Documente Academic
Documente Profesional
Documente Cultură
Ghid IT Ed II
Ghid IT Ed II
GHID PRACTIC
MISIUNEA DE AUDIT INTERN
ACTIVITATEA IT
- ACTUALIZAT AVIZAT
GHI MARCEL
ef serviciu pentru Strategie i Metodologie General
ACTUALIZAT
CROITORU ION
Auditor superior
VOINEA DANIEL
Auditor principal
Ghidul practic privind realizarea unei misiuni de audit intern privind activitatea IT
constituie un model pentru desfurarea misiunilor n baza Legii nr. 672/2002 privind auditul
public intern i a Normelor generale pentru exercitarea auditului public intern aprobate prin
OMFP nr. 38/2003, cu modificrile i completrile ulterioare.
Ateptm sugestiile dumneavoastr pe adresa UCAAPI sau pe e-mail:
marcel.ghita@mfinante.ro
ion.croitoru@mfinante.ro
daniel.voinea@mfinante.ro
BUCURETI
2009
CUVNT NAINTE
Obiectivele misiunii de audit intern privind activitatea IT, stabilite prin planul de audit
au fost urmtoarele:
Strategia i planificarea sistemelor informatice;
Organizarea i funcionarea departamentului IT;
Operaii ale sistemului informatic;
Securitatea informaiilor;
Achiziionarea i testarea programelor i aplicaiilor;
Elaborarea i implementarea proiectelor IT;
Proiectarea i meninerea n funciune a unei reele.
n continuare, prezentm desfurarea misiunii de audit intern pentru Activitatea IT,
structurat pe etapele, procedurile i documentele care se elaboreaz pe baza acestora n
conformitate cu Schema de derulare a misiunilor de audit intern.
PROCEDURA P01
INIIEREA AUDITULUI
ENTITATEA PUBLIC
Serviciul Audit Intern
Nr. 11/12.08.2009
ORDIN DE SERVICIU
n conformitate cu prevederile art. 8, litera c) din Legea nr. 672/2002 privind auditul public
intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea
activitii de audit intern, cu modificrile i completrile ulterioare i a Planului de audit intern
pentru anul 2009, se va efectua o misiune de audit intern privind Activitatea IT, n perioada
01.09.2009 20.10.2009.
Scopul misiunii de audit este de a da asigurri asupra modului de organizare i desfurare a
activitii IT, n conformitate cu cadrul legislativ i normativ, iar obiectivele acestuia au n
vedere:
Strategia i planificarea sistemelor informatice;
Organizarea i funcionarea departamentului IT;
Operaii ale sistemului informatic;
Securitatea informaiilor;
Proiectarea i testarea programelor i aplicaiilor;
Elaborarea i implementarea proiectelor IT;
Proiectarea i meninerea n funciune a unei reele.
Menionm c se va efectua un audit de conformitate privind modul de organizare i desfurare
a activitii IT.
Echipa de auditori interni este format din urmtorii auditori:
Popescu Sorin, auditor superior, coordonator
Radu George, auditor superior
Procedura - P02:
INIIEREA AUDITULUI
ENTITATEA PUBLIC
Serviciul Audit Intern
DECLARAIA DE INDEPENDEN
Nume i prenume: Popescu Sorin
Misiunea de audit : Activitatea IT
Data: 14.08.2009
Auditor,
Popescu Sorin
DA
NU
X
X
ef serviciu
Dumitru Daniel
Procedura - P02:
INIIEREA AUDITULUI
ENTITATEA PUBLIC
Serviciul Audit Intern
DECLARAIA DE INDEPENDEN
Nume i prenume: Radu George
Misiunea de audit: Activitatea IT
Data: 14.08.2009
Auditor,
Radu George
DA
NU
ef serviciu
Dumitru Daniel
1. Incompatibiliti personale:
a) nu am cunotine solide privind managementul IT, astfel nct s pot face o analiz
obiectiv a modului de funcionare a programelor i aplicaiilor.
2. Pot fi eliminate incompatibilitile:
a) Da;
3. Dac da, explicai cum anume:
a) pentru evaluarea sistemelor, aplicaiilor sau programelor echipa de audit se va
suplimenta cu un auditor cu experien n acest domeniu, respectiv Ionescu Gabriel, acesta va avea
ca responsabiliti s evalueze modul de funcionare a acestora n comparaie cu necesitile i s
formuleze constatrile de audit.
Data: 14.08.2009
Semntura: Dumitru Daniel
8
Procedura - P03:
INIIEREA AUDITULUI
ENTITATEA PUBLIC
Serviciul Audit Intern
Nr. 3452 / 15.08.2009
Ctre:
De la:
10
Procedura P04:
ENTITATEA PUBLIC
Serviciul Audit Public Intern
COLECTAREA INFORMAIILOR
Misiunea de audit: Activitatea IT
Perioada auditat: 01.01. 2008 30.06.2009
ntocmit: Popescu Sorin/Radu George
Avizat: Dumitru Daniel
Colectarea informaiilor
Nr.
Departamentul IT
crt.
1.
2.
3.
4.
5.
Data: 02.09.2009
Data: 02.09.2009
DA
NU
-
7.
8.
9.
10.
11.
12.
13.
14.
15
X
6.
Observaii
X
X
X
X
X
X
X
11
16
17
Not:
Colectarea i prelucrarea reprezint etapa de procurare a informaiilor n vederea efecturii
analizei de risc i pentru identificarea informaiilor necesare, fiabile, pertinente i utile pentru a atinge
obiectivele misiunii de audit intern.
Activitile realizate n aceast faz contribuie substanial la cunoaterea domeniului auditabil
care l ajut pe auditor s se familiarizeze cu entitatea auditat.
12
Data: 02.09.2009
Data: 02.09.2009
A
BSERVAII
1
2
4
5
7
8
9
10
11
12
13
14
15
16
17
18
ns acestea au un grad de
ocupare de 85%.
Motivarea se face financiar
Da
Nu
Nu
Nu
Da
Nu
Nu
13
19
5
6
7
8
9
20
21
22
23
24
25
B
1
10
11
12
13
14
15
16
17
18
19
20
21
22
Nu
n
subordinea
conductorului organizaiei.
Cu
toate
celelalte
compartimente.
Subordonat conductorului
instituiei,
nu
are
compartimente n subordine.
Directorul este subordonat
conductorului
entitii,
efii de
servicii sunt
subordonai directorului, iar
salariaii sunt subordonai
sefului de serviciu.
Nu
Da
Da
Da
Da
Da
Da
n funcie de complexitatea
activitilor
Da
Da
Da
Da
Nu
Doar
n
ce
privete
asigurarea
funcionrii
echipamentelor, aplicaiilor
sau programelor
Nu
14
zilnic?
Toi salariai sunt implicai
n
realizarea
tuturor
activitilor. Este necesar o
compartimentare
a
activitilor i o specializare
pe acestea a salariailor
23
24
25
26
27
28
Promovare se face n
condiiile stabilite de lege
29
30
31
32
33
34
35
36
37
38
39
40
41
C
1
2
3
4
5
6
7
8
9
10
scopurilor
Da
Da
Exist dou
conducere
nivele
Da
Nu n totalitate
Da
Da
Nu
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
15
de
11
12
atribuiile compartimentului?
Exist registru de coresponden la nivelul departamentului? Da
Care sunt problemele la nivelul departamentului?
13
14
15
16
17
18
Nu
Nu
Da
Programul este realizat pe
baza solicitrilor formulate
de salariai
se
Lipsa de personal.
Insuficiena
bugetului
pentru
achiziionarea
echipamentelor i integrarea
datelor
Tehnica nvechit, ceea ce
creeaz a serie de probleme
n exploatarea aplicaiilor
Instruirea insuficient a
utilizatorilor
Nu exist elaborat nici o
reform.
Da
Auditori interni,
Popescu Sorin
Radu George
16
Procedura PO5 :
Analiza riscului
Entitatea Public
Serviciul de Audit Intern
Domeniul
Strategia
planificarea
sistemelor
informatice
Activiti/obiective
Obiecte auditabile
1.1.
Strategia
IT
este
concordant cu scopurile
organizaiei
1.2. Planurile IT se adreseaz
ntregii organizaii
2.
Organizarea
i
funcionarea
departamentului IT
Data: 04.09.2009
Data: 04.09.2009
1.5.
Organizarea
IT
corespunde
necesitilor
organizaiei
1.6. Elaborarea strategiei IT
corespunde strategiei entitii
2.1. Definirea atribuiilor i
activitilor
Observaii
17
Nr.
crt.
3.
Domeniul
Operaii
sistemului
informatic
Activiti/obiective
ale
2.2.
Stabilirea
organizatorice
structurii
2.3.
responsabilitilor
Stabilirea
3.1
operaiunilor
Managementul
3.2.
problemelor
Managementul
3.3.
Funcionalitatea
activitilor
n
cadrul
departamentului IT
Obiecte auditabile
Observaii
18
Nr.
crt.
Domeniul
Activiti/obiective
3.4.
echipamentelor
Mentenana
4.
Securitatea
informaiilor
4.1. Organizarea
informaiilor
securitii
4.4.
Implementarea
instrumentelor de control
Obiecte auditabile
Observaii
19
Nr.
crt.
Domeniul
Activiti/obiective
Obiecte auditabile
Observaii
Proiectarea
testarea
programelor
aplicaiilor
6.
Elaborarea
implementarea
proiectelor IT
20
Nr.
crt.
Domeniul
Activiti/obiective
Obiecte auditabile
Observaii
7.
Proiectarea
i
meninerea
n
funciune a unei
reele
7.2.
Interconectarea
securitatea reelei
Auditori,
Popescu Sorin
Radu George
21
22
Procedura PO5 :
Entitatea Public
Serviciul de Audit Intern
ANALIZA RISCULUI
IDENTIFICAREA RISCURILOR
Misiunea de audit: Activitatea IT
Perioada auditat: 01.01. 2008 30.06.2009
ntocmit: Popescu Sorin/ Radu George
Avizat: Dumitru Daniel
Nr.
crt.
1.
Activiti/
obiective
Domeniul
Strategia
planificarea
sistemelor
informatice
1.1. Strategia
IT este concordant
cu
scopurile
organizaiei
1.2. Planurile IT se
adreseaz
ntregii
organizaii
1.3. Obiectivele IT
ndeplinesc
obiectivele
organizaiei
1.4. Comitetul IT
determin strategia
IT
1.5. Organizarea IT
corespunde
Data: 04.09.2009
Data: 04.09.2009
Obiecte auditabile
Riscuri semnificative
Obs.
23
Nr.
crt.
Activiti/
obiective
Domeniul
necesitilor
organizaiei
Organizarea i
funcionarea
departamentului
IT
1.6.
Elaborarea
strategiei
IT
corespunde strategiei
entitii
2.1.
Definirea
atribuiilor
i
activitilor
2.2.
Stabilirea
structurii
organizatorice
2.3.
Stabilirea
responsabilitilor
Obiecte auditabile
Riscuri semnificative
Operaii
ale
3.1
Managementul
Obs.
24
Nr.
crt.
3.
Domeniul
sistemului
informatic
Activiti/
obiective
Obiecte auditabile
Riscuri semnificative
operaiunilor
3.2. Managementul
problemelor
3.4.
Mentenana
echipamentelor
3.3.7.
Soluionarea
problemelor
presupune
parcurgerea etapelor: iniierea, planificarea, execuia,
monitorizarea i analiza, ncheierea
3.4.1. Obinerea de rapoarte de activitate utile
Obs.
25
Nr.
crt.
Domeniul
Activiti/
obiective
Obiecte auditabile
Riscuri semnificative
3.5.
Utilizarea
echipamentelor
4.
Securitatea
informaiilor
4.1.
Organizarea
securitii
informaiilor
4.2. Disponibilitatea
datelor
Obs.
26
Nr.
crt.
Domeniul
Activiti/
obiective
4.3.
Asigurarea
funcionrii
programelor
i
aplicaiilor
Obiecte auditabile
Riscuri semnificative
4.5.
reelei
Securitatea
4.6.
Gestionarea
parolelor
4.7.
logic
Securitatea
Obs.
27
Nr.
crt.
5
Activiti/
obiective
Domeniul
Proiectarea
testarea
programelor
aplicaiilor
i
i
5.1. Proiectarea
elaborarea
programelor
aplicaiilor
Obiecte auditabile
Riscuri semnificative
5.2.
Testarea
implementarea
programelor
aplicaiilor
i
i
6.
Elaborarea
i
implementarea
proiectelor IT
6.1.
Dezvoltarea
proiectelor
IT
(programe
i
aplicaii)
6.2. Implementarea i
funcionarea
programelor
i
aplicaiilor
7.
Proiectarea
i
meninerea
n
funciune a unei
7.1.
Proiectarea,
instalarea
i
administrarea reelei
Obs.
28
Nr.
crt.
Domeniul
Activiti/
obiective
Obiecte auditabile
Riscuri semnificative
reele
de calculatoare
7.2. Interconectarea
i securitatea reelei
Obs.
Auditori,
Popescu Sorin
Radu George
Not:
Identificarea riscurilor asociate obiectelor auditabile presupune ataarea riscurilor semnificative la operaiile stabilite n Lista centralizatoare a obiectelor
auditabile, n prima faz a procedurii Analiza riscurilor.
Lista privind identificarea riscurilor reprezint documentul prin care pe baza obiectelor audiabile identificate, a funcionalitii controalelor interne stabilite
i implementate de entitate sunt identificate i stabilite riscurile aferente pentru fiecare obiect audiabil.
La un obiect auditabil se pot asocia unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate, dar si din propria
experien. n situaia n care la operaiile audiabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte, pe grupe de riscuri sau
pe total operaie/obiect audiabil.
29
30
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
Serviciul de Audit Intern
ADRESATE
MANAGEMENTULUI
Data: 04.09.2009
Data: 04.09.2009
DA
NU
X
X
X
X
X
X
X
Anual se realizeaz o
evaluare a indicatorilor
X
Planurile IT sunt aplicate n practic?
OBSERVAII
X
X
X
X
DA
NU
Nu exist un proces de
identificare i gestionare a
riscurilor
la
nivelul
entitii
Auditorii
X
X
Definete
strategice
obiectivele
Planuri de continuitate a
activitii i planuri de
recuperare a datelor
31
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
nu exist un regulament
de
organizare
i
funcionare al acestui
comitat
Realizeaz
doar
o
evaluare a necesitilor de
achiziii IT
Realizeaz
doar
o
evaluare a necesitilor de
achiziii IT
Realizeaz
doar
o
evaluare a necesitilor de
achiziii IT
nu exist o gestionare a
riscurilor legate de IT
nu
sunt
cunoscute
consecinele materializrii
riscurilor
nu cunoate aceste planuri
X
X
X
X
32
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Raportarea deficienelor
numai n caz de probleme
la aplicaii, programe etc.
X
Securitatea informaiei permite protejarea informaiei prin respectarea cerinelor de
confidenialitate, integritate i disponibilitate?
Politica de securitate a informaiei interzice utilizarea informaiilor i sistemelor
fr autorizaie i pentru scopuri care nu au legtur cu munca?
Politica de securitate interzice copierea sau scoaterea neautorizat din sediu a
informaiei fr autorizare?
Ieirea din sistem este realizat ori de cte ori un terminal este lsat
nesupravegheat?
X
X
Doar n legtur cu
obligaiile
cei
revin
postului respectiv
X
X
X
X
X
X
X
33
X
X
X
Se afl n gestiunea
utilizatorului
Accesul le este permis
doar dac sunt autorizai
Informaiile critice sunt
securizate suplimentar
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Numai n implementarea
aplicaiilor
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
34
la o verificare la alta?
Instruciunile operatorilor i utilizatorilor specific clar procedurile de urmat n
cazul unei deficiene a aplicaiei n timpul prelucrrilor?
Accesul la echipamente este protejat prin securitatea fizic i/sau supravegherea
continu?
Autorizarea fizic la echipamente este realizat n conformitate cu standardele sau
proceduri?
Msurile de control a accesului in seama de politica de securitate a informaiilor?
Utilizatori sunt pregtii corespunztor cu privire la implementarea bazelor de
date?
Este acordat asisten utilizatorilor pe perioada implementrii bazei de date?
Timpul de rspuns la un apel de la operatori este sczut?
Msurile de control a accesului asigur rspunderea personal?
Msurile de control a accesului asigur punerea n practic a unor instrumente
suplimentare de control n cazul utilizatorilor cu acces special?
Msurile de control intern privind utilizarea sistemelor asigur separarea
sarcinilor?
Operaiuni ale sistemelor informatice
Organizarea operaiunilor de sistem sigur funcionarea eficient i eficace?
Activitile operaionale sunt conforme cu instruciunile date de operatori?
Problemele sunt identificate i rezolvate n termen?
Problemele sunt administrate i urmrite adecvat?
Problemele sunt prioritizate i planificate?
Rezultatul procesului este stocat cu precizie?
Rezultatul procesului este asigurat mpotriva accesului neautorizat?
Mediile de stocare sunt pstrate adecvat?
Integritatea datelor de pe mediile de stocare este asigurat?
Procedurile de back-up i recuperare asigur disponibilitatea datelor i
informaiilor importante?
Recuperarea este testat regulat?
Sarcinile realizate de operatori sunt monitorizate?
Identitatea utilizatorilor este controlat?
Exist procese prin care se asigur remedierea deficienelor de funcionare?
Exist numit o persoan responsabil cu supervizarea noilor dezvoltri i cu
ntreinerea i integrarea sistemelor n fiecare arie de activitate?
Utilizatorii sunt instruii pentru fiecare aplicaie a sistemului?
Departamentul msoar aspectele cheie ale performanei IT?
Mecanismele de control sunt potrivite pentru minimizarea riscurilor?
Administrarea reelelor software i hardware
Achiziia hardware i software este aprobat de conducere?
Hardware i software sunt selectate pe baza criteriilor stabilite n funcie de
necesiti?
Hardware i softul sunt standardizate?
Hardware i softul sunt testate nainte de implementare?
Modificrile asigur un impact minim asupra proceselor?
Programele de reea au licene?
Exist contracte la nivel de service privind ntreinerea sistemelor i
aplicaiilor?
Timpul mediu de intervenie i soluionare a defeciunii este redus?
Controlul implementat funcioneaz asupra informaiilor la care accesul este
limitat?
Abuzul de informaii este gestionat corespunztor?
Normele de siguran privind computerele sunt dezvoltate?
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Auditori,
Popescu Sorin
Radu George
35
Not:
Chestionarul de control intern este structurat pe obiectivele misiunii de audit intern i permit prin
intermediul ntrebrilor formulate i rspunsurilor primite, identificarea controalelor interne instituite de
management i aprecierea funcionalitii acestora, astfel nct riscurile s poat fi identificate n totalitate i
apreciat corect nivelul acestora.
