27.03.

2014

ASI din perspectiva

Auditului intern

Definiii

Auditul intern: o activitate independent de asigurare obiectiv i de

consiliere, avnd drept scop crearea de valoare adugat i mbuntirea
operaiunilor organizaiei. Aceasta ajut organizaia s-i ating obiectivele
printr-o abordare sistematic i disciplinat privind evaluarea i guvernarea.
(IIA, 2008);

Auditul public intern: o activitate funcional independent i obiectiv, care d

asigurri i consiliere conducerii pentru buna administrare a veniturilor i
cheltuielilor publice, perfecionnd activitile entitii publice. Ajut entitatea
public s-i ndeplineasc obiectivele printr-o abordare sistematic i
metodic, care evalueaz i mbuntete eficiena i eficacitatea
sistemului de conducere bazat pe gestiunea riscului, a controlului i a
proceselor de administrare. (OUG 38, 2003)

27.03.2014

Obiective i legtura cu SI
Evaluarea riscurilor i ctrl int. aferente op i SI

fiabilitatea i integritatea informaiilor financiare i operaionale;

eficacitatea i eficiena operaiilor;
protejarea patrimoniului;
respectarea legilor, reglementrilor i procedurilor.

Etape principale
Misiunea de Audit IT din perspectiva auditului intern
Etapele pot fi particularizate i n cazul unui audit la societi comerciale

Pregtirea

Colectarea informaiilor
Analiza riscurilor

Intervenie

Colectarea dovezilor/probelor
Constatare abateri/iregulariti

Raport
Urmrire

ntocmirea i transmiterea raportului

Urmrirea recomandrilor

27.03.2014

Etape principale -> Pregtirea - > Analiza riscurilor

n procedura de analiz a riscurilor se urmtoarele documente:
1. Lista centralizatoare a obiectivelor auditabile: cuprinde
obiectivele i obiectele auditabile incluse n misiune.
Extras din lista centralizatoare a obiectivelor auditabile:
Obiectiv: Securitatea IT
Obiecte auditabile: Programe antivirus

2. Lista de identificare a riscurilor: presupune asocierea

riscurilor semnificative pentru obiectele auditabile stabilite
anterior.
Extras din Lista de identificare a riscurilor:
Obiectiv: Securitatea IT
Obiecte auditabile: Programe antivirus
Riscuri semnificative: Neluarea msurilor necesare privind
implementarea programelor antivirus conform procedurilor.

Etape principale -> Pregtirea - > Analiza riscurilor

n urma stabiliri riscurilor se procedeaz la elaborarea i completarea:
3. Chestionarului de control intern: ghideaz auditorii n activitatea de
identificare obiectiv a disfunciilor i a cauzelor acestora. De asemenea,
permite identificarea zonelor n care controlul intern contribuie la
reducerea impactului riscurilor identificate;

Obiectiv: Securitatea IT -> Obiecte auditabile: Programe antivirus ->

Riscuri
semnificative:
Neluarea
msurilor
necesare
implementarea programelor antivirus conform procedurilor.
ntrebri din Chestionarul de control intern:
1. Exist program antivirus (cu licen)?
2. Programul este activ permanent?
3. Actualizrile se fac cu regularitate?
4. Se fac verificri pentru asigura c prg. este config bine?
5. Utilizatorii sunt instruii s raporteze probl constatate?

privind

DA / NU
DA / NU
DA / NU
DA / NU
DA / NU

27.03.2014

Etape principale -> Pregtirea - > Analiza riscurilor

4. Nivelului riscului i a punctajului total al riscului: pp. evaluarea nivelului
riscurilor asociate obiectelor auditabile i determinarea punctajului total pentru
fiecare risc identificat, dup metodologia de mai jos:
Factor de risc

%
factor risc

Nivel de apreciere a riscului

1

Aprec control intern

50%

Exist proc i se
aplic

Exist proc dar nu

se aplic

Nu exist proceduri

Aprec cantitativ

30%

Impact financiar
redus

Impact financiar
mediu

Impact financiar
ridicat

Apreciere calitativ

20%

Vulnerabilitate
mic

Vulnerabilitate
medie

Vulnerabilitate
mare

Riscuri semnificative: Neluarea msurilor necesare privind implementarea programelor antivirus conform
procedurilor.
ntrebri din Chestionarul de control intern:
1. Exist program antivirus (cu licen)?
2. Programul este activ permanent?
3. Actualizrile se fac cu regularitate?
4. Se fac verificri pentru asigura c prg. este config bine?
5. Utilizatorii sunt instruii s raporteze probl constatate?

