angajament de asigurare limitat,
16
concluzia trebuie s fie exprimat sub form negativ: pe baza muncii noastre
descris n acest raport, nimic nu a ajuns n atenia noastr care s ne determine s
credem c, la nivelul organizaiei, controlul intern nu este eficient, n toate aspectele
semnificative, pe baza criteriilor incluse n sfera misiunii sau precizate n
reglementrile care stau la baza auditului;
(k) n cazul n care exist urmtoarele circumstane i, efectul este sau ar fi anse s
ajung semnificativ, opinia va fi calificat (modificat) sau cu rezerve:
-
17
Aceste liste de verificare se vor utiliza i n cadrul misiunilor de audit financiar sau de audit al
performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de
funcionarea sistemului informatic.
Listele de verificare generice nu exclud adugarea altor categorii de probleme considerate
semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului.
n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic
financiar-contabil pentru a formula o opinie privind ncrederea n informaiile furnizate de
sistemul informatic, auditorul va elabora Lista de verificare pentru testarea controalelor IT
specifice aplicaiei financiar-contabile, care conine urmtoarele categorii de controale de
aplicaie:
n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul
funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar.
n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca
suport pentru asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidena,
prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de
raportare. Din acest motiv, o categorie special de controale IT se refer la conformitatea
sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare.
Cerinele legislative i de reglementare includ:
Legislaia din domeniul finanelor i contabilitii;
Legislaia privind protecia datelor private i legislaia privind protecia datelor
personale;
Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii
informatice;
Reglementri financiare i bancare;
Legile cu privire la proprietatea intelectual.
n cazul sistemelor complexe sau desfurate la scar naional se folosesc liste de
verificare specializate: lista de verificare pentru evaluarea guvernanei sistemelor de tip eguvernare, lista de verificare pentru evaluarea portalului web, lista de evaluare a perimetrului
de securitate, liste de verificare pentru evaluarea serviciilor electronice, liste de verificare
pentru evaluarea cadrului de interoperabilitate, precum i alte liste de verificare a cror
necesitate decurge din obiectivele auditului.
Avnd n vedere specificul i complexitatea ridicat a unor astfel de misiuni de audit, cadrul
de auditare asociat necesit o tratare separat.
20
Chestionarele
Chestionarele conin ntrebri despre sistemele entitii auditate i constituie suportul pentru
colectarea informaiilor despre acestea.
Chestionarele conin, n general, opinii ale actorilor implicai n sistem referitoare la:
acceptarea sistemului, calitatea instruirii, efectele sistemului asupra activitii entitii,
calitatea documentaiei tehnice, ncrederea n sistemul informatic, dificultatea utilizrii
sistemului, efectele n planul modernizrii activitii, necesitatea extinderii sistemului.
n cazul n care chestionarele sunt proiectate pentru efectuarea unor analize statistice,
acestea conin ntrebri formulate astfel nct s poat fi agregate i analizate n funcie de
criterii stabilite. Rspunsurile pot fi de tip DA/NU, note, ponderi, i altele. De asemenea, sunt
admise aprecieri personale i comentarii. Pe baza informaiilor colectate se pot elabora
diagrame i grafice care s exprime sugestiv concluzii referitoare la percepia unei populaii
despre efectele implementrii i utilizrii sistemului informatic supus evalurii.
Machetele
Machetele sunt elaborate de auditori i constituie suportul pentru colectarea informaiilor
legate de: bugetul IT / IS, configuraia hardware / software, infrastructura de reea, sistemul
aplicativ, instruirea personalului, utilizarea sistemului informatic, costuri, furnizori.
Sintetizarea, analiza i interpretarea probelor de audit
Auditorii vor face o evaluare a sistemelor informatice i a aplicaiilor, prin analiza,
interpretarea i sinteza informaiilor obinute n cadrul interviurilor sau colectate din sursele
documentare i prin intermediul machetelor, chestionarelor i listelor de verificare.