36
Procedura P05:
ANALIZA RISCULUI
Entitatea Public
Serviciul de Audit Intern
Ponderea
factorilor
risc
(Pi)
Aprecierea controlului
intern F1
de
Data: 04.09.2009
Data: 04.09.2009
N2
N3
P1 50%
Exist proceduri i
se aplic
Exist proceduri,
sunt
cunoscute,
dar nu se aplic
Nu
exist
proceduri
Aprecierea cantitativ
F2
P2 30%
Impact
sczut
Impact
mediu
Impact financiar
ridicat
Aprecierea calitativ
F3
P3 20%
Vulnerabilitate
mic
financiar
financiar
Vulnerabilitate
medie
Vulnerabilitate
mare
Auditori,
Popescu Sorin
Radu George
Not:
Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc,
ponderile i nivelurile de apreciere ale riscurilor.
Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns
dac se dorete evidenierea i a altor factori de risc, cu nivelurile de apreciere corespunztoare,
trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100%.
37
38
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
Serviciul de Audit Intern
Nr
crt
1.
Domeniul
Activiti/
obiective
Strategia
i
planificarea
sistemelor
informatice
1.1. Strategia IT
este concordant
cu
scopurile
organizaiei
1.2. Planurile IT
se
adreseaz
ntregii
organizaii
Data: 04.09.2009
Data: 04.09.2009
Obiecte auditabile
Riscuri semnificative
Achiziia
i
implementarea
programelor i aplicaiilor nu este
corelat cu obiectivele propuse;
Sistemele nu sunt dezvoltate ntr-o
manier planificat i controlat
Punctaj
total
0,5
0,3
0,2
2,20
0,5
0,3
0,2
1,90
0,5
0,3
0,2
1,00
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,00
39
Nr
crt
Domeniul
Activiti/
obiective
1.3. Obiectivele
IT
ndeplinesc
obiectivele
organizaiei
1.4. Comitetul IT
determin
strategia IT
1.5. Organizarea
IT
corespunde
necesitilor
organizaiei
1.6. Elaborarea
strategiei
IT
corespunde
strategiei entitii
2
Organizarea i
funcionarea
departamentul
2.1.
Definirea
atribuiilor
i
activitilor
Obiecte auditabile
Riscuri semnificative
1.3.1.
Strategia
IT
este
concordant
cu
scopurile
organizaiei
1.3.2. Planurile IT se adreseaz
ntregii organizaii
1.3.3. Obiectivele IT ndeplinesc
obiectivele organizaiei
Punctaj
total
0,5
0,3
0,2
2,10
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,70
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,70
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,70
0,5
0,3
0,2
2,50
0,5
0,3
0,2
3,00
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,40
40
Nr
crt
Domeniul
Activiti/
obiective
ui IT
2.2.
Stabilirea
structurii
organizatorice
2.3.
Stabilirea
responsabilitilo
r
Punctaj
total
0,5
0,2
1,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,40
0,5
0,3
0,2
1,90
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,40
0,5
0,3
0,2
1,60
Obiecte auditabile
Riscuri semnificative
2.1.2.
Atribuiile
specifice
departamentului sunt stabilite n
cadrul atribuiilor generale ale
entitii
2.1.3. Atribuiile stabilite asigur
realizarea activitilor necesare
implementrii obiectivelor
2.1.4.
Identificarea
tuturor
activitilor care concur la
realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile
postului
i
competenele
ocupantului postului
2.1.6. Definirea activitilor n
cadrul structurii organizatorice
41
Nr
crt
3.
Domeniul
Operaii
ale
sistemului
informatic
Activiti/
obiective
3.1
Managementul
operaiunilor
3.2.
Managementul
problemelor
Obiecte auditabile
Riscuri semnificative
2.3.2.
Definirea
responsabilitilor n realizarea
activitilor
2.3.3. Definirea sarcinilor prin
fia postului
3.1.1.
Existena
listei
operaiunilor zilnice de realizat
3.1.2. Performana, capacitatea i
disponibilitatea
sistemelor
informatice este monitorizat de
administratori
3.1.3. Responsabilitatea pentru
supravegherea sarcinilor pe
seturi de programe revine
administratorilor
3.1.4. Elaborarea Planului anual
de activitate
3.2.1.
Incidentele
privind
funcionarea
normal
a
serviciilor IT sunt rezolvate sau
prevenite n termen
3.2.2. Programele antivirus
asigur protecia aplicaiilor
3.2.3. Problemele aprute sunt
prioritizate i luate n calcul
pentru remediere
3.2.4.
Implementarea
subsistemelor IT
Punctaj
total
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2.20
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,20
0,5
0,3
0,2
1,00
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,40
0,5
0,3
0,2
2,20
42
Nr
crt
Domeniul
Activiti/
obiective
3.3.
Funcionalitatea
activitilor
n
cadrul
departamentului
IT
Obiecte auditabile
Riscuri semnificative
3.4. Mentenana
echipamentelor
Punctaj
total
0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,40
0,5
0,3
0,2
1,70
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,30
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,20
43
Nr
crt
Domeniul
Activiti/
obiective
3.5.
Utilizarea
echipamentelor
Obiecte auditabile
Riscuri semnificative
4.
Securitatea
informaiilor
4.1. Organizarea
securitii
informaiilor
Punctaj
total
0,5
0,3
0,2
2,80
0,5
0,3
0,2
1,20
0,5
0,3
0,2
2,30
0,5
0,3
0,2
1,40
0,5
0,3
0,2
2,70
0,5
0,3
0,2
1,90
0,5
0,3
0,2
1,40
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,50
44
Nr
crt
Domeniul
Activiti/
obiective
4.2.
Disponibilitatea
datelor
4.3. Asigurarea
funcionrii
programelor i
aplicaiilor
Obiecte auditabile
Riscuri semnificative
4.1.4.
Elaborarea
politicii
privind securitatea informaiei
4.1.5.
Stabilirea
responsabilitilor n cadrul
politicii de securitate
4.1.6. Securitatea informaiilor
asigur integritatea acestora
4.1.7. Securitatea datelor asigur
disponibilitatea acestora doar
pentru utilizatori autorizai
4.2.1.
Protejarea
mpotriva
atacurilor informatice
4.2.2.
Protejarea
datelor
mpotriva viruilor
4.2.3. Asigurarea continuitii
activitilor
4.2.4. Recuperarea datelor n caz
de dezastru
4.2.5.
Protejarea
mpotriva
asumrii unei identitii false
4.3.1. Asigurarea introducerii
corecte a datelor i informaiilor
pentru prelucrare
4.3.2. Existena licenelor pentru
programele utilizate
4.3.3. Prelucrarea datelor
4.3.4. Asigurarea securitii
datelor i informaiilor
Punctaj
total
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,70
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,70
0,5
0,3
0,2
2,30
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
45
Nr
crt
Domeniul
Activiti/
obiective
4.4.
Implementarea
instrumentelor
de control
4.5. Securitatea
reelei
4.6. Gestionarea
parolelor
Punctaj
total
0,5
0,3
0,2
2,40
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,20
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,10
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,30
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,50
Obiecte auditabile
Riscuri semnificative
46
Nr
crt
Domeniul
Proiectarea i
testarea
programelor i
aplicaiilor
Activiti/
obiective
5.1. Proiectarea
i
elaborarea
programelor i
aplicaiilor
5.2. Testarea i
implementarea
programelor i
aplicaiilor
Obiecte auditabile
Riscuri semnificative
4.7.2.Protejarea
sistemelor
informatice mpotriva factorilor
de mediu
4.7.3. Protejarea informaiei din
reea
6.
Elaborarea i
implementarea
6.1. Dezvoltarea
proiectelor
IT
5.2.4.
Implementarea
unui
program dup realizarea testrii
acestuia
6.1.1.
Metodologia
pentru
dezvoltarea i achiziia aplicaiei
Punctaj
total
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,40
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,20
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,50
47
Nr
crt
Domeniul
proiectelor IT
Activiti/
obiective
(programe
aplicaii)
Obiecte auditabile
Riscuri semnificative
6.1.3.
performanelor
implementate
6.2.
Implementarea i
funcionarea
programelor i
aplicaiilor
7.
Proiectarea i
meninerea n
funciune
a
unei reele
7.1. Proiectarea,
instalarea
i
administrarea
reelei
de
calculatoare
7.2.
Interconectarea
i
securitatea
Monitorizarea
soluiilor IT
Punctaj
total
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,70
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,40
48
Nr
crt
Activiti/
obiective
Domeniul
reelei
Obiecte auditabile
Riscuri semnificative
Vulnerabilitile i ameninrile nu
sunt identificate i prioritizate
Conceperea unei reele nu asigur
integrarea programelor
Punctaj
total
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,70
Auditori,
Popescu Sorin
Radu George
Not:
Stabilirea nivelului riscului i determinarea punctajului total al riscurilor este documentul din procedura Analiza riscurilor n care auditorii apreciaz
nivelul riscului pe factorii de risc i determin punctajul total al riscurilor pe baza documentelor n posesia crora au intrat pn n acel moment, dar i pe baza
expertizei personale n domeniu.
Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor
riscurilor asociate operaiilor audiabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv:
T= Pi x Ni
i=1
Evaluarea riscurilor asociate operaiilor audiabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele
primite de la entitate i/sau din rapoarte anterioare, dar i din propria expertiza n domeniu are un oarecare grad de subiectivitate.
49
50
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
Serviciul de Audit Intern
CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCURILOR
Misiunea de audit: Activitatea IT
Perioada auditat: 01.01. 2008 30.06.2009
ntocmit: Popescu Sorin/ Radu George
Avizat: Dumitru Daniel
Nr
crt
1.
Domeniul
Strategia
i
planificarea
sistemelor
informatice
Activiti/
obiective
1.1. Strategia IT este
concordant
cu
scopurile organizaiei
1.2. Planurile IT se
adreseaz
ntregii
organizaii
1.3. Obiectivele IT
ndeplinesc
obiectivele
organizaiei
1.4. Comitetul IT
determin strategia
IT
1.5. Organizarea IT
corespunde
Data: 07.09.2009
Data: 07.09.2009
Obiecte auditabile
Riscuri semnificative
Pct.
total
Clasare
2,20
Mare
1,90
Mediu
1,00
Mic
1,50
Mic
2,00
Mediu
2,00
Mediu
2,10
Mare
1,50
Mic
1,70
Mic
2,00
Mediu
2,70
Mare
2,50
Mare
2,00
Mediu
Obs.
51
Nr
crt
Domeniul
Activiti/
obiective
necesitilor
organizaiei
Organizarea i
funcionarea
departamentul
ui IT
1.6.
Elaborarea
strategiei
IT
corespunde strategiei
entitii
2.1.
Definirea
atribuiilor
i
activitilor
2.2.
Stabilirea
structurii
organizatorice
2.3.
Stabilirea
responsabilitilor
Obiecte auditabile
Riscuri semnificative
Pct.
total
Clasare
1,70
Mic
2,50
Mare
3,00
Mare
1,50
Mic
2,40
Mare
1,50
Mic
1,80
Mic
1,80
Mic
1,50
Mic
2,40
Mare
1,90
Mediu
1,50
Mic
2,50
Mare
2,40
Mare
1,60
Mic
1,80
Mic
2,50
Mare
Obs.
52
Nr
crt
3.
Domeniul
Operaii
ale
sistemului
informatic
Activiti/
obiective
3.1
Managementul
operaiunilor
3.2. Managementul
problemelor
Obiecte auditabile
Riscuri semnificative
Pct.
total
Clasare
1,50
Mic
2.20
Mare
2,50
Mare
2,20
Mare
1,00
Mic
2,50
Mare
1,40
Mic
2,20
Mare
1,80
Mic
1,50
Mic
2,50
Mare
1,40
Mic
1,70
Mic
1,80
Mic
2,30
Mare
Obs.
53
Nr
crt
Domeniul
Activiti/
obiective
3.4.
Mentenana
echipamentelor
Obiecte auditabile
Riscuri semnificative
3.4.2.
ntreinerea
echipamentelor
calculatorului
3.5.
Utilizarea
echipamentelor
4.
Securitatea
informaiilor
4.1.
Organizarea
securitii
informaiilor
Pct.
total
Clasare
1,50
Mic
2,00
Mediu
2,20
Mare
2,80
Mare
1,20
Mic
2,30
Mare
1,40
Mic
2,70
Mare
1,90
Mediu
1,40
Mic
1,50
Mic
1,50
Mic
2,50
Mare
1,50
Mic
2,50
Mare
2,00
Mediu
Obs.
54
Nr
crt
Domeniul
Activiti/
obiective
4.2. Disponibilitatea
datelor
Obiecte auditabile
Riscuri semnificative
4.3.
Asigurarea
funcionrii
programelor
i
aplicaiilor
4.4. Implementarea
instrumentelor
de
control
4.5.
reelei
Securitatea
4.6.
Gestionarea
parolelor
Pct.
total
Clasare
1,50
Mic
2,50
Mare
1,80
Mic
2,70
Mare
1,50
Mic
1,50
Mic
1,70
Mic
2,30
Mare
1,50
Mic
2,50
Mare
2,00
Mediu
2,40
Mare
1,50
Mic
2,50
Mare
1,20
Mic
1,50
Mic
1,80
Mic
2,00
Mediu
2,10
Mare
Obs.
55
Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile
Riscuri semnificative
4.7.
logic
Proiectarea i
testarea
programelor i
aplicaiilor
Securitatea
5.1. Proiectarea
elaborarea
programelor
aplicaiilor
5.2.
Testarea
implementarea
programelor
aplicaiilor
i
i
6.
Elaborarea i
implementarea
proiectelor IT
6.1.
Dezvoltarea
proiectelor
IT
(programe
i
aplicaii)
Pct.
total
Clasare
1,50
Mic
2,50
Mare
2.30
Mare
2,50
Mare
1,50
Mic
1,80
Mic
2,00
Mediu
2,50
Mare
1,80
Mic
1,80
Mic
1,40
Mic
2,50
Mare
2,00
Mediu
2,20
Mare
1,50
Mic
1,50
Mic
2,50
Mare
2,50
Mare
Obs.
56
Nr
crt
Domeniul
Activiti/
obiective
6.2. Implementarea i
funcionarea
programelor
i
aplicaiilor
Obiecte auditabile
Riscuri semnificative
7.
Proiectarea i
meninerea n
funciune
a
unei reele
7.1.
Proiectarea,
instalarea
i
administrarea reelei
de calculatoare
7.2. Interconectarea
i securitatea reelei
corespunde
Pct.
total
Clasare
2,00
Mediu
1,70
Mic
2,50
Mare
2,50
Mare
1,50
Mic
2,00
Mediu
1,50
Mic
2,40
Mare
2,00
Mediu
1,70
Mic
Obs.
Auditori,
Popescu Sorin
Radu George
57
Not:
Clasarea activitilor sau operaiilor n funcie de punctajul riscurilor este a asea faz a procedurii Analiza riscurilor, n care riscurile se mpart n mari, medii i
mici.
mprirea riscurilor n cele trei categorii se realizeaz innd cont de importana riscurilor i de resursele de audit de care dispunem, respectiv numrul de
auditori intern si numrul de ore efectuate pentru desfurarea misiunii de audit.
n mod special, activitatea de mprire a riscurilor pe cele trei categorii trebuie s in cont de resursele alocate misiunii (numr de persoane, timpul aferent
.a.), respectiv s aib n vedere volumul riscurilor pe care le poate auditat i s renune pentru moment la riscurile care pot fi neglijate. Numrul riscurilor medii se
recomand s fie foarte redus ( 5-10%), pentru c acesta demonstreaz o nehotrre din partea auditorilor interni. n general, riscurile medii se acord pentru operaiile
pe care auditorii interni nu le cunosc bine din practic i care vor fi cuprinse n auditare.
Pentru continuarea analizei, auditorii interni au mprit in cele trei categorii (mari, medii si mici) riscurile din documentul Stabilirea nivelului riscului i a
punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel:
Riscuri mici
1,0 - 1,7
Riscuri medii 1,8 - 2,3
Riscuri mari
2,4 - 3,0
Pentru moment, riscurile mici vor fi ignorate, in sensul ca nu vor fi auditate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie
cu care se va elabora documentul Tabelul puncte tari i puncte slabe.
58
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
Serviciul de Audit Intern
Domeniul
Strategia
planificarea
sistemelor
informatice
Activiti/
obiective
i 1.1. Strategia IT
este concordant cu
scopurile
organizaiei
1.2. Planurile IT se
adreseaz ntregii
organizaii
Obiecte auditabile
Data: 07.09.2009
Data: 07.09.2009
Riscuri semnificative
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Ridicat
Sczut
59
Nr
crt
2.
Domeniul
Activiti/
obiective
Obiecte auditabile
2.2.
Stabilirea 2.2.1. Organizarea funcional a
structurii
departamentului IT
organizatorice
2.2.3. Examinarea sistemului de
gestionare a riscurilor generale
la nivelul departamentului IT
2.2.4. Riscurile legate de
securitatea datelor, programelor
i
echipamentelor
sunt
identificate i evaluate ct mai
corect i complet.
Riscuri semnificative
T/
S
Stabilirea dezvoltrii IT de
ctre departamentul IT;
S
Responsabilitile nu sunt
definite clar n cadrul
S
compartimentelor
i
posturilor;
Programele i aplicaiile nu
sunt integrate i nu rspund S
cerinelor activitilor;
Infrastructura IT existent nu
asigur
implementarea
S
strategiei IT;
Lipsa ariei de competen
pentru realizarea activitilor
stabilite structurii funcionale
Activitile
realizate
la
nivelul structurii funcionale
nu se regsesc n totalitate n
cadrul sarcinilor stabilite
posturilor
Structura funcional nu este
adaptat
complexitii
activitilor derulate
Riscurile nu sunt identificate
i gestionate la nivelul
structurii funcionale
Gestionarea slab a riscurilor
privind
securitatea
informaiilor
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Ridicat
60
Nr
crt
3.
Domeniul
Operaii
sistemului
informatic
Activiti/
obiective
Obiecte auditabile
Riscuri semnificative
2.3.
