Ghid IT Ed II

MINISTERUL FINANELOR PUBLICE
UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN
GHID PRACTIC
MISIUNEA DE AUDIT INTERN
ACTIVITATEA IT
- ACTUALIZAT AVIZAT
GHI MARCEL
ef serviciu pentru Strategie i Metodologie General
ACTUALIZAT
CROITORU ION
Auditor superior
VOINEA DANIEL
Auditor principal
Ghidul practic privind realizarea unei misiuni de audit intern privind activitatea IT
constituie un model pentru desfurarea misiunilor n baza Legii nr. 672/2002 privind auditul
public intern i a Normelor generale pentru exercitarea auditului public intern aprobate prin
OMFP nr. 38/2003, cu modificrile i completrile ulterioare.
Ateptm sugestiile dumneavoastr pe adresa UCAAPI sau pe e-mail:
marcel.ghita@mfinante.ro
ion.croitoru@mfinante.ro
daniel.voinea@mfinante.ro
BUCURETI
2009
CUVNT NAINTE
Ghidul de audit intern privind auditarea activitii IT reprezint un model practic de

desfurare a unei misiuni de audit intern, prin parcurgerea in detaliu, a fiecrui pas,
ntr-o manier didactic. Ghidul poate fi utilizat de entitile din sectorul public i n
acelai timp va reprezenta suportul pentru realizarea, de ctre fiecare structur de audit
intern a propriului ghid practic specific activitii IT desfurate n cadrul entitii.
Actualizarea ghidului are la baz prevederile art. 8 lit. c) din Legea nr. 672/2002 privind
auditul public intern i punctul 4, Partea I din Normele generale de exercitare a auditului
public intern, aprobate prin OMFP nr. 38/2003 referitoare la dezvoltarea i implementarea
unor proceduri i metodologii uniforme, bazate pe standardele internaionale.
n conformitate cu prevederile punctului 4, Partea I din Normele generale de exercitare a
auditului public intern, aprobate prin OMFP nr. 38/2003 (Manualul de audit intern), misiunea
de audit intern are drept scop evaluarea sistemelor de management i control intern ale
entitii, urmrind transparena i conformitatea cu cadrul normativ.
Actualizarea ghidului practic a presupus respectarea procedurilor i documentelor
specifice structurate pe cele patru etape ale derulrii unei misiunii de audit public intern,
prezentate prin normele generale, respectiv:
n etapa de pregtire a misiunii de audit intern au fost elaborate i actualizate
documentele prevzute de normele generale, fiind aduse clarificri, n special, cu privire la
modul concret de dezvoltare a procedurii de Analiza riscurilor, succesiunea documentelor,
structura acestora i modul de completare, nivelul de apreciere i mprire a riscurilor n mari,
medii i mici, clasarea i ierarhizarea acestora n vederea finalizrii procedurii pe baza creia
se va elabora Programul interveniei la faa locului i se va concentra munca pe teren.
n etapa de intervenie la faa locului s-a realizat testarea pe teren a operaiilor
auditabile, pe baza Programului interveniei la faa locului, prin utilizarea diferitelor tehnici i
instrumente de audit, tehnici de eantionare, liste de verificare, teste, foi de lucru, interviuri
sau note de relaii, elemente care s-au constituit n probe de audit i care au stat la baza
ntocmirii FIAP-urilor i FCRI-urilor, documente avute n vedere la elaborarea raportului de
audit intern.
n etapa de elaborare a Raportului de audit intern s-a urmrit structurarea
acestuia pe Tematica n detaliu a misiunii de audit obinut n procedura de Analiza riscurilor
i ca acesta s comunice clar cititorului att obiectivele, perioada de timp acoperit de audit,
aria de cuprindere, constatrile, concluziile auditului, recomandrile formulate, ct i nivelul
de asigurare. Totodat s-a avut n vedere ca faptele prezentate s fie susinute cu dovezi de
audit suficiente, iar recomandrile s abordeze chestiunea performanei, a eficacitii
gestionrii i optimizrii utilizrii resurselor.
n etapa de urmrire a recomandrilor s-a urmrit caracterul adecvat,
eficacitatea i oportunitatea aciunilor ntreprinse pentru implementarea recomandrilor
formulate i n afara documentelor stabilite de normele generale au fost propuse unele modele
de documente pentru evaluarea intern i extern a activitii de audit intern.
3
Obiectivele misiunii de audit intern privind activitatea IT, stabilite prin planul de audit
au fost urmtoarele:
Strategia i planificarea sistemelor informatice;
Organizarea i funcionarea departamentului IT;
Operaii ale sistemului informatic;
Securitatea informaiilor;
Achiziionarea i testarea programelor i aplicaiilor;
Elaborarea i implementarea proiectelor IT;
Proiectarea i meninerea n funciune a unei reele.
n continuare, prezentm desfurarea misiunii de audit intern pentru Activitatea IT,
structurat pe etapele, procedurile i documentele care se elaboreaz pe baza acestora n
conformitate cu Schema de derulare a misiunilor de audit intern.
PROCEDURA P01
INIIEREA AUDITULUI
ENTITATEA PUBLIC
Serviciul Audit Intern
Nr. 11/12.08.2009
ORDIN DE SERVICIU
n conformitate cu prevederile art. 8, litera c) din Legea nr. 672/2002 privind auditul public
intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea
activitii de audit intern, cu modificrile i completrile ulterioare i a Planului de audit intern
pentru anul 2009, se va efectua o misiune de audit intern privind Activitatea IT, n perioada
01.09.2009 20.10.2009.
Scopul misiunii de audit este de a da asigurri asupra modului de organizare i desfurare a
activitii IT, n conformitate cu cadrul legislativ i normativ, iar obiectivele acestuia au n
vedere:
Proiectarea i testarea programelor i aplicaiilor;
Menionm c se va efectua un audit de conformitate privind modul de organizare i desfurare
a activitii IT.
Echipa de auditori interni este format din urmtorii auditori:
Popescu Sorin, auditor superior, coordonator
Radu George, auditor superior
ef Serviciu Audit Intern,

Dumitru Daniel
Procedura - P02:
INIIEREA AUDITULUI
ENTITATEA PUBLIC
DECLARAIA DE INDEPENDEN
Nume i prenume: Popescu Sorin
Misiunea de audit : Activitatea IT
Data: 14.08.2009
Incompatibiliti n legtur cu entitatea/structura auditat

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze
msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice
fel?
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v
influeneze n misiunea de audit?
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea
entitii/structurii ce va fi auditat?
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de
Uniunea European?
Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce
urmeaz a fi auditat?
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii
ce va fi auditat sau cu membrii organului de conducere colectiv?
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene
de la vreun grup anume, sau organizaie sau nivel guvernamental?
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce
va fi auditat?
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat?
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi
auditat?
Putei s selectai responsabilitile i problemele, s stabilii riscurile specifice activitilor supuse
auditri i s construii proceduri specifice de identificare a disfunciilor i abaterilor?
Stpnii tehnicile i metodele de colectare, analiz i interpretare a datelor i informaiilor
specifice unui audit al conformitii?
Dac n timpul misiunii de audit apare orice incompatibilitate personal, extern sau
organizaional care ar putea s v afecteze abilitatea de a lucra i a face rapoartele de audit
impariale, notificai eful Serviciului de audit intern de urgen?
Auditor,
Popescu Sorin
DA
NU
X
X
ef serviciu
Dumitru Daniel
1. Incompatibiliti personale: Cu aproximativ 2 ani n urma am a lucrat la compartimentul

contabilitate i am realizat plata salariilor personalului IT.
2. Pot fi eliminate incompatibilitile: Da
3. Dac da, explicai cum anume: Misiunea planificata nu are nici o tangen cu activitatea de
salarizare a personalului departamentului. Totodat prezenta misiune are ca obiective modul de
funcionare a sistemelor IT.
Data: 14.08.2009
Semntura: Dumitru Daniel
Procedura - P02:
INIIEREA AUDITULUI
ENTITATEA PUBLIC
DECLARAIA DE INDEPENDEN
Nume i prenume: Radu George
Misiunea de audit: Activitatea IT
Data: 14.08.2009
Incompatibiliti n legtur cu entitatea/structura auditat

Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v
limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni
de audit n orice fel?
Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea
s v influeneze n misiunea de audit?
Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n
activitatea entitii/structurii ce va fi auditat?
Avei responsabiliti n derularea programelor i proiectelor finanate integral sau
parial de Uniunea European?
Ai fost implicat n elaborarea i implementarea sistemelor de control ale
entitii/structurii ce urmeaz a fi auditat?
Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul
entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiva?
Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de
redevene de la vreun grup anume, sau organizaie sau nivel guvernamental?
Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru
entitatea/structura ce va fi auditat?
Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat?
Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce
va fi auditat?
Putei s selectai responsabilitile i problemele, s stabilii riscurile specifice
activitilor supuse auditri i s construii proceduri specifice de identificare a
disfunciilor i abaterilor?
Stpnii tehnicile i metodele de colectare, analiz i interpretare a datelor i
informaiilor specifice unui audit al conformitii?
Dac n timpul misiunii de audit apare orice incompatibilitate personal, extern sau
organizaional care ar putea s v afecteze abilitatea de a lucra i a face rapoartele de
audit impariale, notificai eful Serviciului de audit intern de urgen?
Auditor,
Radu George
DA
NU
ef serviciu
Dumitru Daniel
1. Incompatibiliti personale:
a) nu am cunotine solide privind managementul IT, astfel nct s pot face o analiz
obiectiv a modului de funcionare a programelor i aplicaiilor.
2. Pot fi eliminate incompatibilitile:
a) Da;
3. Dac da, explicai cum anume:
a) pentru evaluarea sistemelor, aplicaiilor sau programelor echipa de audit se va
suplimenta cu un auditor cu experien n acest domeniu, respectiv Ionescu Gabriel, acesta va avea
ca responsabiliti s evalueze modul de funcionare a acestora n comparaie cu necesitile i s
formuleze constatrile de audit.
Data: 14.08.2009
Semntura: Dumitru Daniel
8
Procedura - P03:
INIIEREA AUDITULUI
ENTITATEA PUBLIC
Nr. 3452 / 15.08.2009
NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN
Ctre:
De la:
Departamentul Tehnologia Informaiei

eful Serviciului Audit Intern
Referitor la misiunea de audit intern Activitatea IT

Stimate domnule director Ptrulescu George
n conformitate cu Planul de audit intern pe anul 2009, urmeaz ca n perioada 01.09.2009 30.09.2009 s efectum o misiune de audit intern avnd ca tem Activitatea IT.
Echipa de auditori va examina responsabilitile asumate de ctre Departamentul IT cu privire
la organizarea i realizarea activitilor i va determina dac acesta i ndeplinete obligaiile n mod
efectiv i eficient.
Perioada supus evalurii este 01.01.2008 30.06.2009;
Obiectivele misiuni de audit intern vor fi reprezentate de:
Testarea programelor i aplicaiilor;
V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea
discutrii diverselor aspecte ale misiunii de audit intern, cuprinznd:
- prezentarea auditorilor;
- prezentarea si discutarea obiectivelor misiunii de audit intern;
- scopul misiunii de audit intern;
- programul interveniei la faa locului;
- alte aspecte privind organizarea si desfurarea misiunii.
Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie
urmtoarea documentaie necesar:
cadrul legal si de reglementare aplicabil entitii;
organigrama departamentului;
Regulamentul de organizare i funcionare;
fiele posturilor;
9
procedurile scrise care descriu activitile ce se desfoar n cadrul

compartimentului;
rapoartele de audit intern anterioare;
alte rapoarte, note, dosarele anterioare care se refer la aceasta tem.
Dac avei unele ntrebri privind aceasta aciune, v rog s contactai pe domnul Popescu
Sorin auditor intern, coordonatorul misiunii sau pe eful structurii de audit intern.
ef Serviciu Audit Intern,

Dumitru Daniel
Data: 15.08.2009
10
Procedura P04:
COLECTAREA I PRELUCRAREA INFORMAIILOR
ENTITATEA PUBLIC
Serviciul Audit Public Intern
COLECTAREA INFORMAIILOR
Perioada auditat: 01.01. 2008 30.06.2009
ntocmit: Popescu Sorin/Radu George
Avizat: Dumitru Daniel
Colectarea informaiilor
Nr.
Departamentul IT
crt.
1.
2.
3.
4.
5.
Data: 02.09.2009
Data: 02.09.2009
DA
Identificarea legilor i regulamentelor aplicabile

X
Departamentului IT;
Obinerea organigramei departamentului IT;
X
Obinerea Regulamentului de organizare i
funcionare aferent departamentului IT;
X
Obinerea fielor posturilor pentru personalul
departamentului;
Obinerea procedurilor de lucru elaborate la nivelul
departamentului;
NU
-
7.
8.
9.
10.
11.
12.
13.
14.
15
Obinerea fielor postului pentru personalul

X
departamentului;
Obinerea Raportului de audit intern anterior;
X
Obinerea strategiei i politicilor de dezvoltare ale
departamentului;
Obinerea statului de funcii pentru personalul
departamentului;
Obinerea rapoartelor de evaluare pentru personalul
departamentului;
Obinerea planului de continuare a activitilor n caz
de dezastre;
Obinerea circuitului documentelor la nivelul
departamentului;
Identificarea obiectivelor generale i specifice
definite la nivelul departamentului;
Obinerea planului de recuperare a activitilor n caz
de dezastre;
Obinerea listei tuturor aplicaiilor, programelor,
sistemelor achiziionate sau derulate n cadrul
entitii
ROF-ul nu este actualizat n

conformitate
cu
noua
structur organizatoric a
departamentului.
X
6.
Observaii
Procedurile de lucru sunt

elaborate doar pentru o
parte
din
activitile
desfurate
la
nivelul
departamentului.
Anterior nu au fost realizate

misiuni de audit intern
privind activitatea IT
Nu exist stabilit un circuit

al documentelor.
X
X
X
X
X
X
X
11
16
17
Obinerea listei privind fiecare post IT i numele

X
utilizatorilor
Obinerea tuturor metodologiilor de lucru privind
funcionarea aplicaiilor i programelor instalate n X
cadrul organizaiei
Not:
Colectarea i prelucrarea reprezint etapa de procurare a informaiilor n vederea efecturii
analizei de risc i pentru identificarea informaiilor necesare, fiabile, pertinente i utile pentru a atinge
obiectivele misiunii de audit intern.
Activitile realizate n aceast faz contribuie substanial la cunoaterea domeniului auditabil
care l ajut pe auditor s se familiarizeze cu entitatea auditat.
12
Procedura PO4 : COLECTAREA I PRELUCRAREA INFORMAIILOR

Entitatea Public
Serviciul de Audit Intern
CHESTIONAR DE LUARE LA CUNOTIN
Perioada auditat: 01.01.2008 30.06.2009
r.
rt. NTREBAREA
Data: 02.09.2009
Data: 02.09.2009
A
BSERVAII
1
2
Cunoaterea contextului socio-economic de funcionare a departamentului IT

Care este numrul salariailor departamentului?
25 salariai.
Exist buget la nivel de
Exist un buget al departamentului?
organizaie, iar achiziiile IT
u
Care sunt atribuiile generale ale compartimentului?
4
5
Atribuiile generale sunt acoperite n totalitate de sarcinile

stabilite posturilor?
Care este nivelul de competene al salariailor?
Care este nivelul de calificare al personalului?
7
8
9
Tot personalul are calificare IT?

Personalul este evaluat cel puin anual?
Complexitatea obiectivele individuale este mbuntit
anual, n corelaie de cunotinele acumulate?
Aprecierea realizrii obiectivelor este realizat n funcie de
nivelul de criteriile de performan?
Posturile existente asigur realizarea activitilor?
10
11
12
13
14
15
16
17
18
Exist un sistem de motivare al salariailor?

Motivarea moral a salariailor exist n cadrul
compartimentului?
Exist un plan de carier definit pentru funcia de operator
IT?
Exist o politic elaborat la nivelul domeniului de
activitate?
Exist strategie elaborat privind dezvoltarea IT?
Exist o evaluare a funcionalitii compartimentului IT?
Abilitile de comunicare i profesionale ale personalului se
urmresc a fi dezvoltate?
sunt stabilite separat.

Elaborarea strategiei de
informatizare a organizaiei
i realizarea sistemului
informatic integrat
Salariaii dein competene

privind
funcionarea
echipamentelor, aplicaiilor
i programelor, n a realiza
testarea i implementarea
noilor
aplicaii,
n
soluionarea
problemele
aprute n funcionarea
aplicaiilor.
8 salariai sunt asisteni, 9
sunt principali i 8 sunt
superiori.
Sunt meninute anual la

acelai nivel.
ns acestea au un grad de
ocupare de 85%.
Motivarea se face financiar
Da
Nu
Nu
Nu
Da
Nu
Nu
13
19
Relaiile de autoritate sunt definite i aplicate la nivelul

Da
departamentului IT?
Relaiile ierarhice asigur o bun colaborare ntre posturile
Da
de conducere i cele de execuie?
Sarcinile sunt astfel definite nct s asigure o bun
cooperare ntre posturile de acelai nivel n vederea Da
soluionrii problemelor?
Relaiile de control stabilite personalului conduc la o
evaluare adecvat a modului de utilizare a echipamentelor i Da
aplicaiilor de ctre utilizatori?
Capacitatea managerial a personalului asigur furnizarea
Da
adecvat a informaiilor ctre utilizatorii aplicaiilor?
Structura organizatoric este capabil s rspund cerinelor
Da
organizaiei sau a mediului n care acioneaz?
Exist o analiz SWOT la nivelul departamentului?
Cunoaterea contextului organizaional al departamentului IT
Care este subordonarea departamentului i compartimentelor
componente?
Cu cine are relaii de colaborare?
Care sunt relaiile ierarhice?
n cadrul compartimentului care sunt relaiile ierarhice?
5
6
7
8
9
Mai exist i alte funcii de conducere?

Exist organigram la nivelul departamentului?
Organigrama exprim corect relaiile ierarhice?
Organigrama exprim relaiile cu celelalte compartimente?
Exist obiective definite la nivelul departamentului i n
cadrul serviciilor?
Exist obiective individuale la nivelul posturilor de lucru?
Exist fie ale posturilor pentru toate posturile existente n
cadrul compartimentului?
Fiele posturilor sunt ntocmite n funcie de complexitatea
activitilor stabilite postului sau pregtirea persoanei care l
ocup?
Sarcinile sunt definite clar n cadrul postului?
n cadrul fielor posturilor sunt definite responsabiliti?
Atribuiile posturilor de conducere difer fa de cele ale
posturilor de execuie?
Exist asigurat continuitatea activitilor n cadrul
compartimentului?
Exist o diagram funcional la nivelul compartimentului?
Nivelul de conducere are putere decizional?
20
21
22
23
24
25
B
1
10
11
12
13
14
15
16
17
18
19
20
21
22
Nu
n
subordinea
conductorului organizaiei.
Cu
toate
celelalte
compartimente.
Subordonat conductorului
instituiei,
nu
are
compartimente n subordine.
Directorul este subordonat
conductorului
entitii,
efii de
servicii sunt
subordonai directorului, iar
salariaii sunt subordonai
sefului de serviciu.
Nu
Da
Da
Da
Da
Da
Da
n funcie de complexitatea
activitilor
Da
Da
Da
Da
Exist un circuit al documentelor n cadrul departamentului?

Toate documentele elaborate la nivelul departamentului sunt
Da
cuprinse n circuitul documentelor?
Sarcinile sunt comunicate zilnic salariailor?
Da
Urmrirea realizrii sarcinilor de ctre salariai este realizat Da
Nu
Doar
n
ce
privete
asigurarea
funcionrii
echipamentelor, aplicaiilor
sau programelor
Nu
14
zilnic?
Toi salariai sunt implicai
n
realizarea
tuturor
activitilor. Este necesar o
compartimentare
a
activitilor i o specializare
pe acestea a salariailor
23
Structura organizatoric rspunde necesitilor activitilor

derulate?
24
25
tatul de funcii corespunde posturilor existente?

Exist un sistem de promovare al salariailor?
26
Posturile de lucru asigur flexibilitate n realizarea

Da
activitilor alocate?
Exist o situaie a raportrilor de efectuat?
Da
Pentru fiecare raportare exist o metodologie de colectare,
prelucrare i transmitere a datelor?
27
28
Promovare se face n
condiiile stabilite de lege
29
Structura organizatoric corespunde

obiectivelor generale ale organizaiei?
30
Nivelurile de conducere sunt reduse?
31
Funciile compartimentelor sunt definite clar i concis n

comparaie cu atribuiile alocate departamentului?
Funciile managementului se regsesc n atribuiile
personalului de conducere?
Atribuiile stabilite departamentului IT asigur realizarea
atribuiilor generale ale organizaiei?
Activitile sunt identificate n totalitate la nivelul
departamentului?
Realizarea activitilor are la baz un set de indicatori
stabilii?
Activitile asigur conformitatea cu reglementrile i
metodologiilor?
Activitile asigur conformitatea cu procedurile elaborate?
Este respectat principiul echilibrului dintre sarcini i
competene?
Concordana cerinelor postului cu caracteristicile titularului
asigur corespondena dintre volumul, natura i
complexitatea sarcinilor, competenelor i responsabilitilor
postului cu aptitudinile, deprinderile i experiena acestuia?
Elaborarea rapoartelor de activitate respect coninutul
tematic?
Lucrrile de sintez i raportare sunt aprobate de conducerea
entitii?
Cunoaterea funcionrii departamentului IT
Fisa postului definete clar cerinele postului?
Nivelul de cunotine al salariatului asigur realizarea
sarcinilor postului pe care l ocup?
n cadrul departamentului sunt elaborate procedurile de
lucru?
Procedurile de lucru acoper toate activitile?
Procedurile de lucru descriu corect activitile ce trebuie
desfurate?
Procedurile de lucru definesc corect responsabilitile?
Procedurile de lucru sunt cunoscute i aplicate de salariai?
Procedurile de lucru asigur separarea sarcinilor?
Exist regulament de organizare i funcionare?
Regulamentul de organizare i funcionare definete corect
32
33
34
35
36
37
38
39
40
41
C
1
2
3
4
5
6
7
8
9
10
scopurilor
Da
Datele sunt preluate din

registrele de eviden i
dosarele de instan
Da
Exist dou
conducere
nivele
Da
Nu n totalitate
Da
Da
Nu
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
Da
15
de
11
12
atribuiile compartimentului?
Exist registru de coresponden la nivelul departamentului? Da
Care sunt problemele la nivelul departamentului?
13
Care sunt reformele la nivelul departamentului?
14
Exist a procedur de lucru prin care sunt stabilite sau

reglementate raporturile de lucru ntre compartimentele din
cadrul organizaiei?
Exist realizat n cadrul departamentului IT o analiz a
posturilor?
Exist un program de pregtire a personalului?
15
16
17
18
Nu
Nu
Da
Programul este realizat pe
baza solicitrilor formulate
de salariai
Programul de pregtire are la baz necesitile rezultate din

evaluarea performanelor individuale i nevoile individuale?
Documentele primite la nivelul departamentului
nregistreaz i repartizeaz pentru soluionare?
se
Lipsa de personal.
Insuficiena
bugetului
pentru
achiziionarea
echipamentelor i integrarea
datelor
Tehnica nvechit, ceea ce
creeaz a serie de probleme
n exploatarea aplicaiilor
Instruirea insuficient a
utilizatorilor
Nu exist elaborat nici o
reform.
Da
Auditori interni,
Popescu Sorin
Radu George
16
Procedura PO5 :
Analiza riscului
Entitatea Public
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