DA / NU
DA / NU
DA / NU
DA / NU
DA / NU

Risc = 50% x 2 + 30% x 3 + 20% x 3 = 2,5

Etape principale -> Pregtirea - > Analiza riscurilor

5. Tabelul puncte tari i puncte slabe: permite ierarhizarea obiectelor
auditabile n funcie de nivelul riscurilor. Ierarhizarea vizeaz evaluarea
funcionalitii sistemelor de control intern, care limiteaz efectele riscurilor i
care permit aprecierea obiectelor auditabile ca fiind puncte tari. Obiectele
auditabile pentru care nu exist activiti de control intern sau sunt nefuncionale
vor fi considerate puncte slabe
Riscuri semnificative: Neluarea msurilor necesare privind implementarea programelor
antivirus conform procedurilor.
Risc = 50% x 2 + 30% x 3 + 20% x 3 = 2,50
Pe baza punctajelor acordate pentru riscuri, acestea sunt ierarhizate astfel:
Riscuri mici:
Risc mediu:
Risc mare:

1,00 -> 1,70 => Punct tare;

1,80 -> 2,20 => Punct slab;
2,30 -> 3,00 => Punct slab;

n exemplul nostru, riscul fiind de 2,50 se consider c protecia antivirus prin

programul implementat este un punct slab din perspectiva riscurilor evaluate.

27.03.2014

Etape principale -> Intervenia - > Colectare dovezi

Intervenia la faa locului const n colectarea documentelor, analiza i
evaluarea acestora.
Interviul
Foi de
lucru

Tehnici de
colectare
a
dovezilor

Teste

Lista de
control

TEST
Descriere: Numr total calculatoare: 250, eantion 2% => 5 calc.
conform Foii de lucru nr.X. Testarea a vizat urmtoarele:
instalarea programului antivirus;
programul s verifice staia la pornire;
monitorizarea funcionrii programului antivirus;
verificarea actualizrii programului antivirus.
Constatri:
n cazul a 2 calculatoare programul antivirus a fost dezactivat;
n cazul unui calculator actualizarea era setat la ora 23:00;
Concluzii: Se va elabora FIAP.

FIAP
FCRI

Etape principale -> Intervenia - > Colectare dovezi

FOAIE DE LUCRU
Testarea se va realiza pe un eantion care a fost constituit astfel:
populaia total este de 250 calculatoare personale;
eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale;
pasul de selecie va fi 250 : 5 = 50;
eantionul se va constitui din calculatoarele existente n Lista IP-urilor
calculatoarelor ce se conecteaz la reeala poziiile: 11, 61, 111, 161, 211
eantionul constituit va fi verificat integral;

27.03.2014

Etape principale -> Intervenia - > Colectare dovezi

Fi de Identificare i Analiz a Problemei [FIAP] nr.
Problema: Neaplicarea n mod unitar a politicii de securitate a dus la infectarea cu
virui a calculatoarelor;
Constatare:
configuraia programului a fost modificat pentru a ntrerupe monitorizarea
ntregii activiti. Ca urmare calculatoarele au fost infectate;
actualizarea programului antivirus a fost programat la ora 23:00 (duminic).
Acest lucru a dus la imposibilitatea descrcrii i instalrii actualizrilor.
Cauze: lipsa de informare, necunoaterea procedurilor, presiuni ierarhice.
Consecinte: infectarea cu virui ceea ce reduce performana calculatoarelor i are
un impact asupra exactitii, disponibilitii i confidenialitii informaiilor.
Recomandri:..

Etape principale -> Raportare - Urmrire

Raportul de audit intern are n vedere toate informaiile, documentele realizate
pe parcursul misiunii. Se pune accent pe deficienele constatate n special
cele pentru care s-au ntocmit n faza de intervenie FIAP sau FCRI.
Referitor la Programul antivirus echipa de auditori a verificat.
S-a constatat neaplicarea politicii de securitate ITn urma verificrii la faa
locului s-au constatat urmtoarele deficiene..
Pentru mbuntirea activitii i eliminarea deficienelor au fost elaborate
urmtoarele recomandri:.

n raport, pe lng descrierea deficienelor/neregulilor constatate se formuleaz

i recomandri pentru remedierea acestora. Aceste recomandri i perioadele
de implementare a acestora sau a altor msuri care duc la remedierea
deficienelor constatate sunt formalizate n:
Planul de aciune i calendarul implementrii recomandrilor

27.03.2014

Documente utile - ghiduri

Ghidul Auditului IT elaborat ptr MF poate fi descrcat de la adresa:
http://discutii.mfinante.ro/static/10/Mfp/audit/Ghid_IT_ed_II.pdf

Manualul Auditului Sistemelor Informatice elaborat de CCR

http://www.curteadeconturi.ro/sites/ccr/RO/Control%20si%20Audit/Documen
te/MANUAL_AUDIT_IT.pdf
Ghidul de audit al sistemelor informatice elaborat de CCR:
http://www.curteadeconturi.ro/sites/ccr/RO/Control%20si%20Audit/Documen
te/GHID_AUDIT_IT_CCR_24102012.pdf

V mulumesc
pentru atenie.