Stabilirea 2.3.3. Definirea sarcinilor prin Sarcinile stabilite postului
responsabilitilor
fia postului
potrivit fiei postului nu
corespund cu aciunile efectiv
realizate
de
ocupantul
postului
ale 3.1 Managementul 3.1.2. Performana, capacitatea Lipsa
analizelor
privind
operaiunilor
si disponibilitatea sistemelor scopul i cerinele de realizare
informatice este monitorizat de a activitilor i calitatea
administratori
aplicaiilor sau programelor
utilizate
3.1.3. Responsabilitatea pentru Responsabilitile
nu
sunt
supravegherea sarcinilor pe operatorilor
seturi de programe revine delimitate i stabilite n
funcie
de
specializarea
administratorilor
fiecruia i tipurile de
aplicaii i programe utilizate
3.1.4. Elaborarea Planului anual Activitile sunt derulate n
de activitate
cadrul departamentului fr a
exista o planificare anual sau
periodic
3.2. Managementul 3.2.2. Programele antivirus Utilizarea
neadecvat
a
problemelor
asigur protecia aplicaiilor
programelor antivirus
3.2.4.
Implementarea Programele i aplicaiile
subsistemelor IT
derulate
la
nivelul
organizaiei
nu
sunt
actualizate potrivit noilor
necesiti ca urmare a
modificrii aciunilor de
realizare a activitilor
3.3.2. Organizarea funcional a Activitile
i
aciunile
3.3.
activitilor
n
cadrul necesare realizrii acestora nu
Funcionalitatea
sunt repartizate eficient i
activitilor
n departamentului IT
omogen pe compartimente n
cadrul
cadrul departamentului IT
departamentului IT
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
61
Nr
crt
4.
Domeniul
Securitatea
informaiilor
Activiti/
obiective
Obiecte auditabile
Riscuri semnificative
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Ridicat
Sczut
Sczut
Sczut
Sczut
Sczut
Ridicat
Sczut
62
Nr
crt
Domeniul
Activiti/
obiective
4.2.
Disponibilitatea
datelor
4.3.
Asigurarea
funcionrii
programelor
i
aplicaiilor
4.4. Implementarea
instrumentelor de
control
Obiecte auditabile
Riscuri semnificative
T/
S
4.1.5.
Stabilirea Politica de securitate nu
responsabilitilor n cadrul definete responsabilitile cu
S
politicii de securitate
privire la securitatea datelor i
informaiilor
4.1.7.
Securitatea
datelor Accesul la informaii i
asigur disponibilitatea acestora pentru
persoanele S
doar pentru utilizatori autorizai neautorizate
4.2.2.
Protejarea
datelor Vulnerabilitate sporit n faa
S
mpotriva viruilor
viruilor
4.2.3. Asigurarea continuitii Planurile
privind
activitilor
continuitatea activitilor nu
stabilesc msuri concrete
pentru reluarea activitii
4.2.4. Recuperarea datelor n Lipsa planurilor de recuperare
caz de dezastru
a datelor i informaiilor
4.3.1. Asigurarea introducerii Aplicaiile informatice nu
corecte a datelor i informaiilor sunt utilizate n conformitate
pentru prelucrare
cu instruciunile de exploatare
4.3.3. Prelucrarea datelor
Introducerea incorect a
datelor i informaiilor n
cadrul
programelor
i
aplicaiilor
4.3.4. Asigurarea securitii Accesul
la
datele
i
datelor i documentelor
informaiile stocate nu este
restricionat i autorizat pe
niveluri ierarhice
4.4.1. Accesul la aplicaie este Accesul la program, aplicaie
oferit pe baza necesitilor este oferit pentru ntregul
utilizatorului
personal ce posed o parol
4.4.3.
Introducerea Accesul fizic la echipamente
instrumentelor de control fizic i
aplicaii
nu
este
asupra echipamentelor IT
restricionat
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
63
Nr
crt
Domeniul
Activiti/
obiective
4.5.
reelei
Obiecte auditabile
Riscuri semnificative
T/
S
4.6.
Gestionarea 4.61. Utilizatorii au parole de Accesul la aplicaii se
parolelor
acces individuale
realizeaz direct, fr a fi
permis doar pentru personalul
ndreptit
4.6.2. Schimbarea periodic a Risc crescut de spargere a
parolelor
parolei
4.6.4. Protejarea parolelor
Descrcarea ilegal a unor
informaii
4.6.5. Persoanele autorizate au Accesul la servere este permis
acces la sistemul de operare
ntregului personal, nefiind
nregistrat i monitorizat
4.7.
Securitatea 4.7.1. Asigurarea securitii Lipsa
controalelor
sau
logic
funcionrii programelor i controale slabe de acces
aplicaiilor
Proiectarea i 5.1. Proiectarea i 5.1.1. Proiectarea programului n proiectarea programului/
testarea
elaborarea
informatic
aplicaiei, fluxul de date nu
programelor i programelor
i
este
stabilit
adecvat
aplicaiilor
aplicaiilor
rezultatelor ateptate
5.1.2. Elaborarea programului Graficul de realizare a
informatic
programului
i
bugetul
aprobat nu sunt respectate
5.2. Testarea i 5.2.1. Utilizarea de date Efectuarea
de
prelucrri
implementarea
ipotetice n testarea unui asupra datelor n cadrul
programelor
i program
testrii programelor
aplicaiilor
5.2.2. Testarea programului i Neconformitile i erorile
aplicaiei
constatate n cursul testrii
unui program nu sunt
analizate cu atenie
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Ridicat
Sczut
64
Nr
crt
6.
Domeniul
Activiti/
obiective
Elaborarea i 6.1.
Dezvoltarea
implementarea proiectelor
IT
proiectelor IT
(programe
i
aplicaii)
6.2. Implementarea
i
funcionarea
programelor
i
aplicaiilor
7.
Proiectarea
meninerea
funciune
unei reele
i 7.1.
Proiectarea,
n instalarea
i
a administrarea
reelei
de
Obiecte auditabile
Riscuri semnificative
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
65
Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile
calculatoare
Riscuri semnificative
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Auditori,
Popescu Sorin
Radu George
Not:
n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin preluarea operaiilor auditabile cu riscuri semnificative (mari i
medii) din documentul Clasarea operaiilor, respectiv un numr de 70 obiecte audiabile i 70 de riscuri asociate acestora.
Ierarhizarea obiectelor audiabile const n evaluarea funcionalitii sistemelor de control intern care limiteaz efectele riscurilor i care dau posibilitatea
auditorilor interni s aprecieze acele obiecte audiabile ca fiind puncte tari, celelalte riscuri pentru care nu exista activiti de control sau acestea sunt nefuncionale
sunt in continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 6 riscuri asociate obiectelor audiabile care au fost evaluate ca fiind puncte tari i
care vor fi eliminate din auditare.
Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai
operaiile considerate ca fiind puncte slabe, ocazie cu care vor fi renumerotate si stabilita corespondenta cu paragrafele din Raportul de audit intern..
Un punct tare sau un punct slab trebuie s fie exprimat n funcie de un obiectiv de control intern sau de o caracteristic urmrit, pentru a asigura buna
funcionare a structurii auditate.
Documentul Tabelul puncte tari i puncte slabe conine att gradul de ncredere al auditorului intern n funcionarea controlului intern, ct i consecinele
funcionrii/nefuncionrii acestuia, care va conduce la minimizarea riscului, atunci cnd gradul de ncredere este mare (punct tare), i la maximizarea apariiei riscului,
atunci cnd gradul de ncredere este mic (punct slab).
66
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
Serviciul de Audit Intern
TEMATICA N DETALIU
Misiunea de audit: Activitatea IT
Perioada auditat: 01.01. 2008 30.06.2009
ntocmit: Popescu Sorin/ Radu George
Avizat: Dumitru Daniel
Nr
crt
1.
3.
Domeniul
Strategia i
planificarea
sistemelor
informatice
Organizarea
i
funcionarea
departament
ului IT
Operaii ale
sistemului
informatic
Activiti/
obiective
Strategia IT este
concordant
cu
scopurile organizaiei
Planurile
IT
se
adreseaz
ntregii
organizaii
Obiectivele
IT
ndeplinesc
obiectivele
organizaiei
Comitetul
IT
determin strategia
IT
Organizarea
IT
corespunde
necesitilor
organizaiei
Elaborarea strategiei
IT
corespunde
strategiei entitii
Definirea atribuiilor
i activitilor
Stabilirea structurii
organizatorice
Stabilirea
responsabilitilor
Managementul
operaiunilor
Managementul
problemelor
Funcionalitatea
activitilor n cadrul
departamentului IT
Data: 07.09.2009
Data: 07.09.2009
Obiecte auditabile
Paragraful
corespunzto
r din RAI
II 1.2.1
II 1.2.2
II 1.3.1
II 1.4.1.
II 1.4.2.
II 1.5.1.
II 1.5.2.
II 1.6.1.
II 2.1.1.
II 2.1.2.
II 2.2.1.
II 2.2.2.
II 2.3.1.
II 3.1.1.
II 3.1.2.
II 3.1.3.
II 3.2.1.
II 3.2.2.
II 3.3.1.
II 3.3.2.
Mentenana
echipamentelor
II 3.4.21
II 3.4.2.
67
Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile
Utilizarea
echipamentelor
4.
Securitatea
informaiilor
Realizarea
eficient
a
operaiilor
n
cadrul
departamentului IT
Administrarea eficient a aplicaiilor i programelor
Evaluarea problemelor i soluionarea acestora
Elaborarea politicii privind securitatea informaiei
Organizarea
securitii
informaiilor
Disponibilitatea
datelor
Asigurarea
funcionrii
programelor
aplicaiilor
Implementarea
instrumentelor
control
de
Securitatea reelei
Gestionarea parolelor
6.
7.
Proiectarea
i testarea
programelor
i
aplicaiilor
Elaborarea
i
implementar
ea
proiectelor
IT
Proiectarea
i
meninerea
n funciune
a unei reele
Proiectarea
elaborarea
programelor
aplicaiilor
Testarea
implementarea
programelor
aplicaiilor
Dezvoltarea
proiectelor
(programe
aplicaii)
Implementarea
funcionarea
programelor
aplicaiilor
Securitatea logic
5
Paragraful
corespunzto
r din RAI
II 3.5.2.
II 3.5.3.
II 4.1.1.
II 4.1.2.
II 4.1.3.
II 4.2.1.
II 4.2.2.
II 4.2.3.
II 4.3.1.
II 4.3.2.
II 4.3.3.
II 4.4.1.
II 4.4.2.
II 4.5.1.
II 4.6.1.
II 4.6.2.
II 4.6.3.
II 4.6.4.
II 4.7.1.
II 5.1.1.
II 5.1.2.
II 5.2.1.
II 5.2.2.
ntreinerea
aplicaiilor
garanteaz
funcionarea
proceselor la parametrii optimi
Asigurarea bunei funcionri a sistemelor bazate pe
existena i funcionarea reelei de calculatoare
Administrarea serverelor
Proiectarea,
instalarea
i
administrarea reelei
de calculatoare
Interconectarea
i
securitatea reelei
II 3.5.1.
Interconectarea reelelor
Proiectarea i asigurarea securitii reelei
II 6.1.1.
II 6.1.22.
II 6.2.1.
II 6.2.2.
II 7.1.1.
II 7.1.2.
II 7.2.1.
II 7.2.2
Auditori,
Popescu Sorin
Radu George
68
Not:
Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a obiectelor
audiabile i se finalizeaz cu Tematica n detaliu a misiunii de audit.
Tematica n detaliu a misiunii de audit, este acea faz din procedura Analizei riscurilor, care se
realizeaz prin selectarea obiectelor audiabile, pornind de la documentul Tabelul puncte tari i puncte slabe,
care au fost evaluate ca fiind puncte slabe si care vor fi avute in vedere, in continuare, pentru auditare.
Documentul, semnat de echipa de auditori i de supervizorul misiunii, respectiv de eful
compartimentului de audit intern, va fi adus la cunotin principalilor responsabili ai entitii auditate n
cadrul edinei de deschidere.
n continuare, operaii/obiecte audiabile, vor fi avute n vedere n activitatea de auditare, deoarece
reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza
Programului interveniei la faa locului, care se vor materializa n FIAP-uri i FCRI-uri, acolo unde este cazul,
i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a
misiunii de audit.
69
70
Procedura PO6:
Entitatea Public
Serviciul de Audit Intern
PROGRAMUL DE AUDIT
Misiunea de audit: Activitatea IT
Perioada auditat: 01.01.2008 30.06.2009
ntocmit: Popescu Sorin/ Radu George
Avizat: Dumitru Daniel
OBIECTIVELE
ACTIVITILE PROGRAMATE
AUDITULUI
Tema general: Activitatea IT
1. Pregtirea misiunii
de audit
Data: 08.09.2009
Data: 08.09.2009
DURATA
(H)
PERSOANELE
IMPLICATE
LOCUL
DESFURRII
54
2
2
Dumitru Daniel
Popescu Sorin
SAI
SAI
Radu George
SAI
SAI
AUDITAT
8
8
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Radu George
Popescu Sorin
Radu George
Popescu Sorin
SAI
SAI
Popescu Sorin
SAI
Popescu Sorin
SAI
AUDITAT
Radu George
AUDITAT
272
22
Popescu Sorin
388
8
8
8
SAI
SAI
71
OBIECTIVELE
AUDITULUI
Strategia i planificarea
sistemelor informatice
Obiectivul II.
Organizarea
funcionarea
departamentului IT
Obiectivul IV.
Securitatea
informaiilor
Obiectivul V.
Achiziionarea
testarea aplicaiilor
Obiectivul VI.
Elaborarea
implementarea
DURATA
(H)
ACTIVITILE PROGRAMATE
al
a
2
8
4
22
2
8
4
Radu George
AUDITAT
SAI
Popescu Sorin
AUDITAT
SAI
Radu George
AUDITAT
SAI
Popescu Sorin
AUDITAT
SAI
4
20
2
8
4
al
a
AUDITAT
SAI
22
2
8
4
al
a
LOCUL
DESFURRII
22
2
8
4
al
a
PERSOANELE
IMPLICATE
4
20
2
8
Radu George
AUDITAT
72
OBIECTIVELE
AUDITULUI
proiectelor IT
Obiectivul VII.
Proiectarea
i
meninerea n funciune
a unei reele
DURATA
(H)
ACTIVITILE PROGRAMATE
6.4 Colectarea dovezilor
6.5 Revizuirea documentelor de lucru din punct de vedere
coninutului i al formei i ntocmirea Notei centralizatoare
documentelor de lucru
6.1 Efectuarea testrilor
6.2 Discutarea constatrilor cu eful de serviciu
6.3 Elaborarea FIAP - urilor
6.4 Colectarea dovezilor
6.5 Revizuirea documentelor de lucru din punct de vedere
coninutului i al formei i ntocmirea Notei centralizatoare
documentelor de lucru
12. Planificarea si organizarea edinei de nchidere
13. Discutarea constatrilor cu Departamentul IT
4
al
a
al
a
IV.
Urmrirea
recomandrilor
16
Auditori,
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Radu George
Popescu Sorin
Radu George
Radu George
Popescu Sorin
Radu George
Popescu Sorin
AUDITAT
AUDITAT
SAI
SAI
SAI
Popescu Sorin
SAI
Popescu Sorin
SAI
Popescu Sorin
AUDITAT
4
4
Data: 08.09.2009
8
audit intern aprobat de
SAI
4
58
LOCUL
DESFURRII
4
18
2
8
4
14. Concluzii
III. Raportul de audit
intern
PERSOANELE
IMPLICATE
Radu George
Popescu Sorin
Radu George
Popescu Sorin
SAI
SAI
Popescu Sorin
SAI
Popescu Sorin
SAI
Popescu Sorin
SAI
Not:
Programul de audit intern este documentul prin care repartizm resursele de audit n vederea realizrii misiunii de audit intern respectiv, stabilim ntre membri
echipei de auditori activitile pe care le vor desfura n vederea atingerii obiectivelor stabilite si timpul necesar pentru parcurgerea etapelor si procedurilor specifice in
vederea ncadrrii in perioadele afectate prin Planul de audit intern.
Programul de audit este un document intern de lucru al compartimentului de audit intern, care se ntocmete pe baza Tematicii n detaliu a misiunii de audit
prin care se realizeaz ordinea de parcurgere a procedurilor misiunii de audit pe timpul derulrii acesteia. De fapt, Programul de audit presupune un plan detaliat al
activitii ce trebuie realizat n etapa de Intervenie la faa locului i care trebuie s cuprind procedurile necesare atingerii obiectivelor misiunii de audit.
74
Procedura PO6 :
Entitatea Public
Serviciul de Audit Intern
Data: 09.09.2009
Data: 09.09.2009
Durata
testrii
(h)
Structura
Analiza sistemului de elaborarea a strategiei
Compararea obiectivelor strategie ale IT cu cele ale auditat
organizaiei
Examinarea direciilor strategice n domeniul IT
Analiza responsabilitilor n elaborarea strategiei
Analiza politicilor privind implementarea strategiei
Analiza obiectivelor IT strategice
Analiza managementului IT
1.2. Planurile IT se adreseaz ntregii organizaii
T1
Popescu
Sorin
Structura
auditat
T2
Popescu
Sorin
Structura
auditat
T3
Popescu
Sorin
Obiecte audiabile
Tipul testrii
Locul
testrii
Auditori
1.2.2. Planurile
ndeplinirea
organizaiei
IT ajut
misiunii
75
Nr.
crt.
Obiecte audiabile
1.3.1. Strategia
concordant cu
organizaiei
D
1
E
1
F
1
Tipul testrii
Locul
testrii
Durata
testrii
(h)
Auditori
IT este
scopurile
Structura
auditat
T4
Popescu
Sorin
Structura
auditat
T5
Popescu
Sorin
Structura
auditat
T6
Popescu
Sorin
Structura
auditat
T7
Popescu
Sorin
Structura
auditat
Popescu
Sorin
T8
Popescu
Sorin
76
Nr.
crt.
Obiecte audiabile
Tipul testrii
Locul
testrii
Durata
testrii
(h)
Auditori
B
1
C
1
Structura
auditat
10
II
T9
Radu
George
Structura
auditat
10
II
T10
Radu
George
Structura
auditat
II
T11
Radu
George
Structura
auditat
II
T12
Radu
George
Structura
auditat
10
II
T13
Radu
George
77
Nr.
crt.
Obiecte audiabile
Tipul testrii
Durata
testrii
(h)
Structura
auditat
III
T14
Popescu
Sorin
Structura
auditat
III
T15
Popescu
Sorin
Structura
auditat
III
T16
Popescu
Sorin
Structura
auditat
III
T17
Popescu
Sorin
Locul
testrii
Auditori
atribuiile alocate
Analiza stabilirii atribuiilor n raport cu nivelul postului
OBIECTIVUL NR. 3 OPERAII ALE SISTEMULUI INFORMATIC
A
3.1. Managementul operaiunilor
1
B
1
78
Nr.
crt.
Obiecte audiabile
Tipul testrii
Durata
testrii
(h)
Structura
auditat
III
T18
Popescu
Sorin
Structura
auditat
III
T19
Popescu
Sorin
Structura
auditat
III
T20
Popescu
Sorin
Locul
testrii
Auditori
79
Nr.
crt.