Nr.
crt.
1.
Domeniul
Strategia
planificarea
sistemelor
informatice
Activiti/obiective
Obiecte auditabile
1.1.
Strategia
IT
este
concordant cu scopurile
organizaiei
1.2. Planurile IT se adreseaz
ntregii organizaii
1.1.1. Strategia IT definete necesitile i prioritile

1.1.2. Strategia IT face trimitere la nevoile viitoare ale organizaiei
1.1.3. Strategia definete direciile i obiectivele de dezvoltare a IT
1.2.1. Strategia IT este transpus n planuri IT
1.2.2. Planurile IT ajut la ndeplinirea misiunii organizaiei
1.2.3. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt alocate n
concordan cu necesitile
1.3.1. Strategia IT este concordant cu scopurile organizaiei
1.3.2. Planurile IT se adreseaz ntregii organizaii
1.3.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1.4.1. Strategia IT este stabilit de un comitet IT
1.4.2. Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu
1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i
activitile realizate
1.5.1. Organizarea adecvat a funciei IT
1.5.2. Personalul IT are calificarea i competenele adecvate
1.5.3. Adecvarea practicilor i procedurilor IT la procesele existente
1.6.1. Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT
1.6.2. Realizarea strategiei IT pe baza evalurii sistemelor existente
2.1.1. Definirea atribuiilor i responsabilitilor n cadrul departamentului IT
2.1.2. Atribuiile specifice departamentului sunt stabilite n cadrul atribuiilor generale
ale entitii
1.3. Obiectivele IT ndeplinesc

obiectivele organizaiei
1.4. Comitetul IT determin
strategia IT
2.
Organizarea
i
funcionarea
departamentului IT
Data: 04.09.2009
Data: 04.09.2009
1.5.
Organizarea
IT
corespunde
necesitilor
organizaiei
1.6. Elaborarea strategiei IT
corespunde strategiei entitii
2.1. Definirea atribuiilor i
activitilor
Observaii
17
Nr.
crt.
3.
Domeniul
Operaii
sistemului
informatic
Activiti/obiective
ale
2.2.
Stabilirea
organizatorice
structurii
2.3.
responsabilitilor
Stabilirea
3.1
operaiunilor
Managementul
3.2.
problemelor
Managementul
3.3.
Funcionalitatea
activitilor
n
cadrul
departamentului IT
Obiecte auditabile
Observaii
2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii

obiectivelor
2.1.4. Identificarea tuturor activitilor care concur la realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i competenele ocupantului postului
2.1.6. Definirea activitilor n cadrul structurii organizatorice
2.2.1. Organizarea funcional a departamentului IT
2.2.2. Definirea relaiilor organizatorice ntre compartimente
2.2.3. Examinarea sistemului de gestionare a riscurilor generale la nivelul
departamentului IT
2.2.4. Riscurile legate de securitatea datelor, programelor i echipamentelor sunt
identificate i evaluate ct mai corect i complet
2.3.1. Definirea limitelor de competen
2.3.2. Definirea responsabilitilor n realizarea activitilor
2.3.3. Definirea sarcinilor prin fia postului
3.1.1. Existena listei operaiunilor zilnice de realizat
3.1.2. Performana, capacitatea i disponibilitatea sistemelor informatice este
monitorizat de administratori
3.1.3. Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine
administratorilor
3.1.4. Elaborarea Planului anual de activitate
3.2.1. Incidentele privind funcionarea normal a serviciilor IT sunt rezolvate sau
prevenite n termen
3.2.2. Programele antivirus asigur protecia aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate n calcul pentru remediere
3.2.4. Implementarea subsistemelor IT
3.2.5. Activitile operaionale sunt conforme cu instruciunile din manualele de
utilizare
3.3.1. Activitile sunt bine organizate pentru asigurarea bunei funcionrii a
departamentului
3.3.2. Organizarea funcional a activitilor n cadrul departamentului IT
3.3.3. Activitile n cadrul departamentului sunt definite respectnd criteriile de
calitate
3.3.4. Evidena datelor aflate pe mediile de stocare
3.3.5. Distribuirea cu precizie a informaiei ctre utilizatori i mediile de stocare
3.3.6. Asigurarea caracterului secret al datelor
18
Nr.
crt.
Domeniul
Activiti/obiective
3.4.
echipamentelor
Mentenana
3.5. Utilizarea echipamentelor
4.
Securitatea
informaiilor
4.1. Organizarea
informaiilor
securitii
4.2. Disponibilitatea datelor
4.3. Asigurarea funcionrii

programelor i aplicaiilor
4.4.
Implementarea
instrumentelor de control
Obiecte auditabile
Observaii
3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea,

planificarea, execuia, monitorizarea i analiza, ncheierea
3.4.1. Obinerea de rapoarte de activitate utile
3.4.2. ntreinerea calculatorului i a echipamentelor
3.4.3. Instalarea i configurarea calculatorului
3.1.1. Sistemul este ntreinut pentru a se asigura c este conform cu nevoile
organizaiei
3.5.1. Realizarea eficient a operaiilor n cadrul departamentului IT
3.5.2. Identificarea i raportarea pericolelor
3.5.3. Administrarea eficient a aplicaiilor i programelor
3.5.4. Evaluarea problemelor i soluionarea acestora
3.5.5. Programele corespund cerinelor stabilite
3.5.6. Echipamentele sunt utilizate adecvat asigurnd un confort n exploatare
4.1.1. Crearea politicii de securitate a informaiei
4.1.2. Crearea standardelor i practicilor pentru securitatea informaiei
4.1.3. Stabilirea responsabilitilor privind securitatea informaiei
4.1.4. Elaborarea politicii privind securitatea informaiei
4.1.5. Stabilirea responsabilitilor n cadrul politicii de securitate
4.1.6. Securitatea informaiilor asigur integritatea acestora
4.1.7. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatori
autorizai
4.2.1. Protejarea mpotriva atacurilor informatice
4.2.2. Protejarea datelor mpotriva viruilor
4.2.3. Asigurarea continuitii activitilor
4.2.4. Recuperarea datelor n caz de dezastru
4.2.5. Protejarea mpotriva asumrii unei identitii false
4.3.1. Asigurarea introducerii corecte a datelor i informaiilor pentru prelucrare
4.3.2. Existena licenelor pentru programele utilizate
4.3.3. Prelucrarea datelor
4.3.4. Asigurarea securitii datelor i informaiilor
4.4.1. Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
4.4.2. Mecanismele de securitate configurate i implementate verific i limiteaz
accesul la aplicaii
19
Nr.
crt.
Domeniul
Activiti/obiective
Obiecte auditabile
Observaii
4.4.3. Introducerea instrumentelor de control fizic

4.4.4. Stabilirea de chei de control pentru fiecare program sau aplicaie
4.5. Securitatea reelei
4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea

informaiilor n cadrul reelei
4.5.2. Monitorizarea securitii reelelor
4.6. Gestionarea parolelor
4.6.1. Utilizatorii au parole de acces individuale

4.6.2. Schimbarea periodic a parolelor
4.6.3. Conturile i parolele generice sunt folosite pentru accesul la sisteme i aplicaii
4.6.4. Protejarea parolelor
4.6.5. Persoanele autorizate au acces la sistemul de operare
4.7. Securitatea logic
4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor

4.7.2.Protejarea sistemelor informatice mpotriva factorilor de mediu !!
4.7.3. Protejarea informaiei din reea
Proiectarea
testarea
programelor
aplicaiilor
5.1. Proiectarea i elaborarea

5.1.1. Proiectarea programului informatic

5.1.2. Elaborarea programului informatic
5.1.3. Proiectarea unui program sau aplicaie tine cont de necesitile organizaiei
5.1.4. Proiectarea unui program sau aplicaie pe baza existenei resurselor financiare
5.1.5. Respectarea cerinelor n achiziia unei aplicaii
5.2. Testarea i implementarea

5.2.1. Utilizarea de date ipotetice n testarea unui program

5.2.2. Testarea programului i aplicaiei
5.2.3. Asigurarea corectitudinii rezultatelor
5.2.4. Implementarea unui program dup realizarea testrii acestuia
6.
Elaborarea
implementarea
proiectelor IT
6.1. Dezvoltarea proiectelor IT

(programe i aplicaii)
6.1.1. Metodologia pentru dezvoltarea i achiziia aplicaiei

6.1.2. Iniierea i elaborarea proiectelor IT
20
Nr.
crt.
Domeniul
Activiti/obiective
Obiecte auditabile
Observaii
6.1.3. Monitorizarea performanelor soluiilor IT implementate

6.2.
Implementarea
i
funcionarea programelor i
aplicaiilor
6.2.1. Reproiectarea soluiilor IT pentru programe i aplicaii

6.2.2. Implementarea adecvat a aplicaiilor
6.2.3. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
7.
Proiectarea
i
meninerea
n
funciune a unei
reele
7.1. Proiectarea, instalarea i

administrarea
reelei
de
calculatoare
7.1.1. Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea

reelei de calculatoare
7.1.2. Monitorizarea performanelor reelelor
7.1.3. Administrarea serverelor
7.1.4. Reeaua de calculatoare corespunde cerinelor funcionale
7.2.
Interconectarea
securitatea reelei
7.2.1. Interconectarea reelelor

7.2.2. Proiectarea i asigurarea securitii reelei
7.2.3. Urmrirea adecvrii performanelor unei reele
Auditori,
Popescu Sorin
Radu George
21
22
Procedura PO5 :
Entitatea Public
ANALIZA RISCULUI
IDENTIFICAREA RISCURILOR
ntocmit: Popescu Sorin/ Radu George
Nr.
crt.
1.
Activiti/
obiective
Domeniul
Strategia
planificarea
sistemelor
informatice
1.1. Strategia
IT este concordant
cu
scopurile
organizaiei
1.2. Planurile IT se
adreseaz
ntregii
organizaii
1.3. Obiectivele IT
ndeplinesc
obiectivele
organizaiei
1.4. Comitetul IT
determin strategia
IT
1.5. Organizarea IT
corespunde
Data: 04.09.2009
Data: 04.09.2009
Obiecte auditabile
Riscuri semnificative
Achiziia i implementarea programelor i aplicaiilor nu

este corelat cu obiectivele propuse;
Sistemele nu sunt dezvoltate ntr-o manier planificat i
controlat
Strategia IT nu are o viziune orientat spre viitor, fiind o
extrapolare a tendinelor trecute
Dezvoltarea IT nu acoper toate procesele;
Planurile IT nu contribuie la realizarea scopului entitii
n domeniul IT;
Resursele IT nu sunt identificate pentru fiecare element
al planului;
1.1.2. Strategia IT face trimitere la nevoile viitoare

ale organizaiei
1.1.3. Strategia definete direciile i obiectivele de
dezvoltare a IT
1.2.2. Planurile IT ajut la ndeplinirea misiunii
organizaiei
1.2.3. Planurile IT ofer asigurare cu privire la faptul
c resursele IT sunt alocate n concordan cu
necesitile
1.3.1. Strategia IT este concordant cu scopurile
organizaiei
1.3.3. Obiectivele IT ndeplinesc obiectivele
organizaiei
1.4.2. Comitetul IT transpune strategia n planuri pe
termen scurt i pe termen mediu
1.4.3. Comitetul IT stabilete prioritile proiectelor
ntre dezvoltarea sistemelor i operaiile realizate
Obs.
Utilizatorii i IT nu au aceleai opinii cu privire la

responsabilitile i autoritatea lor
Planul IT nu acoper cerinele pe termen mediu;
Obiectivele n domeniul IT nu deriv i nu contribuie la
realizarea obiectivelor entitii;
Strategia IT este definit de departamentul IT;
Comitetul IT nu contribuie la dezvoltarea i
implementarea strategiei n domeniu;
Stabilirea dezvoltrii IT de ctre departamentul IT;
Responsabilitile nu sunt definite clar n cadrul
compartimentelor i posturilor;
23
Nr.
crt.
Activiti/
obiective
Domeniul
necesitilor
organizaiei
Organizarea i
funcionarea
departamentului
IT
1.6.
Elaborarea
strategiei
IT
corespunde strategiei
entitii
2.1.
Definirea
atribuiilor
i
activitilor
2.2.
Stabilirea
structurii
organizatorice
2.3.
Stabilirea
responsabilitilor
Obiecte auditabile
1.5.2. Personalul IT are calificarea i competenele

adecvate
1.5.3. Adecvarea practicilor i procedurilor IT la
procesele existente
1.6.1. Dotarea actual cu tehnic de calcul a stat la
baza elaborrii strategiei IT
1.6.2. Realizarea strategiei IT pe baza evalurii
sistemelor existente
2.1.1. Definirea atribuiilor i responsabilitilor n
cadrul departamentului IT
2.1.2. Atribuiile specifice departamentului sunt
stabilite n cadrul atribuiilor generale ale entitii
2.1.3. Atribuiile stabilite asigur realizarea
activitilor necesare implementrii obiectivelor
2.1.4. Identificarea tuturor activitilor care concur la
realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i
competenele ocupantului postului
2.1.6. Definirea activitilor n cadrul structurii
organizatorice
Lipsa calificrilor necesare;
2.2.1. Organizarea funcional a departamentului IT

2.2.2. Definirea relaiilor organizatorice ntre
compartimente
2.2.3. Examinarea sistemului de gestionare a
riscurilor generale la nivelul departamentului IT
2.2.4. Riscurile legate de securitatea datelor,
programelor i echipamentelor sunt identificate i
evaluate ct mai corect i complet
2.3.2. Definirea responsabilitilor n realizarea
activitilor
Operaii
ale
3.1
Managementul
3.1.1. Existena listei operaiunilor zilnice de realizat
Obs.
Programele i aplicaiile nu sunt integrate i nu rspund

cerinelor activitilor;
Infrastructura IT existent nu asigur implementarea
strategiei IT;
Elaborarea strategiei nu are la baz i o evaluare i
identificare a posibilitilor financiare;
Lipsa ariei de competen pentru realizarea activitilor
stabilite structurii funcionale
Definirea de atribuii care nu se regsesc in ROF
Definirea atribuiilor sub form de sarcini
Activiti stabilite incorect pentru realizarea obiectivelor
Stabilirea de sarcini diferite pentru aceleai funcii sau
aceleai sarcini pentru funcii diferite
Activitile realizate la nivelul structurii funcionale nu
se regsesc n totalitate n cadrul sarcinilor stabilite
posturilor
Structura funcional nu este adaptat complexitii
activitilor derulate
Repartizarea activitilor i relaiilor organizatorice fr
a se ine cont de natur organizrii compartimentului
Riscurile nu sunt identificate i gestionate la nivelul
structurii funcionale
Gestionarea slab a riscurilor privind securitatea
informaiilor
Autoritatea formal n realizarea activitilor este
insuficient stabilit postului
Definirea doar a atribuiilor, nu i a limitei pn unde
rspunde ocupantul postului n realizarea activitilor
Sarcinile stabilite postului potrivit fiei postului nu
corespund cu aciunile efectiv realizate de ocupantul
postului
Activitile se realizeaz fr o prioritizare a operaiilor
24
Nr.
crt.
3.
Domeniul
sistemului
informatic
Activiti/
obiective
Obiecte auditabile
operaiunilor
3.1.2. Performana, capacitatea i disponibilitatea

sistemelor informatice este monitorizat de
administratori
3.1.3. Responsabilitatea pentru supravegherea
sarcinilor pe seturi de programe revine
administratorilor
3.2. Managementul
problemelor
3.2.1. Incidentele privind funcionarea normal a

serviciilor IT sunt rezolvate sau prevenite n termen
3.2.2. Programele antivirus asigur protecia
aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate n
calcul pentru remediere
Lipsa analizelor privind scopul i cerinele de realizare a

activitilor i calitatea aplicaiilor sau programelor
utilizate
Responsabilitile operatorilor nu sunt delimitate i
stabilite n funcie de specializarea fiecruia i tipurile de
aplicaii i programe utilizate
Activitile sunt derulate n cadrul departamentului fr a
exista o planificare anual sau periodic
Soluionarea cu ntrziere a problemelor aprute n
utilizarea aplicaiilor i programelor
Utilizarea neadecvat a programelor antivirus

3.2.5. Activitile operaionale sunt conforme cu
instruciunile din manualele de utilizare
3.3. Funcionalitatea
activitilor n cadrul
departamentului IT
3.3.1. Activitile sunt bine organizate pentru

asigurarea bunei funcionrii a departamentului
3.3.2. Organizarea funcional a activitilor n cadrul
departamentului IT
3.3.3. Activitile n cadrul departamentului sunt
definite respectnd criteriile de calitate
3.3.5. Distribuirea cu precizie a informaiei ctre
utilizatori i mediile de stocare
3.4.
Mentenana
echipamentelor
3.3.7.
Soluionarea
problemelor
presupune
parcurgerea etapelor: iniierea, planificarea, execuia,
monitorizarea i analiza, ncheierea
Obs.
Soluionarea problemelor aprute nu este realizat

potrivit gravitii i asigurnd eficiena realizrii
activitilor entitii
Programele i aplicaiile derulate la nivelul organizaiei
nu sunt actualizate potrivit noilor necesiti ca urmare a
modificrii aciunilor de realizare a activitilor
Neconcordane ntre utilizarea unei aplicaii sau program
i precizrile din caietul tehnic, privind execuia acelei
operaii
Lipsa revizuirii i urmrii contractelor la nivel de service
i a celor la nivel operativ
Activitile i aciunile necesare realizrii acestora nu
sunt repartizate eficient i omogen pe compartimente n
Activiti i aciuni neresponsabilizate
Acces nerestricionat la date i informaii
Dependena de tere pri n centralizarea informaiei i
oferirea rapoartelor
Accesul la datele i informaiile organizaiei nu este
limitat doar pentru persoanele ndreptite
Soluionarea unei probleme prin luarea n calcul doar a
execuiei acesteia
Rapoartele obinute nu ofer informaii suficiente pentru
luarea deciziilor
25
Nr.
crt.
Domeniul
Activiti/
obiective
Obiecte auditabile
Disfunciile identificate nu sunt analizate i nlturate n

conformitate cu instruciunile i manualele de ntreinere
Echipamentele periferice nu sunt instalate i conectate
conform documentaiei
ntreinerea sistemului doar la solicitrile utilizatorilor;
3.5.
Utilizarea
echipamentelor
3.1.1. Sistemul este ntreinut pentru a se asigura c

este conform cu nevoile organizaiei
3.5.1. Realizarea eficient a operaiilor n cadrul
departamentului IT
3.5.3.
Administrarea eficient a aplicaiilor i
programelor
4.
Securitatea
informaiilor
4.1.
Organizarea
securitii
informaiilor
3.5.6. Echipamentele sunt utilizate adecvat asigurnd

un confort n exploatare
4.1.2. Crearea standardelor i practicilor pentru
securitatea informaiei
4.1.3. Stabilirea responsabilitilor privind securitatea
informaiei
4.1.4. Elaborarea politicii privind securitatea
informaiei
4.2. Disponibilitatea
datelor
4.1.5. Stabilirea responsabilitilor n cadrul politicii

de securitate
4.1.6. Securitatea informaiilor asigur integritatea
acestora
4.1.7. Securitatea datelor asigur disponibilitatea
acestora doar pentru utilizatori autorizai
Obs.
Suportul tehnic cu privire la utilizarea programelor nu

este furnizat n mod corespunztor utilizatorilor;
Costuri ridicate cu remedierea defeciunilor, frecven
mare a acestora, timpi mari pn la reluarea lucrului;
Controlul intern asupra datelor de intrare nu este asigurat
corespunztor;
Lipsa revizuirii i urmrii msurilor privind corectarea
erorilor conduce la persistena unora dintre acestea;
Neadaptarea la schimbrile rapide ale tehnologiei
informaiei;
Lipsa cunotinelor privind exploatarea echipamentelor
la potenialul maxim;
Organizarea i responsabilitile privind securitatea
informaiilor nu constituie o prioritate a politicii de
securitate
Standardele privind securitatea informaiei nu sunt
definite formal
Responsabilitile nu sunt separate clar ntre cele ale
administratorilor i cele ale operatorilor;
Datele i informaiile prelucrate i stocate nu sunt
asigurate n condiii de confidenialitate, integritate i
disponibilitate
Politica de securitate nu definete responsabilitile cu
privire la securitatea datelor i informaiilor
Datele i informaiile nu sunt stocate n condiii de
securitate;
Accesul la informaii i pentru persoanele neautorizate;
Lipsa programelor de protecie adecvate pentru aplicaii
i programe;
Vulnerabilitate sporit n faa viruilor;
Planurile privind continuitatea activitilor nu stabilesc
msuri concrete pentru reluarea activitii;
26
Nr.
crt.
Domeniul
Activiti/
obiective
4.3.
Asigurarea
funcionrii
programelor
i
aplicaiilor
Obiecte auditabile

4.2.5. Protejarea mpotriva asumrii unei identitii
false
4.3.1. Asigurarea introducerii corecte a datelor i
informaiilor pentru prelucrare
4.3.2. Existena licenelor pentru programele utilizate
Lipsa planurilor de recuperare a datelor i informaiilor

Sustragerea informaiilor sau echipamentelor, fr
autorizare;
Aplicaiile informatice nu sunt utilizate n conformitate
cu instruciunile de exploatare
Plata unor despgubiri urmare implementrii unor
programe fr licen
Introducerea incorect a datelor i informaiilor n cadrul
Accesul la datele i informaiile stocate nu este
restricionat i autorizat pe niveluri ierarhice
Accesul la program, aplicaie este oferit pentru ntregul
personal ce posed o parol
Pentru vulnerabilitile sistemelor nu sunt stabilite i
implementate instrumente de control;
Accesul fizic la echipamente i aplicaii este restricionat

4.4. Implementarea
instrumentelor
de
control
4.5.
reelei
Securitatea
4.6.
Gestionarea
parolelor
4.4.1. Accesul la aplicaie este oferit pe baza

necesitilor utilizatorului
4.4.2. Mecanismele de securitate configurate i
implementate verific i limiteaz accesul la aplicaii
asupra echipamentelor IT
4.4.4. Stabilirea de chei de control pentru fiecare
program sau aplicaie
implementate asigur securitatea informaiilor n
cadrul reelei
4.6.3. Conturile i parolele generice sunt folosite
pentru accesul la sisteme i aplicaii
4.7.
logic
Securitatea
4.6.5. Persoanele autorizate au acces la sistemul de

operare
4.7.1. Asigurarea securitii funcionrii programelor
i aplicaiilor
4.7.2.Protejarea sistemelor informatice mpotriva
factorilor de mediu
Obs.
Posibilitatea de a obine i utiliza rezultate nesigure,

neverificate;
Metodele de criptare nu asigur protecia integritii i
confidenialitii datelor sensibile
Comunicarea n reea nu este monitorizat;
Accesul la aplicaii se realizeaz direct, fr a fi permis
doar pentru personalul ndreptit;
Risc crescut de spargere a parolei;
Conturile i parolele generice iniiale nu sunt
personalizate, dup nceperea prelucrrilor de ctre
utilizatori;
Descrcarea ilegal a unor informaii;
Accesul la servere este permis ntregului personal,
nefiind nregistrat i monitorizat;
Lipsa controalelor sau controale slabe de acces
Lipsa controalelor de mediu, respectiv detectoare de foc,
incendiu etc.
27
Nr.
crt.
5
Activiti/
obiective
Domeniul
Proiectarea
testarea
programelor
aplicaiilor
i
i
5.1. Proiectarea
elaborarea
programelor
aplicaiilor
Obiecte auditabile
Funcii de siguran sau control nu sunt prevzute n

cadrul sistemelor de aplicaii
n proiectarea programului/aplicaiei, fluxul de date nu
este stabilit adecvat rezultatelor ateptate
Graficul de realizare a programului i bugetul aprobat nu
sunt respectate
Elaborarea de programe i aplicaii fr o analiz
strategic la nivelul utilizatorilor
Lipsa resurselor financiare n elaborarea i
implementarea unui program sau aplicaie
Costuri suplimentare n achiziia unui program sau
aplicaie
Efectuarea de prelucrri asupra datelor reale, n cadrul
testrii programelor;
Neconformitile i erorile constatate n cursul testrii
unui program nu sunt analizate cu atenie
Opiunile i parametrii de lucru ai programului/aplicaiei
nu sunt stabilii conform specificaiilor din
documentaiile tehnice
Programele
sau
aplicaiile
achiziionate
sunt
implementate fr a fi testate
Lipsa proiectelor de dezvoltare a achiziiilor