21
22
La nivelul judeelor n care s-au desfurat aciuni de audit au fost chestionai un numr de
527 beneficiari, utilizatori ai paginilor de web ale Ministerului Justiiei i naltei Curi de
Casaie i Justiie precum i ai portalului instanelor de judecat i a celui de legislaie,
selectai dintre ceteni, avocai, juriti i specialiti implicai n actul de justiie.
1.4.4. Metode i tehnici de colectare i analiz a probelor de audit
Pentru realizarea obiectivelor auditului au fost utilizate urmtoarele metode de obinere i
analizare a probelor de audit:
Observaia direct prin inspecia spaiilor de lucru n care sunt instalate serverele i
echipamentele de comunicaie i participarea la demonstraii pentru nelegerea modului de
funcionare a sistemului informatic;
Examinarea documentaiei privind:
26
Pentru evaluarea riscurilor s-au avut n vedere o serie de factori, cum ar fi:
- Existena unor obiective neatinse sau ndeplinite parial;
- Implicarea necorespunztoare a conducerii n derularea proiectelor IT. Existena unor
iniiative fundamentate necorespunztor;
- Detectarea unor depiri semnificative ale termenelor;
- Organizarea i funcionarea necorespunztoare a a sistemelor interne de control;
- Existena unor deficiene n asigurarea securitii sistemului IT i n planificarea continuitii
sistemului;
- Existena unor discontinuiti n perfecionarea utilizatorilor sistemului IT;
- Calitatea necorespunztoare a serviciilor IT, identificarea de reclamaii, observaii,
contestaii, privind sistemul auditat.
n acest sens, pentru evaluarea sistemului informatic au fost urmrite cu precdere,
urmtoarele activiti i operaiuni:
. analiza infrastructurii hardware/software existente, necesiti i funcionaliti;
27
Criteriile de audit decurg din termenii de referin identificai, standardele fa de care este
apreciat atingerea performanei (legislaie, ghiduri, standarde i reglementri
departamentale, indicatori relevani, obiective de performan relevante) i se raporteaz la
bunele practici n domeniu. Acestea vizeaz atingerea performanei att din punctul de
vedere al administratorului i utilizatorului sistemului informatic, ct i al interesului general
al justiiabilului.
Informatizarea sistemului judiciar a beneficiat, de-a lungul ultimilor ani, de finanri prin
programe PHARE, contribuii naionale la acestea i, la nivelul instanelor, de finanri din
surse proprii. Cele mai importante programe derulate ncepnd cu anul 1997, sau n curs de
derulare, sunt:
o RO 9705.02-Provision of Technical Assistance and Supply Procurement Services for the
Creation of a Legal Library and Documentation System (LLDS) and Case and Document
Management System (CDMS), n valoare de 3.479.890 euro;
o RO0004.01-01Continuation of the Development of the Case and Document Management
System (CDMS)- Lot 1, n valoare de 7.977.543 euro;
...
Pentru ndeplinirea obligaiei de cofinanare aferente programului PHARE 2000-ntrirea
sistemului judiciar i penitenciar, n scopul informatizrii sistemului judiciar, prin H.G. nr.
455/2005 i H.G. nr. 605/2005, Ministerul Justiiei, respectiv Ministerul Public au fost
autorizate s contracteze cte o finanare de tip leasing financiar, pe o perioad de 4 ani, cu
valoarea de achiziie de 12 milioane euro, respectiv 10 milioane euro. Sumele efectiv
cheltuite au fost de 10.152.202,03 euro pentru Ministerul Justiiei, respectiv 8,194,056,15
euro pentru Ministerul Public.
Programele respective s-au desfurat dup proceduri specifice i au fost atent monitorizate
de Oficiul de Pli i Contractare PHARE (O.P.C.P.) i de organismele abilitate ale Comisiei
Uniunii Europene. Totodat, prin H.G.nr. 543/2005, s-a hotrt i constituirea Comisiei de
monitorizare i implementare a Strategiei de informatizare a sistemului judiciar pe perioada
2005-2009. Comisia este compus din reprezentanii tuturor structurilor sistemului judiciar i
are ca principale atribuii:
- avizarea specificaiilor tehnice pentru proiectele de achiziii de echipamente de tehnic de
calcul sau servicii cu specific IT a cror valoare estimat este mai mare de 2.000 euro;
- elaborarea proiectelor de buget n domeniul IT pentru instituiile sistemului judiciar;
- stabilirea politicilor comune n domeniul securitii sistemelor informatice i a
comunicaiilor.