Obiecte audiabile
Tipul testrii
Locul
testrii
Durata
testrii
(h)
Auditori
3.4.2.
calculatorului
echipamentelor
3.4.3.
Instalarea
i
configurarea calculatorului
ntreinerea
i
a
Structura
auditat
III
T21
Popescu
Sorin
Structura
auditat
III
T22
Popescu
Sorin
Structura
auditat
III
T23
Popescu
Sorin
Structura
auditat
III
T24
Popescu
Sorin
80
Nr.
crt.
Obiecte audiabile
Tipul testrii
4.1.5.
Stabilirea
responsabilitilor n cadrul
politicii de securitate
Durata
testrii
(h)
Structura
auditat
III
T25
Popescu
Sorin
Structura
auditat
IV
T26
Radu
George
Structura
auditat
IV
T27
Radu
George
Structura
auditat
IV
T28
Radu
George
Locul
testrii
Auditori
81
Nr.
crt.
Obiecte audiabile
Tipul testrii
Durata
testrii
(h)
Structura
auditat
IV
T29
Radu
George
Structura
auditat
IV
T30
Radu
George
Structura
auditat
IV
T30
Radu
George
Structura
auditat
IV
T31
Radu
George
Locul
testrii
Auditori
4.2.2.
Protejarea
mpotriva viruilor
C
1
datelor
82
Nr.
crt.
Obiecte audiabile
Tipul testrii
Structura
auditat
IV
T32
Radu
George
Structura
auditat
IV
T33
Radu
George
Structura
auditat
IV
T34
Radu
George
Structura
IV
T35
Radu
Auditori
D
1
Durata
testrii
(h)
Locul
testrii
83
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Auditori
Obiecte audiabile
Tipul testrii
de calculatoare;
Verificarea dac echipamentele i documentaia de
importan critic sunt asigurate suplimentar;
Verificarea modului de supraveghere a camerelor n care
sunt adpostite echipamente i faciliti critice;
Verificai dac msurile de protecie sunt n acord cu
politica de securitate a organizaiei.
auditat
Structura
auditat
IV
T36
Radu
George
Structura
auditat
IV
T37
Radu
George
Structura
auditat
IV
T38
Radu
George
Structura
auditat
IV
T39
Radu
George
E
1
F
1
George
84
Nr.
crt.
Obiecte audiabile
Tipul testrii
Locul
testrii
Durata
testrii
(h)
Auditori
Structura
auditat
IV
T40
Radu
George
Structura
auditat
10
T41
Popescu
Sorin
Structura
auditat
10
T42
Popescu
Sorin
Structura
auditat
10
T43
Popescu
Sorin
85
Nr.
crt.
Obiecte audiabile
Tipul testrii
B
1
Durata
testrii
(h)
Structura
auditat
10
T44
Popescu
Sorin
Structura
auditat
10
VI
T45
Radu
George
Structura
auditat
10
VI
T46
Radu
George
Structura
auditat
10
VI
T47
Radu
George
Locul
testrii
Auditori
86
Nr.
crt.
Obiecte audiabile
Tipul testrii
A
1
B
1
Durata
testrii
(h)
Structura
auditat
10
VI
T48
Radu
George
Structura
auditat
10
VII
T49
Radu
George
Structura
auditat
10
VII
T50
Radu
George
Structura
auditat
10
VII
T51
Radu
George
Locul
testrii
Auditori
87
Nr.
crt.
Obiecte audiabile
Locul
testrii
Tipul testrii
Durata
testrii
(h)
10
VII
Auditori
Data: 09.09.2009
Structura
auditat
T52
Radu
George
Auditori,
Popescu Sorin
Radu George
Not:
Programul de intervenie la faa locului sau Programul preliminar se elaboreaz pe baza Programului de audit i prezint detaliat lucrrile pe care auditorii
interni i propun s le efectueze, tipurile de teste i eantioanele pe baza crora se vor realiza acestea, locul i durata testrii.
n practica, se recomand realizarea unui grad mai mare de detaliere a testrilor, care se vor efectua n etapa de Intervenie la faa locului, prin completarea
Programului preliminar cu modalitile concrete de determinare a eantioanelor, n conformitate cu regulile statisticii, dar i prin diversificarea tipurilor testrilor ce se
vor realiza de ctre auditorii interni.
88
Procedura PO7 :
EDINA DE DESCHIDERE
ENTITATEA PUBLICA
Serviciul Audit Intern
Data: 10.09.2009
Data: 10.09.2009
A. Lista participanilor:
Numele
Funcia
Direcia/
Serviciul
Dumitru Daniel
Coordonator
CAPI
Popescu Sorin
Auditor
SAPI
Radu George
Auditor
SAPI
Ptrulescu George
Director
DIT
Voiculescu Alin
Sef
STDAM
Boerescu Ilie
Sef
SCD
Teodorescu Rodica
Sef
SEE
Eleodor Darius
Sef
SAPP
Iordache Camelia
Sef
SRC
Pun Elena
Sef
SSD
Badea tefan
Sef
SAT
Nr.
telefon
Semntura
B. Stenograma edinei
n cadrul edinei de deschidere s-a procedat la:
- prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit;
- prezentarea funciei de audit intern de ctre eful Serviciului Audit Public Intern, n special a
obiectivelor generale ale auditului intern i semnificaia auditului intern;
- Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se intenioneaz a fi
realizate, dup analizele de risc efectuate. A fost cerut prerea audiailor cu privire la aceste obiective, unde sau fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la
complexitatea activitii Direciei IT; resursele umane insuficiente i neatractivitatea nivelului salariului pentru
atragerea unor specialiti; fluctuaia mare a personalului implicat in activitatea IT.
De asemenea, s-au stabilit:
- persoanele pe care auditorii le pot contacta n vederea colectrii informaiilor, modul de efectuare a
testelor, chestionarelor i interviurilor, programul ntlnirilor i timpul necesar pentru realizarea acestor
proceduri;
- condiiile minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu
de lucru, calculatoare, posibilitate de editare etc.)
89
- aspectele procedurale, respectiv eventualitatea unor edine intermediare n cursul misiunii, informarea
sistematic asupra constatrilor;
- data edinei de nchidere, inclusiv a participanilor;
- convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul
auditului, informarea sistematic asupra constatrilor.
- stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va fi distribuit).
Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu
structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea
recomandrilor.
90
Procedura P10
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 13.09.2009
Data: 13.09.2009
Obiectivul I.
STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
Nr.
crt.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
A
1.
1.1
1.2.
1.3
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
Activitatea de audit
Examinarea procedurilor privind planul strategic
Examinarea procedurilor privind definirea i elaborarea strategiei
Verificai dac procedurile sunt aprobate de ctre persoanele competente;
Verificai dac sunt stabilite posturile de lucru responsabile de elaborarea
strategiei;
Verificai dac sunt stabilite competentele n elaborarea procedurilor;
Verificai dac se realizeaz actualizarea sistematic a procedurilor;
Verificai dac sunt nglobate activiti de control intern n punctele cheie
ale proceselor;
Verificai dac se respect principiul dublei semnturi;
Verificai dac procedurile sunt cunoscute i aplicate;
Strategia IT este concordant cu scopurile organizaiei
Strategia IT definete necesitile i prioritile
Examinarea dac exist strategie elaborat la nivelul structurii
funcionale;
Analiza sistemului de fundamentare a strategiei
Analiza corelrii strategiei cu planurile anuale
Examinarea prioritilor strategice in domeniul IT n corelare cu direciile
de dezvoltare;
Verificarea dac strategia elaborat la nivelul structurii funcionale este
n concordan cu strategia organizaiei;
Verificarea dac strategia elaborat la nivelul structurii funcionale a avut
n vedere:
a. evaluarea situaiei actuale pe baza analizei diagnostic;
b. identificarea punctelor tari i a punctelor slabe ale entitii;
c. formularea misiunii structurii organizatorice;
d. fundamentarea variantelor strategice;
e. identificarea i proveniena resurselor;
f. implementarea strategiei ;
Analiza dac identificarea punctelor tari i a punctelor slabe s-a realizat
pe baza analizei ameninrilor i oportunitilor;
Verificarea dac strategia definit la nivelul structurii funcionale
definete clar obiectivele;
Analizai dac direciile de activitate din cadrul strategiei sunt
monitorizate i evaluate, respectiv:
a) exist concordan cu strategia elaborat la nivelul entitii;
Da
Nu
Observaii
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
91
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
92
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15
1.16.
1.17.
1.18
1.19.
1.20.
1.21.
1.22.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
X
X
X
X
X
X
X
X
X
X
sunt alocate n concordan cu
X
X
X
X
X
X
93
2.11.
2.12.
C.
1.
1.1.
1.2.
1.3.
1.4.
1.5
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
D.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
94
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
E.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
rndul salariailor;
e) cunoaterea nevoilor salariailor;
X
f) corelarea obiectivelor individuale cu obiectivele organizaiei;
g) ncadrarea n resursele financiare planificate;
Analizai dac impactul planurilor este raportat la performana
X
organizaiei;
Analizai dac nivelul cunotinelor personalului asigur realizarea
X
programelor;
Analizai dac instrumentele de implementare a programelor sunt bine
X
definite;
Verificai dac posturile care vor aprea sau se vor schimba sunt luate n
X
calcul la definirea strategiei;
Analizai dac competenele necesare n viitor sunt definite n cadrul
X
strategiei;
Verificai dac posibilitatea reorientrii i recalificrii profesionale este
X
luat n calcul la stabilirea resurselor necesare implementrii strategiei;
Verificai dac strategia ine cont de schimbrile la nivel managerial;
X
Verificai dac nevoile de instruire sunt definite n cadrul strategiei;
X
1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitile realizate
Verificai dac exist un program de dezvoltare IT
X
Verificai dac programul de dezvoltare IT conine achiziii de aplicaii i
X
echipamente;
Verificai dac exist o fundamentare a necesitii achiziiilor de
X
echipamente;
Verificai dac exist o fundamentare a necesitii achiziiilor de aplicaii
X
i programe;
Verificai dac achiziiile de echipamente sunt prioritizate n funcie de
X
necesiti
Verificai dac achiziiile de programe i aplicaii sunt prioritizate n
funcie de necesiti i de dezvoltarea strategic a organizaiei n X
domeniul IT;
Verificai dac programele de achiziii de echipamente i aplicaii sunt
X
evaluate de ctre Comitetul IT;
Verificai dac Comitetul IT a realizat i o evaluare calitativ i tehnic a
X
echipamentelor i aplicaiilor planificate a fi achiziionate
Verificai dac achiziiile de echipamente i aplicaii sunt realizate cu
X
respectarea criteriilor planificate;
Verificai dac procesul de achiziii IT este monitorizat de Comitetul IT;
X
Verificai dac Comitetul IT raporteaz periodic managementului
X
necesitile aprute i stadiul derulrii programelor n domeniul IT.
Organizarea IT corespunde necesitilor organizaiei
Organizarea adecvat a funciei IT
Verificai dac deciziile sunt n corelaie cu transformrile din mediul
X
organizaional;
Verificai dac persoana care emite decizia deine sarcinile, competenele
X
i responsabilitile necesare;
Examinarea dac subsistemele IT acoper nevoile pentru funciile
X
principale ale entitii;
Test nr. 1.5
Analiza dac nevoile pentru funciile principale nou-create sunt
X
Interviu nr. 1.5
acoperite;
FIAP nr. 1.5
Analiza dac structurile din cadrul IT si-au definit clar propriile activiti;
X
Examinarea dac procedurile elaborate acoper toate activitile derulate;
X
Verificai dac responsabilitile sunt stabilite clar i precis n sarcina
X
utilizatorilor;
Verificai dac competenele asigur realizarea activitilor;
X
Verificai dac este realizat evaluarea performanelor actuale ale
X
activitilor desfurate;
Verificai dac este realizat analiza sistemului actual de organizare i
X
conducere a activitii;
Verificai dac mediul i factorii externi de influen sunt examinai i
X
analizai la stabilirea proceselor organizaionale;
Verificai dac mediul intern i factorii interni de influen sunt analizai X
95
1.13.
1.14.
1.15
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
F.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7
1.8.
1.9.
1.10.
X
X
X
X
X
Examinai dac subsistemele IT acoper n totalitate nevoile pentru
X
funciile principale ale entitii publice
Analizai dac nevoile de subsisteme IT pentru funciile principale nouX
create au fost acoperite.
Verificai dac departamentele nfiinate ca urmare a funciilor principale
nou-create au fost solicitate s-i exprime cerinele specifice privind X
realizarea unor subsisteme IT proprii activitii lor
Analizai existena corelrii ntre termenele de realizare a subsistemelor.
X
Analizai procedurile pe baza crora se realizeaz subsistemele IT i
stabilii dac acestea sunt suficiente pentru implementarea acestor X
subsisteme n condiii optime.
Stabilii dac exist studii de fezabilitate pentru subsistemele IT
X
planificate.
Verificai dac exist proceduri pentru toate aplicaiile derulate n cadrul
X
organizaiei;
Verificai dac aplicaiile derulate n cadrul posturilor de lucru sunt
X
suficiente, necesare i asigur eficientizarea activitilor;
Verificai dac aplicaiile derulate sunt adecvate proceselor organizaiei;
X
Verificai dac aplicaiile sunt cunoscute i aplicate de utilizatori.
X
Elaborarea strategiei IT corespunde strategiei organizaiei
Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT
Verificarea dac exist un control asupra strii echipamentelor;
X
Verificarea dac obiectivele strategice n domeniul IT sunt stabilite pe
X
baza unei analize a strii actuale;
Verificarea dac achiziia aplicaiilor i programelor are n vederea
X
dezvoltarea strategic a organizaiei;
Verificarea dac achiziia echipamentelor i tehnicii de calcul ine cont
X
de dotarea existent;
Verificarea dac achiziiile de echipamente in cont de caracteristicile
X
calitative i de performante acestora;
Verificarea dac achiziiile de echipamente sunt adaptate nevoilor i
X
necesitilor organizaiei;
Verificarea dac aplicaiile i programele de achiziionat sunt adecvate
X
proceselor organizaiei;
Verificarea dac aplicaiile i programele achiziionate conduc la
X
integrarea datelor i informaiilor;
Verificarea dac strategia IT conduce la informatizarea n totalitate a
X
organizaiei;
Verificarea dac strategia asigur pregtirea personalului n concordan
X
cu programele de dezvoltare IT.
Auditori,
Popescu Sorin
Radu George
96
Data: 13.09.2009
Data: 13.09.2009
Constatri
Concluzii
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
99
Data: 13.09.2009
Data: 13.09.2009
Cauza
Consecina
Recomandri
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structura auditat
101
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatri
Data: 13.09.2009
Data: 13.09.2009
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
103
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Public Intern
NOT DE RELAII nr. 1.1
privind elaborarea i fundamentarea strategiei
adresat
Domnului Georgescu Mihai, ef serviciu
ef serviciu,
Georgescu Mihai
104
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Public Intern
INTERVIU nr. 1.1
privind elaborarea i fundamentarea planului strategic,
adresat domnului Ionescu Adrian, director general DGTI
ntrebri
Da
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
Nu
Observaii
X
X
X
X
X
X
X
X
Data: 13.09.2009
Formulat n prezena noastr: Auditori
Popescu Sorin
Radu George
Intervievat,
Director general, Ionescu Adrian
105
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 13.09.2009
Data: 13.09.2009
Cauza
Consecina
Recomandri
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
107
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatri
Data: 13.09.2009
Data: 13.09.2009
Concluzii
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
109
ENTITATEA PUBLIC
Serviciul Audit Intern
NTREBRI
DA
1.
2.
NU
OBSERVAII
4.
Obiectivele strategice
nu sunt realiste
Obiectivele strategice
nu sunt mobilizatoare
pentru salariai
Obiectivele strategice
nu sunt nelese de
salariai
5.
3.
6.
7.
8.
9.
10.
11.
Data:
13.09.2009
X
X
X
X
X
X
X
Obiectivele
generale
definite
nu
sunt
antrenante
pentru
salariai
ef Serviciu,
Stnescu Cristian
110
ENTITATEA PUBLIC
Serviciul Audit Intern
111
Cauza
Consecina
Recomandarea
Data: 13.09.2009
Data: 13.09.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
113
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatri
Data: 13.09.2009
Data: 13.09.2009
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
115
ENTITATEA PUBLIC
Serviciul Audit Intern
INTERVIU nr. 1.3
privind fundamentarea resurselor pentru asigurarea implementrii planului de activitate, adresat
Domnului Popescu Valentin ef serviciu Dezvoltare Aplicaii
Misiunea de audit: Activitatea IT
Perioada auditat: 01.01.2008 30.06.2009
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
NTREBRI
DA
X
X
Data: 13.09.2009
OBSERVAII
NU
x
X
Realizarea cu ntrziere a
activitilor
X
X
Depirea
costurilor
planificate
n
realizarea
obiectivelor
Nu a existat echilibru ntre
necesitile
planului
i
necesarul de echipamente
116
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 13.09.2009
Data: 13.09.2009
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
118
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatri
Concluzii
Data: 13.09.2009
Data: 13.09.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
119
ENTITATEA PUBLIC
Serviciul Audit Intern
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
8.
ntrebri
Da
Nu
Observaii
X
X
X
S-au
nregistrat
ntrzieri
n
realizarea
subsistemelor IT
Departamentul IT asigur resursele umane
necesare pentru elaborarea subsistemelor IT.
Data: 13.09.2009
Intervievat,
Director general, Ionescu Adrian
Elaborat n prezena noastr: Auditori
Popescu Sorin
Radu George
120
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Data: 13.09.2009
Data: 13.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
121
122
Procedura P10
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 15.09.2009
Data: 15.09.2009
Obiectivul I.
ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT
Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
2.
2.1.
2.2.
2.3.
2.4.
Activitatea de audit
Da
Nu
Observaii
123
2.5.
2.6.
2.7.
2.8.
2.9.
2,10.
2.11.
2.12.
2.13.
2.14.
2.15.
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
X
X
X
X
124
1.11.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
125
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20
C.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
X
X
Test. nr. 2.6
FIAP nr. 2.6
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
126
1.16.
1.17.
1.18.
X
Test nr. 2.8
FIAP nr. 2.8
X
Auditori,
Popescu Sorin
Radu George
127
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
128
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Data: 13.09.2009
Data: 13.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
129
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 15.09.2009
Data: 15.09.2009
Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
suprapunere i coordonare.
De asemenea, pentru realizarea unor activiti nu se respect principiul
convergenei n definirea i stabilirea coninutului activitilor care sunt necesare
pentru realizarea unui obiectiv.
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
131
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
7.