5.1.3. Proiectarea unui program sau aplicaie tine cont
de necesitile organizaiei
5.1.4. Proiectarea unui program sau aplicaie pe baza
existenei resurselor financiare
5.1.5. Respectarea cerinelor n achiziia unei aplicaii
5.2.
Testarea
implementarea
programelor
aplicaiilor
i
i
5.2.1. Utilizarea de date ipotetice n testarea unui

program
6.
Elaborarea
i
implementarea
proiectelor IT
6.1.
Dezvoltarea
proiectelor
IT
(programe
i
aplicaii)
5.2.4. Implementarea unui program dup realizarea

testrii acestuia
6.1.1. Metodologia pentru dezvoltarea i achiziia
aplicaiei
6.1.3. Monitorizarea performanelor soluiilor IT
implementate
6.2. Implementarea i
funcionarea
programelor
i
aplicaiilor
6.2.1. Reproiectarea soluiilor IT pentru programe i

aplicaii
6.2.3. ntreinerea aplicaiilor garanteaz funcionarea
proceselor la parametrii optimi
7.
Proiectarea
i
meninerea
n
funciune a unei
7.1.
Proiectarea,
instalarea
i
administrarea reelei
7.1.1. Asigurarea bunei funcionri a sistemelor

bazate pe existena i funcionarea reelei de
calculatoare
Obs.
Obiectivele generale ale proiectului nu sunt stabilite cu

respectarea strategiei generale a organizaiei
Parametri de referin i valorile etalon ale programelor
elaborate nu respect specificaiile i nu se ncadreaz n
standarde
Soluiile privind mbuntirea programelor i
aplicaiilor nu in cont de punctele slabe i critice,
precum i evoluiile tehnologice
Rapoartele nu corespund cerinelor;
Supravegherea proceselor aflate n execuie i a
performanelor aplicaiilor, sistemelor sau programelor
nu respect procedurile i instruciunile
Subsistemele existente nu sunt configurate i
supravegheate individual
28
Nr.
crt.
Domeniul
Activiti/
obiective
Obiecte auditabile
reele
de calculatoare
7.1.2. Monitorizarea performanelor reelelor.
Scderea performanelor reelelor;
Accesul i utilizarea datelor i informaiilor stocate pe

server nu respect strategia de securitate a reelei
Reeaua de calculatoare nu asigur integrarea
informaiilor i elaborarea rapoartelor
Conexiunile dintre reele nu sunt conforme cu arhitectura
prevzut de instruciuni i nu respect standardele
Vulnerabilitile i ameninrile nu sunt identificate i
prioritizate
Proiectarea reelei de calculatoare nu asigur integrarea
programelor.
7.2. Interconectarea
i securitatea reelei
7.1.4. Reeaua de calculatoare corespunde cerinelor

funcionale
7.2.3. Urmrirea adecvrii performanelor unei reele
de calculatoare
Obs.
Auditori,
Popescu Sorin
Radu George
Not:
Identificarea riscurilor asociate obiectelor auditabile presupune ataarea riscurilor semnificative la operaiile stabilite n Lista centralizatoare a obiectelor
auditabile, n prima faz a procedurii Analiza riscurilor.
Lista privind identificarea riscurilor reprezint documentul prin care pe baza obiectelor audiabile identificate, a funcionalitii controalelor interne stabilite
i implementate de entitate sunt identificate i stabilite riscurile aferente pentru fiecare obiect audiabil.
La un obiect auditabil se pot asocia unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate, dar si din propria
experien. n situaia n care la operaiile audiabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte, pe grupe de riscuri sau
pe total operaie/obiect audiabil.
29
30
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
CHESTIONAR DE CONTROL INTERN

A.
INTREBRI
GENERAL
ADRESATE
MANAGEMENTULUI
Exist un sistem de proceduri care sa reglementeze activitatea departamentului IT?

Procedurile de lucru sunt scrise si formalizate?
Exist proceduri scrise privind achiziionarea programelor i aplicaiilor
informatice?
Exist proceduri scrise privind ntreinerea aplicaiilor informatice?
Data: 04.09.2009
Data: 04.09.2009
DA
NU
X
X
X
X
Exist o strategie clar i obiective stabilite pentru IT?

Strategia IT are viziunea orientat spre viitor?
Managementul este mulumit cu rolul sau valoarea IT n cadrul organizaiei?
Sistemul IT este dezvoltat ntr-o manier planificat i controlat?
X
X
X
Este supravegheat respectarea strategiei?

Utilizatorii contribuie la prioritile i la dezvoltarea n domeniul IT?
Rspunderea i responsabilitatea pentru sistemele de informaii aparine

personalului de conducere?
Utilizatorii au o bun percepie asupra capacitilor sau performanei
departamentului IT?
Rotaie personalului este redus n cadrul departamentului IT?
Ocuparea posturilor este adecvat n cadrul departamentului?
Managementul are cunotin asupra tehnologiilor prezente i viitoare necesare
entitii pentru asigurarea realizrii activitilor i mandatului?
Exist capacitate adecvat de a planifica i implementa resursele IT?
Exist capacitate de a monitoriza performana IT?
Exist o strategie adecvat de achiziii IT?
Exist concordan ntre obiective i strategii de achiziii IT?
Riscurile legate de achiziii IT sunt administrate att de entitate, ct i de furnizori?
Sunt realizate pe baz de

contracte de prestri de
servicii
Anual se realizeaz o
evaluare a indicatorilor
Exist un sistem prin care

utilizatorii pot formula
propuneri si soluii, care
apoi sunt analizate
Numai
n
caz
de
necesitate
X
Planurile IT sunt aplicate n practic?
OBSERVAII
X
X
X
X
Grad de ocupare 95%

X
X
X
X
X
X
B. INTREBARI ADRESATE MANAGEMENTULUI DE LINIE

Strategia i planificarea sistemelor informatice
Strategia definete principalele direcii n IT?
Strategia definete principalele obiective ale entitii?
DA
Strategia IT este concordant cu strategia entitii?

Exist planuri de dezvoltare IT?
NU
Nu exist un proces de
identificare i gestionare a
riscurilor
la
nivelul
entitii
Auditorii
X
X
Definete
strategice
obiectivele
Planuri de continuitate a
activitii i planuri de
recuperare a datelor
31
Planurile IT pe termen scurt sau mediu asigur dezvoltarea informaional la

nivelul entitii?
Obiectivele IT ndeplinesc planurile entitii?
Competenele i funcionarea comitetului IT sunt definite clar?
X
X
X
Comitetul IT determin strategia IT?

X
Comitetul IT transpune strategia IT n planuri IT?
X
Comitetul IT stabilete prioritile proiectelor de dezvoltare?
X
Funcia IT este organizat adecvat n concordan cu strategia IT?
Personalul IT asigur calitatea serviciilor IT?
Personalul IT asigur competena necesar continuitii activitilor?
Separarea sarcinilor exist ntre dezvoltarea sistemelor i deservirea acestora?
Separarea sarcinilor exist ntre dezvoltarea sistemelor i operaii?
Separarea sarcinilor exist ntre deservirea sistemelor i securitatea informaiei?
Separarea sarcinilor exist ntre operaii i utilizatori?
Personalul a luat la cunotin de sarcinile posturilor?
Exist cooperare interdepartamental pentru dezvoltarea sistemelor integrate?
Achiziiile electronice sunt legate cu profilurile performanei ateptate?
Sistemele informatice achiziionate asigur calitatea informaiilor potrivit nevoilor?
Planificarea continuitii activitilor
Scopul planului de continuitate a activitii este de a limita pierderile?
Toate activitile critice i resursele sunt incluse n planul de continuitate a
activitilor?
n cadrul planului de continuitate a activitilor sunt stabilite responsabiliti clare?
Planurile de continuitate a activitilor sunt comunicate ?
Eficiena planurilor de continuitate a activitilor a fost testat?
Planul de continuitate a activitilor este testat regulat?
Planul de continuitate a activitilor este aprobat de conducere?
Planul de continuitate a activitilor a fost realizat urmare unei analize a riscurilor?
Planul de continuitate a activitilor are la baz i o evaluare a impactului?
Prioritile sunt stabilite corect n cadrul planului de continuitate a activitilor?
Locaia de recuperare este disponibil?
Infrastructura locaiei de recuperare permite recuperarea la timp a activitilor?
Echipamentul necesar este instalat n cadrul locaiei de recuperare?
Exist o bun relaie ntre utilizatori i personalul IT?
Exist prghii de siguran sau control prevzute n funcionarea sistemelor?
Cerinele de recuperare ale activitilor sunt revizuite periodic?
Planul de continuitate cuprinde ntregul sistem informatic din entitate?
Sunt realizate informrii periodice ale coninutului planului de continuitate?
Exist o gestiune adecvat a riscurilor legate de departamentul IT?
X
X
X
X
X
X
X
X
X
X
Sunt legate doar de

necesitile
de
mbuntire a activitilor
Sunt cunoscute doar de

departamentul IT
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Impactul materializrii riscurilor legate de IT este cunoscut i evaluat?

X
Personalul entitii este pregtit i capabil s rspund Planurilor de continuitate?
Implementarea software i hardware este conceput i realizat conform
programelor?
Implementarea software i hardware este realizat dup testarea corespunztoare?
IT asigur continuitatea i eficiena operaiilor n derularea activitilor entitii?
Planurile de rezerv sunt actuale, comprehensive i complet testate?
Securitatea informaiilor
nu exist un regulament
de
organizare
i
funcionare al acestui
comitat
Realizeaz
doar
o
evaluare a necesitilor de
achiziii IT
Realizeaz
doar
o
achiziii IT
Realizeaz
doar
o
achiziii IT
nu exist o gestionare a
riscurilor legate de IT
nu
sunt
cunoscute
consecinele materializrii
riscurilor
nu cunoate aceste planuri
X
X
X
X
32
Exist o politic de securitatea informaiei?

Exist o practic privind securitatea informaiei?
Exist proceduri privind securitatea informaiei?
Politica de securitate este definit i aprobat de conducere?
Securitatea informaiei este cunoscut i nsuit de conducere?
X
X
X
X
X
Politica de securitate a informaiei este cunoscut de utilizatori?
Descrierile i responsabilitile posturilor n raport cu securitatea informaiilor este

clar definit i cunoscut?
Exist disponibile descrieri clare ale sarcinilor?
Responsabilitile sunt clar definite privind securitatea informaiei?
Responsabilitile i sarcinile sunt comunicate corespunztor?
Administrarea utilizatorilor este adecvat?
Drepturile de acces sunt alocate corect?
Drepturile de acces sunt alocate pe baza nevoii utilizatorului de a executa sarcinile
atribuite?
X
X
X
X
X
X
X
Drepturile de acces sunt alocate/schimbate corect i la timp?

Drepturile de acces sunt verificate regulat?
Utilizatorii au parole de autorizare individuale?
Parolele au lungimea adecvat i sunt greu de aflat?
X
X
Politica de securitate este comunicat i cunoscut de ntregul personal i prile

externe cu acces la informaiile i sistemele entitii?
Accesul fizic la sistemele de calculatoare este restricionat pentru personalul
autorizat n afara programului de lucru?
Mijloacele i documentaia critic este asigurat atunci cnd nu este n uz?
Exist cazuri n care

aceeai
parol
este
meninut i chiar un an
de zile
X
X
X
X
X
X
X
X
X
X
X
X
X
Raportarea deficienelor
numai n caz de probleme
la aplicaii, programe etc.
X
Securitatea informaiei permite protejarea informaiei prin respectarea cerinelor de
confidenialitate, integritate i disponibilitate?
Politica de securitate a informaiei interzice utilizarea informaiilor i sistemelor
fr autorizaie i pentru scopuri care nu au legtur cu munca?
Politica de securitate interzice copierea sau scoaterea neautorizat din sediu a
informaiei fr autorizare?
Ieirea din sistem este realizat ori de cte ori un terminal este lsat
nesupravegheat?
Exist cazuri n care

dreptul de acces este lsat
i dup eliberarea postului
Numai la solicitri
X
X
Parolele sunt regulat schimbate?

Parolele i profilurile utilizatorilor privilegiai sunt folosite la accesul la sisteme i
aplicaii cu un grad nalt de securitate?
Utilizarea parolelor i profilurilor utilizatorilor privilegiai este urmrita cu
strictee?
Mecanismele de securitate logic au fost implementate i configurate pentru a
verifica i limita accesul la sistemul de operare?
La sistemele de operare au acces doar persoanele autorizate?
Accesul la funciile aplicaiei este permis pe baza necesitilor utilizatorului de a-i
realiza sarcinile?
Mecanismele de securitate logic verific i limiteaz accesul la aplicaie?
Confidenialitatea i integritatea datelor este suficient de securizat?
Mecanismele de securitate logic implementate i configurate asigur securitatea
informaiilor din cadrul reelei?
Informaia din reea este protejat de virui?
Accesul neautorizat la reea este blocat suficient?
Criptarea este folosit ca protecie necesar integritii i confidenialitii datelor?
Sistemele informatice sunt adecvat protejate mpotriva factorilor de catastrof?
Securitatea informaiei impune o analiz de risc n mod regulat?
Securitatea informaiei asigur protejarea informaiei i raportarea deficienelor?
Doar n legtur cu
obligaiile
cei
revin
postului respectiv
X
X
X
X
Ieirea din sistem este

realizat pentru fiecare
terminal manual
X
X
X
33
Echipamentele sunt protejate mpotriva furtului?

Utilizatorii sistemului au acces numai pentru scopuri clare i autorizate?
Utilizatorii sistemului sunt instruii cu privire la cerinele de siguran i sunt
supravegheai permanent?
Implementarea aplicaiilor i administrarea lor
Metodologia de achiziionare sau dezvoltare a noilor aplicaii este conform cu
scopurile entitii?
Metodologia aplicat garanteaz c aplicaiile corespund nevoilor?
Achiziia de noi aplicaii este aprobat de conducere?
Aplicaiile sunt testate suficient i eficient?
Testrile aplicaiei garanteaz c aceasta funcioneaz corect i corespunde
cerinelor?
Implementarea unei aplicaii asigur continuitatea activitilor?
ntreinerea unei aplicaii garanteaz funcionalitatea proceselor?
Modificrile aplicaiilor sunt autorizate?
Exist metodologie pentru dezvoltarea sau achiziia unei aplicaii?
Metodologia este asigurat de proceduri?
Sunt respectate criteriile de licitaie la achiziia unei aplicaii?
Exist o analiz funcional a cerinelor de lucru pentru dezvoltarea unei aplicaii?
Utilizatorii sunt implicai n analiza funcional?
Analiza funcional este confirmat printr-o analiz tehnic?
Limbajele de programare sunt adecvate?
Sunt stabilite planuri de testare a unei aplicaii?
Utilizatorii sunt implicai n testarea aplicaiilor?
Datele folosite pentru testare sunt protejate?
Transferarea unei aplicaii din mediul de dezvoltare n mediul de producie este
realizat de personalul responsabilizat?
Programatorii au acces la mediul de producie?
Exist analize de calitate privind dezvoltarea unei aplicaii?
Rezultatele controalelor de calitate sunt documentate?
Sunt comparate funcionalitile aplicaiei cu cerinele iniiale?
Exist un control adecvat din punct de vedere temporal al tranzaciilor?
Funciunile de introducere de date i de autorizare sunt restricionate i separate?
Introducerea parametrilor i altor date ce urmeaz a fi procesate este strict
controlat?
Sunt efectuate verificri pentru detectarea posibilelor nregistrri duble?
Procesarea datelor se realizeaz n mod planificat i este neleas de utilizatori i
personalul operativ?
Datele, inclusiv cele transferate din alte sisteme,sunt supuse validrii n timpul
prelucrrii?
Programele furnizeaz confirmri cu privire la finalizarea procesrii i exist
proceduri de recuperare i de reintroducere n caz de anomalii n funcionare?
nregistrrile sunt armonizate n cazurile n care sunt trecute dintr-un sistem n
altul?
Utilizatorii sunt responsabili de introducerea, modificarea sau tergerea operaiilor
nregistrate n cadrul unui sistem?
Fiierele sunt salvate la intervale regulate de timp n timpul prelucrrii pentru a
permite recuperarea operaiunilor?
X
X
X
Se afl n gestiunea
utilizatorului
Accesul le este permis
doar dac sunt autorizai
Informaiile critice sunt
securizate suplimentar
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Numai n implementarea
aplicaiilor
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Implementarea i gestionarea bazelor de date

Achiziia unui program de baze de date este aprobat de conducere?
Programul de baze de date este selectat conform nevoilor?
Programul de baze de date este standardizat?
Baza de date este testat nainte de implementare?
Modificrile asigur un impact minim asupra proceselor?
Performana unei baze de date este urmrit adecvat?
Programele de baze de date posed licene?
Integritatea bazelor de date sunt verificate periodic i se rein copii de siguran de
X
X
X
X
X
X
X
X
34
la o verificare la alta?
Instruciunile operatorilor i utilizatorilor specific clar procedurile de urmat n
cazul unei deficiene a aplicaiei n timpul prelucrrilor?
Accesul la echipamente este protejat prin securitatea fizic i/sau supravegherea
continu?
Autorizarea fizic la echipamente este realizat n conformitate cu standardele sau
proceduri?
Msurile de control a accesului in seama de politica de securitate a informaiilor?
Utilizatori sunt pregtii corespunztor cu privire la implementarea bazelor de
date?
Este acordat asisten utilizatorilor pe perioada implementrii bazei de date?
Timpul de rspuns la un apel de la operatori este sczut?
Msurile de control a accesului asigur rspunderea personal?
Msurile de control a accesului asigur punerea n practic a unor instrumente
suplimentare de control n cazul utilizatorilor cu acces special?
Msurile de control intern privind utilizarea sistemelor asigur separarea
sarcinilor?
Operaiuni ale sistemelor informatice
Organizarea operaiunilor de sistem sigur funcionarea eficient i eficace?
Activitile operaionale sunt conforme cu instruciunile date de operatori?
Problemele sunt identificate i rezolvate n termen?
Problemele sunt administrate i urmrite adecvat?
Problemele sunt prioritizate i planificate?
Rezultatul procesului este stocat cu precizie?
Rezultatul procesului este asigurat mpotriva accesului neautorizat?
Mediile de stocare sunt pstrate adecvat?
Integritatea datelor de pe mediile de stocare este asigurat?
Procedurile de back-up i recuperare asigur disponibilitatea datelor i
informaiilor importante?
Recuperarea este testat regulat?
Sarcinile realizate de operatori sunt monitorizate?
Identitatea utilizatorilor este controlat?
Exist procese prin care se asigur remedierea deficienelor de funcionare?
Exist numit o persoan responsabil cu supervizarea noilor dezvoltri i cu
ntreinerea i integrarea sistemelor n fiecare arie de activitate?
Utilizatorii sunt instruii pentru fiecare aplicaie a sistemului?
Departamentul msoar aspectele cheie ale performanei IT?
Mecanismele de control sunt potrivite pentru minimizarea riscurilor?
Administrarea reelelor software i hardware
Achiziia hardware i software este aprobat de conducere?
Hardware i software sunt selectate pe baza criteriilor stabilite n funcie de
necesiti?
Hardware i softul sunt standardizate?
Hardware i softul sunt testate nainte de implementare?
Modificrile asigur un impact minim asupra proceselor?
Programele de reea au licene?
Exist contracte la nivel de service privind ntreinerea sistemelor i
aplicaiilor?
Timpul mediu de intervenie i soluionare a defeciunii este redus?
Controlul implementat funcioneaz asupra informaiilor la care accesul este
limitat?
Abuzul de informaii este gestionat corespunztor?
Normele de siguran privind computerele sunt dezvoltate?
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Auditori,
Popescu Sorin
Radu George
35
Not:
Chestionarul de control intern este structurat pe obiectivele misiunii de audit intern i permit prin
intermediul ntrebrilor formulate i rspunsurilor primite, identificarea controalelor interne instituite de
management i aprecierea funcionalitii acestora, astfel nct riscurile s poat fi identificate n totalitate i
apreciat corect nivelul acestora.
36
Procedura P05:
ANALIZA RISCULUI
Entitatea Public
STABILIREA FACTORILOR DE RISC, A PONDERILOR ACESTORA

I APRECIEREA NIVELURILOR RISCURILOR

Factori de risc
(Fi)
Ponderea
factorilor
risc
(Pi)
Aprecierea controlului
intern F1
de
Data: 04.09.2009
Data: 04.09.2009
Nivelul de apreciere al riscului (Ni)

N1
N2
N3
P1 50%
Exist proceduri i
se aplic
Exist proceduri,
sunt
cunoscute,
dar nu se aplic
Nu
exist
proceduri
Aprecierea cantitativ
F2
P2 30%
Impact
sczut
Impact
mediu
Impact financiar
ridicat
Aprecierea calitativ
F3
P3 20%
Vulnerabilitate
mic
financiar
financiar
Vulnerabilitate
medie
Vulnerabilitate
mare
Auditori,
Popescu Sorin
Radu George
Not:
Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc,
ponderile i nivelurile de apreciere ale riscurilor.
Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns
dac se dorete evidenierea i a altor factori de risc, cu nivelurile de apreciere corespunztoare,
trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100%.
37
38
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCURILOR

Nr
crt
1.
Domeniul
Activiti/
obiective
Strategia
i
planificarea
sistemelor
informatice
1.1. Strategia IT
este concordant
cu
scopurile
organizaiei
1.2. Planurile IT
se
adreseaz
ntregii
organizaii
Data: 04.09.2009
Data: 04.09.2009
Obiecte auditabile
1.1.1. Strategia IT definete

necesitile i prioritile
Achiziia
i
implementarea
programelor i aplicaiilor nu este
corelat cu obiectivele propuse;
Sistemele nu sunt dezvoltate ntr-o
manier planificat i controlat
1.1.2. Strategia IT face trimitere

la
nevoile
viitoare
ale
organizaiei
1.1.3.
Strategia
definete
direciile i obiectivele de
dezvoltare a IT
1.2.1. Strategia IT este transpus
n planuri IT
1.2.2. Planurile IT ajut la
ndeplinirea misiunii organizaiei
1.2.3. Planurile IT ofer
asigurare cu privire la faptul c
resursele IT sunt alocate n
Strategia IT nu are o viziune

orientat spre viitor, fiind o
extrapolare a tendinelor trecute
Dezvoltarea IT nu acoper toate
procesele;
Planurile IT nu contribuie la
realizarea scopului entitii n
domeniul IT;
Resursele IT nu sunt identificate
pentru fiecare element al planului;
Criterii de analiz a riscurilor