Prin prisma eficacitii s-au analizat efectele n planul rezultatelor obinute ca urmare a
utilizrii noilor tehnologii, impactul noului sistem asupra modernizrii activitii instanelor de
judecat, respectiv n ce msur sistemul informatic contribuie la obinerea unei imagini mai
bune privind principalele sfere de activitate. S-a avut n vedere, de asemenea, evaluarea
gradului n care, prin utilizarea sistemului informatic, pot fi obinute n timp util toate datele i
informaiile necesare desfurrii activitii curente a instanelor sau cele necesare unor pri
interesate.
n concluzie, auditul i-a propus o abordare orientat pe rezultate, concentrat n principal pe
analizarea performanei componentelor sistemului informatic al instanelor de judecat sub
aspectul eficienei i eficacitii acestora, prin compararea observaiilor auditorului cu
normele existente (reglementri, standarde, obiective, inte) i cu criteriile de audit stabilite.
Astfel, auditul a urmrit s rspund cu prioritate urmtoarelor ntrebri:
Dac la nivelul Ministerului Justiiei, respectiv al instanelor de judecat Strategia de
informatizare se aplic n mod unitar;
Dac la nivelul Ministerului Justiiei i al instanelor de judecat a fost alocat un buget
separat pentru tehnologia informaiei care s in seama de necesitile de susinere a
Strategiei de informatizare a sistemului judiciar, n conformitate cu prioritile acesteia;
Dac a avut loc o evaluare cost performan a activitilor privind tehnologia informaiei;
Dac exist o implicare a conducerii ministerului i a instanelor de judecat n monitorizarea
implementrii i evaluarea calitii proiectelor aferente atingerii obiectivelor Strategiei de
reform a justiiei pe perioada 2005-2009;
Dac n cadrul Ministerului Justiiei i al instanelor de judecat exist resurse umane cu
pregtire de specialitate care s rspund necesitilor activitilor curente i poteniale n
ceea ce privete tehnologia informaiei, msura n care la nivelul instanelor personalul IT
este dimensionat corespunztor cu volumul de activitate i cu schimbrile datorate
modificrilor legislative;
Dac resursele tehnice, hardware i software, asigur necesitile de funcionare n bune
condiiuni ale sistemului informatic, n ansamblul su;
Dac sistemul informatic reuete s sprijine ntr-o msur corespunztoare funciile
sistemului judiciar, respectiv ale instanelor de judecat;
Dac se utilizeaz repartizarea aleatorie a cauzelor i alocarea numrului unic de dosar la
nivel naional;
n ce msur este asigurat transparena actului de justiie precum i accesul justiiabililor la
informaiile referitoare la dosarele aflate pe rol;
n ce msur sistemul informatic, prin componentele analizate, este unitar, permind
interoperatibilitatea aplicaiilor i evitarea prelucrrii repetate a informaiilor identice;
Dac sistemul informatic poate face fa, n mod corespunztor, creterii volumului
informaiilor de prelucrat;
Dac sistemul informatic este flexibil n raport cu modificrile legislaiei;
30
33
Nu este finalizat nc o politic formal n domeniul securitii sistemului IT. Elementele unei
astfel de politici, care s prevad responsabiliti formale privind administrarea securitii,
controlul accesului logic (revizuirea log-urilor aplicaiilor, administrarea utilizatorilor, reguli
privind modul de stabilire a parolelor, monitorizarea activitii administratorilor, etc.) precum
i separarea responsabilitilor de utilizare a aplicaiilor informatice de cele de administrare a
sistemelor de operare i a bazelor de date, nu au fost implementate n totalitate la toate
instanele. Apare astfel, riscul ca anumite operaii accidentale sau frauduloase din sistem s
rmn nedetectate.
Administrarea soluiei antivirus este suficient de fiabil, actualizarea definiiilor antivirus
efectundu-se n mod unitar, riscul alterrii datelor fiind relativ redus.