8.
9.
10.
11.
ntrebri
Da
15.09.2009
Nu
Observaii
X
X
X
X
X
Da, au fost elaborate
proceduri operaionale de
lucru, sunt cunoscute i
nsuite de ctre salariai
X
X
X
X
Intervievat,
Director General Adrian Ionescu
132
ef serviciu
Popescu Marin
133
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatarea
Cauza
Consecina
Recomandarea
Data: 15.09.2009
Data: 15.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
135
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 15.09.2009
Data: 15.09.2009
Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
136
Constatarea
Cauza
Consecina
Recomandri
Auditor intern,
Radu George
Data: 15.09.2009
Data: 15.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
137
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
138
Procedura P08:
ENTITATEA PUBLIC
Serviciul Audit Intern
Colectarea dovezilor
Nr.
crt
1.
2.
3.
4.
5.
Elemente
testate
Eantion
Evaluarea
demersurilor Analiza
consecinelor
Analiza organigramei departamentului
Existena preocuprii pentru Existena unui plan de
realizate de departamentul funcionrii departamentului
a
IT
ocuparea
posturilor
de implementare
IT
pentru
ocuparea IT cu persoane de conducere
msurilor
necesare
execuie
posturilor
cu delegaie
menit s asigure buna
Nr.
de
Nr.
Nr.
de
Nr.
de desf. a act. n cazul
Nr.
de
de examene
Nr. de sesizri Nr.
Nr. posturi total
Nr.
examene
Nr. total
solicitri ctre existenei unui numr
solicitri ctre
ale
depart. subsisteme IT organizate
de
cond. posturi posturi de organizate
compart. de mare de posturi de
compart. de
posturi de
la pentru
beneficiare ale neimpl.
ocupate cu de
execuie pentru
i/sau
conducere
RU
pentru conducere
RU
pentru
serviciilor IT timp
delegaie
ocuparea
execuie neocup. ocuparea
execuie vacante
org. ex.
org. ex.
posturilor
posturilor
Serviciul
3
dezvoltare
aplicaii
Serviciul
1
comunicaii
Serviciul
1
exploatare
aplicaii
Serviciul
proiectare
i 3
programare
Serviciul reele
1
informatice
12
Nu
Nu
Nu
Nu
Nu
Nu
10
Nu
Nu
Nu
14
Nu
Nu
Nu
Nu
Nu
Nu
139
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 15.09.2009
Data: 15.09.2009
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
140
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009
Auditor intern,
Ionescu Adrian
Supervizor,
Florescu Cristian
141
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
ntrebri
1.
X
Exist o politic de management al riscului?
Exist preocupri pentru managementul riscurilor n cadrul X
departamentului IT?
S-au organizat cursuri cu ntreg personalul pentru activitatea de
gestionare a riscurilor n conformitate cu metodologia de
organizare a sistemului de control intern conform prevederilor
OMFP nr. 946/2005 privind Codul controlului intern?
Au fost identificate riscurile la nivelul departamentului IT?
Exist un sistem de evaluare a riscurilor?
Au fost prevzute msuri de rspuns n cazul apariiei riscurilor?
Exist un sistem de monitorizare i raportare periodic a
riscurilor asociate activitii Direcia IT?
Avei elaborat i actualizat Registrul riscurilor?
Este desemnat un responsabil cu gestionarea riscurilor la nivelul X
departamentului IT?
2.
3.
4.
5.
6.
7.
8.
9.
Da
Nu
Obs.
X
X
X
X
X
Data: 15.09.2009
Intervievat,
Ionescu Adrian
Elaborat n prezena noastr: Auditori
Popescu Sorin
142
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Data: 15.09.2009
Data: 15.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
143
Descrierea
testului
Constatri
Data: 15.09.2009
Data: 15.09.2009
Concluzii
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
145
Data: 15.09.2009
Data: 15.09.2009
Cauza
Consecina
Recomandri
Auditor intern,
Popescu Sorin
obiectivelor.
Activitile de control, respectiv autorizarea, revizuirea performanei, procesarea
informaiilor, controalele fizice, separarea responsabilitilor nu ajut i nu dau
asigurri c deciziile conducerii sunt duse la ndeplinire.
Stabilirea controalelor interne aferente riscurilor identificate i determinarea
gradului de funcionalitate al acestora.
Pentru riscurile care nu se afl la un nivel acceptabil, s se proiecteze un instrument
sau msur de introducere de controale interne, fie individuale, fie n combinaie cu
alte controale, capabile s previn, detecteze i s corecteze n mod eficient
denaturrile semnificative.
Instituirea i conducerea Registrului riscurilor la nivelul organizaiei.
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
147
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
148
Nr.
crt.
1.
2.
3.
4.
5.
6.
NTREBRI
DA
X
X
8.
Data: 15.09.2009
10.
11.
OBSERVAII
7.
9.
NU
Intervievat,
Vasilescu Gheorghe
149
Intervievat,
Vasilescu Maria
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 15.09.2009
Data: 15.09.2009
Pentru conformitate,
Structur auditat
151
Descrierea
testului
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
152
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 15.09.2009
Data: 15.09.2009
Pentru conformitate,
Structur auditat
153
154
Procedura P10
ENTITATEA PUBLICA
Serviciul Audit Intern
Data: 16.09.2009
Data: 16.09.2009
Obiectivul III.
1.11.
1.12.
1.13.
1.14.
1.15.
Activitatea de audit
Da
Nu
Obs.
Managementul operaiunilor
Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori
Verificai dac identificarea disfuncionalitilor se face conform manualelor de
X
operare
Verificai dac mesajele sunt analizate i interpretate n timpul rulrii aplicaiei,
X
pentru identificarea cauzelor care au condus la apariia disfuncionalitilor;
Verificai dac mesajele de eroare se abordeaz n conformitate cu manualul de
X
operare;
Verificai dac a fost identificat i analizat impactul potenial al producerii unor
X
evenimente necontrolate asupra continuitii activitii;
Informatizarea organizaiei ia n considerarea toate departamentele din cadrul
acesteia, precum i funciile acestora, nu doar departamentele unde se X
proceseaz datele;
Verificai dac este estimat timpul maxim de nefuncionare care poate fi
X
acceptat i costurile asociate acestuia;
Analizai dac sunt stabilite de ctre conducere prioritile pentru procesele
X
necesare a fi informatizate i de integrare a datelor i informaiilor;
Verificai dac elaborarea planului de continuitate a activitilor se realizeaz
X
prin elaborarea de scenarii de ameninri;
Analizai dac determinarea nevoilor critice se realizeaz pe baza evalurii
X
funciilor, proceselor i personalului din cadrul fiecrui departament funcional;
Verificai dac pentru fiecare departament sunt stabilite urmtoarele:
a) ce echipamente specializate sunt necesare i cum se utilizeaz;
b) cum va funciona departamentul dac serverul, accesul la reea (intranet)
i/sau Internet nu sunt disponibile;
X
c) necesarul de personal i de spaiu pentru locul unde se face recuperarea;
d) ce echipamente sunt necesare la locul unde se face recuperarea;
e) ce controale critice operaionale sau de securitate sunt necesare nainte de a
face recuperarea;
Verificai dac personalul este instruit cu privire la salvarea i stocarea datelor i
X
securitatea informaiei;
Operaiile sunt analizate avnd n vedere interdependena lor?
X
Se analizeaz impactul produs de funcionarea incorect a unei operaii asupra
X
ntregului sistem?
Analiza a inut cont de funciile desfurate n cadrul entitii: tehnice sau legate
X
de procese?
Verificai dac funciile tehnice asigur o utilizare eficient a echipamentelor
X
Test
nr.
3.1.
a) dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite
FIAP nr.
b) dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i
3.1.
distribuite n siguran i n timp util
155
Operaiile sunt realizate ntr-o manier eficient, n timp util i la intervale bine
stabilite?
Exist aplicaii de programare i executare automat a proceselor?
Se urmrete reducerea riscului ca un proces:
- s nu fie iniiat corespunztor;
- s nu se execute n timpul planificat;
- s mreasc intervalele de inactivitate
- s nu fie monitorizat din punct de vedere al modului i timpului de execuie?
Se asigur obinerea rapoartelor detaliate privind procesele derulate?
n cazul apariiei unor erori de funcionare, administratorul responsabil poate
localiza ct mai precis defeciunea?
Se pot elabora soluiile de remediere?
Se realizeaz monitorizarea operaiilor din punctul de vedere al resurselor
alocate i utilizate efectiv: procesoare, memorii, mod de salvare?
Se utilizeaz aplicaii n acest scop?
Sunt identificate procesele care utilizeaz o cantitate mai mare de resurse dect
cele care i sunt alocate?
n acest caz, se realizeaz redimensionri ale resurselor alocate?
Sunt identificate procesele care nu utilizeaz complet resursele disponibile?
n acest caz, se are n vedere o reducere a volumului resurselor alocate?
Datele obinute, situaiile de ieite, rapoartele sunt stocate i distribuite n
siguran i n timp util?
Procesele genereaz la sfritul execuie diferite tipuri de rapoarte?
Aceste rapoarte sunt stocate n liste de ateptare?
Aceste fiiere pot fi listate, copiate, mutate n vederea unor analize sau
prelucrri ulterioare?
Mediile sau locaiile de stocare sunt protejate mpotriva deteriorrii sau a
accesului neautorizat?
Procedurile de salvare i restaurare protejeaz n mod real datele i aplicaiile
din sistemul informatic?
Acestea sunt corect planificate?
Sunt executate conform politicilor i procedurilor de securitate stabilite?
Exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale
de cteva ore, pentru operaiile curente?
Procedurile de salvare executate la intervale mai mari de timp includ copii
complete ale sistemelor informatice: date, operaii, programe?
Procedurile de mentenan a echipamentelor sunt realizate corect i la intervale
de timp stabilite n funcie de specificul fiecrei componente?
Verificrile tehnice sunt realizate innd cont de recomandrile fabricantului?
Sunt realizate de personal autorizat / specializat?
Se respect condiiile de acordare a garaniei?
Echipamentele hardware sunt asigurate corespunztor?
Exist polie da asigurare ncheiate pentru toate tipurile de riscuri?
Au fost estimate costurile implicate de eventuale daune?
Problemele de ordin tehnic, aprute n cadrul proceselor sunt raportate i
documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor?
La nivelul entitii este constituit un departament specializat n raportarea i
rezolvarea problemelor tehnice (help-desk)?
Se acord suport tehnic utilizatorilor, prin linii telefonice dedicate, e-mail sau
deplasri ale echipelor specializate?
Problemele aprute sunt definite corect?
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
156
1.53.
1.54.
1.55.
1.56.
1.57.
1.58.
1.59.
1.60.
1.61.
1.62.
1.63.
1.64.
1.65.
1.66.
1.67.
1.68.
1.69.
1.70.
1.71.
1.72.
1.73.
1.74.
1.75.
1.76.
1.77.
1.78.
1.79.
1.80.
1.81.
1.82.
1.83.
1.84.
2.
2.1.
2.2.
2.3.
nr.
nr.
157
2.4.
2.5.
2.6.
2.7.
2.8.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
3.13.
3.14.
3.15.
3.16.
B.
1.
1.1.
1.2.
aplicaiei;
Verificai dac utilizatorii primesc asisten n rularea aplicaiilor ori de cte ori
au nevoie;
Verificai dac asistena tehnic este acordat n conformitate cu manualele de
utilizare;
Verificai dac responsabilitatea funcionarii fiecrui program este n sarcina
unui administrator;
Verificai dac exist o supraveghere permanent n cadrul sistemului asupra
derulrii unui program sau aplicaie;
Verificai dac sistemul integrat permite depistarea automat a nefuncionrii
unui program sau aplicaie;
Elaborarea planului anual de activitate
Verificai gradul de acoperire cu activiti care concur la realizarea planului
anual de activitate:
a) activiti identificate;
b) proceduri aferente realizrii activitilor
c) aprobarea procedurilor de ctre persoanele competente;
d) actualizarea sistematic a procedurilor;
e) respectarea principiul dublei semnturi;
f) stabilirea responsabilitilor persoanelor implicate n activitatea de
implementare a sistemului IT;
Examinai dac exist atribuii privind realizarea activitilor cuprinse n planul
anual de activitate n domeniul IT;
Analizai politica entitii publice n domeniul IT i stabilii dac asigur
atingerea obiectivelor entitii publice;
Verificai dac politica entitii publice n domeniul IT se reflect n planul
anual de activitate n domeniul IT;
Examinai dac managerii cu responsabiliti n monitorizarea implementrii
politicii IT, au fost consultai la elaborarea planului anual de activitate n
domeniul IT;
Analizai activitatea de actualizare a planului anual de activitate n domeniul IT;
Analizai dac la elaborarea planului anual de activitate n domeniul IT s-au
avut n vedere:
a) analiza sistemului de fundamentare a planului;
b) analiza corelrii planului anual de activitate cu planul strategic;
c) evaluarea sistemului de prioritizare a activitilor cuprinse n plan;
d) verificarea elaborrii i aprobrii planului anual
Verificai documentele oficiale prin care au fost desemnate persoanele
responsabile cu elaborarea i actualizarea planului;
Examinai dac responsabilitile sunt clar definite pentru realizarea activitilor
IT;
Analizai dac fiele posturilor pentru persoanele responsabile au fost
actualizate;
Identificai deciziile luate n vederea elaborrii i actualizrii planului i
analizai dac acestea sunt n conformitate cu activitile stabilite;
Examinai instrumentele utilizate pentru estimarea resurselor i termenelor
necesare pentru realizarea planului de activitate;
Verificai dac prin elaborarea planului de activitate au fost stabilite plafoane
bugetare pentru activitile ce trebuie realizate i procedurile ce vor fi aplicate n
cazul n care acestea sunt depite;
Verificai dac planul este aprobat de persoanele competente;
Analizai dac planul aprobat este n conformitate cu politicile entitii publice
n domeniul IT;
Analizai mpreun cu factorii responsabili de realizarea subsistemelor IT pentru
funciile principale din cadrul entitii publice dac exist departamente
importante pentru care nu s-au realizat subsisteme IT;
Managementul problemelor
Programele antivirus asigur protecia aplicaiilor
Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s
specifice modul de configurare al programului antivirus;
Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s
specifice modul de actualizare a programului;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
158
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10
1.11.
1.12.
1.13.
1.14.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
X
X
X
X
X
X
X
nr.
de
nr.
de
nr.
nr.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
2.15.
Test
3.2
Foaie
lucru
3.1.
List
control
3.1.
FIAP
3.2.
Test
nr.
3.3.
Interviu
nr. 3.1.
FIAP nr.
3.3
159
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
2.22.
2.23.
2.24.
2.25.
2.26.
2.27.
2.28.
2.29.
2.30.
2.31.
2.32.
2.33.
2.34.
2.35.
2.36.
2.37.
2.38.
2.39.
2.40.
2.41.
C.
1.
1.1.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
160
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
1.25.
1.26.
1.27.
1.28.
1.29.
1.30.
1.31.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
161
1.32.
1.33.
1.34.
1.35.
1.36.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21
D.
1.
1.1.
1.2.
1.3.
1.4.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
162
1.5.
1.6.
1.7.
1.8.
1.9.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
D.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20
1.21.
1.22
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
163
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
3.
3.1.
3.2.
3.3.
3.4.
3.4.
.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Test
3.4.
Foaie
lucru
3.2.
List
control
3.2.
nr.
de
nr.
de
nr.
164
3.5.
Auditori,
Popescu Sorin
Radu George
165
Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Data: 16.09.2009
Data: 16.09.2009
166
167
Concluzii
Auditor intern,
Radu George
168
Procedura - P08:
Colectarea dovezilor
Entitatea Public
Serviciul Audit Public Intern
PROBLEMA
CONSTATRI
CAUZE
Data: 15.09.2009
Data: 15.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
170
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009
Auditor,
Radu George
Supervizor,
Dumitru Daniel
171
Auditor,
Radu George
Supervizor,
Dumitru Daniel
172
Auditor,
Radu George
anti-virus
Verificarea
Programul anti-virus se Monitorizarea
toate
a sistemului
de
actualizeaz n reea, astfel sistematic
aplicaiile
actualizare
a
nct s protejeze eficient funcionalitii
primite i
anti- programelor antidatele
electronice programelor
automat
virus
mpotriva viruilor nou- virus
intervale
aprui
X
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
Supervizor,
Dumitru Daniel
173
Cauza
Consecina
Recomandarea
Auditor,
Radu George
Data: 16.09.2009
Data: 16.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate
Structura auditat
174
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009
Implementarea subsistemelor IT
Realizarea subsistemelor IT conform aprobrilor i planificrilor.
Populaia este formata din aplicaiile i programele aprobate de conducerea
organizaiei pentru a fi implementate n perioada suspus evalurii. Acestea vor fi
evaluare n totalitate.
Analiza va urmri dac un program sau aplicaie aprobat a fost implementat cu
respectarea termenelor. Pentru fiecare aplicaie sau program aprobat se va urmri i
dac au fost stabilite resursele financiare necesare, inclusiv cuprinderea lor n buget.
Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i
aprobat, a pus n eviden faptul c termenele stabilite pentru implementarea
programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile
aplicaii IT ntmpin dificulti n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de
programe performante.
Programele i aplicaiile aprobate i pentru care au fost stabilite i aprobate i resursele
nu sunt implementate n termen.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
175
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
Serviciul Audit Intern
ntrebri
Da
Nu
Observaii
X
X
X
X
X
Data: 16.09.2009
Dat n faa noastr
Auditori:
Popescu Sorin
Radu George
Intervievat
Sef serviciu
Eleodor Darius
176
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 16.09.2009
Data: 16.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
177
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru
Daniel
178
Data: 16.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
179
Elemente
testate
Eantion
1.
2.
3.
4.
5.
Controlul
pe
Efectuarea
Controlul datelor
parcursul
Validarea
tranzaciilor
rezultate n urma
Controale care Autorizarea
procesrii
datelor
Controlul datelor
astfel
verific
electronic i/sau numai de
datelor
i procesrii,
introduse
n
transferate
nct s se asigure
nregistrrile manual
a computere
rapoartele
din
alte
aplicaii
definite
duble
tranzaciilor
produse n caz c aceste date sunt
aplicaii
prealabil
de nerealizare a complete
procesrii
Subsistemul IT pentru
gestiunea resurselor FIAP
umane
Subsistemul IT pentru
X
operaiuni financiare
Subsistemul IT pentru
X
activitatea contabil
Subsistemul IT pentru
FIAP
activitatea juridic
Subsistemul IT de
coordonare a relaiilor
X
bugetare cu Uniunea
European
Pstrarea integral
a
nregistrrilor
astfel nct s se nelegerea
la poat
urmri controalelor
implementate
de
tranzaciile
n efectuate din faza ctre utilizatori
de iniiere pn la
finalizarea lor
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
Data> 16.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
180
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 16.09.2009
Data: 16.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
181
Procedura P10
ENTITATEA PUBLICA
Serviciul Audit Intern
Data: 16.09.2009
Data: 16.09.2009
Obiectivul I.