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
2,20
0,5
0,3
0,2
1,90
0,5
0,3
0,2
1,00
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,00
39
Nr
crt
Domeniul
Activiti/
obiective
1.3. Obiectivele
IT
ndeplinesc
obiectivele
organizaiei
1.4. Comitetul IT
determin
strategia IT
1.5. Organizarea
IT
corespunde
necesitilor
organizaiei
1.6. Elaborarea
strategiei
IT
corespunde
strategiei entitii
2
Organizarea i
funcionarea
departamentul
2.1.
Definirea
atribuiilor
i
activitilor
Obiecte auditabile
1.3.1.
Strategia
IT
este
concordant
cu
scopurile
organizaiei
1.3.2. Planurile IT se adreseaz
ntregii organizaii
1.3.3. Obiectivele IT ndeplinesc
obiectivele organizaiei
Utilizatorii i IT nu au aceleai opinii

cu privire la responsabilitile i
autoritatea lor
Planul IT nu acoper cerinele pe
termen mediu;
Obiectivele n domeniul IT nu deriv
i nu contribuie la realizarea
obiectivelor entitii;
Strategia IT este definit de
departamentul IT;
Comitetul IT nu contribuie la
dezvoltarea
i
implementarea
strategiei n domeniu;
Stabilirea dezvoltrii IT de ctre
departamentul IT;
1.4.1. Strategia IT este stabilit

de un comitet IT
1.4.2. Comitetul IT transpune
strategia n planuri pe termen
scurt i pe termen mediu
1.4.3. Comitetul IT stabilete
prioritile
proiectelor
de
dezvoltare a sistemelor IT
1.5.1. Organizarea adecvat a
funciei IT
1.5.2.
Personalul
IT
are
calificarea
i
competenele
adecvate
1.5.3. Adecvarea practicilor i
procedurilor IT la procesele
existente
1.6.1. Dotarea actual cu tehnic
de calcul a stat la baza elaborrii
strategiei IT
1.6.2. Realizarea strategiei IT pe
baza
evalurii
sistemelor
existente
2.1.1. Definirea atribuiilor i
responsabilitilor n cadrul
departamentului IT
Responsabilitile nu sunt definite

clar n cadrul compartimentelor i
posturilor;
Programele i aplicaiile nu sunt
integrate i nu rspund cerinelor
activitilor;
Infrastructura IT existent nu asigur
implementarea strategiei IT;
Elaborarea strategiei nu are la baz i
o evaluare i identificare a
posibilitilor financiare;
Lipsa ariei de competen pentru
realizarea
activitilor
stabilite

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
2,10
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,70
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,70
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,70
0,5
0,3
0,2
2,50
0,5
0,3
0,2
3,00
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,40
40
Nr
crt
Domeniul
Activiti/
obiective
ui IT
2.2.
Stabilirea
structurii
organizatorice
2.3.
Stabilirea
responsabilitilo
r

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,2
1,50
Definirea atribuiilor sub form de

sarcini
0,5
0,3
0,2
1,80
Activiti stabilite incorect pentru

0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,40
0,5
0,3
0,2
1,90
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,40
0,5
0,3
0,2
1,60
Obiecte auditabile
2.1.2.
Atribuiile
specifice
departamentului sunt stabilite n
cadrul atribuiilor generale ale
entitii
2.1.3. Atribuiile stabilite asigur
realizarea activitilor necesare
implementrii obiectivelor
2.1.4.
Identificarea
tuturor
activitilor care concur la
2.1.5. Corelaia ntre atribuiile
postului
i
competenele
ocupantului postului
2.1.6. Definirea activitilor n
cadrul structurii organizatorice
Definirea de atribuii care nu se

regsesc in ROF
2.2.1. Organizarea funcional a

departamentului IT
2.2.2.
Definirea
relaiilor
organizatorice
ntre
compartimente
2.2.3. Examinarea sistemului de
gestionare a riscurilor generale
la nivelul departamentului IT
2.2.4. Riscurile legate de
securitatea datelor, programelor
i
echipamentelor
sunt
identificate i evaluate ct mai
corect i complet
2.3.1. Definirea limitelor de
competen
Stabilirea de sarcini diferite pentru

aceleai funcii sau aceleai sarcini
pentru funcii diferite
Activitile realizate la nivelul
structurii funcionale nu se regsesc
n totalitate n cadrul sarcinilor
stabilite posturilor
Structura funcional nu este adaptat
complexitii activitilor derulate
Repartizarea activitilor i relaiilor
organizatorice fr a se ine cont de
natura organizrii compartimentului
Riscurile nu sunt identificate i
gestionate la nivelul structurii
funcionale
Gestionarea slab a riscurilor privind
securitatea informaiilor
Autoritatea formal n realizarea

activitilor este insuficient stabilit
postului
41
Nr
crt
3.
Domeniul
Operaii
ale
sistemului
informatic
Activiti/
obiective
3.1
Managementul
operaiunilor
3.2.
Managementul
problemelor
Obiecte auditabile
2.3.2.
Definirea
responsabilitilor n realizarea
activitilor
2.3.3. Definirea sarcinilor prin
fia postului
Definirea doar a atribuiilor, nu i a

limitei pn unde rspunde ocupantul
postului n realizarea activitilor
Sarcinile stabilite postului potrivit
fiei postului nu corespund cu
aciunile
efectiv
realizate
de
ocupantul postului
Activitile se realizeaz fr o
prioritizare a operaiilor
Lipsa analizelor privind scopul i
cerinele de realizare a activitilor i
calitatea aplicaiilor sau programelor
utilizate
Responsabilitile operatorilor nu
sunt delimitate i stabilite n funcie
de specializarea fiecruia i tipurile
de aplicaii i programe utilizate
Activitile sunt derulate n cadrul
departamentului fr a exista o
planificare anual sau periodic
Soluionarea
cu
ntrziere
a
problemelor aprute n utilizarea
aplicaiilor i programelor
3.1.1.
Existena
listei
operaiunilor zilnice de realizat
3.1.2. Performana, capacitatea i
disponibilitatea
sistemelor
informatice este monitorizat de
administratori
3.1.3. Responsabilitatea pentru
supravegherea sarcinilor pe
seturi de programe revine
administratorilor
3.1.4. Elaborarea Planului anual
de activitate
3.2.1.
Incidentele
privind
funcionarea
normal
a
serviciilor IT sunt rezolvate sau
prevenite n termen
3.2.2. Programele antivirus
asigur protecia aplicaiilor
3.2.3. Problemele aprute sunt
prioritizate i luate n calcul
pentru remediere
3.2.4.
Implementarea
subsistemelor IT
Utilizarea neadecvat a programelor

antivirus
Soluionarea problemelor aprute nu
este realizat potrivit gravitii i
asigurnd
eficiena
realizrii
activitilor entitii
Programele i aplicaiile derulate la
nivelul
organizaiei
nu
sunt
actualizate potrivit noilor necesiti
ca urmare a modificrii aciunilor de
realizare a activitilor

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2.20
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,20
0,5
0,3
0,2
1,00
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,40
0,5
0,3
0,2
2,20
42
Nr
crt
Domeniul
Activiti/
obiective
3.3.
Funcionalitatea
activitilor
n
cadrul
departamentului
IT
Obiecte auditabile
3.2.5. Activitile operaionale

sunt conforme cu instruciunile
din manualele de utilizare
Neconcordane ntre utilizarea unei

aplicaii sau program i precizrile
din caietul tehnic, privind execuia
acelei operaii
Lipsa
revizuirii
i
urmrii
contractelor la nivel de service i a
celor la nivel operativ
3.3.1. Activitile sunt bine

organizate pentru asigurarea
bunei
funcionrii
a
departamentului
3.3.2. Organizarea funcional a
activitilor
n
cadrul
departamentului IT
3.3.3. Activitile n cadrul
departamentului sunt definite
respectnd criteriile de calitate
3.3.4. Evidena datelor aflate pe
mediile de stocare
3.3.5. Distribuirea cu precizie a
informaiei ctre utilizatori i
mediile de stocare
3.3.6. Asigurarea caracterului
secret al datelor
3.4. Mentenana
echipamentelor
3.3.7. Soluionarea problemelor

presupune parcurgerea etapelor:
iniierea, planificarea, execuia,
monitorizarea
i
analiza,
ncheierea
3.4.1. Obinerea de rapoarte de
activitate utile
3.4.2. ntreinerea calculatorului
i a echipamentelor
Activitile i aciunile necesare

realizrii acestora nu sunt repartizate
eficient i omogen pe compartimente
n cadrul departamentului IT
Activiti
i
aciuni
neresponsabilizate
Acces nerestricionat la date i
informaii
Dependena de tere pri n
centralizarea informaiei i oferirea
rapoartelor
Accesul la datele i informaiile
organizaiei nu este limitat doar
pentru persoanele ndreptite
Soluionarea unei probleme prin
luarea n calcul doar a execuiei
acesteia
Rapoartele obinute nu ofer
informaii suficiente pentru luarea
deciziilor
Disfunciile identificate nu sunt
analizate i nlturate n conformitate
cu instruciunile i manualele de
ntreinere

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,40
0,5
0,3
0,2
1,70
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,30
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,20
43
Nr
crt
Domeniul
Activiti/
obiective
3.5.
Utilizarea
echipamentelor
Obiecte auditabile
3.4.3. Instalarea i configurarea

calculatorului
Echipamentele periferice nu sunt

instalate i conectate conform
documentaiei
ntreinerea sistemului doar la
solicitrile utilizatorilor
3.1.1. Sistemul este ntreinut

pentru a se asigura c este
conform cu nevoile organizaiei
3.5.1. Realizarea eficient a
operaiilor
n
cadrul
departamentului IT
3.5.2. Identificarea i raportarea
pericolelor
3.5.3. Administrarea eficient a
3.5.4. Evaluarea problemelor i
soluionarea acestora
4.
Securitatea
informaiilor
4.1. Organizarea
securitii
informaiilor
3.5.5. Programele corespund

cerinelor stabilite
3.5.6.
Echipamentele
sunt
utilizate adecvat asigurnd un
confort n exploatare
4.1.1. Crearea politicii de
securitate a informaiei
4.1.2. Crearea standardelor i
practicilor pentru securitatea
informaiei
4.1.3.
Stabilirea
responsabilitilor
privind
Suportul tehnic cu privire la

utilizarea programelor nu este
furnizat n mod corespunztor
utilizatorilor
Costuri ridicate cu remedierea
defeciunilor, frecven mare a
acestora, timpi mari pn la reluarea
lucrului
Controlul intern asupra datelor de
intrare nu este asigurat corespunztor
Lipsa revizuirii i urmrii msurilor
privind corectarea erorilor conduce la
persistena unora dintre acestea
Neadaptarea la schimbrile rapide ale
tehnologiei informaiei
Lipsa
cunotinelor
privind
exploatarea
echipamentelor
la
potenialul maxim
Organizarea i responsabilitile
privind securitatea informaiilor nu
constituie o prioritate a politicii de
securitate
Standardele
privind
securitatea
informaiei nu sunt definite formal
Responsabilitile nu sunt separate
clar ntre cele ale administratorilor i
cele ale operatorilor;

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
2,80
0,5
0,3
0,2
1,20
0,5
0,3
0,2
2,30
0,5
0,3
0,2
1,40
0,5
0,3
0,2
2,70
0,5
0,3
0,2
1,90
0,5
0,3
0,2
1,40
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,50
44
Nr
crt
Domeniul
Activiti/
obiective
4.2.
Disponibilitatea
datelor
4.3. Asigurarea
funcionrii
programelor i
aplicaiilor
Obiecte auditabile
4.1.4.
Elaborarea
politicii
privind securitatea informaiei
Datele i informaiile prelucrate i

stocate nu sunt asigurate n condiii
de confidenialitate, integritate i
disponibilitate
Politica de securitate nu definete
responsabilitile cu privire la
securitatea datelor i informaiilor
Datele i informaiile nu sunt stocate
n condiii de securitate
Accesul la informaii i pentru
persoanele neautorizate
4.1.5.
Stabilirea
politicii de securitate
4.1.6. Securitatea informaiilor
asigur integritatea acestora
4.1.7. Securitatea datelor asigur
disponibilitatea acestora doar
pentru utilizatori autorizai
4.2.1.
Protejarea
mpotriva
atacurilor informatice
4.2.2.
Protejarea
datelor
mpotriva viruilor
4.2.3. Asigurarea continuitii
activitilor
4.2.4. Recuperarea datelor n caz
de dezastru
4.2.5.
Protejarea
mpotriva
asumrii unei identitii false
4.3.1. Asigurarea introducerii
corecte a datelor i informaiilor
pentru prelucrare
4.3.2. Existena licenelor pentru
programele utilizate
4.3.4. Asigurarea securitii
datelor i informaiilor
Lipsa programelor de protecie

adecvate pentru aplicaii i programe
Vulnerabilitate sporit n faa
viruilor
Planurile
privind
continuitatea
activitilor nu stabilesc msuri
concrete pentru reluarea activitii
Lipsa planurilor de recuperare a
datelor i informaiilor
Sustragerea informaiilor sau a
echipamentelor, fr autorizare;
Aplicaiile informatice nu sunt
utilizate
n
conformitate
cu
instruciunile de exploatare
Plata unor despgubiri urmare
implementrii unor programe fr
licen
Introducerea incorect a datelor i
informaiilor n cadrul programelor i
aplicaiilor
Accesul la datele i informaiile
stocate nu este restricionat i
autorizat pe niveluri ierarhice

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,70
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,70
0,5
0,3
0,2
2,30
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
45
Nr
crt
Domeniul
Activiti/
obiective
4.4.
Implementarea
instrumentelor
de control
4.5. Securitatea
reelei
4.6. Gestionarea
parolelor
Punctaj
total
0,5
0,3
0,2
2,40
0,5
0,3
0,2
1,50
Accesul fizic la echipamente i

aplicaii este restricionat
0,5
0,3
0,2
2,50
Posibilitatea de a obine i utiliza

rezultate nesigure, neverificate
0,5
0,3
0,2
1,20
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,10
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,30
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,50
Obiecte auditabile
4.4.1. Accesul la aplicaie este

oferit pe baza necesitilor
utilizatorului
4.4.2. Mecanismele de securitate
configurate i implementate
verific i limiteaz accesul la
aplicaii
4.4.3.
Introducerea
instrumentelor de control fizic
4.4.4. Stabilirea de chei de
control pentru fiecare program
sau aplicaie
4.5.1. Mecanismele de securitate
configurate i implementate
asigur securitatea informaiilor
n cadrul reelei
4.5.2. Monitorizarea securitii
reelelor
4.61. Utilizatorii au parole de
acces individuale
Accesul la program, aplicaie este

oferit pentru ntregul personal ce
posed o parol
Pentru vulnerabilitile sistemelor nu
sunt stabilite i implementate
instrumente de control
4.6.2. Schimbarea periodic a

parolelor
4.6.3. Conturile i parolele
generice sunt folosite pentru
accesul la sisteme i aplicaii
4.6.5. Persoanele autorizate au
acces la sistemul de operare
4.7. Securitatea
logic

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%

funcionrii
programelor
i
aplicaiilor
Metodele de criptare nu asigur

protecia
integritii
i
confidenialitii datelor sensibile
Comunicarea n reea nu este
securizat
Accesul la aplicaii se realizeaz
direct, fr a fi permis doar pentru
personalul ndreptit
Risc crescut de spargere a parolei
Conturile i parolele generice iniiale
nu sunt personalizate dup nceperea
prelucrrilor de ctre utilizatori
Descrcarea ilegal a unor informaii
Accesul la servere este permis
ntregului
personal,
nefiind
nregistrat i monitorizat
Lipsa controalelor sau controale
slabe de acces
46
Nr
crt
Domeniul
Proiectarea i
testarea
programelor i
aplicaiilor
Activiti/
obiective
5.1. Proiectarea
i
elaborarea
programelor i
aplicaiilor
5.2. Testarea i
implementarea
programelor i
aplicaiilor
Obiecte auditabile
4.7.2.Protejarea
sistemelor
informatice mpotriva factorilor
de mediu
4.7.3. Protejarea informaiei din
reea
Lipsa controalelor de mediu,

respectiv detectoare de foc, incendiu
etc.
Funcii de siguran sau control nu
sunt prevzute n cadrul sistemelor
de aplicaii
n proiectarea programului/aplicaiei,
fluxul de date nu este stabilit adecvat
rezultatelor ateptate
Graficul de realizare a programului i
bugetul aprobat nu sunt respectate
Elaborarea de programe i aplicaii
fr o analiz strategic la nivelul
utilizatorilor
Lipsa resurselor financiare n
elaborarea i implementarea unui
Costuri suplimentare n achiziia unui
Efectuarea de prelucrri asupra
datelor reale n cadrul testrii
programelor
Neconformitile i erorile constatate
n cursul testrii unui program nu
sunt analizate cu atenie
Opiunile i parametrii de lucru ai
programului/aplicaiei
nu
sunt
stabilii conform specificaiilor din
Programele
sau
aplicaiile
achiziionate sunt implementate fr
a fi testate
Lipsa proiectelor de dezvoltare a
achiziiilor
5.1.1. Proiectarea programului

informatic
5.1.2. Elaborarea programului
informatic
5.1.3. Proiectarea unui program
sau aplicaie tine cont de
necesitile organizaiei
5.1.4. Proiectarea unui program
sau aplicaie pe baza existenei
resurselor financiare
5.1.5. Respectarea cerinelor n
achiziia unei aplicaii
5.2.1. Utilizarea de date ipotetice
n testarea unui program
5.2.2. Testarea programului i
aplicaiei
5.2.3. Asigurarea corectitudinii
rezultatelor
6.
Elaborarea i
implementarea
6.1. Dezvoltarea
proiectelor
IT
5.2.4.
Implementarea
unui
program dup realizarea testrii
acestuia
6.1.1.
Metodologia
pentru
dezvoltarea i achiziia aplicaiei

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,80
0,5
0,3
0,2
1,40
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
2,20
0,5
0,3
0,2
1,50
0,5
0,3
0,2
1,50
47
Nr
crt
Domeniul
proiectelor IT
Activiti/
obiective
(programe
aplicaii)
Obiecte auditabile
6.1.2. Iniierea i elaborarea

proiectelor IT
Obiectivele generale ale proiectului

nu sunt stabilite cu respectarea
strategiei generale a organizaiei
Parametri de referin i valorile
etalon ale programelor elaborate nu
respect specificaiile i nu se
ncadreaz n standarde
Soluiile
privind
mbuntirea
programelor i aplicaiilor nu in cont
de punctele slabe i critice, precum i
evoluiile tehnologice
Rapoartele nu corespund cerinelor
6.1.3.
performanelor
implementate
6.2.
Implementarea i
funcionarea
programelor i
aplicaiilor
7.
Proiectarea i
meninerea n
funciune
a
unei reele
7.1. Proiectarea,
instalarea
i
administrarea
reelei
de
calculatoare
7.2.
Interconectarea
i
securitatea
Monitorizarea
soluiilor IT
6.2.1. Reproiectarea soluiilor IT

pentru programe i aplicaii
6.2.2. Implementarea adecvat a
aplicaiilor
6.2.3. ntreinerea aplicaiilor
garanteaz
funcionarea
7.1.1.
Asigurarea
bunei
funcionri a sistemelor bazate
pe existena i funcionarea
7.1.2.
Monitorizarea
performanelor reelelor
7.1.4. Reeaua de calculatoare

corespunde
cerinelor
funcionale
Supravegherea proceselor aflate n

execuie
i
a
performanelor
aplicaiilor,
sistemelor
sau
programelor nu respect procedurile
i instruciunile
Subsistemele existente nu sunt
configurate
i
supravegheate
individual
Scderea performanelor reelelor
Accesul i utilizarea datelor i
informaiilor stocate pe server nu
respect strategia de securitate a
reelei
Reeaua de calculatoare nu asigur
integrarea informaiilor i elaborarea
rapoartelor
Conexiunile dintre reele nu sunt
conforme cu arhitectura prevzut de
instruciuni i nu respect standardele

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,70
0,5
0,3
0,2
2,50
0,5
0,3
0,2
2,50
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,50
0,5
0,3
0,2
2,40
48
Nr
crt
Activiti/
obiective
Domeniul
reelei
Obiecte auditabile
7.2.2. Proiectarea i asigurarea

securitii reelei
7.2.3.
Urmrirea
adecvrii
performanelor unei reele
Vulnerabilitile i ameninrile nu
sunt identificate i prioritizate
Conceperea unei reele nu asigur
integrarea programelor

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativ
calitativ
intern
P1
P2
P3
N1
N2
N3
50%
30%
20%
Punctaj
total
0,5
0,3
0,2
2,00
0,5
0,3
0,2
1,70
Auditori,
Popescu Sorin
Radu George
Not:
Stabilirea nivelului riscului i determinarea punctajului total al riscurilor este documentul din procedura Analiza riscurilor n care auditorii apreciaz
nivelul riscului pe factorii de risc i determin punctajul total al riscurilor pe baza documentelor n posesia crora au intrat pn n acel moment, dar i pe baza
expertizei personale n domeniu.
Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor
riscurilor asociate operaiilor audiabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv:
T= Pi x Ni
i=1
unde: Pi = ponderea riscului pentru fiecare criteriu

Ni = nivelul riscurilor pentru fiecare criteriu utilizat
Evaluarea riscurilor asociate operaiilor audiabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele
primite de la entitate i/sau din rapoarte anterioare, dar i din propria expertiza n domeniu are un oarecare grad de subiectivitate.
49
50
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCURILOR
Nr
crt
1.
Domeniul
Strategia
i
planificarea
sistemelor
informatice
Activiti/
obiective
1.1. Strategia IT este
concordant
cu
scopurile organizaiei
adreseaz
ntregii
organizaii
1.3. Obiectivele IT
ndeplinesc
obiectivele
organizaiei
1.4. Comitetul IT
determin strategia
IT
1.5. Organizarea IT
corespunde
Data: 07.09.2009
Data: 07.09.2009
Obiecte auditabile
1.1.1. Strategia IT definete necesitile i

prioritile
1.1.2. Strategia IT face trimitere la nevoile viitoare
ale organizaiei
1.1.3. Strategia definete direciile i obiectivele de
dezvoltare a IT
1.2.2. Planurile IT ajut la ndeplinirea misiunii
organizaiei
1.2.3. Planurile IT ofer asigurare cu privire la
faptul c resursele IT sunt alocate n concordan
cu necesitile
1.3.1. Strategia IT este concordant cu scopurile
organizaiei
1.3.3. Obiectivele IT ndeplinesc obiectivele
organizaiei
1.4.2. Comitetul IT transpune strategia n planuri
pe termen scurt i pe termen mediu
1.4.3. Comitetul IT stabilete prioritile
proiectelor de dezvoltare a sistemelor IT
Achiziia i implementarea programelor i

aplicaiilor nu este corelat cu obiectivele propuse;
Sistemele nu sunt dezvoltate ntr-o manier
planificat i controlat
Strategia IT nu are o viziune orientat spre viitor,
fiind o extrapolare a tendinelor trecute
Dezvoltarea IT nu acoper toate procesele;
Planurile IT nu contribuie la realizarea scopului
entitii n domeniul IT;
Resursele IT nu sunt identificate pentru fiecare
element al planului;
Utilizatorii i IT nu au aceleai opinii cu privire la
responsabilitile i autoritatea lor
Planul IT nu acoper cerinele pe termen mediu;
Obiectivele n domeniul IT nu deriv i nu contribuie
la realizarea obiectivelor entitii;
Strategia IT este definit de departamentul IT;
Comitetul IT nu contribuie la dezvoltarea i
implementarea strategiei n domeniu;
Stabilirea dezvoltrii IT de ctre departamentul IT;
Responsabilitile nu sunt definite clar n cadrul
compartimentelor i posturilor;
Pct.
total
Clasare
2,20
Mare
1,90
Mediu
1,00
Mic
1,50
Mic
2,00
Mediu
2,00
Mediu
2,10
Mare
1,50
Mic
1,70
Mic
2,00
Mediu
2,70
Mare
2,50
Mare
2,00
Mediu
Obs.
51
Nr
crt
Domeniul
Activiti/
obiective
necesitilor
organizaiei
Organizarea i
funcionarea
departamentul
ui IT
1.6.
Elaborarea
strategiei
IT
corespunde strategiei
entitii
2.1.
Definirea
atribuiilor
i
activitilor
2.2.
Stabilirea
structurii
organizatorice
2.3.
Stabilirea
responsabilitilor
Obiecte auditabile
1.5.2. Personalul IT are calificarea i competenele

adecvate
1.5.3. Adecvarea practicilor i procedurilor IT la
procesele existente
1.6.1. Dotarea actual cu tehnic de calcul a stat la
1.6.2. Realizarea strategiei IT pe baza evalurii
sistemelor existente
2.1.1. Definirea atribuiilor i responsabilitilor n
2.1.2. Atribuiile specifice departamentului sunt
stabilite n cadrul atribuiilor generale ale entitii
2.1.3. Atribuiile stabilite asigur realizarea
activitilor necesare implementrii obiectivelor
2.1.4. Identificarea tuturor activitilor care
concur la realizarea obiectivelor
2.1.5. Corelaia ntre atribuiile postului i
competenele ocupantului postului
2.1.6. Definirea activitilor n cadrul structurii
organizatorice
2.2.1. Organizarea funcional a departamentului