La nivelul DTI exist un plan de recuperare n caz de dezastru, dar n teritoriu astfel de
planuri nu au fost implementate la toate instanele.
S-a constatat c la unele instane copiile de siguran ale sistemelor i bazelor de date se
gsesc n aceeai locaie cu serverele i, fapt general valabil, fietele destinate copiilor de
siguran nu sunt protejate la foc, situaie care conduce la riscuri majore privind reluarea
activitii n cazul unor dezastre. La nivelul instanelor, inclusiv cea suprem, se constat c
dei exist o procedur de salvare a datelor, aplicaiilor i sistemelor, nu exist o procedur
formal de testare a copiilor de siguran i nici de refacere n caz de incident.
Apariia problemelor legate de funcionarea sistemului informatic, n cadrul instanelor sau
ministerului, se comunic serviciului IT, respectiv DTI, telefonic, verbal sau prin e-mail;
evidena problemelor nu se ine pe baza unui registru sau document centralizator care s
identifice problemele aprute n funcionarea sistemului. n vederea dezvoltrii noilor versiuni
ECRIS, DTI a centralizat anomaliile i noile funcionaliti solicitate din partea tuturor
instanelor.
Pe parcursul misiunii de audit s-a evideniat faptul c nc se manifest o serie de
disfuncionaliti legate de modul de procesare i de procedurile de validare. Blocarea
conexiunilor poate determina apariia unor probleme la replicarea datelor pe portal.
Toate aplicaiile informatice evaluate sunt exploatate local sau central i coordonate de
ctre DTI. Schimbarea i dezvoltarea sistemului informatic la nivelul instanelor este limitat,
fiind acceptat, doar pentru un numr redus de aplicaii, exploatate la nivel local. De la acest
nivel se fac doar sugestii i propuneri pentru dezvoltarea sau implementarea de noi aplicaii
sau faciliti ale ECRIS. Acestea se centralizeaz la nivelul DTI n vederea efecturii
coreciilor necesare i includerii n dezvoltri viitoare.
Sistemul informatic al instanelor de judecat nu se constituie ntr-o soluie integrat, acesta
fiind compus din implementri de aplicaii insularizate, dedicate unor probleme punctuale
(aplicaii dedicate activitilor de baz specifice instanelor, aplicaii financiar-contabile etc.),
generate de soluii de proiectare orientate pe atribuiile eterogene ale ministerului. Lipsesc
interfeele dintre aplicaii, tranzaciile sunt procesate n cadrul unor aplicaii distincte,
informaiile introduse n sistem sunt validate ntr-o manier eterogen, prin proceduri
automate combinate cu proceduri manuale, pentru detectarea i corectarea erorilor de
intrare i detectarea inconsistenei sau redundanei datelor. Gradul ridicat de fragmentare a
sistemului informatic implic aciuni frecvente ale utilizatorului, ceea ce crete riscul de
eroare.
34
Direcia Audit Intern i Control asigur, conform art. 85, lit. i.11) din Regulamentul de
Organizare Intern a ministerului, auditarea sistemelor informatice. Anual DTI a informat
direcia de audit cu privire la riscurile asociate procesului de informatizare, dar pn n
prezent, datorit unei echipe insuficiente din punct de vedere numeric (14 auditori la 120
entiti) i a deselor misiuni care se efectueaz n teritoriu, nu au fost efectuate misiuni de
audit IT la minister sau la instane. Cu toate acestea, la nivelul direciei i la nivelul
compartimentului de profil din cadrul naltei Curi de Casaie i Justiie, exist o preocupare
deosebit pentru domeniul IT i pentru includerea auditrii acestuia n aciunile viitoare.
fost realizat pn la data efecturii misiunii de audit, are ca termen final de realizare anul
2009.