SECURITATEA INFORMAIEI
Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
Activitatea de audit
Organizarea securitii informaiilor
Elaborarea politicii privind securitatea informaiei
Verificai dac exist o politic de securitate a informaiei;
Verificai dac politica de securitate a informaiei este aprobat de
conducerea organizaiei;
Verificai dac politica privind securitatea informaiei stabilete
responsabilitile asociate i principiile de securitate care trebuie
urmate de ctre personal;
Verificai dac politica de securitate a informaiei supune
informaiile i sistemele importante unei analize de risc n mod
regulat;
Verificai dac politica de securitate a informaiei impune ca
sistemele s fie clasificate ntr-un mod care s indice importana
acestora pentru organizaie;
Verificai dac politica de securitate a informaiei impune
utilizarea numai a programelor liceniate;
Verificai dac politica de securitate a informaiei asigur
condiiile de raportare sau abaterile de la regularitate;
Verificai dac protejarea informaiei este asigurat n condiii de
confidenialitate, integritate i disponibilitate;
Verificai dac politica de securitate interzice utilizarea
informaiilor i sistemelor organizaiei fr autorizare;
Verificai dac politica de securitate interzice scoaterea informaiei
sau echipamentelor din cadrul organizaiei fr autorizare;
Verificai dac politica de securitate interzice utilizarea
informaiilor, inclusiv a infrastructurii sau echipamentelor IT n
alte scopuri;
Verificai dac politica de securitate interzice copierea
neautorizat a datelor i informaiilor;
Verificai dac politica de securitate interzice divulgarea
informaiilor ctre persoane neautorizate;
Verificai dac politica de securitate oblig utilizatorii s nchid
programele sau aplicaiile cnd nu sunt utilizate;
Verificai dac politica de securitate oblig utilizatorii s se
deconecteze de la aplicaii, atunci cnd las calculatorul
Da
Nu
Obs.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
182
1.16.
1.17.
1.18
1.19
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
nesupravegheat;
Verificai dac politica de securitate este comunicat ntregului
X
personal;
Verificai dac politica de securitate are n vedere prevenirea
X
falsificrii probelor n cazul unui incident;
Verificai dac politica de securitate stabilete msurile
X
disciplinare ce pot fi luate n cazul nerespectrii ei;
Verificai dac politica de securitate este revizuit i actualizat
X
periodic.
Stabilirea responsabilitilor n cadrul politicii de securitate
Verificai dac exist o persoan din conducerea de vrf cu
X
responsabilitate general pentru securitatea informaiei;
Verificai dac exist un comitet nsrcinat cu coordonarea
X
activitii de securitate a informaiei;
Verificai dac comitetul responsabil de securitatea informaiei
X
coordoneaz aceast activitate la nivelul ntregii organizaii;
Verificai dac din comitetul nsrcinat cu coordonarea activitii
de securitate a informaiei fac parte persoane din conducerea de X
vrf a organizaiei;
Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei este responsabil pentru integrarea X
informaiei pentru toate sectoarele organizaiei;
Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei asigur tratarea intereselor privind X
securitatea informaiei curent i consecvent;
Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei este responsabil pentru aprobarea X
politicilor i standardelor de securitate a informaiei;
Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei este responsabil pentru aprobarea X
procedurilor de securitate a informaiei;
Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei este responsabil pentru aprobarea i
X
stabilirea prioritilor activitii de mbuntire a securitii
informaiei;
Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei asigur coordonarea implementrii X
instrumentelor de control aferente securitii informaiei;
Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei accentueaz importana securitii X
informaiei n cadrul organizaiei;
Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii autorizai
Verificai dac regulile de securitate privind accesul la
X
echipamentele i datele stabilite sunt respectate cu strictee;
Verificai dac abaterile de la regulile impuse sunt imediat
X
semnalate persoanelor responsabile;
Verificai dac dispozitivele de stocare sunt pstrate n condiii de
securitate pentru a evita distrugerea fizic, pierderea sau X
modificarea coninutului;
Verificai dac condiiile de pstrare sunt verificate periodic i
X
mbuntite;
Verificai dac salvrile de date sunt efectuate cu periodicitatea
X
impus de importana datelor i de regulile prestabilite;
Verificai dac arhivarea datelor este realizat cu frecvena impus
X
de reglementrile de operare;
Verificai dac drepturile utilizatorilor sunt verificate periodic, n
X
conformitate cu sarcinile alocate acestora;
Verificai dac permisiunile curente de acces la resursele partajate
sunt verificate, n vederea conformitii cu regulile de securitate X
impuse;
Verificai dac accesul la directoarele i fiierele cu caracter secret
X
se realizeaz n conformitate cu reglementrile interne;
183
3.10.
3.11.
3.12.
B.
1.
1.1.
1.2.
1.3.
1.4
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
184
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
C.
1.
1.1.
1.2.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
185
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
3.
3.1.
3.2.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
186
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
3.13.
3.14.
D.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
2.22.
2.23.
2.24.
2.25.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
188
2.26.
E.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
1.25.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
189
1.26.
1.27.
1.28.
1.29.
1.30.
1.31.
1.32.
1.33.
1.34.
1.35.
1.36.
1.37.
1.38.
F.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
190
2.7.
2.8.
2.9.
2.10.
2.11.
3.
4.
4.1.
4.2.
4.3.
4.4.
G.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
191
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22
1.23.
1.24.
1.25
1.26.
1.27
1.28
1.29
1.30
1.31.
1.32.
1.33.
1.34.
acces la sistem;
- accesul la sistem al utilizatorilor s fie restricionat la anumite
perioade de timp, ntre anumite ore;
- deconectarea utilizatorilor dup un anumit timp de inactivitate;
- configurarea conturilor n funcie de tipurile de utilizatori;
- contul de administrare (system user) s nu poat fi ters;
Verificai dac sistemul permite configurarea i controlul
parametrilor cheie;
Verificai dac salvarea datelor se realizeaz periodic n
conformitate cu specificaiile manualului;
Verificai dac copiile de siguran se realizeaz conform
indicatorilor din manualele de operare;
Verificai dac modulele/programele/datele salvate sunt corecte i
complete, conform manualelor de operare;
Verificai dac identificarea modulelor/programelor/datelor
salvate se face cu uurin;
Verificai dac suporturile/dispozitivele de stocare sunt depozitate
n condiii speciale, conform manualelor de operare;
Verificai dac coninutul fiecrui suport/dispozitiv de stocare este
consemnat pe etichet i nregistrat n registru;
Verificai dac dispozitivele de stocare au asigurat securitatea
conform instruciunilor de stocare;
Verificai dac exist un acces sigur i controlat la echipamentele
i dispozitivele de stocare;
Verificai dac dispozitivele de stocare sunt pstrate n condiii de
securitate;
Verificai dac modulele/programele, datele sunt salvate pe
dispozitivele sau suporturile de stocare precizate de manuale;
Verificai dac echipamentele i componentele hardware sunt
nregistrate corect i cu toate detaliile relevante pentru accesarea
operativ a informaiilor privind starea de funcionare i
configuraia lor,
Verificai dac evidenele dispozitivelor de stocare a datelor sunt
conduse, n scopul identificrii prompte a coninutului acestora.
Verificai dac accesul n cadrul sistemului se realizeaz numai pe
baza conturilor de utilizatori n funcie de tipurile specifice i de
atribuiunile fiecrui angajat;
Verificai dac aceste conturi respect anumite condiii privind
parolele, modul de acces, restriciile pe care le are fiecare cont n
parte;
Verificai dac utilizatorii sunt instruii s respecte regulile de
securitate logic;
Verificai dac exist proceduri pentru rezolvarea problemelor
legate de accesul neautorizat;
Verificai dac accesul la distan permite accesarea diferitelor
tipuri de aplicaii;
Verificai dac securizarea transferurilor se realizeaz prin linii
dedicate;
Verificai dac securizarea transferurilor utilizeaz protocoale
specifice de comunicaie;
Verificai dac la liniile dedicate au acces numai persoanele
autorizate din cadrul organizaiei;
Verificai dac se folosesc algoritmi de criptare a datelor;
Verificai dac algoritmii de criptare in cont de tipul informaiei;
Verificai dac datele transferate sunt criptate;
Verificai dac este evaluat riscul de interceptare neautorizat a
transferurilor;
Verificai dac utilizatorul aflat la distan se poate conecta la
reeaua entitii, numai printr-un canal prestabilit, alocat special
comunicrii / traficului la distan;
Verificai dac terminalul utilizatorului furnizeaz anumite date de
identificare astfel nct conexiunea s poat fi realizat;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
192
1.35.
1.36.
1.37.
1.38.
1.39.
1.40.
1.41.
1.42.
1.43.
1.44.
1.45.
X
X
X
X
X
X
X
X
Auditori,
Popescu Sorin
Radu George
193
Data: 16.09.2009
Data: 16.09.2009
Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul
delegaiilor sau pentru lucrul acas, la sisteme de importan major pentru asigurarea
continuitii activitilor organizaiei, cum ar fi sistemele care gestioneaz bazele de date,
serverele care deservesc compartimentele cheie ale entitii (tranzacii, operaiuni
financiare etc.).
ns, n ceea ce privete aplicaiile informatice la nivelul entitii nu exist o
prioritizare a importanei fiecreia, n vederea implementrii msurilor corespunztoare
de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului secretariat pentru
urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate ca i
sistemul integrat privind conducerea organizaiei.
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
195
Problema
Constatarea
Data: 16.09.2009
Data: 16.09.2009
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structura auditat
197
ENTITATEA PUBLICA
Serviciul Audit Intern
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
198
INTERVIU nr.4.1.
privind Politica de securitate IT
adresat
domnului Ptrulescu George, Director Direcia IT
Misiunea de audit: Activitatea IT
Perioada auditat: 01.01.2008 30.06.2009
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
ntrebri
Da
X
X
X
X
Nu
Obs.
X
X
Data: 16.09.2009
Dat n faa noastr
Auditori,
Popescu Sorin
Radu George
Intervievat,
Ptrulescu George
199
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 16.09.2009
Data: 16.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
200
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
201
de Echipamente Ui
ignifugate
a de
aer echipate cu ncuietori
adecvate
condiionat
X
X
X
X
X
X
X
X
X
X
NU
NU
NU
NU
NU
Data: 16.09.2009
Auditori,
Popescu Sorin
Radu George
Nota :
Echipa de auditori a constatat c nu au fost instalate nici camere de supraveghere care acoper zona de intrare n camera serverului monitorizate
permanent de serviciul ce asigur paza cldirii nici senzori de micare la nivelul Departamentul Resurse Umane. n prezenta List de control auditorii
au punctat lipsa acestor controale cu meniunea Nu deoarece situaia a fost remediat n timpul misiunii de audit i nu s-a mai ntocmit FIAP, dar
aspectele negative constatate vor fi menionate n Raportul de audit intern.
202
Cauza
Consecina
Recomandarea
Auditor intern,
Popesc Sorin
Data: 16.09.2009
Data: 16.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
203
Procedura P10
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 17.09.2009
Data: 17.09.2009
Obiectivul V.
PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
Nr.
crt.
A
1.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
Activitatea de audit
Proiectarea i elaborarea programelor i aplicaiilor
Achiziia programelor informatice
Verificai dac s-a realizat o fundamentare a deciziei privind achiziia
unui program existent pe pia, sau dezvoltarea acestuia n cadrul
entitii;
Verificai dac s-a realizat un studiu al pieei care s vizeze ofertele
furnizorilor de programe necesare a fi achiziionate;
Verificai dac modul de concepere a programelor ine cont de cerinele
activitii utilizatorilor i sunt compatibile cu alte sisteme utilizate de
entitate;
Verificai dac aplicaia/programul este conceput astfel nct s suporte
situaii imprevizibile n utilizarea lui de ctre organizaie;
Verificai dac activitile de testare se realizeaz astfel nct s nu
afecteze prelucrrile;
Proiectarea programului informatic
Verificai dac n proiectarea unui program/aplicaii fluxul de date a fost
identificat corect i complet n funcie de specificul activitilor i
periodicitatea acestora;
Verificai dac n proiectarea programului/ aplicaiei fluxul de date se au
n vedere rezultatele ateptate;
Verificai dac pentru proiectarea unui program sau aplicaie, procedurile
sunt stabilite corect i complet n funcie de prelucrrile care se vor aplica
datelor n vederea obinerii rezultatelor ateptate;
Verificai dac proiectarea unui program aplicaie analizeaz situaia
existent pentru a identifica potenialele deficiene n fluxul de date;
Verificai dac algoritmul programului este elaborat adecvat pentru
rezolvarea corect a problemei;
Verificai dac interfaa programului ine cont de structura i formatul
datelor de intrare;
Verificai dac modelele de organizare, accesare, prelucrare i arhivare a
datelor sunt elaborate riguros prin folosirea celor mai adecvate soluii
tehnice;
Verificai dac nivelul de independen fa de platforma suport hardware
i software sunt stabilite conform specificaiilor;
Verificai dac mediile i instrumentele de dezvoltare a
programului/aplicaiei sunt stabilite cu respectarea specificaiilor;
Da
Nu
Observaii
X
X
X
X
X
X
X
X
X
X
X
X
X
X
204
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22
1.23.
1.24.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
205
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19
1.20.
1.21.
1.22.
1.23.
1.24.
1.25.
1.26.
1.27
2.
2.1
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
206
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
Verificai
dac
opiunile
i
parametrii
de
operare
ai
programului/aplicaiei sunt setai conform specificaiilor din
documentaii;
Verificai dac condiiile de funcionare a programului/ aplicaiei sunt
refcute dup incidente hardware sau software;
Verificai dac implementarea programului/aplicaiei este monitorizat;
Verificai dac istoricul aplicaiilor menioneaz operaiile de ntreinere
sau up-date-urile realizate;
Verificai dac istoricul programului/ aplicaiei este pstrat n siguran;
Verificai dac utilizatori sunt instruii pentru nsuirea modului de
operare cu programul/aplicaia n conformitate cu documentaia aferent;
Verificai dac eventualele dezvoltrii ale aplicaiei sunt aduse la
cunotina utilizatorilor;
Verificai dac utilizatorii sunt asistai n lucrul efectiv cu
programul/aplicaia;
Verificai dac reinstalarea aplicaiei se realizeaz respectnd procedurile
standardizate;
Verificai dac jurnalul privind interveniile de service este adus la
cunotina persoanelor responsabile;
Verificai dac opiunile i parametrii de lucru ai aplicaiei sunt setai
conform documentaiei aplicaiei;
X
X
X
X
X
X
X
X
X
X
X
Auditori,
Popescu Sorin
Radu George
207
Constatri
Data: 17.09.2009
Data: 17.09.2009
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
209
Cauza
Consecina
Recomandarea
Data: 17.09.2009
Data: 17.09.2009
Auditor intern,
Radu George
stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat;
memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de
calcul.
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
211
Procedura P10
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 18.09.2009
Data: 18.09.2009
Obiectivul VI.
ELABORAREA I IMPLEMENTAREA PROIECTELOR IT
Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
2.
Activitatea de audit
Dezvoltarea proiectelor IT
Iniierea i elaborarea proiectelor IT
Analizai dac situaia pentru care trebuie implementat un proiect IT
este bine izolat i evaluat folosind mijloace specifice;
Analizai dac lansarea proiectului pentru implementarea unor noi
soluii IT este stabilit dup analiza detaliat a cauzelor i efectelor
pe termen lung ale perpeturii deficienelor actuale;
Verificai dac soluiile propuse pentru implementarea unui proiect
IT corespund cerinelor identificate;
Verificai dac obiectivele generale ale proiectului sunt stabilite cu
respectarea strategiei generale a organizaiei;
Analizai dac componentele proiectului reflect soluiile ce trebuie
implementate i care vor conduce la realizarea obiectivelor stabilite;
Verificai dac componentele proiectului sunt compatibile direct sau
prin interfee cu proiectele aflate n derulare;
Verificai dac rezultatele intermediare i finale ale proiectului sunt
evaluate folosind criterii adecvate;
Verificai dac bugetul alocat proiectului permite obinerea
configuraiilor hard/soft propuse;
Verificai dac cheltuielile cu mentenana acoper durata optim de
exploatare;
Verificai dac implementarea proiectului propus beneficiaz de
asisten tehnic;
Verificai dac cerinele utilizatorilor proiectului sunt identificate
corect i complet;
Verificai dac proiectele IT se pliaz pe cerinele utilizatorilor
crora le sunt destinate;
Verificai dac proiectul propus a fi elaborat este comparat cu cele
din portofoliul organizaiei, pentru a identifica asemnri i deosebiri
de care s se in cont;
Verificai dac proiectele propuse sunt competitive pentru
organizaie;
Verificai dac monitorizarea riscurilor asigur viabilitatea planului
de continuitate a activitilor;
Verificai dac frecvena i complexitatea testrilor proiectelor
implementate se bazeaz pe riscurile necontrolate.
Monitorizarea performanelor soluiilor IT implementate
Da
Nu
Observaii
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
212
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
213
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
X
X
X
X
X
X
X
X
X
X
X
Auditori,
Popescu Sorin
Radu George
214
Data: 18.09.2009
Data: 18.09.2009
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
215
Data: 18.04.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
216
Elemente
testate
Eantion
Computer nregistrat
numr de inventar 50
Computer nregistrat
numr de inventar 100
Computer nregistrat
numr de inventar 150
Computer nregistrat
numr de inventar 200
Computer nregistrat
numr de inventar 250
cu
FIAP
cu
FIAP
FIAP
cu
FIAP
FIAP
cu
FIAP
cu
FIAP
Data: 18.09.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
217
Data: 13.09.2009
Data: 13.09.2009
Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structur auditat
218
Procedura P10
ENTITATEA PUBLIC
Serviciul Audit Intern
Data: 19.09.2009
Data: 19.09.2009
Obiectivul 7.
PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIUNE A UNEI
REELE
Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
Activitatea de audit
Da
Nu
Observaii
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
220
1.8.
1.9.
1.10.
1.11.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
2.22.
2.23.
2.24.
2.25
2.26.