IT
2.2.2. Definirea relaiilor organizatorice ntre
compartimente
2.2.3. Examinarea sistemului de gestionare a
riscurilor generale la nivelul departamentului IT
2.2.4. Riscurile legate de securitatea datelor,
programelor i echipamentelor sunt identificate i
evaluate ct mai corect i complet
2.3.2. Definirea responsabilitilor n realizarea
activitilor
Programele i aplicaiile nu sunt integrate i nu

rspund cerinelor activitilor;
Infrastructura IT existent nu asigur implementarea
strategiei IT;
Elaborarea strategiei nu are la baz i o evaluare i
identificare a posibilitilor financiare;
Lipsa ariei de competen pentru realizarea
activitilor stabilite structurii funcionale
Definirea de atribuii care nu se regsesc in ROF
Definirea atribuiilor sub form de sarcini
Activiti stabilite incorect pentru realizarea
obiectivelor
Stabilirea de sarcini diferite pentru aceleai funcii
sau aceleai sarcini pentru funcii diferite
Activitile realizate la nivelul structurii funcionale
nu se regsesc n totalitate n cadrul sarcinilor
stabilite posturilor
Structura funcional nu este adaptat complexitii
Repartizarea activitilor i relaiilor organizatorice
fr a se ine cont de natura organizrii
compartimentului
Riscurile nu sunt identificate i gestionate la nivelul
Gestionarea slab a riscurilor privind securitatea
informaiilor
Autoritatea formal n realizarea activitilor este
insuficient stabilit postului
Definirea doar a atribuiilor, nu i a limitei pn unde
rspunde ocupantul postului n realizarea activitilor
Sarcinile stabilite postului potrivit fiei postului nu
corespund cu aciunile efectiv realizate de ocupantul
postului
Pct.
total
Clasare
1,70
Mic
2,50
Mare
3,00
Mare
1,50
Mic
2,40
Mare
1,50
Mic
1,80
Mic
1,80
Mic
1,50
Mic
2,40
Mare
1,90
Mediu
1,50
Mic
2,50
Mare
2,40
Mare
1,60
Mic
1,80
Mic
2,50
Mare
Obs.
52
Nr
crt
3.
Domeniul
Operaii
ale
sistemului
informatic
Activiti/
obiective
3.1
Managementul
operaiunilor
3.2. Managementul
problemelor
Obiecte auditabile
3.1.1. Existena listei operaiunilor zilnice de

realizat
3.1.2. Performana, capacitatea i disponibilitatea
sistemelor informatice este monitorizat de
administratori
3.1.3. Responsabilitatea pentru supravegherea
sarcinilor pe seturi de programe revine
administratorilor
Activitile se realizeaz fr o prioritizare a

operaiilor
Lipsa analizelor privind scopul i cerinele de
realizare a activitilor i calitatea aplicaiilor sau
programelor utilizate
Responsabilitile operatorilor nu sunt delimitate i
stabilite n funcie de specializarea fiecruia i
tipurile de aplicaii i programe utilizate
Activitile sunt derulate n cadrul departamentului
fr a exista o planificare anual sau periodic
Soluionarea cu ntrziere a problemelor aprute n
utilizarea aplicaiilor i programelor
3.2.1. Incidentele privind funcionarea normal a

serviciilor IT sunt rezolvate sau prevenite n
termen
3.2.2. Programele antivirus asigur protecia
aplicaiilor
3.2.3. Problemele aprute sunt prioritizate i luate
n calcul pentru remediere
3.2.5. Activitile operaionale sunt conforme cu

instruciunile din manualele de utilizare
3.3. Funcionalitatea
departamentului IT
3.3.1. Activitile sunt bine organizate pentru

asigurarea bunei funcionrii a departamentului
3.3.2. Organizarea funcional a activitilor n
3.3.3. Activitile n cadrul departamentului sunt
definite respectnd criteriile de calitate
3.3.5. Distribuirea cu precizie a informaiei ctre
utilizatori i mediile de stocare
Utilizarea neadecvat a programelor antivirus

Soluionarea problemelor aprute nu este realizat
potrivit gravitii i asigurnd eficiena realizrii
activitilor entitii
Programele i aplicaiile derulate la nivelul
organizaiei nu sunt actualizate potrivit noilor
necesiti ca urmare a modificrii aciunilor de
Neconcordane ntre utilizarea unei aplicaii sau
program i precizrile din caietul tehnic, privind
execuia acelei operaii
Lipsa revizuirii i urmrii contractelor la nivel de
service i a celor la nivel operativ
Activitile i aciunile necesare realizrii acestora nu
sunt repartizate eficient i omogen pe compartimente
n cadrul departamentului IT
Activiti i aciuni neresponsabilizate
Acces nerestricionat la date i informaii
Dependena de tere pri n centralizarea informaiei
i oferirea rapoartelor
Accesul la datele i informaiile organizaiei nu este
limitat doar pentru persoanele ndreptite
Pct.
total
Clasare
1,50
Mic
2.20
Mare
2,50
Mare
2,20
Mare
1,00
Mic
2,50
Mare
1,40
Mic
2,20
Mare
1,80
Mic
1,50
Mic
2,50
Mare
1,40
Mic
1,70
Mic
1,80
Mic
2,30
Mare
Obs.
53
Nr
crt
Domeniul
Activiti/
obiective
3.4.
Mentenana
echipamentelor
Obiecte auditabile
3.3.7. Soluionarea problemelor presupune

parcurgerea etapelor: iniierea, planificarea,
execuia, monitorizarea i analiza, ncheierea
Soluionarea unei probleme

doar a execuiei acesteia
3.4.2.
ntreinerea
echipamentelor
calculatorului
3.5.
Utilizarea
echipamentelor
3.1.1. Sistemul este ntreinut pentru a se asigura

c este conform cu nevoile organizaiei
3.5.1. Realizarea eficient a operaiilor n cadrul
departamentului IT
3.5.3. Administrarea eficient a aplicaiilor i
programelor
3.5.4. Evaluarea problemelor i soluionarea
acestora
4.
Securitatea
informaiilor
4.1.
Organizarea
securitii
informaiilor
3.5.6. Echipamentele sunt utilizate adecvat

asigurnd un confort n exploatare
4.1.2. Crearea standardelor i practicilor pentru
4.1.3. Stabilirea responsabilitilor privind
4.1.4. Elaborarea politicii privind securitatea
informaiei
4.1.5. Stabilirea responsabilitilor n cadrul
Pct.
total
Clasare
1,50
Mic
2,00
Mediu
2,20
Mare
2,80
Mare
1,20
Mic
2,30
Mare
1,40
Mic
2,70
Mare
1,90
Mediu
1,40
Mic
1,50
Mic
1,50
Mic
2,50
Mare
1,50
Mic
2,50
Mare
2,00
Mediu
Obs.
prin luarea n calcul
Rapoartele obinute nu ofer informaii suficiente

pentru luarea deciziilor
Disfunciile identificate nu sunt analizate i nlturate
n conformitate cu instruciunile i manualele de
ntreinere
Echipamentele periferice nu sunt instalate i
conectate conform documentaiei
ntreinerea sistemului doar la solicitrile
utilizatorilor
Suportul tehnic cu privire la utilizarea programului
nu este acordat n mod corespunztor utilizatorilor
Costuri ridicate cu remedierea defeciunilor,
frecven mare a acestora, timpi mari pn la
reluarea lucrului
Controlul intern asupra datelor de intrare nu este
asigurat corespunztor
Lipsa revizuirii i urmrii msurilor privind
corectarea erorilor conduce la persistena unora
dintre acestea
Neadaptarea la schimbrile rapide ale tehnologiei
informaiei
Lipsa
cunotinelor
privind
exploatarea
echipamentelor la potenialul maxim
Organizarea i responsabilitile privind securitatea
informaiilor nu constituie o prioritate a politicii de
securitate
Standardele privind securitatea informaiei nu sunt
definite formal
Responsabilitile nu sunt separate clar ntre cele ale
administratorilor i cele ale operatorilor
Datele i informaiile prelucrate i stocate nu sunt
asigurate n condiii de confidenialitate, integritate i
disponibilitate
Politica de securitate nu definete responsabilitile
cu privire la securitatea datelor i informaiilor
54
Nr
crt
Domeniul
Activiti/
obiective
4.2. Disponibilitatea
datelor
Obiecte auditabile
4.1.6. Securitatea informaiilor asigur integritatea

acestora
4.1.7. Securitatea datelor asigur disponibilitatea
acestora doar pentru utilizatori autorizai
Datele i informaiile nu sunt stocate n condiii de

securitate
Accesul la informaii i pentru persoanele
neautorizate
Lipsa programelor de protecie adecvate pentru
aplicaii i programe;
Vulnerabilitate sporit n faa viruilor
Planurile privind continuitatea activitilor nu
stabilesc msuri concrete pentru reluarea activitii
Lipsa planurilor de recuperare a datelor i
informaiilor
Sustragerea informaiilor sau echipamentelor, fr
autorizare
Aplicaiile informatice nu sunt utilizate n
conformitate cu instruciunile de exploatare
Plata unor despgubiri urmare implementrii unor
programe fr licen
Introducerea incorect a datelor i informaiilor n
cadrul programelor i aplicaiilor
Accesul la datele i informaiile stocate nu este
restricionat i autorizat pe niveluri ierarhice
Accesul la program, aplicaie este oferit pentru
ntregul personal ce posed o parol
Pentru vulnerabilitile sistemelor nu sunt stabilite i
implementate instrumente de control

4.3.
Asigurarea
funcionrii
programelor
i
aplicaiilor
4.2.5. Protejarea mpotriva asumrii unei identitii

false
4.3.1. Asigurarea introducerii corecte a datelor i
4.3.2. Existena licenelor pentru programele
utilizate
4.4. Implementarea
instrumentelor
de
control
4.5.
reelei
Securitatea
4.6.
Gestionarea
parolelor
4.4.1. Accesul la aplicaie este oferit pe baza

necesitilor utilizatorului
implementate verific i limiteaz accesul la
aplicaii
4.4.4. Stabilirea de chei de control pentru fiecare
implementate asigur securitatea informaiilor n
cadrul reelei
Pct.
total
Clasare
1,50
Mic
2,50
Mare
1,80
Mic
2,70
Mare
1,50
Mic
1,50
Mic
1,70
Mic
2,30
Mare
1,50
Mic
2,50
Mare
2,00
Mediu
2,40
Mare
1,50
Mic
Accesul fizic la echipamente i aplicaii este

restricionat
Posibilitatea de a obine i utiliza rezultate nesigure,
neverificate
Metodele de criptare nu asigur protecia integritii
i confidenialitii datelor sensibile
2,50
Mare
1,20
Mic
1,50
Mic
Comunicarea n reea nu este monitorizat
1,80
Mic
2,00
Mediu
2,10
Mare
Accesul la aplicaii se realizeaz direct, fr a fi

permis doar pentru personalul ndreptit
Risc crescut de spargere a parolei
Obs.
55
Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile
4.6.3. Conturile i parolele generice sunt folosite

pentru accesul la sisteme i aplicaii
Conturile i parolele generice iniiale nu sunt

personalizate dup nceperea prelucrrilor de ctre
utilizatori
Descrcarea ilegal a unor informaii
4.7.
logic
Proiectarea i
testarea
programelor i
aplicaiilor
Securitatea
5.1. Proiectarea
elaborarea
programelor
aplicaiilor
5.2.
Testarea
implementarea
programelor
aplicaiilor
4.6.5. Persoanele autorizate au acces la sistemul de

operare
4.7.1.
Asigurarea
securitii
funcionrii
4.7.2.Protejarea sistemelor informatice mpotriva
factorilor de mediu
i
i
5.1.3. Proiectarea unui program sau aplicaie tine

cont de necesitile organizaiei
5.1.4. Proiectarea unui program sau aplicaie pe
baza existenei resurselor financiare
5.1.5. Respectarea cerinelor i programelor n
achiziia unei aplicaii
5.2.1. Utilizarea de date ipotetice n testarea unui
program
6.
Elaborarea i
implementarea
proiectelor IT
6.1.
Dezvoltarea
proiectelor
IT
(programe
i
aplicaii)
5.2.4. Implementarea unui program dup realizarea

testrii acestuia
6.1.1. Metodologia pentru dezvoltarea i achiziia
aplicaiei
6.1.3. Monitorizarea performanelor soluiilor IT
implementate
Accesul la servere este permis ntregului personal,

nefiind nregistrat i monitorizat
Lipsa controalelor sau controale slabe de acces
Lipsa controalelor de mediu, respectiv detectoare de
foc, incendiu etc.
Funcii de siguran sau control nu sunt prevzute n
cadrul sistemelor de aplicaii
n proiectarea programului/aplicaiei, fluxul de date
nu este stabilit adecvat rezultatelor ateptate
Graficul de realizare a programului i bugetul
aprobat nu sunt respectate
Elaborarea de programe i aplicaii fr o analiz
strategic la nivelul utilizatorilor
Lipsa resurselor financiare n elaborarea i
implementarea unui program sau aplicaie
Costuri suplimentare n achiziia unui program sau
aplicaie
Efectuarea de prelucrri asupra datelor reale n
cadrul testrii programelor
Neconformitile i erorile constatate n cursul
testrii unui program nu sunt analizate cu atenie
Opiunile
i
parametrii
de
lucru
ai
programului/aplicaiei nu sunt stabilii conform
specificaiilor din documentaiile tehnice
Programele sau aplicaiile achiziionate sunt
implementate fr a fi testate
Lipsa proiectelor de dezvoltare a achiziiilor
Obiectivele generale ale proiectului nu sunt stabilite
cu respectarea strategiei generale a organizaiei
Parametri de referin i valorile etalon ale
programelor elaborate nu respect specificaiile i nu
se ncadreaz n standarde
Pct.
total
Clasare
1,50
Mic
2,50
Mare
2.30
Mare
2,50
Mare
1,50
Mic
1,80
Mic
2,00
Mediu
2,50
Mare
1,80
Mic
1,80
Mic
1,40
Mic
2,50
Mare
2,00
Mediu
2,20
Mare
1,50
Mic
1,50
Mic
2,50
Mare
2,50
Mare
Obs.
56
Nr
crt
Domeniul
Activiti/
obiective
6.2. Implementarea i
funcionarea
programelor
i
aplicaiilor
Obiecte auditabile
6.2.1. Reproiectarea soluiilor IT pentru programe

i aplicaii
Soluiile privind mbuntirea programelor i

aplicaiilor nu in cont de punctele slabe i critice,
precum i evoluiile tehnologice
Rapoartele nu corespund cerinelor

6.2.3.
ntreinerea
aplicaiilor
garanteaz
funcionarea proceselor la parametrii optimi
7.
Proiectarea i
meninerea n
funciune
a
unei reele
7.1.
Proiectarea,
instalarea
i
de calculatoare
7.1.1. Asigurarea bunei funcionri a sistemelor

bazate pe existena i funcionarea reelei de
calculatoare
7.1.2. Monitorizarea performanelor reelelor
7.2. Interconectarea
7.1.4. Reeaua de calculatoare

cerinelor funcionale
corespunde

7.2.2. Urmrirea adecvrii performanelor unei
reele
Supravegherea proceselor aflate n execuie i a

performanelor
aplicaiilor,
sistemelor
sau
programelor nu respect procedurile i instruciunile
Subsistemele existente nu sunt configurate i
supravegheate individual
Scderea performanelor reelelor
Accesul i utilizarea datelor i informaiilor stocate
pe server nu respect strategia de securitate a reelei
Reeaua de calculatoare nu asigur integrarea
informaiilor i elaborarea rapoartelor
Conexiunile dintre reele nu sunt conforme cu
arhitectura prevzut de instruciuni i nu respect
standardele
Vulnerabilitile i ameninrile nu sunt identificate
i prioritizate
Proiectarea reelei de calculatoare nu asigur
integrarea programelor
Pct.
total
Clasare
2,00
Mediu
1,70
Mic
2,50
Mare
2,50
Mare
1,50
Mic
2,00
Mediu
1,50
Mic
2,40
Mare
2,00
Mediu
1,70
Mic
Obs.
Auditori,
Popescu Sorin
Radu George
57
Not:
Clasarea activitilor sau operaiilor n funcie de punctajul riscurilor este a asea faz a procedurii Analiza riscurilor, n care riscurile se mpart n mari, medii i
mici.
mprirea riscurilor n cele trei categorii se realizeaz innd cont de importana riscurilor i de resursele de audit de care dispunem, respectiv numrul de
auditori intern si numrul de ore efectuate pentru desfurarea misiunii de audit.
n mod special, activitatea de mprire a riscurilor pe cele trei categorii trebuie s in cont de resursele alocate misiunii (numr de persoane, timpul aferent
.a.), respectiv s aib n vedere volumul riscurilor pe care le poate auditat i s renune pentru moment la riscurile care pot fi neglijate. Numrul riscurilor medii se
recomand s fie foarte redus ( 5-10%), pentru c acesta demonstreaz o nehotrre din partea auditorilor interni. n general, riscurile medii se acord pentru operaiile
pe care auditorii interni nu le cunosc bine din practic i care vor fi cuprinse n auditare.
Pentru continuarea analizei, auditorii interni au mprit in cele trei categorii (mari, medii si mici) riscurile din documentul Stabilirea nivelului riscului i a
punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel:
Riscuri mici
1,0 - 1,7
Riscuri medii 1,8 - 2,3
Riscuri mari
2,4 - 3,0
Pentru moment, riscurile mici vor fi ignorate, in sensul ca nu vor fi auditate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie
cu care se va elabora documentul Tabelul puncte tari i puncte slabe.
58
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
TABELUL PUNCTE TARI I PUNCTE SLABE

Nr
crt
1.
Domeniul
Strategia
planificarea
sistemelor
informatice
Activiti/
obiective
i 1.1. Strategia IT
este concordant cu
scopurile
organizaiei
adreseaz ntregii
organizaii
Obiecte auditabile
Data: 07.09.2009
Data: 07.09.2009
1.1.1. Strategia IT definete Achiziia i implementarea

necesitile i prioritile
programelor i aplicaiilor nu
este corelat cu obiectivele
propuse;
1.2.2. Planurile IT ajut la Planurile IT nu contribuie la
ndeplinirea
misiunii realizarea scopului entitii n
organizaiei
domeniul IT;
IT
nu
sunt
1.2.3. Planurile IT ofer Resursele
asigurare cu privire la faptul c identificate pentru fiecare
resursele IT sunt alocate n element al planului;
1.3. Obiectivele IT 1.3.1.
Strategia
IT
este Utilizatorii i IT nu au
ndeplinesc
concordant
cu
scopurile aceleai opinii cu privire la
obiectivele
organizaiei
responsabilitile
i
organizaiei
autoritatea lor
1.4. Comitetul IT 1.4.1. Strategia IT este stabilit Strategia IT este definit de
determin strategia de un comitet IT
departamentul IT;
IT
1.4.2. Comitetul IT transpune Comitetul IT nu contribuie la
strategia n planuri pe termen dezvoltarea i implementarea
strategiei n domeniu;
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Ridicat
Sczut
59
Nr
crt
2.
Domeniul
Activiti/
obiective
Obiecte auditabile
1.4.3. Comitetul IT stabilete

prioritile
proiectelor
de
dezvoltare a sistemelor IT
1.5. Organizarea IT 1.5.1. Organizarea adecvat a
corespunde
funciei IT
necesitilor
organizaiei
1.5.3. Adecvarea practicilor i
procedurilor IT la procesele
existente
1.6.
Elaborarea 1.6.1. Dotarea actual cu
strategiei
IT tehnic de calcul a stat la baza
corespunde
elaborrii strategiei IT
strategiei entitii
Organizarea i 2.1.
Definirea 2.1.1. Definirea atribuiilor i
funcionarea
atribuiilor
i responsabilitilor n cadrul
departamentulu activitilor
departamentului IT
i IT
2.1.6. Definirea activitilor n
cadrul structurii organizatorice
2.2.
Stabilirea 2.2.1. Organizarea funcional a
structurii
departamentului IT
organizatorice
2.2.3. Examinarea sistemului de
gestionare a riscurilor generale
2.2.4. Riscurile legate de
securitatea datelor, programelor
i
echipamentelor
sunt
identificate i evaluate ct mai
corect i complet.
T/
S
Stabilirea dezvoltrii IT de
ctre departamentul IT;
S
Responsabilitile nu sunt
definite clar n cadrul
S
compartimentelor
i
posturilor;
Programele i aplicaiile nu
sunt integrate i nu rspund S
cerinelor activitilor;
Infrastructura IT existent nu
asigur
implementarea
S
strategiei IT;
Lipsa ariei de competen
pentru realizarea activitilor
stabilite structurii funcionale
Activitile
realizate
la
nivelul structurii funcionale
nu se regsesc n totalitate n
cadrul sarcinilor stabilite
posturilor
Structura funcional nu este
adaptat
complexitii
Riscurile nu sunt identificate
i gestionate la nivelul
Gestionarea slab a riscurilor
privind
securitatea
informaiilor
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Ridicat
60
Nr
crt
3.
Domeniul
Operaii
sistemului
informatic
Activiti/
obiective
Obiecte auditabile
2.3.
Stabilirea 2.3.3. Definirea sarcinilor prin Sarcinile stabilite postului
responsabilitilor
fia postului
potrivit fiei postului nu
corespund cu aciunile efectiv
realizate
de
ocupantul
postului
ale 3.1 Managementul 3.1.2. Performana, capacitatea Lipsa
analizelor
privind
operaiunilor
si disponibilitatea sistemelor scopul i cerinele de realizare
informatice este monitorizat de a activitilor i calitatea
administratori
aplicaiilor sau programelor
utilizate
3.1.3. Responsabilitatea pentru Responsabilitile
nu
sunt
supravegherea sarcinilor pe operatorilor
seturi de programe revine delimitate i stabilite n
funcie
de
specializarea
administratorilor
fiecruia i tipurile de
aplicaii i programe utilizate
3.1.4. Elaborarea Planului anual Activitile sunt derulate n
de activitate
cadrul departamentului fr a
exista o planificare anual sau
periodic
3.2. Managementul 3.2.2. Programele antivirus Utilizarea
neadecvat
a
problemelor
programelor antivirus
3.2.4.
Implementarea Programele i aplicaiile
subsistemelor IT
derulate
la
nivelul
organizaiei
nu
sunt
actualizate potrivit noilor
necesiti ca urmare a
modificrii aciunilor de
3.3.2. Organizarea funcional a Activitile
i
aciunile
3.3.
activitilor
n
cadrul necesare realizrii acestora nu
Funcionalitatea
sunt repartizate eficient i
activitilor
n departamentului IT
omogen pe compartimente n
cadrul
departamentului IT
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
61
Nr
crt
4.
Domeniul
Securitatea
informaiilor
Activiti/
obiective
Obiecte auditabile
3.3.6. Asigurarea caracterului Accesul