Nerealizarea acestui obiectiv poate avea efecte negative asupra:
- crerii premiselor integrrii sistemului n sistemul electronic naional;
- crerii premiselor unei adaptri rapide i cu costuri reduse la cerinele procedurilor Uniunii
Europene;
- asigurrii unei infrastructuri mai ieftine pentru semntura electronic;
- constituirii centrului de suport tehnic i mentenan, avnd ca rol rezolvarea problemelor
tehnice aprute n teritoriu, monitorizarea activitii i configurarea de la distan;
- interconectrii sistemului informatic judiciar cu alte sisteme informatice din administraia
public, la nivel naional i european.
1.4.7. Concluziile auditului
Strategia de informatizare conine principalele obiective care trebuie duse la ndeplinire n
vedere implementrii Strategiei reformei judiciare. Lipsete o detaliere a Strategiei pn la
nivelul instanelor de judecat. n absena unei cunoateri complete a acestor elemente i a
resurselor umane insuficiente, dei coordonate corespunztor, la nivel de minister i
instane, activitile legate de sistemul informatic s-au derulat funcie de prioritile de
moment i nu conform unui plan stabilit i documentat sub form scris.
Se constat lipsa unui buget separat pentru IT, n directa corelaie cu necesitile de
susinere a funciilor instanelor de judecat i n conformitate cu prioritile impuse de
informatizarea sistemului judiciar. Alocarea insuficient de fonduri n sensul imposibilitii
susinerii din fonduri proprii poate compromite continuarea procesului de informatizare a
sistemului judiciar pe fondul lipsei unei proceduri de evaluare a investiiilor n IT. La nivelul
instituiei nu s-a analizat evoluia pe termen mediu a impactului financiar, determinat de
desele modificri ale cadrului legislativ, asupra implementrii sistemului informatic i, n
acest context, eficiena activitii IT.
La nivelul unor instane dotarea cu imprimante i staii de lucru este eterogen, putnd
determina ntrzierea, ndeplinirea defectuoas sau chiar nendeplinirea unor obiective.
Nu exist o politic clar de recrutare, pregtire i evaluare a resurselor umane IT. Personalul
de specialitate IT este insuficient din punct de vedere numeric, suprancrcat i eterogen din
punct de vedere al pregtirii n domeniu. Concentrarea cunoinelor IT la nivelul unui numr
restrns de personal a creat o dependen semnificativ de persoane cheie, inclusiv n
cazul administrrii sistemelor i aplicaiilor.
37
39
ntocmit,
Controlor financiar
...
40
Aceste principii sunt aplicabile funciilor informatice ale unei organizaii, aa cum sunt
aplicabile pentru orice alte funcii.
COSO descrie cele cinci componente ale unui sistem de control intern: mediul de control;
evaluarea riscului; activitile de control; informare i comunicare; monitorizare.
Importana i durabilitatea cadrului COSO a fost ntrit atunci cnd Bursa de Valori din
America a recunoscut c acest cadru este un model adecvat pentru proiectarea controalelor
interne n conformitate cu cerinele actului Sarbaness-Oxley din 2002.
Asigurarea i controlul sistemelor electronice eSAC, este o publicaie a Institutului de
Auditori Interni.
n modelul eSAC, procesele interne ale organizaiei primesc intrri i produc ieiri, cum sunt:
Obiectivele generale de control ale modelului eSAC sunt influenate de cele din cadrul
COSO, cum ar fi:
-
protecia resurselor.
41
42
riscuri prea mari sau nenelegerea riscurilor asumate de ctre management conduce
la situaii dificile pentru organizaie;
(e) msurarea performanelor urmrete implementarea strategiilor, desfurarea
proiectelor, utilizarea resurselor i nivelul serviciilor furnizate de departamentul
informatic; evaluarea corect a nivelului performanelor furnizeaz baza pentru
atingerea elurilor stabilite.
Cadrul COBIT ncorporeaz patru caracteristici: concentrat pe afaceri, orientat spre procese,
bazat pe controale, axat pe msurare.
Caracteristica concentrat pe afaceri conine apte criterii distincte pentru informaii:
eficacitatea, eficiena, confidenialitatea, integritatea, disponibilitatea, conformitatea i
ncrederea. Obiectivele organizaiei trebuie s furnizeze o baz pentru obiectivele
informatice care, la rndul lor, permit organizaiei s proiecteze arhitectura corespunztoare
pentru serviciile informatice. Resursele informatice includ aplicaii, informaii, infrastructur
i oameni.