2.27.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
221
Constatri
Concluzii
Data: 19.09.2009
Data: 19.09.2009
Auditor,
Radu George
Supervizor,
Dumitru Daniel
222
ENTITATEA PUBLICA
Serviciul Audit Intern
Auditor,
Radu George
Supervizor,
Dumitru Daniel
223
Elemente
Testate
Eantion
FIAP
X
FIAP
FIAP
X
X
X
X
X
Data: 19.09.2009
Auditor,
Radu George
Supervizor,
Dumitru Daniel
224
Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor,
Radu George
Data: 19.09.2009
Data: 19.09.2009
Supervizor,
Dumitru Daniel
Pentru conformitate
Structura auditat
225
226
Procedura P10:
Entitatea Public
Serviciul de Audit Intern
Data: 20.09.2009
Data: 20.09.2009
Dup finalizarea interveniei la faa locului, se constituie Dosarele de audit intern n vederea
asigurrii unei legturi ntre obiectivele stabilite prin programul de audit, intervenia la faa locului i
raportul de audit public intern. Documentele culese i/sau ntocmite pe timpul misiunii de audit se
constituie n urmtoarele dosare:
A. Dosarul permanent, care cuprinde:
a) Seciunea A Raportul de audit intern i anexele acestuia:
- Ordinul de serviciu;
- Declaraia de independen;
- Rapoartele de audit intern (intermediar, final, sinteza Raportului de audit intern);
- teste;
- Fiele de identificare i analiz a problemelor;
- Formularele de constatare a iregularitilor;
- Programul interveniei la faa locului.
b) Seciunea B administrativ:
- Notificarea privind declanarea misiunii de audit;
- Minuta edinei de deschidere;
- Minuta reuniunii de conciliere;
- Minuta edinei de nchidere;
- Corespondena cu entitatea structurii auditate;
c) Seciunea C - documentaia misiunii de audit public intern:
- strategii interne;
- reguli, regulamente i legi aplicabile;
- proceduri de lucru;
- materiale despre entitatea/structura auditat;
- rapoarte de audit public intern anterioare;
- informaii privind fluxul de informaii;
- documentaia analizei riscului;
- documentaia privind sistemul de control (aprobri, autorizri, separarea
sarcinilor, supervizarea, reconcilierea, rapoarte etc.);
d) Seciunea D - supervizarea i revizuirea desfurrii misiunii i a rezultatelor
acesteia i cuprinde Lista de supervizare a documentelor;
B. Dosarul documentelor de lucru cuprinde copii xerox a documentelor justificative, care confirm i
sprijin concluziile. Dosarul se indexeaz prin atribuirea de litere i cifre pentru fiecare seciune/obiectiv din
cadrul programului.
Dosarele de audit public intern sunt proprietatea entitii publice i sunt confideniale i se pstreaz
pn la ndeplinirea recomandrilor din raportul de audit intern, dup care se arhiveaz potrivit
reglementarilor legale privind arhivarea.
227
Not:
Constituirea dosarelor de audit intern se realizeaz n finalul interveniei la faa locului i are ca
scop de a asigura o legtur ntre obiectivele misiunii de audit stabilite prin programul de audit,
constatrile efectuate n etapa de intervenie la faa locului i raportul de audit public intern.
Documentele de lucru trebuie organizate astfel nct s faciliteze trecerea n revist a dosarului i
s permit o comparaie rapid ntre constatrile i probele de audit.
Este necesar clasificarea tuturor documentelor de lucru, n funcie de etapa de activitate creia i
corespund.
Sursa de informaie trebuie indicat clar i precis, pentru a pstra i a verifica ulterior fiabilitatea
ei.
228
Procedura P10:
Entitatea public
Serviciul Audit Intern
Data: 10.10..2009
Data: 10.10.2009
Exist
Da
Nu
Auditori
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Document justificativ
..
Seciunea F- Organizarea i funcionarea departamentului IT
Atribuiile definite in sarcina Fiele posturilor pentru eantionul constituit
salariailor
nu
sunt
ntotdeauna conforme i nu
asigur
competena
de
realizare a activitilor i
aciunilor,
acestea
fiind
definite n multe cazuri la
modul general, nu indic, prin
modul de formulare o aciune,
nu asigur un coninut clar,
fiind definite sub forma unei
relaii funcionale sau avnd
caracter de activitate.
Organigrama ca document Organigrama departamentului
prin care se relev grafic
structura
organizaiei
i
substructurile acesteia nu
pune n eviden organizarea
i
funcionarea
departamentului.
Compartimentele aflate n
subordinea departamentului
nu sunt nominalizate n
229
totalitate
n
cadrul
organigramei i nu este
precizat nici nivelul de
subordonare
al
departamentului n cadrul
organizaiei.
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Popescu Sorin
Radu George
.
Seciunea H- Securitatea informaiilor
Inexistena unui sistem de
stabilire de ctre fiecare
utilizator a parolelor i a unui
responsabil cu verificarea
schimbrii
periodice
a
parolelor de acces.
.
Seciunea I Elaborarea i implementarea proiectelor IT
Cu toate c entitatea public
a achiziionat licene pentru
pachetul de programe Lotus,
s-au constatat c n cadrul
unor
departamente
se
folosesc programe aferente
pachetului Microsoft Office
fr ca pentru acestea
entitatea public s fi
achiziionat licene.
230
.
Seciunea K Proiectarea i meninerea n funciune a unei reele
Sistemul IT este conceput
astfel nct pentru accesul la
fiecare subsistem IT trebuiesc
folosite: nume de utilizator i
parol diferite, n loc s se
foloseasc acelai nume de
utilizator i parol indiferent
de subsistemul IT la care se
conecteaz angajatul.
Popescu Sorin
Radu George
.
Auditori,
Popescu Sorin
Radu George
Not:
Revizuirea documentelor asigur c documentele de lucru sunt pregtite n mod corespunztor i c
acestea furnizeaz un sprijin adecvat pentru munca efectuat i pentru dovezile adunate n timpul misiunii de
audit intern.
Auditorii revd documentele procedurale i documentele de lucru din punct de vedere al formei i al
coninutului, se asigur c dovezile de audit prezentate n susinerea constatrilor sunt justificative, respectiv
sunt suficiente, concludente i relevante.
231
232
Procedura P11:
EDINA DE NCHIDERE
Entitatea Public
Serviciul de Audit Intern
MINUTA EDINEI DE NCHIDERE
Data: 15.10..2009
Data: 15.10.2009
Lista participanilor:
Numele
Funcia
Direcia/
Serviciul
Dumitru Daniel
Popescu Sorin
Radu George
Minc Cristian
Negru Adrian
Ciobanu Vasile
Butnaru Lenua
Vasilescu George
Toma Eugen
Stnescu Ioana
Istrate Viorica
Sef serviciu
Auditor intern
Auditor intern
Director
Sef serviciu
ef serviciu
ef serviciu
ef serviciu
Consilier
Consilier
Consilier
SAI
SAI
SAI
Direcia IT
Serviciul 1 IT
Serviciul 2 IT
Serviciul 3 IT
Serviciul 4 IT
Serviciul 2 IT
Serviciul 3 IT
Serviciul 4 IT
Nr.
telefon
Semntura
B. Concluzii:
n cadrul edinei au fost prezentate obiectivele auditate i constatrile pentru fiecare obiect auditat. De asemenea, au
fost discutate constatrile, au fost analizate cauzele care au contribuit la realizarea disfuncionalitilor i au fost
comentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate.
In cadrul edinei de nchidere, structura auditat si-a nsuit n totalitate constatrile i recomandrile formulate de
echipa de auditori si, n acest sens, au prezentat Planul de aciune i Calendarul de implementare al
recomandrilor, cu termenele de realizare i persoanele responsabile, vor fi urmrite de echipa de auditori, pana la
implementarea acestora.
n consecin, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregtit pentru
aprobare i transmitere structurii auditate. Raportul de audit intern va fi nsoit de o SINTEZA care va conine
concluziile echipei de auditori interni cu prezentarea principalelor recomandri i opinia generala a acesteia.
Structura auditat se angajeaz sa completeze Planul de aciune i calendarul implementrii recomandrilor, cu
termenele de realizare i persoanele responsabile cu implementare acestora, pe care l vor discuta cu echipa de
auditori.
233
Not:
edina de nchidere a interveniei la faa locului are ca scop prezentarea opiniei auditorilor interni, a
constatrilor i recomandrilor finale, precum i discutarea unui plan de aciune nsoit de un calendar de implementare
a recomandrilor.
n cadrul acestei edine se urmrete ca att constatrile, ct i recomandrile, s fie uor de neles, s nu
permit interpretri i s nu fie prtinitoare. Constatrile trebuie s aib la baz documente doveditoare, iar
recomandrile trebuie s ajute managementul entitii auditate n luarea deciziilor manageriale n vederea eliminrii
deficienelor constatate.
234
Procedura P16:
Entitatea Public
Serviciul de Audit Intern
Nr.
crt.
1.
Lucrarea
Declaraia
independen
de
2
Colectarea
informaiilor
3.
.
.
.
n
Programul
audit intern
de
Constatarea
i
raportarea
iregularitilor
Nota
centralizatoare a
documentelor de
lucru
Raportul de audit
Data: 18.10..2009
Data: 18.10.2009
Propunerea
efului
structurii
de
audit/
Rspunsul
supervizorului misiunii,
auditorilor
ca urmare a revizuirii
documentului
Revizuirea
rspunsurilor
auditorilor de ctre
eful structurii de
audit/supervizor
Nu exist incompatibilitate
De acord
Se va ntocmi i
Nu exista un centralizator al elabora documentul
documentelor colectate i procedura de lucru
privind documentele
prelucrate
colectate i prelucrate
In programul de audit nu Programul de audit a
apare obiectivul cu privire la fost refcut, obiectivul
definirea
structurilor privind
definirea
organizatorice
structurilor
organizatorice a fost
cuprins n program
Nu s-a ntocmit i elaborat Se va ntocmi i
fisa de constatare i elabora FCRI n acest
raportare a iregularitilor caz
pentru constatarea cu privire
la necalcularea taxei pentru
eliberarea autorizaiilor de
construire
Nu s-a ntocmit i elaborat Se va elabora i
nota
centralizatoare
a ntocmi i elabora
documentelor de lucru
nota centralizatoare a
documentelor de lucru
De acord
De acord
De acord
De acord
..
..
Raportul de audit nu
prezint
cauzele
i
consecinele
constatrilor
efectuate
Raportul de audit va fi
completat
cu
precizarea cauzelor i De acord
consecinelor aferente
constatrilor efectuate
Supervizor,
Georgescu Cristian
235
Not:
Supervizarea reprezint activitatea de ndrumare, consiliere, supraveghere i verificare efectuat de
ctre supervizor asupra activitii echipei de audit, se realizat pe tot parcursul derulrii misiunii de audit
intern prin semnarea documentelor ntocmite.
Scopul activitii de supervizare este asigurarea c obiectivele misiunii de audit intern au fost atinse
n condiii de calitate.
Documentele de audit elaborate (procedurale sau ntocmite de auditor cu privire la constatri
efectuate) trebuie supervizate pentru a se asigura c acestea vin n sprijinul raportului de audit i c toate
procedurile de audit necesare au fost efectuate.
236
Procedura
Entitatea Public
Serviciul de Audit Intern
PROIECT
DE RAPORT DE AUDIT INTERN
ACTIVITATEA IT
BUCURETI
2009
237
CAPITOLUL I
DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN
e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul
validrii acestora;
f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea
nregistrrilor spre documentele justificative;
g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru
verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au
fost nregistrate.
- observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i
formeaz o imagine de ansamblu asupra structurii auditate;
- interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor
auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru
eventualele explicaii suplimentare se solicit note de relaii;
- analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate,
cuantificate i msurate distinct.
Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4
posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar
conform organigramei i Regulamentului de organizare i funcionare.
Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de
subordonare i de colaborare, precum i sarcinile de serviciu.
II. CONSTATRI
II. CONSTATRI I RECOMANDRI
Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n
perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor
semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de
management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu
au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit
proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la
proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii,
astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
resursele financiare, au fost legate doar de aceste aspecte.
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt
ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul
soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din
cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor
tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare
a achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest
program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n
testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a
proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest
caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul
organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma
evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea
s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au
legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea
proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de
realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic
Modernizarea infrastructurii IT din cadrul entitii.
Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare
strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora.
Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de
dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
e) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia;
f) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de
aciune stabilite la nivelul organizaiei;
g) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i
implementrii strategiei;
h) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care
se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n
vedere urmtoarelor etape:
d) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o
anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei
analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode
statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor
specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea
structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
e) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea;
f) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost
corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei
241
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s
putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le
obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost
corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei
implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat
n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la
nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia
astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate
i la atingerea obiectivelor strategice ale organizaiei.
n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul
de fundamentare a necesarului de resurse pentru elaborarea strategiei.
Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii
funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint
exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia.
n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c
acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care
dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea
coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale
organizatorice ntr-o viziune optimizant pe termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic,
tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de
obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de
realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la
implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul
economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o
dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici,
cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru
dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n
condiii de performan, la obinerea impactului definit de obiectivele strategice.
Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de
organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie.
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.
limitele stabilite.
1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT
sunt alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
desfoar n cadrul acestora.
243
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a
recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n
privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu
au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor.
Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu
cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.
unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea
activitilor.
Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au
coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel
salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu
privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
activitile n funcie de cunotinele i aptitudinile pe care le deineau.
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite
cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial.
La nivelul celor dou servicii n aceast perioad nu a fost luat nici o decizie cu privire la
mbuntirea activitilor sau la dezvoltarea acestora.
Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i
competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel
al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al
studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece
persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea
de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit
cunotine IT de nivel superior i chiar anumite specializri.
Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii
aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel.
Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme
i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma
unei relaii funcionale sau avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte
structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia
funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n
realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate
la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n
utilizarea echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie,
ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul
departamentului IT.
n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul
documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale
pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
4. SECURITATEA INFORMAIEI
251
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care
pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier.
Organizarea datelor n fiierele de date prezint urmtoarele disfuncii:
- redundan mare stocarea datelor n mai multe fiiere;
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de
sortare, fuziune, ventilare;
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele
ntr-o manier global;
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli
utilizatori doresc s modifice simultan aceleai date;
- dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de
corecturi n programele de calculator;
- fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se
modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n
toate fiierele de date.
Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv
un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor
n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional
prelucrabil ntr-un sistem de calcul.
*
*
Precizm faptul c, constatrile prezentate au la baz probe de audit, obinute pe baza testelor
efectuate, consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre
factorii de management ai entitii. Aceste evaluri au fost discutate i recomandrile auditorilor au fost
acceptate n edina de nchidere a misiunii i au fost apreciate de ctre participani ca fiind realiste i
fezabile.
Considerm c rezultatele evalurii auditorilor interni privind Activitatea IT se nscriu n parametri
normali pentru aceast perioad de consolidare a implementrii activitii de audit intern n cadrul entitilor.
De asemenea, prin implementarea recomandrilor echipei de auditori activitatea Direciei IT va cunoate o
ameliorare semnificativ.
Structura auditat are obligaia s respecte Programul de aciune i Calendarul implementrii
recomandrilor i s raporteze periodic echipei de auditori interni stadiul implementrii acestora.
Prezentul proiect de Raport de audit intern a fost ntocmit n baza tematicii n detaliu a obiectelor
auditabile selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor
efectuate n procedurile de colectare a dovezilor, din timpul interveniei pe teren, i s-au materializat n
elaborarea de FIAP-uri i FCRI-uri care au fost preluate n Raportul de audit intern.
Data: 18.10.2009
Auditori interni,
Popescu Sorin
Radu George
Supervizor,
Dumitru Daniel
Pentru conformitate,
Director , Direcia IT
..
254
Not:
Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului
general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n
urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit
utilizate.
La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele
de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte
documente de lucru.
255
Procedura P14:
REUNIUNEA DE CONCILIERE
Entitatea Public
Serviciul de audit public intern
Data: 10.09.2009
Data: 10.09.2009
A. Lista participanilor:
Numele
Funcia
Direcia/
Serviciul
Dumitru Daniel
Popescu Sorin
Radu George
Ptrulescu George
Voiculescu Alin
Boerescu Ilie
Teodorescu Rodica
Eleodor Darius
Iordache Camelia
Pun Elena
Badea tefan
Coordonator
Auditor
Auditor
Director
Sef
Sef
Sef
Sef
Sef
Sef
Sef
CAPI
SAPI
SAPI
DIT
STDAM
SCD
SEE
SAPP
SRC
SSD
SAT
Nr.
telefon
Semntura
B. Stenograma edinei
n cadrul edinei de conciliere s-a discutat asupra constatrilor i recomandrilor cuprinse n proiectul
Raportului de audit, iar reprezentanii structurii auditate au reiterat o parte din problemele cu care se
confrunt i anume:
- lipsa fondurilor necesare privind achiziia de echipamente performante;
- programe i aplicaii vechi care se adapteaz foarte greu nevoilor actuale de lucru i necesitilor
utilizatorilor;
- personal insuficient;
- participarea foarte slab i restrns la instruiri, datorit lipsei resurselor financiare.
Cu privire la constatrile i recomandrile formulate, conducerea entitii a formulat un singur punct de
vedere, respectiv existena sistemului potrivit cruia fiecare utilizator poate stabili i introduce propria
parol, n vederea protejrii echipamentului i a aplicaiilor pe care le utilizeaz. n acelai timp exist
responsabilizat persoan care verific dac parolele de acces au fost schimbate periodic i au prezentat n
acest sens documente justificative.
Auditori interni au reinut acest aspect, au evaluat documentele prezentate i au concluzionat c
raportul de audit va fi revizuit n mod corespunztor referitor la aceast informaie, iar recomandarea i
termenele de implementare vor ine seama aciunile planificate de entitate pentru implementarea acestui
program.
Pentru implementarea recomandrilor i remedierea problemelor constatate structura auditat a ntocmit
256
i ne-a prezentat planul de aciune i calendarul de implementare al recomandrilor, prin care s-au stabilit
persoanele responsabile pentru implementare, etapele i termenele de realizare.
Pentru toate celelalte constatri, structura auditat nu a formulat obiecii fiind de acord cu acestea,
recunoscnd deficienele din activitatea specific.
Not:
Scopul edinei de conciliere este de a analiza constatrile i concluziile i de a valida definitiv recomandrile i planul
de aciune elaborat pentru implementarea acestora, modalitile de punere n practic, responsabilii i calendarul de
implementare.
Participani vor fi persoanele prezente la edina de nchidere, conductorul structurii auditate i persoanele
responsabile cu punerea n practic a aciunilor stabilite.
edina de conciliere trebuie organizat n termen de 10 zile de la data primirii punctului de vedere al auditatului.