la
datele
i
secret al datelor
informaiile organizaiei nu
este limitat doar pentru
persoanele ndreptite
3.4.
Mentenana 3.4.1. Obinerea de rapoarte de Rapoartele obinute nu ofer
echipamentelor
activitate utile
informaii suficiente pentru
luarea deciziilor
3.4.2. ntreinerea calculatorului Disfunciunile identificate nu
i a echipamentelor
sunt analizate i nlturate n
conformitate cu instruciunile
i manualele de ntreinere
3.4.3. Instalarea i configurarea Echipamentele periferice nu
calculatorului
sunt instalate i conectate
conform documentaiei
3.5.
Utilizarea 3.5.1. Realizarea eficient a Suportul tehnic cu privire la
echipamentelor
operaiilor
n
cadrul utilizarea programelor nu este
departamentului IT
furnizat n mod corespunztor
utilizatorilor
3.5.3. Administrarea eficient a Controlul
intern
asupra
datelor de intrare nu este
asigurat corespunztor
3.5.4. Evaluarea problemelor i Lipsa revizuirii i urmririi
soluionarea acestora
msurilor privind corectarea
erorilor conduce la persistena
unora dintre acestea
4.1.
Organizarea 4.1.2. Crearea standardelor i Standardele
privind
securitii
practicilor pentru securitatea securitatea informaiei nu
informaiilor
informaiei
sunt definite formal
4.1.4.
Elaborarea
politicii Datele
i
informaiile
prelucrate i stocate nu sunt
asigurate n condiii de
confidenialitate, integritate i
disponibilitate;
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Ridicat
Sczut
Sczut
Sczut
Sczut
Sczut
Ridicat
Sczut
62
Nr
crt
Domeniul
Activiti/
obiective
4.2.
Disponibilitatea
datelor
4.3.
Asigurarea
funcionrii
programelor
i
aplicaiilor
4.4. Implementarea
instrumentelor de
control
Obiecte auditabile
T/
S
4.1.5.
Stabilirea Politica de securitate nu
responsabilitilor n cadrul definete responsabilitile cu
S
privire la securitatea datelor i
informaiilor
4.1.7.
Securitatea
datelor Accesul la informaii i
asigur disponibilitatea acestora pentru
persoanele S
doar pentru utilizatori autorizai neautorizate
4.2.2.
Protejarea
datelor Vulnerabilitate sporit n faa
S
mpotriva viruilor
viruilor
4.2.3. Asigurarea continuitii Planurile
privind
activitilor
continuitatea activitilor nu
stabilesc msuri concrete
pentru reluarea activitii
4.2.4. Recuperarea datelor n Lipsa planurilor de recuperare
caz de dezastru
a datelor i informaiilor
4.3.1. Asigurarea introducerii Aplicaiile informatice nu
corecte a datelor i informaiilor sunt utilizate n conformitate
pentru prelucrare
cu instruciunile de exploatare
Introducerea incorect a
datelor i informaiilor n
cadrul
programelor
i
aplicaiilor
4.3.4. Asigurarea securitii Accesul
la
datele
i
datelor i documentelor
informaiile stocate nu este
restricionat i autorizat pe
niveluri ierarhice
4.4.1. Accesul la aplicaie este Accesul la program, aplicaie
oferit pe baza necesitilor este oferit pentru ntregul
utilizatorului
personal ce posed o parol
4.4.3.
Introducerea Accesul fizic la echipamente
instrumentelor de control fizic i
aplicaii
nu
este
restricionat
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
63
Nr
crt
Domeniul
Activiti/
obiective
4.5.
reelei
Obiecte auditabile
T/
S
Securitatea 4.5.2. Monitorizarea securitii Comunicarea datelor n reea

S
reelelor
nu este monitorizat
4.6.
Gestionarea 4.61. Utilizatorii au parole de Accesul la aplicaii se
parolelor
acces individuale
realizeaz direct, fr a fi
permis doar pentru personalul
ndreptit
4.6.2. Schimbarea periodic a Risc crescut de spargere a
parolelor
parolei
Descrcarea ilegal a unor
informaii
4.6.5. Persoanele autorizate au Accesul la servere este permis
ntregului personal, nefiind
nregistrat i monitorizat
4.7.
Securitatea 4.7.1. Asigurarea securitii Lipsa
controalelor
sau
logic
funcionrii programelor i controale slabe de acces
aplicaiilor
Proiectarea i 5.1. Proiectarea i 5.1.1. Proiectarea programului n proiectarea programului/
testarea
elaborarea
informatic
aplicaiei, fluxul de date nu
programelor i programelor
i
este
stabilit
adecvat
aplicaiilor
aplicaiilor
rezultatelor ateptate
5.1.2. Elaborarea programului Graficul de realizare a
informatic
programului
i
bugetul
aprobat nu sunt respectate
5.2. Testarea i 5.2.1. Utilizarea de date Efectuarea
de
prelucrri
implementarea
ipotetice n testarea unui asupra datelor n cadrul
programelor
i program
testrii programelor
aplicaiilor
5.2.2. Testarea programului i Neconformitile i erorile
aplicaiei
constatate n cursul testrii
unui program nu sunt
analizate cu atenie
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
Ridicat
Sczut
64
Nr
crt
6.
Domeniul
Activiti/
obiective
Elaborarea i 6.1.
Dezvoltarea
implementarea proiectelor
IT
proiectelor IT
(programe
i
aplicaii)
6.2. Implementarea
i
funcionarea
programelor
i
aplicaiilor
7.
Proiectarea
meninerea
funciune
unei reele
i 7.1.
Proiectarea,
n instalarea
i
a administrarea
reelei
de
Obiecte auditabile
5.2.3. Asigurarea corectitudinii Opiunile i parametrii de

rezultatelor
lucru
ai
programului/aplicaiei nu sunt
stabilii
conform
specificaiilor
din
6.1.2. Iniierea i elaborarea Obiectivele generale ale
proiectelor IT
proiectului nu sunt stabilite cu
respectarea strategiei generale
a organizaiei
6.1.3.
Monitorizarea Parametri de referin i
performanelor soluiilor IT valorile
etalon
ale
implementate
programelor elaborate nu
respect specificaiile i nu se
ncadreaz n standarde
6.2.1. Reproiectarea soluiilor Soluiile
privind
IT pentru programe i aplicaii
mbuntirea programelor i
aplicaiilor nu in cont de
punctele slabe i critice,
precum
i
evoluiile
tehnologice
6.2.3. ntreinerea aplicaiilor Supravegherea
proceselor
garanteaz
funcionarea aflate n execuie i a
performanelor
aplicaiilor,
sistemelor sau programelor
nu respect procedurile i
instruciunile
7.1.1.
Asigurarea
bunei Subsistemele existente nu
funcionri a sistemelor bazate sunt
configurate
i
pe existena i funcionarea supravegheate individual,
T/
S
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Sczut
Sczut
Sczut
65
Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile
calculatoare
T/
S
Accesul i utilizarea datelor i

informaiilor stocate pe server
S
nu respect strategia de
securitate a reelei
7.2. Interconectarea 7.2.1. Interconectarea reelelor
Conexiunile dintre reele nu
sunt conforme cu arhitectura
S
prevzut de instruciuni i nu
respect standardele;
7.2.2. Proiectarea i asigurarea Vulnerabilitile
i
securitii reelei
ameninrile
nu
sunt S
identificate i prioritizate
Consecina
funcionarii/
nefuncionrii
controlului intern
Grad
ncredere
Obs.
in control
intern
Sczut
Sczut
Sczut
Auditori,
Popescu Sorin
Radu George
Not:
n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin preluarea operaiilor auditabile cu riscuri semnificative (mari i
medii) din documentul Clasarea operaiilor, respectiv un numr de 70 obiecte audiabile i 70 de riscuri asociate acestora.
Ierarhizarea obiectelor audiabile const n evaluarea funcionalitii sistemelor de control intern care limiteaz efectele riscurilor i care dau posibilitatea
auditorilor interni s aprecieze acele obiecte audiabile ca fiind puncte tari, celelalte riscuri pentru care nu exista activiti de control sau acestea sunt nefuncionale
sunt in continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 6 riscuri asociate obiectelor audiabile care au fost evaluate ca fiind puncte tari i
care vor fi eliminate din auditare.
Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai
operaiile considerate ca fiind puncte slabe, ocazie cu care vor fi renumerotate si stabilita corespondenta cu paragrafele din Raportul de audit intern..
Un punct tare sau un punct slab trebuie s fie exprimat n funcie de un obiectiv de control intern sau de o caracteristic urmrit, pentru a asigura buna
funcionare a structurii auditate.
Documentul Tabelul puncte tari i puncte slabe conine att gradul de ncredere al auditorului intern n funcionarea controlului intern, ct i consecinele
funcionrii/nefuncionrii acestuia, care va conduce la minimizarea riscului, atunci cnd gradul de ncredere este mare (punct tare), i la maximizarea apariiei riscului,
atunci cnd gradul de ncredere este mic (punct slab).
66
Procedura PO5 :
ANALIZA RISCULUI
Entitatea Public
TEMATICA N DETALIU
Nr
crt
1.
3.
Domeniul
Strategia i
planificarea
sistemelor
informatice
Organizarea
i
funcionarea
departament
ului IT
Operaii ale
sistemului
informatic
Activiti/
obiective
Strategia IT este
concordant
cu
scopurile organizaiei
Planurile
IT
se
adreseaz
ntregii
organizaii
Obiectivele
IT
ndeplinesc
obiectivele
organizaiei
Comitetul
IT
determin strategia
IT
Organizarea
IT
corespunde
necesitilor
organizaiei
Elaborarea strategiei
IT
corespunde
strategiei entitii
Definirea atribuiilor
i activitilor
Stabilirea structurii
organizatorice
Stabilirea
responsabilitilor
Managementul
operaiunilor
Managementul
problemelor
Funcionalitatea
departamentului IT
Data: 07.09.2009
Data: 07.09.2009
Obiecte auditabile
Paragraful
corespunzto
r din RAI
Strategia IT definete necesitile i prioritile

II 1.1.1.
Planurile IT ajut la ndeplinirea misiunii organizaiei
Planurile IT ofer asigurare cu privire la faptul c
resursele IT sunt alocate n concordan cu necesitile
Strategia IT este concordant cu scopurile organizaiei
II 1.2.1
II 1.2.2
II 1.3.1
Comitetul IT transpune strategia n planuri pe termen

Comitetul IT stabilete prioritile proiectelor ntre
dezvoltarea sistemelor i activitile realizate
Organizarea adecvat a funciei IT
Adecvarea practicilor i procedurilor IT la procesele
existente
Dotarea actual cu tehnic de calcul a stat la baza
strategiei IT
Definirea atribuiilor i responsabilitilor n cadrul
departamentului IT
Definirea activitilor n cadrul structurii organizatorice
Organizarea funcional a departamentului IT
Examinarea sistemului de gestionare a riscurilor generale
Definirea sarcinilor prin fia postului
Performana, capacitatea si disponibilitatea sistemelor
informatice este monitorizat de administratori
Responsabilitatea pentru supravegherea sarcinilor pe
seturi de programe revine administratorilor
Elaborarea planului anual de activitate
Programele antivirus asigur protecia aplicaiilor
Implementarea subsistemelor IT
Organizarea funcional a activitilor n cadrul
departamentului IT
Asigurarea caracterului secret al datelor
II 1.4.1.
II 1.4.2.
II 1.5.1.
II 1.5.2.
II 1.6.1.
II 2.1.1.
II 2.1.2.
II 2.2.1.
II 2.2.2.
II 2.3.1.
II 3.1.1.
II 3.1.2.
II 3.1.3.
II 3.2.1.
II 3.2.2.
II 3.3.1.
II 3.3.2.
Mentenana
echipamentelor
ntreinerea calculatorului i a echipamentelor

Instalarea i configurarea calculatorului
II 3.4.21
II 3.4.2.
67
Nr
crt
Domeniul
Activiti/
obiective
Obiecte auditabile
Utilizarea
echipamentelor
4.
Securitatea
informaiilor
Realizarea
eficient
a
operaiilor
n
cadrul
departamentului IT
Administrarea eficient a aplicaiilor i programelor
Evaluarea problemelor i soluionarea acestora
Elaborarea politicii privind securitatea informaiei
Organizarea
securitii
informaiilor
Disponibilitatea
datelor
Asigurarea
funcionrii
programelor
aplicaiilor
Implementarea
instrumentelor
control
de
Securitatea reelei
Gestionarea parolelor
6.
7.
Proiectarea
i testarea
programelor
i
aplicaiilor
Elaborarea
i
implementar
ea
proiectelor
IT
Proiectarea
i
meninerea
n funciune
a unei reele
Proiectarea
elaborarea
programelor
aplicaiilor
Testarea
implementarea
programelor
aplicaiilor
Dezvoltarea
proiectelor
(programe
aplicaii)
Implementarea
funcionarea
programelor
aplicaiilor
Stabilirea responsabilitilor n cadrul politicii de

securitate
Securitatea datelor asigur disponibilitatea acestora doar
pentru utilizatori autorizai
Protejarea datelor mpotriva viruilor
Asigurarea continuitii activitilor
Recuperarea datelor n caz de dezastru
Asigurarea introducerii corecte a datelor i informaiilor
pentru prelucrare
Prelucrarea datelor
Asigurarea securitii datelor i documentelor
Accesul la aplicaie este oferit pe baza necesitilor
utilizatorului
Introducerea instrumentelor de control fizic asupra
echipamentelor IT
Monitorizarea securitii reelelor
Utilizatorii au parole de acces individuale

Schimbarea periodic a parolelor
Protejarea parolelor
Persoanele autorizate au acces la sistemul de operare
Asigurarea securitii funcionrii programelor
aplicaiilor
Proiectarea programului informatic
Elaborarea programului informatic
Testarea programului i aplicaiei

Asigurarea corectitudinii rezultatelor
Securitatea logic
5
Paragraful
corespunzto
r din RAI
II 3.5.2.
II 3.5.3.
II 4.1.1.
II 4.1.2.
II 4.1.3.
II 4.2.1.
II 4.2.2.
II 4.2.3.
II 4.3.1.
II 4.3.2.
II 4.3.3.
II 4.4.1.
II 4.4.2.
II 4.5.1.
II 4.6.1.
II 4.6.2.
II 4.6.3.
II 4.6.4.
II 4.7.1.
II 5.1.1.
II 5.1.2.
II 5.2.1.
II 5.2.2.
Iniierea i elaborarea proiectelor IT

IT
i
Monitorizarea performanelor soluiilor IT implementate
Reproiectarea soluiilor IT pentru programe i aplicaii
ntreinerea
aplicaiilor
garanteaz
funcionarea
Asigurarea bunei funcionri a sistemelor bazate pe
existena i funcionarea reelei de calculatoare
Administrarea serverelor
Proiectarea,
instalarea
i
de calculatoare
Interconectarea
i
securitatea reelei
II 3.5.1.
Interconectarea reelelor
Proiectarea i asigurarea securitii reelei
II 6.1.1.
II 6.1.22.
II 6.2.1.
II 6.2.2.
II 7.1.1.
II 7.1.2.
II 7.2.1.
II 7.2.2
Auditori,
Popescu Sorin
Radu George
68
Not:
Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a obiectelor
audiabile i se finalizeaz cu Tematica n detaliu a misiunii de audit.
Tematica n detaliu a misiunii de audit, este acea faz din procedura Analizei riscurilor, care se
realizeaz prin selectarea obiectelor audiabile, pornind de la documentul Tabelul puncte tari i puncte slabe,
care au fost evaluate ca fiind puncte slabe si care vor fi avute in vedere, in continuare, pentru auditare.
Documentul, semnat de echipa de auditori i de supervizorul misiunii, respectiv de eful
compartimentului de audit intern, va fi adus la cunotin principalilor responsabili ai entitii auditate n
cadrul edinei de deschidere.
n continuare, operaii/obiecte audiabile, vor fi avute n vedere n activitatea de auditare, deoarece
reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza
Programului interveniei la faa locului, care se vor materializa n FIAP-uri i FCRI-uri, acolo unde este cazul,
i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a
misiunii de audit.
69
70
Procedura PO6:
ELABORAREA PROGRAMULUI DE AUDIT
Entitatea Public
PROGRAMUL DE AUDIT
OBIECTIVELE
ACTIVITILE PROGRAMATE
AUDITULUI
Tema general: Activitatea IT
1. Pregtirea misiunii
de audit
Data: 08.09.2009
Data: 08.09.2009
DURATA
(H)
PERSOANELE
IMPLICATE
LOCUL
DESFURRII
54
2
2
Dumitru Daniel
Popescu Sorin
SAI
SAI
Radu George
SAI
SAI
AUDITAT
8
8
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Radu George
Popescu Sorin
Radu George
Popescu Sorin
SAI
SAI
Popescu Sorin
SAI
Popescu Sorin
SAI
AUDITAT
Radu George
AUDITAT
272
22
Popescu Sorin
388
1. Tiprirea i procesarea Ordinului de serviciu

2. Tiprirea i procesarea Declaraiei de independena
3. Pregtirea i transmiterea Notificrii privind declanarea misiunii
de audit intern ctre prile interesate
4. Colectarea i prelucrarea informaiilor
5. ntocmirea Listei centralizatoare a obiectelor audiabile
6. Elaborarea Tabelului puncte tari i puncte slabe
7. ntocmirea Programului de audit intern

8. ntocmirea Notei i a Programului interveniei la faa locului
9. Obinerea aprobrii Notei i a anexelor acesteia: Colectarea i
prelucrarea datelor, Tabelul - Puncte tari i puncte slabe i
Programul interveniei la faa locului.
10. Planificarea i organizarea edinei de deschidere cu
Departamentul IT
11. Redactarea Minutei edinei de deschidere. Obinerea numelui
persoanelor de contact i stabilirea unui loc pentru desfurarea
activitii de audit.
2. Intervenia la faa locului
1.1 Efectuarea testrilor
Obiectivul I.
8
8
8
SAI
SAI
71
OBIECTIVELE
AUDITULUI
Strategia i planificarea
sistemelor informatice
Obiectivul II.
Organizarea
funcionarea
departamentului IT
Obiectivul III. Operaii

ale
sistemului
informatic
Obiectivul IV.
Securitatea
informaiilor
Obiectivul V.
Achiziionarea
testarea aplicaiilor
Obiectivul VI.
Elaborarea
implementarea
DURATA
(H)
1.2 Discutarea constatrilor cu eful de serviciu

1.3 Elaborare FIAP - urilor
1.4 Colectarea dovezilor
1.5 Revizuirea documentelor de lucru din punct de vedere al
coninutului i al formei i ntocmirea Notei centralizatoare a
documentelor de lucru
2.3 Elaborarea FIAP - urilor
2.5 Revizuirea documentelor de lucru din punct de vedere
coninutului i al formei i ntocmirea Notei centralizatoare
al
a
2
8
4
22
2
8
4
Radu George
AUDITAT
SAI
Popescu Sorin
AUDITAT
SAI
Radu George
AUDITAT
SAI
Popescu Sorin
AUDITAT
SAI
4
20
2
8
4
al
a
AUDITAT
SAI
22
2
8
4
al
a
LOCUL
DESFURRII
22
2
8
4
al
a
PERSOANELE
IMPLICATE
4
20
2
8
Radu George
AUDITAT
72
OBIECTIVELE
AUDITULUI
proiectelor IT
Obiectivul VII.
Proiectarea
i
meninerea n funciune
a unei reele
DURATA
(H)
12. Planificarea si organizarea edinei de nchidere
13. Discutarea constatrilor cu Departamentul IT
4
al
a
al
a
16. Revizuirea Raportului de audit intern

17. Obinerea proiectului de Raport de
conducere
18. Transmiterea proiectului de Raport de
solicitarea de rspuns n 15 zile
19. Planificarea i organizarea Reuniunii
cazul
20. Includerea n Raportul de audit intern
punct de vedere al auditatului
21. Finalizarea Raportului de audit intern
IV.
Urmrirea
recomandrilor
audit intern la auditat i

de conciliere, dac este
a aspectelor reinute din
16
Auditori,
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Radu George
Popescu Sorin
Radu George
Radu George
Popescu Sorin
Radu George
Popescu Sorin
AUDITAT
AUDITAT
SAI
SAI
SAI
Popescu Sorin
SAI
Popescu Sorin
SAI
Popescu Sorin
AUDITAT
4
4
22. Obinerea Raportului de audit intern aprobat de conducerea

instituiei
23. Transmiterea recomandrilor aprobate ctre auditat
24. ntocmirea Fisei de urmrire a recomandrilor
Data: 08.09.2009
8
audit intern aprobat de
SAI
4
58
15. Redactarea proiectului de Raport de audit intern
LOCUL
DESFURRII
4
18
2
8
4
14. Concluzii
III. Raportul de audit
intern
PERSOANELE
IMPLICATE
Radu George
Popescu Sorin
Radu George
Popescu Sorin
SAI
SAI
Popescu Sorin
SAI
Popescu Sorin
SAI
Popescu Sorin
SAI
ef compartiment audit intern,

Dumitru Daniel
73
Not:
Programul de audit intern este documentul prin care repartizm resursele de audit n vederea realizrii misiunii de audit intern respectiv, stabilim ntre membri
echipei de auditori activitile pe care le vor desfura n vederea atingerii obiectivelor stabilite si timpul necesar pentru parcurgerea etapelor si procedurilor specifice in
vederea ncadrrii in perioadele afectate prin Planul de audit intern.
Programul de audit este un document intern de lucru al compartimentului de audit intern, care se ntocmete pe baza Tematicii n detaliu a misiunii de audit
prin care se realizeaz ordinea de parcurgere a procedurilor misiunii de audit pe timpul derulrii acesteia. De fapt, Programul de audit presupune un plan detaliat al
activitii ce trebuie realizat n etapa de Intervenie la faa locului i care trebuie s cuprind procedurile necesare atingerii obiectivelor misiunii de audit.
74
Procedura PO6 :
ELABORAREA PROGRAMULUI DE AUDIT
Entitatea Public
PROGRAMUL INTERVENIEI LA FAA LOCULUI

Nr.
crt.
Data: 09.09.2009
Data: 09.09.2009
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Structura
Analiza sistemului de elaborarea a strategiei
Compararea obiectivelor strategie ale IT cu cele ale auditat
organizaiei
Examinarea direciilor strategice n domeniul IT
Analiza responsabilitilor n elaborarea strategiei
Analiza politicilor privind implementarea strategiei
Analiza obiectivelor IT strategice
Analiza managementului IT
1.2. Planurile IT se adreseaz ntregii organizaii
T1
Popescu
Sorin
Structura
auditat
T2
Popescu
Sorin
Structura
auditat
T3
Popescu
Sorin
Obiecte audiabile
Tipul testrii
Locul
testrii
Auditori
OBIECTIVUL NR. 1 STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE

A
1.1. Strategia IT este concordant cu scopurile organizaiei
1
1.1.1. Strategia IT definete

necesitile i prioritile;
1.2.2. Planurile
ndeplinirea
organizaiei
IT ajut
misiunii
1.2.3. Planurile IT ofer

asigurare cu privire la faptul
c resursele IT sunt alocate n
Analiza planurilor de activitate