Caracteristica orientat spre procese, conine patru zone de interes: planificare i
organizare, achiziie i implementare, livrare i ntreinere, monitorizare i evaluare.
Un obiectiv de control informatic este o declaraie a rezultatului dorit sau a scopului care se
dorete a fi atins prin procedurile de control implementate ntr-o anumit activitate
informatic. n cadrul caracteristicii bazate pe controale, COBIT separ controalele n trei
domenii:
(a) controale de proces se refer la managementul operaional care folosete procese
pentru a organiza i gestiona activitile informatice de zi de zi;
(b) controale de afaceri, care au impact la urmtoarele nivele: management executiv,
procesele afacerii i suport informatic;
(c) controale informatice generale care sunt ncorporate n procesele i serviciile
informatice, i controale de aplicaie care sunt ncorporate n aplicaiile care sunt n
procesele afacerii.
Piesa central a cadrului COBIT, n cadrul caracteristicii axat pe msurare, este modelul de
maturitate. Organizaia trebuie s evalueze ct de bine sunt controlate procesele
informatice. Scara de evaluare sugerat conine urmtoarele nivele: inexistent, iniiat,
repetabil, definit, gestionat i optimizat.
Obiectivele i metricile pentru msurarea performanei sunt definite n COBIT, pe trei
niveluri:
-
Pentru a se efectua o misiune de audit asupra sistemului de control intern al unei organizaii,
din punct de vedere al siguranei informaiilor, organizaia trebuie s defineasc setul de
44
controale pe care le aplic i care vor fi auditate. Setul de controale trebuie s fie stabilit de
ctre experii tehnici pe care organizaia i are, pentru a reflecta ct mai fidel necesitile
organizaiei, sau se adopt controalele aplicabile definite n diferite standarde i cadre de
control consacrate. Cel mai ntlnit este un proces combinat prin care organizaia pornete
de la lucrri consacrate ISO 27002, CobiT, selecteaz dintre acestea ariile aplicabile pentru
organizaie, adapteaz controalele propuse la specificul intern i completeaz lista lor cu
ajutorul experilor interni, pentru a corespunde nevoilor proprii.
operaionale
care
deriv
din
diversele
proceduri
operaionale
47
apariia unor noi cerine exprese a politicii firmei sau ca urmare a nendeplinirii unor
cerine, n acest caz evaluarea riscurilor este necesar n cazul n care nu se respect
una sau mai multe politici ale companiei, pentru situaia n care verificarea conformitii
cu cerinele legale nu este ndeplinit complet, riscul asociat este estimat ca semnificativ,
impunndu-se revizuirea condiiilor de conformare; o alt situaie este aceea n care
evaluarea riscurilor este solicitat de politica organizaiei pentru procesarea informaiilor
confideniale;
funcionarea sistemelor de siguran este evaluat prin rapoarte de audit care conin
rapoarte de observaii i recomandri asupra funcionrii sistemului; toate elementele
cuprinse n aceste rapoarte sunt evaluate din punct de vedere al riscurilor pe care le
prezint asupra organizaiei; aceste evaluri sunt solicitate de ctre nivelele superioare
de management din cadrul organizaiei pentru a avea o siguran sporit asupra
sistemelor din subordine;
48
auto-evaluarea siguranei informaiilor la nivel nalt prin analiza nivelurilor suport pe baza
ISO 27002 sau CobiT conduce uneori la identificarea unor probleme majore; aceste
probleme sunt analizate printr-o evaluare a riscurilor, iar controalele i verificrile
implementate sunt identificate i clasificate, urmrindu-se stabilirea msurilor care mai
trebuie implementate pentru a reduce riscul la un nivel acceptat de organizaie.
49
stabili dac este necesar implementare unor msuri noi sau dac msurile existente
sunt suficiente.