257
258
Procedura
Entitatea Public
Serviciul de Audit Intern
ACTIVITATEA IT
BUCURETI
2009
259
CAPITOLUL I
DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN
Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4
posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar
conform organigramei i Regulamentului de organizare i funcionare.
Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de
subordonare i de colaborare, precum i sarcinile de serviciu.
II. CONSTATRI
II. CONSTATRI I RECOMANDRI
Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n
perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor
semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de
management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit
proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la
proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii,
astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
resursele financiare, au fost legate doar de aceste aspecte.
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt
ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul
soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din
cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor
tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare
a achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest
program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n
testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a
proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest
caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul
organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma
evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea
s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au
legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea
proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de
realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic
Modernizarea infrastructurii IT din cadrul entitii.
Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare
strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora.
Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de
dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
i) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia;
j) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de
aciune stabilite la nivelul organizaiei;
k) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i
implementrii strategiei;
l) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care
se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n
vedere urmtoarelor etape:
g) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o
anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei
analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode
statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor
specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea
structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
h) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea;
i) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost
corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
263
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s
putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le
obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost
corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei
implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat
n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la
nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia
astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate
i la atingerea obiectivelor strategice ale organizaiei.
n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul
de fundamentare a necesarului de resurse pentru elaborarea strategiei.
Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii
funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint
exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia.
n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c
acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care
dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea
coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale
organizatorice ntr-o viziune optimizant pe termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic,
tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de
obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de
realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la
implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul
economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o
dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici,
cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru
dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n
condiii de performan, la obinerea impactului definit de obiectivele strategice.
Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de
organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie.
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.
de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin
atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n
cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a
nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea
competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce
a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea
obiectivelor i realizarea activitilor.
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta
a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru
nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor
obiective ale planului.
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului
anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul
de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au
pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor
angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori
deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru
implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a
normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei,
importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor
generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii
i resursele interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate
corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura
competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din
noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului
funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de
mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile
de atingere a obiectivelor planului.
Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a
salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate
s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate
corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele
necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii
planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite.
Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii
acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a
muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri)
i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
ierarhice de-a lungul crora se exercit autoritatea n organizaie.
Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv
specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni
concrete de realizare a acestora, fie indic o aciune comun de realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate
aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care
asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea
dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i
probleme semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i
stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv.
Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a
activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s
redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se
asigure c obiectivele vor fi realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii
rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.
- mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat.
- procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp
stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens.
- constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea
operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de
specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
- elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile
efectuate asupra operaiilor informatice.
.
3.3.2. Asigurarea caracterului secret al datelor
.
4. SECURITATEA INFORMAIEI
273
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli
utilizatori doresc s modifice simultan aceleai date;
- dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de
corecturi n programele de calculator;
- fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se
modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n
toate fiierele de date.
Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv
un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor
n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional
prelucrabil ntr-un sistem de calcul.
III. CONCLUZII
Echipa de auditori pe baza testrilor i analizelor efectuate evalueaz Activitatea de stabilire i
colectare a impozitelor i taxelor locale din entitatea auditat conform grilei:
Nr..
Crt.
1.
2.
3.
4.
5.
6.
7.
APRECIERE
OBIECTIVUL
FUNCIONAL
DE
MBUNTIT
X
CRITIC
X
X
X
X
X
Precizm, faptul c constatrile prezentate au la baz probe de audit obinute pe baza testelor
efectuate consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre factorii
de management ai entitii. Aceste evaluri au la baz discuiile care au avut loc cu privire la recomandrile
auditorilor n edinele de nchidere i conciliere ale misiunii, apreciate de ctre participanii la aceste edine,
ca fiind realiste i fezabile, i materializate n minutele edinelor de nchidere i conciliere.
Considerm c rezultatele evalurii auditorilor interni privind Activitatea privind tehnologia
informaiei se nscrie n parametri normali pentru aceast perioad de introducere a auditului intern n
entiti. De asemenea, prin implementarea recomandrilor echipei de auditori activitatea de stabilire i
colectare a impozitelor i taxelor locale va cunoate o ameliorare semnificativ.
Structura auditat are obligaia s ntocmeasc Programul de aciune i Calendarul implementrii
recomandrilor i s raporteze periodic echipei de auditori stadiul implementrii acestora.
Prezentul Raport de audit intern a fost ntocmit n baza Tematicii n detaliu a obiectelor auditabile
selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor efectuate n
timpul etapei de colectrii i prelucrrii informaiilor i n timpul Intervenie la fata locului. Toate
constatrile efectuate au la baz probe de audit realizate prin teste, interviuri, liste de control, note de relaii
i n urma analizei i interpretrii acestora s-au elaborat FIAP-uri i FCRI-uri care au condus la concluziile
cuprinse n Raportul de audit intern.
276
Data: 28.10.2009
Auditori interni,
Popescu Sorin
Radu George
Supervizor,
Dumitru Daniel
Not:
Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului
general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n
urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit
utilizate.
La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele
de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte
documente de lucru.
277
Procedura P15:
SINTEZA
RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit intern privind Activitatea de tehnologia informaiei din cadrul entitii publice s-a desfurat
conform prevederilor Legii nr. 672/2002 privind auditul public intern, cu modificrile i completrile ulterioare,
OMFP nr. 38/2003 de aprobare a Normelor generale privind exercitarea activitii de audit intern, a Normelor specifice
proprii de audit intern aprobate de conducere i a Planului de audit intern pe anul 2009, i a fost realizata de:
APRECIERE
OBIECTIVUL
FUNCIONAL
DE
MBUNTIT
X
CRITIC
X
X
X
X
X
2. Constatri: La elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere evaluarea
situaiei actuale pe baza analizei diagnostic, identificarea punctelor tari i a punctelor slabe ale entitii i
fundamentarea variantelor strategice
Recomandri: Pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre
managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n
conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s
contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor
strategice ale organizaiei. n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de
lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei.
3. Constatri: Obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii funcionale
i nu contribuie la asigurarea realizrii mandatului organizaiei. Acestea reprezint exprimrile cantitative i
calitative ale scopului pentru care exist i funcioneaz organizaia.
Recomandri: Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale
sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont
de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie.
4. Constatri: Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n totalitate, n
mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n cadrul compartimentelor n
corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri,
obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena necesar, n special a
celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor
competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea
activitilor. Activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta
a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru
nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor
obiective ale planului.
Recomandri: Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia
specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru
dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile
necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul
compartimentelor. Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii
economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor
necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura
ncadrarea n limitele stabilite.
5. Constatri: Departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
desfoar n cadrul acestora.
Recomandare: Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin
proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la
nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.
6. Constatri: Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna
aria de competen privind realizarea activitilor i aciunilor repartizate.
Recomandare: Contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor
prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set
de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor.
7. Constatri: Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea
complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
Recomandri: Realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s
stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei
managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate.
279
8. Constatri: Organigrama ca document prin care se relev grafic structura organizaiei i substructurile
acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n
subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici
nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a
raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de
subordonare, potrivit organigramei, Recomandare: Pentru remedierea deficienelor constatate s-a
recomandat analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor
definite departamentului astfel nct s acopere n totalitate activitile desfurate.
9. Constatri: Persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel
activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la
modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de
realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n funcie
de cunotinele i aptitudinile pe care le deineau.
Recomandare: Desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere
existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein
abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au
pregtirea de baz, de nivel superior, n domeniul IT.
10. Constatare: Riscurile nu sunt identificate i gestionate la nivelul departamentului i nu este condus
Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele de control
intern implementate pentru limitarea acestora.
Recomandare: Elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i
gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri
acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil.
11. Constatare: Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de
control ce trebuie alocate n vederea atingerii obiectivelor.
Recomandare: Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente
riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau
msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s
previn, detecteze i s corecteze n mod eficient denaturrile semnificative.
12. Constatare: La nivelul departamentului nu este organizat i nu se conduce registrul riscurilor. Riscurile
cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i
meninerii lor la un nivel acceptabil.
Recomandare: Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului
riscurilor la nivelul organizaiei.
13. Constatare: Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine
cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia.
Recomandare: Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii
aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel.
13. Constatare: Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i
nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul
general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma unei
relaii funcionale sau avnd caracter de activitate sau sarcin. Nu sunt definite n cadrul ROF-ului la
capitolul privind departamentul IT relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib
relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii
informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i
informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din
cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare.
Recomandare: n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n
cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor
funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
280
14. Constatare: Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n
disfuncii legate de gestionarea acestora.
Recomandare: Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie
de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile
IT i resursele alocate acestor scopuri. Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii
sau accesului neautorizat. Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea
i rezolvarea operativ a problemelor de ordin tehnic, care s asigure i acordarea suportului tehnic de
specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
15. Constatare: Neaplicarea n mod unitar a politicii de securitate IT, care a condus la infectarea cu virui a
unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a verificat 5 de staii de
lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2 departamente din
cadrul entitii publice configuraia programului anti-virus pentru un numr de doua calculatoare a fost
modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a
fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera
c programul anti-virus are un efect negativ asupra performanei sistemului.
Recomandare: Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de
verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n
cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea
sunt dezactivate i produc disfuncii n cadrul organizaiei.
16. Constatare: Subsistemele IT nu au fost realizate la termenele stabilite. Astfel, analiza implementrii
subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite
pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile
aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au
nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Recomandare: Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor
financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii
acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja
implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget.
17. Constatare: Nu exist un sistem de controale generale care s fie avute n vedere n cadrul procesului
de proiectare, realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe echipamentele
entitii publice.
Recomandare: Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate
subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze
corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de
instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz.
18. Constatare: Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect
procedurile specifice privind asigurarea securitii reelelor.
Recomandare: Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea
n timp util a situaiilor privind reelele IT. Tratarea securitii reelelor ca pe un proces continuu, astfel nct
schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la
riscuri. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis, cuprinztor
i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
19. Constatare: Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
neasigurndu-se o intervenie prompt i rapid, iar securitatea datelor i informaiilor nu este asigurat pe
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole. La nivelul entitii au fost
elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor,
sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte
dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii
reelelor din cadrul entitii.
Recomandare: Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu.
Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i
281
Auditori interni,
Popescu Sorin
Radu George
Supervizor,
Dumitru Daniel
282
Procedura P18:
URMRIREA RECOMANDRILOR
Entitatea Public
Serviciul de Audit Intern
Data: 10.09.2009
Data: 10.09.2009
Serviciul de Audit Intern
Sfrit de lun
RECOMANDAREA
Parial
implement
at
Neimplem
entat
Recomandarea
Implement
at
Nr.
crt.
31.12.2009
31.03.2010
31.12.2009
31.12.2009
283
8
9
10
11
12
13
14
31.12.2009
31.12.2009
31.03.2010
31.12.2009
31.03.2010
31.03.2010
31.12.2009
31.12.2009
31.12.2009
31.03.2010
284
15
16
17
18
19
20
31.12.2009
31.-03.2010
31.12.2009
31.03.2010
31.12.2009
31.12.2009
285
21
22
23
24
Instruciuni
1. Introducei recomandrile de audit dup cum
sunt prezentate n Raportul de audit intern.
2.
Verificai
coloana
corespunztoare:
implementat, parial implementat, neimplementat
3. Introducei data planificat pentru implementare
n Raportul de audit intern i data implementrii
Auditori interni,
Popescu Sorin
31.12.2009
31.03.2010
31.12.2009
31.03.2010
Supervizor,
Dumitru Daniel
Radu George
Not:
Aceast etap a misiunii de audit presupune asigurarea c recomandrile din raportul de audit intern
sunt implementate ntocmai la termenele stabilite i n mod eficace, iar conducerea a evaluat riscul de
neaplicare a acestor recomandri.
Structura de audit intern va evalua eficacitatea i oportunitatea aciunilor stabilite i ntreprinse n
vederea implementrii recomandrilor, respectarea termenelor i va determina progresele nregistrate de
structura auditat i modul de mbuntire a activitilor stabilind valoarea nou creat de auditul intern.
Responsabilul entitii auditate asigur monitorizarea implementrii planului de aciune i l
informeaz periodic pe auditor.
Responsabilul din cadrul structurii de audit intern cu urmrirea recomandrilor trebuie s
implementeze i s actualizeze un proces de urmrire a implementrii recomandrilor care s permit
supravegherea i s garanteze c msurile au fost efectiv implementate de ctre management
286
Procedura P18:
URMRIREA RECOMANDRILOR
Entitatea public
Serviciul audit intern
PLANUL DE ACIUNE I CALENDARUL
IMPLEMENTRII RECOMANDRILOR
Nr.
crt.
1.
2.
3.
Recomandarea
Plan de aciune
Calendar
implementa
re
Responsabil
cu
implementar
ea
31.12.2009
eful
IT
Depart.
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
287
4.
5.
6.
7.
Contientizarea
managementului
responsabil cu procesul de stabilire i
definire a atribuiilor prin informri i
consilieri pentru clarificarea modalitilor
practice de definire a unei atribuii sau
unui set de atribuii pentru asigurarea ariei
de competen necesar pentru realizarea
activitilor.
Realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui
angajat, care s stea la baza oricrei
iniiative de organizare a activitii.
Constituirea unei echipe, pe baza deciziei
Evaluarea
sarcinilor
i
responsabilitilor
stabilite
posturilor
Urmrirea
dac
sarcinile
i
responsabilitile stabilite postului
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
Depart.IT
31.03.2010
eful
IT
Depart.
288
8.
9.
10.
11.
12.
13.
Identificarea
tuturor
riscurilor
inerente n cadrul departamentului
Stabilirea instrumentelor de control
necesare limitrii riscurilor
Implementarea instrumentelor de
control
Urmrirea
eficienei
i
funcionalitii instrumentelor de
control i dac acestea au limitat
riscul i-l menin n limite
acceptabile.
Reevaluarea sarcinilor stabilite
fiecrui
post
din
cadrul
departamentului
Redefinirea acestora pe posturi n
funcie de caracteristicile i
cerinele acestora
Stabilirea de sarcini fiecrui post n
funcie de nivelul postului i natura
acestuia
Revizuirea atribuiilor din cadrul
ROF-ului i redefinirea n mod
adecvat a acestora
Revizuirea relaiilor funcionale n
cadrul i n afara departamentului i
redefinirea adecvat a acestora
31.12.2009
eful
IT
Depart.
31.03.2010
eful
IT
Depart.
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
289
14.
15.
16.
17.
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.-03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
290
18.
19
20
21
22
23
i
funcioneaz,
identificarea
i
implementarea de instrumente de control
pentru controalele interne care nu sunt
implementate sau nu funcioneaz.
Implementarea procedurilor operaionale
de lucru cu elemente care s asigure
actualizarea n timp util a situaiilor
privind reelele IT; Tratarea securitii
reelelor ca pe un proces continuu, astfel
nct schimbrile n cadrul utilizatorilor,
echipamentelor sau aplicaiilor s se
realizeze evitnd expunerile la riscuri;
riscurilor
Stabilirea instrumentelor de control
de implementat astfel nct s
asigure funcionalitatea acestora
Revizuirea procedurilor de lucru
Elaborarea unei proceduri de lucru
cu privire la tratarea securitii
reelelor.
Securizarea tuturor aplicaiilor i
programelor cu privire la accesul la
acestea, inclusiv la informaiile
coninute.
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
291
24
utilizate fr licene.
Instalarea de programe i aplicaii
adecvate pentru care exist licene.
Analiza eficienei i eficacitii
aplicaiilor
utilizate
i
a
oportunitii schimbrii acestora cu
unele cu caliti i performane
ridicate.
Realizarea
procesului
de
reenginering
la
nivelul
departamentului IT i asigurarea c
salariaii pot accesa subsistemele IT
utiliznd un singur nume i o
singur parol de acces.
31.03.2010
eful
IT
Depart.
292
EVALUAREA INTERN
Procedura P19:
Entitatea Public
Serviciul de Audit Intern
Data: 28.09.2009
Data: 28.09.2009
Bugetul de timp planificat: 260
1 2
3 4 5 Observaii
X
A fost necesar s se
lucreze peste orele
de program
X
X
X
293
EVALUAREA EXTERN
Evaluarea misiunii de audit intern mai poate fi realizat i de conducerea structurii auditate creia i
se nainteaz un chestionar de evaluare prin care i se solicit s prezinte o apreciere asupra desfurrii
misiunii de audit i a modului de implicare al auditorilor interni pe parcursul misiunii.
Evaluarea misiunii de audit intern de ctre structura auditat este formalizat prin Fia de evaluare a
misiunii de audit intern ntocmit de ctre structura auditat.
294
Procedura P19:
Entitatea public
Serviciul Audit Intern
FIA DE EVALUARE A MISIUNII DE AUDIT INTERN
DE CTRE STRUCTURA AUDITAT
Misiunea de audit: Tehnologia informaiei
Perioada auditat: 01.01.2008 30.06.2009
ntocmit: Popescu Sorin/Radu George
Avizat: Dumitru Daniel
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Obiectiv auditat
Data: 28.09.2009
Data: 28.09.2009
Note
1
2
4
X
Obs.
16.
17.
Ce v-a plcut cel mai puin pe timpul misiunii de audit descriei cel puin 3 aspecte care vau plcut cel mai puin
ntlnirile pe parcursul misiunii au fost limitate, nu ntotdeauna din vina auditatului.
Ce obiective de audit considerai c nu au fost atinse n totalitate din cele comunicate
Nu sunt comentarii.
18.
19.
Alte comentarii
Tabelele de mai sus vor fi completate innd cont de urmtorul sistem de punctaj:
1 pentru nesatisfctor;
2 pentru slab;
3 pentru satisfctor;
4 pentru bine;
5 pentru foarte bine.
Not: n practic se va urmri ca pentru orice notare sub 3 s se solicite explicaii scrise.
Evaluarea extern a funcionalitii activitii de audit intern se realizeaz i de U.C.A.A.P.I. i
organul ierarhic superior pentru structurile din subordine prin verificarea respectrii normelor metodologice
generale i specifice, a Standardelor de audit intern, a bunei practici recunoscute n domeniu i a Codului
etic al profesiei.
Activitatea de evaluare extern a activitii de audit intern, n Romnia, conform cadrului normativ
general, se realizeaz o dat la 5 ani, ocazie cu care, n funcie de necesiti, se iniiaz msuri corective n
colaborare cu conductorul entitii evaluate n cauz.
Documentele de evaluare intern i extern se arhiveaz n Dosarul permanent, Seciunea Supervizarea.
296