Examinarea cunoaterii obiectivelor planului de activitate
Analiza echilibrului ndeplinirii planului de activitate cu
resursele alocate
Analiza adaptabilitii planului la necesiti
Analiza corelrii planului de activitate cu politica i
strategia
Analiza monitorizrii obiectivelor i direciilor de activitate
Analiza implicaiei strategiei IT asupra organizaiei
75
Nr.
crt.
Obiecte audiabile
1.3. Obiectivele IT ndeplinesc obiectivele organizaiei
1.3.1. Strategia
concordant cu
organizaiei
D
1
E
1
F
1
Tipul testrii
Locul
testrii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Auditori
IT este
scopurile
Observarea modului de cunoatere i implementare a

strategiei
Analiza organizrii funcionale a departamentului IT
Analiza impactului obiectivelor strategice
Examinarea misiunii organizaiei n comparaie cu
scopurile strategice
Analiza modalitilor de implementare a strategiei
Analiza fundamentrii necesarului de resurse n
fundamentarea strategiei
1.4. Comitetul IT determin strategia IT
Structura
auditat
T4
Popescu
Sorin
1.4.2. Comitetul IT transpune

strategia n planuri pe termen
scurt i mediu
Examinarea constituirii Comitetului de dezvoltare IT

Examinarea atribuiilor Comitetului IT
Analiza responsabilitilor Comitetului IT
Analiza activitilor realizate de Comitetul IT
1.4.3. Comitetul IT stabilete Examinarea programului de dezvoltare IT a organizaiei
prioritile proiectelor ntre Analiza modului de fundamentare a programului de
dezvoltarea
sistemelor
i dezvoltare IT a organizaiei
Analiza calitativ a echipamentelor si aplicaiilor
operaiile realizate
achiziionate
1.5. Organizarea IT corespunde necesitilor organizaiei
Structura
auditat
T5
Popescu
Sorin
Structura
auditat
T6
Popescu
Sorin
1.5.1. Organizarea adecvat a

funciei IT
Examinarea deciziilor IT i transformrile mediului

organizaional
Analiza adecvrii i conformitii procedurilor
Analiza performanelor activitii IT
Analiza competenelor i responsabilitilor IT
1.5.3. Adecvarea practicilor i Examinarea modului de instruire a utilizatorilor
procedurilor IT la procesele Analiza dac sistemele i aplicaiile IT acoper nevoile i
existente
necesitile organizaiei
Examinarea adecvrii practicii IT la procesele din
organizaie
Examinarea suficienei procedurilor n domeniul IT
1.6. Elaborarea strategiei IT corespunde strategiei entitii
Structura
auditat
T7
Popescu
Sorin
1.6.1. Infrastructura IT a stat la

Structura
auditat
Analiza existentei controlului asupra echipamentelor

Examinarea realizrii achiziiilor n concordan cu
Popescu
Sorin
T8
Popescu
Sorin
76
Nr.
crt.
Obiecte audiabile
Tipul testrii
Locul
testrii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Auditori
realizarea obiectivelor strategice

OBIECTIVUL NR. 2 ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT
A
2.1. Definirea atribuiilor i activitilor
1
B
1
C
1
Analiza activitilor stabilite

Analiza gradului de procedurare a activitilor
Analiza atribuiilor stabilite
Compararea atribuiilor cu aria de competen necesar
pentru realizarea activitilor
2.1.6. Definirea activitilor n Examinarea stabilirii omogene a activitilor n cadrul
cadrul structurii organizatorice compartimentelor funcionale ale departamentului IT
Analiza aciunilor stabilite pentru realizarea activitilor
Examinarea repartizrii activitilor pe compartimente n
funcie de rolul acestora
2.2. Stabilirea structurii organizatorice
Structura
auditat
10
II
T9
Radu
George
Structura
auditat
10
II
T10
Radu
George
2.2.1. Organizarea funcional

a departamentului IT
Structura
auditat
II
T11
Radu
George
Structura
auditat
II
T12
Radu
George
Structura
auditat
10
II
T13
Radu
George
2.1.1. Definirea atribuiilor i

departamentului IT
Analiza organigramei departamentului

Analiza ROF-ului departamentului
Analiza ocuprii posturilor
Analiza specializrii posturilor
Analiza dotrii tehnice a posturilor
Analiza limitelor decizionale la nivelul posturilor de
conducere i execuie
Analiza modului de proiectare a sistemului informaional
2.2.3. Examinarea sistemului Analiza politicii de gestionare a riscurilor
de gestionare a riscurilor Analiza modului de control i gestiune a riscurilor
generale
la
nivelul Analiza modului de conducere a Registrului riscurilor
Analiza nivelului decizional privind implementarea
Departamentului IT
instrumentelor de control
Analiza modului de identificare i gestionare a riscurilor pe
activiti i obiective
Analiza modului revizuire a riscurilor
2.3. Stabilirea responsabilitilor
2.3.3. Definirea sarcinilor prin
fia postului
Analiza elaborrii fiei postului in raport cu cerinele

potului
Analiza modului de delegare a activitilor
Analiza capacitii titularului postului de a realiza
77
Nr.
crt.
Obiecte audiabile
Tipul testrii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Structura
auditat
III
T14
Popescu
Sorin
Structura
auditat
III
T15
Popescu
Sorin
Structura
auditat
III
T16
Popescu
Sorin
Structura
auditat
III
T17
Popescu
Sorin
Locul
testrii
Auditori
atribuiile alocate
Analiza stabilirii atribuiilor n raport cu nivelul postului
OBIECTIVUL NR. 3 OPERAII ALE SISTEMULUI INFORMATIC
A
3.1. Managementul operaiunilor
1
B
1
Verificarea dac mesajele de eroare sunt abordate n

conformitate cu manualele de operare
Verificarea dac informatizarea organizaiei ia n
considerare toate departamentele din cadrul acesteia
Verificarea dac este estimat timpul maxim de
nefuncionare care poate fi acceptat, i costurile asociate
acestuia.
3.1.3. Responsabilitatea pentru Verificarea dac utilizatorii sunt instruii pentru nsuirea
supravegherea sarcinilor pe modului de lucru cu aplicaiile noi
seturi de programe revine Verificarea dac utilizatorii primesc asisten n rularea
aplicaiilor
operatorilor
Verificarea dac responsabilitatea funcionrii fiecrui
program este n sarcina unui administrator
Verificarea dac exist o supraveghere permanent n
cadrul sistemului asupra derulrii unui program sau
aplicaie
3.1.4. Elaborarea planului Verificarea dac politica n domeniul IT se reflect n
anual de activitate
planul anual de activitate n domeniul IT
Examinarea dac managerii cu responsabiliti n
monitorizarea implementrii politicii IT, au fost consultai
la elaborarea planului anual de activitate n domeniul IT
Examinarea dac responsabilitile sunt clar definite
pentru realizarea activitilor IT
Identificarea deciziilor luate n vederea elaborrii i
actualizrii planului i analiza dac acestea sunt n
conformitate cu activitile stabilite
3.2. Managementul problemelor
3.1.2. Performana, capacitatea

si disponibilitatea sistemelor
informatice este monitorizat
de operatori
3.2.2. Programele antivirus

Verificarea dac exist proceduri pentru protecia

mpotriva viruilor, care s specifice modul de configurare
al programului antivirus
Verificarea dac sunt alese cele mai potrivite soluii
antivirus;
Verificarea dac se realizeaz scanarea antivirus pe
78
Nr.
crt.
Obiecte audiabile
Tipul testrii
servere, staii de lucru sau pota electronic

Verificarea configurrii programului antivirus
3.2.4.
Implementarea Analiza criteriilor avute n vedere la elaborarea
subsistemelor IT
subsistemelor IT pentru funciile principale
Verificarea dac departamentele nou nfiinate au fost
solicitate s-i exprime cerinele specifice privind
realizarea unor subsisteme IT specifice activitii lor
Verificarea stabilirii de responsabiliti personalului de
specialitate, pe linia implementrii sistemului IT
Examinarea cunoaterii reglementrilor specifice privind
implementarea sistemului IT de ctre responsabilii cu
realizarea acestei activiti
Examinarea modului de alocare a resurselor necesare
realizrii subsistemelor IT
Verificarea activitii de monitorizare a implementrii
subsistemelor IT
3.3. Funcionalitatea activitilor n cadrul departamentului IT
3.3.2. Organizarea funcional

a activitilor n cadrul
departamentului IT
3.3.6. Asigurarea caracterului

secret al datelor
Analiza dac departamentul IT este subordonat unui nivel

managerial corespunztor
Verificarea dac organigrama departamentului IT
corespunde organizrii actuale a departamentului;
Verificarea dac numrul de posturi existent n cadrul
departamentului IT asigur realizarea activitilor i
atribuiilor
Analiza dac atribuiile departamentului sunt definite
corect i n totalitate n cadrul ROF-ului
Analiza modului de asigurare a continuitii activitilor n
funcie de pregtirea salariailor i vechimea n munc
Analizai dac pregtirea i calificarea salariailor
departamentului IT asigur utilizarea optim a
programelor, aplicaiilor, echipamentelor i dezvoltarea
informaional a entitii
Verificarea dac aplicaiile respect schemele privind
nivele de secretizare n conformitate cu standardele
organizaiei;
Verificarea dac secretizarea informaiilor ia n
considerare impactul pierderii confidenialitii, integritii
sau disponibilitilor informaiei asupra activitii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Structura
auditat
III
T18
Popescu
Sorin
Structura
auditat
III
T19
Popescu
Sorin
Structura
auditat
III
T20
Popescu
Sorin
Locul
testrii
Auditori
79
Nr.
crt.
Obiecte audiabile
Tipul testrii
Locul
testrii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Auditori
Verificarea dac monitorizarea sistemelor se concentreaz

pe punctele vulnerabile
Verificarea dac sunt nregistrate toate evenimentele cheie
n cadrul unui sistem
D
3.4. Mentenana echipamentelor
3.4.2.
calculatorului
echipamentelor
3.4.3.
Instalarea
i
configurarea calculatorului
3.5.1. Realizarea eficient a

operaiilor
n
cadrul
departamentului IT
3.5.3. Administrarea eficient

a aplicaiilor i programelor
ntreinerea
i
a
Verificarea dac operaiunile de mentenan se efectueaz

conform planificrii, folosindu-se procedurile standard de
testare
Verificarea dac disfuncionalitile hardware sunt
identificate corect i n timp util i sunt nlturate n
conformitate cu instruciunile i manualele de ntreinere
Verificarea dac produsele software sunt instalate i
configurate conform documentaiilor i indicaiilor
furnizorilor
Verificai dac corecia erorilor se realizeaz n limita
competenelor
Verificarea dac sursele de alimentare sunt alese i
verificate n conformitate cu cerinele tehnice;
Verificarea dac sistemul de operare, componentele
software, componentele de acces n reea sunt instalate i
configurate corect;
Verificarea dac partajarea resurselor se face verificnd
tipul de acces permis utilizatorilor;
Structura
auditat
III
T21
Popescu
Sorin
Structura
auditat
III
T22
Popescu
Sorin
Verificarea dac este analizat impactul produs de

funcionarea incorect a unei operaii asupra ntregului
sistem;
Verificarea dac operaiile IT sunt realizate ntr-o manier
eficient, n timp util i la intervale bine stabilite
Identificarea proceselor care utilizeaz o cantitate mai
mare de resurse i alocarea optim a acestora.
Verificarea dac se utilizeaz funcii de verificare prin
totaluri, chei i algoritmi;
Verificarea dac utilizatorii finali pot obine rapoarte
diverse fr a afecta tranzaciile curente;
Verificai dac utilizatorilor li se acord suport tehnic
corespunztor pentru aplicaiile existente;
Structura
auditat
III
T23
Popescu
Sorin
Structura
auditat
III
T24
Popescu
Sorin
80
Nr.
crt.
Obiecte audiabile
Tipul testrii
Verificai dac administrarea aplicaiilor se realizeaz de

ctre administratori autorizai, care au ca atribuii
protejarea aplicaiilor mpotriva distrugerilor, a accesului
neautorizat sau utilizrii incorecte.
3
3.5.4. Evaluarea problemelor Verificarea modului de prevenire i rezolvare a
i soluionarea acestora
incidentelor care afecteaz funcionarea normal a
serviciilor IT;
Verificarea dac msurile de corectare a erorilor asigur
prevenirea reapariiei acestora;
Verificarea respectrii etapelor n soluionarea unei
probleme.
OBIECTIVUL NR. 4 SECURITATEA INFORMAIILOR
A
4.1. Organizarea securitii informaiilor
4.1.4. Elaborarea politicii

4.1.5.
Stabilirea
4.1.7. Securitatea datelor

asigur
disponibilitatea
acestora doar pentru utilizatori
autorizai
Verificarea dac politica privind securitatea informaiei

stabilete responsabilitile asociate i principiile de
securitate care trebuie urmate de ctre personal;
Verificarea dac politica de securitate a informaiei supune
informaiile i sistemele importante unei analize de risc n
mod regulat;
Verificarea dac politica de securitate este revizuit
periodic i dac este concordant cu cultura organizaiei.
Verificarea dac exist un comitet nsrcinat cu
coordonarea activitii de securitate a informaiei;
Verificai dac comitetul nsrcinat cu coordonarea
activitii de securitate a informaiei este responsabil
pentru integrarea informaiei pentru toate sectoarele
organizaiei;
Verificai dac comitetul nsrcinat cu coordonarea
activitii de securitate a informaiei asigur coordonarea
implementrii instrumentelor de control aferente securitii
informaiei.
Verificarea dac dispozitivele de stocare sunt pstrate n
condiii de securitate pentru a evita distrugerea fizic,
pierderea sau modificarea coninutului;
Verificarea dac salvrile de date sunt efectuate cu
periodicitatea impus de importana datelor i de regulile
prestabilite;
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Structura
auditat
III
T25
Popescu
Sorin
Structura
auditat
IV
T26
Radu
George
Structura
auditat
IV
T27
Radu
George
Structura
auditat
IV
T28
Radu
George
Locul
testrii
Auditori
81
Nr.
crt.
Obiecte audiabile
Tipul testrii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Structura
auditat
IV
T29
Radu
George
Structura
auditat
IV
T30
Radu
George
Structura
auditat
IV
T30
Radu
George
Structura
auditat
IV
T31
Radu
George
Locul
testrii
Auditori
Verificarea dac permisiunile curente de acces la resursele

partajate sunt verificate, n vederea conformitii cu
regulile de securitate impuse.
B
4.2.2.
Protejarea
mpotriva viruilor
C
1
datelor
Verificarea dac actualizarea produselor antivirus se

realizeaz cu regularitate;
Verificarea dac programele anti-virus sunt adecvate
necesitilor utilizatorilor staiilor de lucru
Verificai dac este realizat o monitorizarea sistematic a
funcionalitii programelor anti-virus.
4.2.3. Asigurarea continuitii Verificarea dac resursele umane, precum i cele
activitilor
hardware/software implicate n procesul de aplicare a
planului de asigurare a continuitii sunt prestabilite i sunt
disponibile;
Verificarea dac planul privind asigurarea continuitii
activitilor stabilete criteriile i procedurile de
recunoatere a unei crize;
Verificarea dac planul definete procedurile tehnice de
reluare sau continuare a proceselor critice;
Verificarea dac echipa de intervenie n caz de dezastru
este implicat n conceperea planului privind continuitatea
activitilor;
Verificarea dac planurile privind continuitatea
activitilor sunt conforme cu obiectivele generale i cu
strategia de administrare a riscurilor.
4.2.4. Recuperarea datelor n Verificarea modului de elaborare a planului de recuperare
caz de dezastru
a datelor n caz de dezastru;
Verificarea responsabilitilor echipa nsrcinate cu
implementarea planului;
Analiza modului de testare i modificare periodic a
planului;
Verificarea modului de creare a salvrilor de siguran;
Stabilirea dac locaia n care sunt stocate datele pentru a
fi recuperate n caz de dezastru este adecvat.
4.3. Asigurarea funcionrii programelor i aplicaiilor
4.3.1. Asigurarea introducerii
corecte
a
datelor
i
Verificarea procedurilor de introducere a datelor;

Verificarea monitorizrii prelucrrii electronice a datelor;
82
Nr.
crt.
Obiecte audiabile
Tipul testrii
Nr. lista de Nr.

verificare
test
Structura
auditat
IV
T32
Radu
George
Structura
auditat
IV
T33
Radu
George
Structura
auditat
IV
T34
Radu
George
Structura
IV
T35
Radu
Auditori
D
1
Verificarea rapoartelor de erori nregistrate de sistemul

informatic i a modului de efectuare a testelor pentru
identificarea cauzelor apariiei acestora;
Verificarea modului de ntocmire a jurnalului interveniilor
operatorilor, jurnalul utilizrii bibliotecii de programe i a
arhivelor de date i aplicaii;
Verificarea conformitii datelor introduse cu documentele
primare.
Verificarea modului de depistare i corectare a erorilor
aprute n timpul rulrilor aplicaiilor informatice;
Verificarea modului de funcionare a programelor, folosind
ca date de test fie nregistrri originale, fie nregistrri
mostr i corectarea eventualelor erori aprute n procesul
de introducere a datelor;
Verificarea n mod regulat a drepturilor de acces
4.3.4. Asigurarea securitii Verificarea modului de realizare a copiilor de siguran pe
datelor i documentelor
suporturi de stocare adecvate;
Verificarea condiiilor de pstrare a datelor
i
documentelor;
Verificarea dac accesul utilizatorilor la echipamente i la
suporturi de date este realizat numai n limita permisiunilor
cerute de efectuarea sarcinilor curente;
Verificarea dac regulile de securitate referitoare la
accesul la echipamente sunt respectate;
Definirea i comunicarea corespunztoare a descrierilor i
responsabilitilor posturilor n raport cu securitatea
informaiei.
4.4. Implementarea instrumentelor de control
4.4.1. Accesul la aplicaie este Verificarea dac drepturile de acces sunt acordate conform
oferit pe baza necesitilor regulilor specifice;
utilizatorului
Verificarea dac responsabilitatea pentru administrarea i
operarea aplicaiei este definit clar;
Verificarea dac utilizatorii sunt instruii cu privire la
utilizarea reelei i securitatea acesteia;
Verificarea dac activitatea n reea este monitorizat,
asigurndu-se c securitatea acesteia este adecvat;
Verificarea proiectrii reelelor astfel nct s asigure
eficiena traficului de date.
4.4.3.
Introducerea Verificarea restriciilor asupra accesului fizic la sistemele
Durata
testrii
(h)
Locul
testrii
83
Nr.
crt.
Locul
testrii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Auditori
Obiecte audiabile
Tipul testrii
instrumentelor de control fizic

de calculatoare;
Verificarea dac echipamentele i documentaia de
importan critic sunt asigurate suplimentar;
Verificarea modului de supraveghere a camerelor n care
sunt adpostite echipamente i faciliti critice;
Verificai dac msurile de protecie sunt n acord cu
politica de securitate a organizaiei.
auditat
Verificarea existenei unui program de management al

vulnerabilitilor reelei;
Verificarea gruprii i clasificrii dispozitivelor din reea
n funcie de prioriti, de la sisteme de importan redus
la sisteme de importan vital;
Verificarea dac expunerea la risc este monitorizat prin
reprezentarea strii de ansamblu a reelei;
Verificarea dac panoul de afiare privind expunerea la
risc este actualizat permanent;
Verificarea dac este urmrit permanent reducerea
timpilor necesari pentru identificarea, remedierea i
validarea soluiilor aplicate.
Structura
auditat
IV
T36
Radu
George
Verificarea dac programele i aplicaiile au nivele de

acces n funcie de nivelul postului;
Verificai dac parolele sunt schimbate periodic,
respectnd regulile de complexitate impuse.
Verificarea dac permisiunile sau drepturile utilizatorilor
sunt verificate periodic, pentru a corespunde strict
sarcinilor acestora;
Verificarea dac administratorul sistemului creeaz i
configureaz corespunztor conturile fiecrui utilizator;
Verificarea dac parolele generice iniiale sunt schimbate
de ctre fiecare utilizator n parte.
Verificarea dac accesul la sistem se realizeaz numai pe
baza conturilor de utilizatori n funcie de tipurile specifice
i de atribuiile specifice fiecrui angajat;
Verificarea modului de instruire a utilizatorilor n legtur
cu regulile de securitate logic.
Structura
auditat
IV
T37
Radu
George
Structura
auditat
IV
T38
Radu
George
Structura
auditat
IV
T39
Radu
George
E
1

4.5.2. Monitorizarea securitii
reelelor
F
1

4.61. Utilizatorii au parole de
acces individuale
4.6.2. Schimbarea periodic a

parolelor
4.6.4. Persoanele autorizate au

George
84
Nr.
crt.
Obiecte audiabile
Tipul testrii
Locul
testrii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Auditori
Verificarea modului de identificare a ameninrilor

aferente sistemelor informatice;
Verificarea proteciilor n cazul accesului de la distan;
Verificarea modului de utilizare a algoritmilor de criptare
a datelor;
Verificarea modului de administrare a securitii sistemelor
de ctre persoane specializate;
OBIECTIVUL NR. 5 PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
A
5.1. Proiectarea i elaborarea programelor i aplicaiilor
1
5.1.1. Proiectarea programului Verificarea
procedurilor
utilizate
n
proiectarea
informatic
programelor, din punct de vedere al corectitudinii i
completitudinii prelucrrile care se vor efectua asupra
datelor;
Verificarea dac instrumentele de dezvoltare a
programului/aplicaiei sunt stabilite cu respectarea
specificaiilor;
Verificarea dac pentru fiecare aplicaie n parte sunt
stabilite urmtoarele: numrul de utilizatori, rolurile
acestora, privilegiile i restriciile aplicabile fiecrui rol in
parte, accesul restricionat;
Verificarea dac proiectarea aplicaiei este monitorizat;
Verificarea dac versiunile aplicaiilor instalate ulterior sunt
compatibile i utilizeaz toate resursele versiunilor
anterioare;
Verificarea dac comunicarea cu echipa de specialiti este
permanent pe timpul proiectrii i utilizrii aplicaiei.
2
5.1.2. Elaborarea programului Verificarea algoritmului programului/aplicaiei din punct
informatic
de vedere al conformitii cu logica operaiilor;
Verificarea dac algoritmul respect cerinele de integrare
ale aplicaiei;
Verificarea performanei soluiilor de programare;
Verificarea integrrii componentelor unui program n
funcie de cerinele utilizatorilor.
B
5.2. Testarea i implementarea programelor i aplicaiilor
Structura
auditat
IV
T40
Radu
George
Structura
auditat
10
T41
Popescu
Sorin
Structura
auditat
10
T42
Popescu
Sorin
Structura
auditat
10
T43
Popescu
Sorin

funcionrii programelor i
aplicaiilor
5.2.2. Testarea programului i

aplicaiei
Verificarea dac datele de test sunt definite corespunztor

prelucrrilor programului pe toate ramurile acestuia;
Evaluarea rezultatelor testrii n funcie de documentaia
programului/aplicaiei;
85
Nr.
crt.
Obiecte audiabile
Tipul testrii
Verificarea conformitii datelor de testare cu manualele

de operare i utilizare;
Verificarea dac simulrile se realizeaz conform
manualului de utilizare.
2
5.2.3.
Asigurarea Verificarea dac opiunile i parametrii de lucru ai
corectitudinii rezultatelor
programului/aplicaiei sunt stabilii conform specificaiilor
din documentaii;
Verificarea
condiiilor
de
funcionare
a
programului/aplicaiei, n funcie de solicitrile
utilizatorului;
Verificarea opiunilor i a parametrilor de operare ai
programului/aplicaiei, n funcie de specificaiilor din
documentaii;
Analiza modului de nsuire de ctre utilizatori a
specificaiilor programului/aplicaiei.
OBIECTIV NR. 6 ELABORAREA I IMPLEMENTAREA PROIECTELOR IT
A
1
B
1
6.1. Dezvoltarea proiectelor IT (programe i aplicaii)

6.1.2. Iniierea i elaborarea Verificarea oportunitii soluiile propuse pentru
proiectelor IT
implementarea proiectelor IT;
Verificarea compatibilitii proiectului cu proiectele aflate
n derulare;
Verificarea necesitii asistenei tehnice;
Verificarea competitivitii proiectelor.
6.1.3.
Monitorizarea Verificarea parametrilor de referin i a valorilor etalon
performanelor soluiilor IT ale programelor elaborate;
Verificarea regulilor i procedurilor stabilite pentru
implementate
supravegherea i colectarea valorilor parametrilor de
referin;
Analiza rapoartelor privind implementarea proiectelor IT
propuse din punct de vedere al rigurozitii.
6.2. Implementarea i funcionarea programelor i aplicaiilor
6.2.1. Reproiectarea soluiilor
IT pentru programe i aplicaii
Verificarea modului de identificare a punctelor slabe i a

limitrilor unui program/aplicaie;
Verificarea dac documentaia cu fluxul de date i
prelucrrile necesare este elaborat adecvat situaiei reale;
Verificarea dac soluiile IT sunt proiectate pornind de la
punctele slabe, critice detectate, de la evoluiile tehnologice
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Structura
auditat
10
T44
Popescu
Sorin
Structura
auditat
10
VI
T45
Radu
George
Structura
auditat
10
VI
T46
Radu
George
Structura
auditat
10
VI
T47
Radu
George
Locul
testrii
Auditori
86
Nr.
crt.
Obiecte audiabile
Tipul testrii
existente i cele prefigurate de dezvoltare a entitii.