Informaiile pentru identificarea riscurilor sunt obinute prin:
-
vizite la faa locului, care implic discuia cu cei expui la riscuri din diferite servicii
i departamente i crearea unei reele informaionale de contacte necesare
managerului de risc pentru a-i ntocmi i mbunti rapoartele; vizitele trebuie s fie
bine planificate, iar cei intervievai trebuie s fie informai, pentru a prezenta situaia
n care se afl departamentul analizat;
Identificarea riscurilor este o activitate n care sunt implicate toate structurile din cadrul
organizaiei. Fiecare departament sau structur din cadrul organizaiei ntocmete i
transmite ctre managerul de risc un raport privind semnalarea riscurilor identificate. Pentru
ca aceste rapoarte de risc s fie relevante, personalul organizaiei rspunztor cu ntocmirea
lor este instruit i testat, pentru a se asigura dobndirea nivelului minim de cunotine
necesare.
Rezultatele identificrii riscurilor se concretizeaz n:
-
posibile,
momentul
estimativ
al
producerii
evenimentului,
sau
soluiile posibile pentru diverse situaii riscante, pentru care nu sunt implementate
controale compensatorii; n funcie de natura situaiei, aceste soluii sunt sau nu
incluse n planul de continuitate a afacerii elaborat la nivel de organizaie.
Analiza
riscului
este
calitativ,
semi-cantitativ
sau
cantitativ
funcie
de
disponibilitatea unor date statistice i a unor valori numerice estimate referitoare la riscurile
analizate.
Sursele de informaii folosite pentru a obine o estimare ct mai exact a probabilitii i a
consecinelor sunt urmtoarele:
-
raportarea situaiei existente n cadrul organizaiei la cele mai bune practici pentru
securitatea informaiei, enunate n publicaiile de specialitate;
53
timp, ca ntrziere n realizarea unei activiti, sau ca interval de timp necesar pentru
restaurarea sistemului sau procesului la nivelul la care era naintea producerii
ameninrii;
reputaie, ca pierderi ale reputaiei sau de imagine, evaluate din punct de vedere al
clienilor pierdui ca urmare a producerii ameninrii. Evaluarea pierderii ia n
considerare impactul asupra clienilor existeni i a clienilor poteniali;
afeciuni ale sntii resurselor umane, evaluat prin numrul de zile de concediu
medical care sunt necesare pentru recuperare i impactul asupra proceselor
organizaiei datorit absenei personalului adecvat;
Aceste uniti nu se exclud reciproc, ele fiind uneori folosite concomitent n exprimarea
consecinelor, dar n final se va ncerca convertirea acestora n termeni financiari.
Pentru estimarea consecinelor se folosesc numeroase metode i tehnici, n funcie de tipul
analizei de risc, respectiv calitativ sau cantitativ.
Pe lng abordarea din punct de vedere al materialitii daunelor, care prezint
inconvenientul dificultii n evaluarea valoric a informaiilor de pe sistemele de calcul,
impactul asupra resurselor organizaiei se evalueaz i din punct de vedere al pierderii
confidenialitii, integritii i disponibilitii. Fiecare resurs sau grup de resurse primete o
clasificare a importanei pentru organizaie.
n cadrul analizei riscurilor se verific modul n care controalele definite de organizaie
adreseaz riscurile identificate. Cu ajutorul acestei analize se calculeaz nivelului riscului
rezidual, n vederea stabiliri riscurilor pentru care organizaia trebuie s caute metode de
tratare, astfel nct i acestea s se ncadreze n apetitul pentru risc al organizaiei.
Considernd riscul identificat de furt prin efracie, organizaia stabilete c are urmtoarele
controale implementate: gardian la accesele principale n perimetrul organizaiei i sistem de
alarm care acoper toate spaiile organizaiei.
54
Evaluarea riscului este etapa n care se stabilesc riscurile care necesit un anumit
tratament, prin compararea rezultatelor analizei cu criteriile fixate de ctre organizaie n
etapa de stabilire a contextului managementului de risc, pentru a stabili dac riscurile sunt
acceptabile sau inacceptabile. Riscurile care sunt considerate acceptabile trebuie s fie
monitorizate i revizuite periodic pentru a se asigura c acestea rmn acceptabile.
Riscurile care sunt considerate inacceptabile intr n etapa de tratare a riscurilor.
Metoda de evaluare trebuie s fie documentat i aprobat de ctre management, pentru a
oferi o baz asupra gndirii care a condus la decizia de tratare a riscurilor inacceptabile.
Prin aplicarea metodei de evaluare a riscurilor, organizaia ajunge la concluzia c riscul
identificat drept furt prin efracie, este un risc mediu.
Tratarea riscurilor presupune gsirea i aplicarea celor mai adecvate metode pentru
reducerea ameninrilor i amplificarea oportunitilor.
Urmtoarele strategii de tratare a riscurilor sunt luate n considerare:
-
Pentru fiecare risc considerat inacceptabil se va selecta o metod de tratare, care va ine
cont de costurile implicate i de eficacitatea msurilor propuse.
Indiferent de opiunea de tratare aleas, se vor stabili detaliile de implementare:
responsabiliti, cerine, termen de punere n aplicare i monitorizare, nivelul previzionat
pentru risc dup implementarea msurilor.
Datorit faptului c riscul identificat drept furt prin efracie, este de nivel mediu, care nu este
considerat ca fiind un nivel acceptabil, organizaia ia n calcul urmtoarele variante de
tratare:
-
realizarea unui contract cu o firm de paz care s verifice, prin sondaj, n afara
orelor de program, prezena i vigilena gardienilor.
Cerinele pentru managerul de risc sunt urmtoarele: studii superioare de lung durat,
cursuri de pregtire n managementul riscurilor, certificri tehnice n conformitate cu
specificul organizaiei, abiliti foarte bune de identificare i evaluare a riscurilor, abiliti n
stabilirea i implementarea controalelor, standarde nalte de onestitate, obiectivitate,
diligen i loialitate, gndire analitic i spirit de observaie.
Monitorizarea planului de tratare a riscului identificat, furt prin efracie, include monitorizarea
proiectului de implementare a controalelor suplimentare de securitate, prin edine de
monitorizare lunare.
56
57
58
- exist o relaie invers ntre pragul de semnificaie i nivelul riscului de audit i anume, cu
ct este mai nalt pragul de semnificaie cu att este mai sczut riscul de audit i invers.
S13. Utilizarea informaiilor obinute de la ali experi (Using the Work of Other Experts):
- auditorul SI trebuie, acolo unde este cazul, s foloseasc experiena i expertiza unor
experi;
- auditorul trebuie s evalueze competena profesional i independena expertului i dac
serviciile i aria de cuprindere a expertului corespund scopului auditului.
S14. Probele de audit (Audit Evidence):
- auditorul trebuie s obin probe de audit suficiente i relevante pentru a fi capabil s emit
concluzii rezonabile pe care s se bazeze opinia de audit;
- auditorul trebuie s evalueze suficiena probelor obinute pe parcursul misiunii.
Bibliografie
1) http://www.curteadeconturi.ro/sites/ccr/RO/Control%20si%20Audit/Documente/MAN
UAL_AUDIT_IT.pdf
2) Pavel Nstase, Victoria Stanciu, Ali Eden, Floarea Nstase, Gheorghe Popescu,
Mirela Gheorghe, Delia Bbeanu, Dana Boldeanu, Alexandru Gavril Auditul i
controlul sistemelor informaionale, editura Economic 2007;
3) Ion Ivan, Gheorghe Noca, Sergiu Capisizu Auditul sistemelor informatice, editura
ASE 2005;
4) CURTEA DE CONTURI A ROMNIE R A P O R T D E A U D I T Auditul sistemului
informatic al instanelor de judecat
(www.curteadeconturi.ro/.../Rapoarte...audit/Informatica/informatica5.pdf)
5) www.isaca.org
59
Contents
1. Etapele procesului de audit informatic ............................................................................................... 2
1.1. Planificarea auditului ................................................................................................................... 6
1.2. Evaluarea controlului intern ........................................................................................................ 9
1.3. Proceduri de audit i consideraii privind standardul de audit ISAE 3000 ................................. 12
1.4. Cadrul pentru controlul intern ................................................................................................... 17
1.5. Abordri asupra riscurilor n afaceri .......................................................................................... 45
60