Verificarea monitorizrii mesajelor de eroare;
Verificarea dac sistemele de operare i aplicaiile sunt
instalate, actualizate sau configurate corespunztor,
folosind proceduri standardizate;
Verificarea dac utilizatorii beneficiaz permanent de
asisten tehnic;
Verificarea modului de ntreinere a aplicaiilor i dac
asigur funcionarea proceselor.
OBIECTIV NR. 7 PROIECTAREA I MENINEREA N FUNCIUNE A UNEI REELE
2
6.2.3. ntreinerea aplicaiilor

garanteaz
funcionarea
A
1
7.1. Proiectarea, instalarea i administrarea reelei de calculatoare

7.1.1.
Asigurarea
bunei Verificarea dac echipamentele din reea sunt administrate
funcionri a sistemelor bazate centralizat;
pe existena i funcionarea Verificarea dac configurarea reelei, conectarea
componentelor n reea, distribuirea serviciilor contribuie
la creterea productivitii muncii n organizaie;
Verificarea dac serverele i staiile client sunt amplasate
n reea i configurate conform regulilor impuse prin
strategia de securitate;
Verificarea dac regulile stabilite i implementate asigur
accesul controlat i sigur al utilizatorilor numai la acele
resurse de care au nevoie pentru ndeplinirea sarcinilor de
serviciu conform fiei postului.
7.1.3.
Administrarea Verificarea dac accesul i utilizarea resurselor serverului
serverelor
respect strategia de securitate a reelei;
Verificarea dac permisiunea de administrare a unui
program este acordat numai personalului calificat;
Verificai dac jurnalele identific utilizatorii care au avut
acces la program, n limita permisiunilor ce le-au fost
acordate.
7.2. Interconectarea i securitatea reelei
7.2.1. Interconectarea reelelor Verificarea dac conexiunile dintre reele sunt conforme cu
arhitectura general i respect standardele de
interconectare;
Verificarea dac componentele hardware i software ale
echipamentelor de legtur sunt configurate respectnd
regulile de securitate a transmisiilor de date din strategia
de securitate a organizaiei;
B
1
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
Structura
auditat
10
VI
T48
Radu
George
Structura
auditat
10
VII
T49
Radu
George
Structura
auditat
10
VII
T50
Radu
George
Structura
auditat
10
VII
T51
Radu
George
Locul
testrii
Auditori
87
Nr.
crt.
Obiecte audiabile
Locul
testrii
Tipul testrii
Durata
testrii
(h)
Nr. lista de Nr.

verificare
test
10
VII
Auditori
Verificarea dac tabelele de rutare sunt corect configurate

i indic adresele reelelor accesibile.
2
7.2.2. Proiectarea i asigurarea

securitii reelei
Data: 09.09.2009
Verificarea dac vulnerabilitile i ameninrile sunt

corect identificate i prioritizate;
Verificarea dac procedurile de securitate ce trebuie
implementate sunt aduse operativ la cunotina
personalului;
Analiza siguranei accesului la reea i a comunicrii
datelor n reea.
Analiza rapoartelor de monitorizare a traficului datelor n
reea.
Structura
auditat
T52
Radu
George
Auditori,
Popescu Sorin
Radu George
Not:
Programul de intervenie la faa locului sau Programul preliminar se elaboreaz pe baza Programului de audit i prezint detaliat lucrrile pe care auditorii
interni i propun s le efectueze, tipurile de teste i eantioanele pe baza crora se vor realiza acestea, locul i durata testrii.
n practica, se recomand realizarea unui grad mai mare de detaliere a testrilor, care se vor efectua n etapa de Intervenie la faa locului, prin completarea
Programului preliminar cu modalitile concrete de determinare a eantioanelor, n conformitate cu regulile statisticii, dar i prin diversificarea tipurilor testrilor ce se
vor realiza de ctre auditorii interni.
88
Procedura PO7 :
EDINA DE DESCHIDERE
ENTITATEA PUBLICA
MINUTA EDINEI DE DESCHIDERE
Misiunea de audit: Tehnologia informaiei

Data: 10.09.2009
Data: 10.09.2009
A. Lista participanilor:
Numele
Funcia
Direcia/
Serviciul
Dumitru Daniel
Coordonator
CAPI
Popescu Sorin
Auditor
SAPI
Radu George
Auditor
SAPI
Ptrulescu George
Director
DIT
Voiculescu Alin
Sef
STDAM
Boerescu Ilie
Sef
SCD
Teodorescu Rodica
Sef
SEE
Eleodor Darius
Sef
SAPP
Iordache Camelia
Sef
SRC
Pun Elena
Sef
SSD
Badea tefan
Sef
SAT
Nr.
telefon
E-mail
Semntura
B. Stenograma edinei
n cadrul edinei de deschidere s-a procedat la:
- prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit;
- prezentarea funciei de audit intern de ctre eful Serviciului Audit Public Intern, n special a
obiectivelor generale ale auditului intern i semnificaia auditului intern;
- Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se intenioneaz a fi
realizate, dup analizele de risc efectuate. A fost cerut prerea audiailor cu privire la aceste obiective, unde sau fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la
complexitatea activitii Direciei IT; resursele umane insuficiente i neatractivitatea nivelului salariului pentru
atragerea unor specialiti; fluctuaia mare a personalului implicat in activitatea IT.
De asemenea, s-au stabilit:
- persoanele pe care auditorii le pot contacta n vederea colectrii informaiilor, modul de efectuare a
testelor, chestionarelor i interviurilor, programul ntlnirilor i timpul necesar pentru realizarea acestor
proceduri;
- condiiile minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu
de lucru, calculatoare, posibilitate de editare etc.)
89
- aspectele procedurale, respectiv eventualitatea unor edine intermediare n cursul misiunii, informarea
sistematic asupra constatrilor;
- data edinei de nchidere, inclusiv a participanilor;
- convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul
auditului, informarea sistematic asupra constatrilor.
- stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va fi distribuit).
Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu
structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea
recomandrilor.
90
Procedura P10
INTERVENIA LA FAA LOCULUI
ENTITATEA PUBLIC
LISTA DE VERIFICARE nr. 1

Data: 13.09.2009
Data: 13.09.2009
Obiectivul I.
STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
Nr.
crt.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
A
1.
1.1
1.2.
1.3
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
Activitatea de audit
Examinarea procedurilor privind planul strategic
Examinarea procedurilor privind definirea i elaborarea strategiei
Verificai dac procedurile sunt aprobate de ctre persoanele competente;
Verificai dac sunt stabilite posturile de lucru responsabile de elaborarea
strategiei;
Verificai dac sunt stabilite competentele n elaborarea procedurilor;
Verificai dac se realizeaz actualizarea sistematic a procedurilor;
Verificai dac sunt nglobate activiti de control intern n punctele cheie
ale proceselor;
Verificai dac se respect principiul dublei semnturi;
Verificai dac procedurile sunt cunoscute i aplicate;
Examinarea dac exist strategie elaborat la nivelul structurii
funcionale;
Analiza sistemului de fundamentare a strategiei
Analiza corelrii strategiei cu planurile anuale
Examinarea prioritilor strategice in domeniul IT n corelare cu direciile
de dezvoltare;
Verificarea dac strategia elaborat la nivelul structurii funcionale este
n concordan cu strategia organizaiei;
Verificarea dac strategia elaborat la nivelul structurii funcionale a avut
n vedere:
a. evaluarea situaiei actuale pe baza analizei diagnostic;
b. identificarea punctelor tari i a punctelor slabe ale entitii;
c. formularea misiunii structurii organizatorice;
d. fundamentarea variantelor strategice;
e. identificarea i proveniena resurselor;
f. implementarea strategiei ;
Analiza dac identificarea punctelor tari i a punctelor slabe s-a realizat
pe baza analizei ameninrilor i oportunitilor;
Verificarea dac strategia definit la nivelul structurii funcionale
definete clar obiectivele;
Analizai dac direciile de activitate din cadrul strategiei sunt
monitorizate i evaluate, respectiv:
a) exist concordan cu strategia elaborat la nivelul entitii;
Da
Nu
Observaii
X
X
X
X
X
X
X
X
X
X
X
X
X
Test nr. 1.2.

Nota de relaii
1.1.
Interviu nr. 1.1.
FIAP nr. 1.2.
X
X
X
91
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
b) responsabilitile stabilite Comisiei de dezvoltare IT conduc la

implementarea IT i asigur o decizie eficient
c) analiza proceselor verbale ale Comisiei numit la nivelul entitii n
domeniul dezvoltrii IT i urmrirea dac politica de dezvoltare IT are ca
obiectiv implementarea strategiei entitii cu privire la domeniul IT;
d) urmrirea dac toate activitile de implementare a strategiei sunt
monitorizate i evaluate;
Stabilirea obiectivelor strategice a inut cont de mediul intern i de
mediul extern
Obiectivele definite n cadrul strategiei asigur:
a) definirea realist a acestora;
b) asigurarea factorului de mobilizare
c) definirea lor astfel nct s fie nelese de ctre salariai
d) definirea lor n form stimulatoare
e) asigurarea necesarului de resurse n vederea implementrii obiectivelor
Test nr. 1.1

FIAP nr. 1.1
Test nr.. 1.3.

Interviu nr. 1.2.
Not de relaii
nr. 1.2.
FIAP nr. 1.3.
Obiectivele generale sunt definite n termeni de impact

Obiectivele generale deriv din obiectivele strategice
Obiectivele generale acoper strategia definit n cadrul domeniului de
activitate
Obiectivele generale n domeniul resurselor umane ofer direcia i inta
final ce urmeaz a fi atins
Obiectivele sunt formulate de o manier precis, riguroas fr
interpretri
Verificarea dac strategia dezvolt funciile eseniale ale structurii
funcionale;
Verificarea dac exist persoan responsabil cu actualizarea strategiei;
Analiza dac la elaborarea strategiei s-a urmrit:
a. definirea obiectivelor strategice n consens cu direciile de aciune ale
organizaiei
b. dezvoltarea strategiei este asigurat pe baza unui management
funcional
c. analiza domeniului de activitate i definirea mandatului i misiunii
structurii organizaionale
d. definirea i analiza tuturor domeniilor i activitilor specifice
Verificarea dac exist planul de activitate pentru implementarea
strategiei;
Analiza politicilor entitii publice n domeniul IT i stabilirea dac
asigur atingerea obiectivelor entitii publice
Verificarea dac politicile entitii publice n domeniul IT se reflect n
planul strategic i n planurile anuale
Examinarea dac managerii cu responsabiliti n monitorizarea
implementrii politicilor IT, au fost consultai la elaborarea planului
strategic
Analiza activitii de actualizare a planului strategic
Planurile IT se adreseaz ntregii organizaii
Verificarea dac exista planuri de activitate elaborate la nivelul
departamentului IT
Examinarea dac planurile de activitate sunt elaborate anual
Verificarea dac obiectivele sunt clar definite n cadrul planurilor
Verificarea dac planul de activitate anual este comunicat i cunoscut de
personalul implicat n realizarea acestuia;
Analiza dac planul este fundamentat, iar resursele necesare
implementrii acestuia sunt dimensionate corect;
Examinarea dac la realizarea activitilor planificate sunt asigurate
competenele necesare;
Verificarea dac salariaii cunosc metodologia de realizare i de
implementare a activitilor planificate;
X
X
X
X
X
X
X
X
X
X
X
Test nr. 1.4.

Interviu nr. 1.3.
FIAP nr. 1.4.
X
X
X
92
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15
1.16.
1.17.
1.18
1.19.
1.20.
1.21.
1.22.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
Verificarea dac planul de activitate este alctuit n concordan cu

bugetul anual de venituri i cheltuieli;
Analiza dac pentru realizarea planului anual de activitate managementul
a luat n considerare i cunoaterea nevoilor salariailor;
Verificarea dac planul anual de activitate coreleaz obiectivele
individuale cu cele organizaionale;
Examinarea dac planul anual de activitate permite ncadrarea n
resursele financiare planificate;
Examinarea dac managementul organizaiei acioneaz consecvent
pentru implementarea planului de activitate;
Analiza dac managementul a elaborat strategii, politici, programe etc.
pentru orientarea unitar a activitii organizaiei n vederea realizrii
scopurilor fundamentale;
Verificarea dac planurile de activitate sunt adaptate la condiiile externe
organizaiei;
Identificarea proiectelor n derulare i examinarea planurilor de proiecte
n raport cu Standardele IT aprobate pentru gestionarea proiectului.
Analizai dac planul aprobat este n conformitate cu politicile entitii
publice n domeniul IT;
Analiza dac elaborarea planurilor de activitate au avut n vedere:
a) cunoaterea de ctre salariai;
b) motivarea salariailor i cointeresarea lor n realizarea obiectivelor;
c) necesarul de resurse este fundamentat i dimensionat potrivit
necesitilor;
d) realizarea obiectivelor planurilor sunt asigurate competenele necesare;
e) metodologia de implementare este cunoscut;
f) bugetele de venituri i cheltuieli;
Verificarea dac planul anual de activitate ia n considerare necesitile
salariailor;
Evaluarea dac planul anual de activitate coreleaz obiectivele
departamentului IT cu obiectivele individuale ale salariailor;
Examinarea dac realizarea planului se ncadreaz n limitele resurselor
financiare alocate;
Analiza dac tendinele viitoare de dezvoltare sunt luate n calcul la
elaborarea planurilor de activitate
Analizai realizarea subsistemelor IT pentru funciile principale din
cadrul entitii publice;
Planurile IT ofer asigurare cu privire la faptul c resursele IT
necesitile
Examinarea dac proiectele sunt monitorizate permanent, urmrindu-se
dac sunt realizate n termen, n vederea sincronizrii realizrii
obiectivelor strategice;
Examinarea procesului-verbal al grupului de strategie pentru a se garanta
examinarea i luarea de msuri cu privire la ndeplinirea obiectivelor;
Obinerea de exemplare ale unor analize referitoare la proiectele IT care
au fost realizate, pentru a se garanta c sunt luate n considerare de
grupul de strategie i de conducerea superioar.
Obinerea unui exemplar al documentului de politic strategic i
identificarea principalelor obiective;
Verificarea dac strategia IT ia n considerare obiectivele de afaceri n
totalitate i sprijin atingerea acestora.
Verificarea dac strategia IT ia n considerare organigrama organizaiei,
pentru a se asigura c toate departamentele au fost luate n considerare la
elaborarea strategiei;
Examinarea dac subsistemele IT acoper n totalitate nevoile pentru
funciile principale ale entitii
Analiza dac nevoile de subsisteme IT pentru funciile principale nou
create au fost acoperite
Verificarea dac departamentele nfiinate ca urmare a funciilor
principale nou create au fost solicitate s-i exprime cerinele specifice
privind realizarea unor subsisteme IT proprii activitii lor
Analiza procedurilor pe baza crora se realizeaz subsistemele IT i
X
X
X
X
X
X
X
X
X
Test nr. 1.4.

Interviu nr. 1.3.
FIAP nr. 1.4.
X
sunt alocate n concordan cu
X
X
X
X
X
X
Test nr. 1.5.

Interviu nr. 1.4.
FIAP nr. 1.5.
93
2.11.
2.12.
C.
1.
1.1.
1.2.
1.3.
1.4.
1.5
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
D.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
stabilirea dac acestea sunt suficiente pentru implementarea acestor

subsisteme n condiii optime
Verificai dac strategia IT este distribuit tuturor prilor interesate.
X
Examinai dac angajaii i conducerea superioar au cunotin de
coninutul strategiei i de implicaiile acesteia pentru dezvoltarea IT n X
domeniul lor de activitate.
Obiectivele IT ndeplinesc obiectivele organizaiei
Analiza Planului strategic n domeniul IT n raport cu obiectivele
X
strategice stabilite pentru domeniul IT;
Verificai dac planului strategic i documentele de politic strategic
sunt cunoscute de ctre prile interesate i implicate n implementarea X
lui;
Examinai dac dezvoltarea IT este asigurat prin obiectivele strategice;
X
Examinarea concordanei dintre direciile de dezvoltare stabilite prin
Planul strategic n domeniul IT i organizarea funcional actual a X
departamentului IT.
Analizai dac la stabilirea obiectivelor strategice s-a inut cont de mediul
X
intern i de mediul extern;
Analizai dac obiectivele definite reprezint o component important n
X
cadrul sistemului de management al organizaiei.
Examinai dac strategia acoper mandatul cu care a fost investit
X
structura funcional;
Verificai dac exist o fundamentare detaliat a strategiei;
X
Verificai dac planul de aciune pentru implementarea strategiei este
X
dezvoltat suficient;
Verificai dac exist persoan responsabil cu actualizarea strategiei;
X
Examinai dac definirea prioritilor strategice este realizat n
X
concordan cu scopul entitii, n cadrul domeniului de activitate
Analizai dac strategia elaborat definete
X
a) misiunea structurii organizaionale
X
b) stabilirea scopurilor fundamentale
X
c) precizarea modalitilor de aciune
X
d) fundamentarea necesarului de resurse
X
e) ealonarea termenelor
X
Comitetul IT determin strategia IT
Comitetul IT transpune strategia n planuri pe termen scurt i pe termen mediu
Verificai dac Comitetul de dezvoltare IT este constituit n mod adecvat; X
Analizai dac planul este examinat periodic pentru a se verifica
X
ndeplinirea acestuia.
Examinai procesul-verbal al grupului de strategie i urmrii dac
garanteaz examinarea i luarea de msuri cu privire la ndeplinirea X
obiectivelor strategice.
Obinerea de exemplare ale unor analize referitoare la proiectele de
suport IT care au fost realizate, pentru a se garanta c sunt luate n X
considerare de grupul de strategie i de conducerea superioar.
Verificai dac sunt definite termenele i etapele de realizare a
X
activitilor;
Verificai dac planul este alctuit n concordan cu bugetul anual de
X
venituri i cheltuieli;
Analizai dac prioritile sunt judicios ierarhizate n cadrul planului;
X
Analizai dac gradul de adecvare al prioritilor este raportat la misiunea
X
organizaiei;
Analizai dac indicatorii ataai obiectivelor converg spre economicitate,
X
eficien i eficacitate;
Analizai dac planurile sunt adaptate la condiiile externe organizaiei;
X
Verificai dac resursele sunt delimitate pentru implementarea planurilor
de activitate;
a) cunoaterea de ctre toi salariaii a panului anual de activitate;
b) interesul salariailor n realizarea obiectivelor planului anual;
c) asigurarea competenelor necesare pentru realizarea activitilor;
d) cunoaterea metodologiei de realizare i implementare a activitilor n
94
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
E.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
rndul salariailor;
e) cunoaterea nevoilor salariailor;
X
f) corelarea obiectivelor individuale cu obiectivele organizaiei;
g) ncadrarea n resursele financiare planificate;
Analizai dac impactul planurilor este raportat la performana
X
organizaiei;
Analizai dac nivelul cunotinelor personalului asigur realizarea
X
programelor;
Analizai dac instrumentele de implementare a programelor sunt bine
X
definite;
Verificai dac posturile care vor aprea sau se vor schimba sunt luate n
X
calcul la definirea strategiei;
Analizai dac competenele necesare n viitor sunt definite n cadrul
X
strategiei;
Verificai dac posibilitatea reorientrii i recalificrii profesionale este
X
luat n calcul la stabilirea resurselor necesare implementrii strategiei;
Verificai dac strategia ine cont de schimbrile la nivel managerial;
X
Verificai dac nevoile de instruire sunt definite n cadrul strategiei;
X
1.4.3. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea sistemelor i activitile realizate
Verificai dac exist un program de dezvoltare IT
X
Verificai dac programul de dezvoltare IT conine achiziii de aplicaii i
X
echipamente;
Verificai dac exist o fundamentare a necesitii achiziiilor de
X
echipamente;
Verificai dac exist o fundamentare a necesitii achiziiilor de aplicaii
X
i programe;
Verificai dac achiziiile de echipamente sunt prioritizate n funcie de
X
necesiti
Verificai dac achiziiile de programe i aplicaii sunt prioritizate n
funcie de necesiti i de dezvoltarea strategic a organizaiei n X
domeniul IT;
Verificai dac programele de achiziii de echipamente i aplicaii sunt
X
evaluate de ctre Comitetul IT;
Verificai dac Comitetul IT a realizat i o evaluare calitativ i tehnic a
X
echipamentelor i aplicaiilor planificate a fi achiziionate
Verificai dac achiziiile de echipamente i aplicaii sunt realizate cu
X
respectarea criteriilor planificate;
Verificai dac procesul de achiziii IT este monitorizat de Comitetul IT;
X
Verificai dac Comitetul IT raporteaz periodic managementului
X
necesitile aprute i stadiul derulrii programelor n domeniul IT.
Organizarea IT corespunde necesitilor organizaiei
Organizarea adecvat a funciei IT
Verificai dac deciziile sunt n corelaie cu transformrile din mediul
X
organizaional;
Verificai dac persoana care emite decizia deine sarcinile, competenele
X
i responsabilitile necesare;
Examinarea dac subsistemele IT acoper nevoile pentru funciile
X
principale ale entitii;
Test nr. 1.5
Analiza dac nevoile pentru funciile principale nou-create sunt
X
Interviu nr. 1.5
acoperite;
FIAP nr. 1.5
Analiza dac structurile din cadrul IT si-au definit clar propriile activiti;
X
Examinarea dac procedurile elaborate acoper toate activitile derulate;
X
Verificai dac responsabilitile sunt stabilite clar i precis n sarcina
X
utilizatorilor;
Verificai dac competenele asigur realizarea activitilor;
X
Verificai dac este realizat evaluarea performanelor actuale ale
X
activitilor desfurate;
Verificai dac este realizat analiza sistemului actual de organizare i
X
conducere a activitii;
Verificai dac mediul i factorii externi de influen sunt examinai i
X
analizai la stabilirea proceselor organizaionale;
Verificai dac mediul intern i factorii interni de influen sunt analizai X
95
1.13.
1.14.
1.15
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
F.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7
1.8.
1.9.
1.10.
i evaluai la stabilirea proceselor organizaionale;

Verificai dac au fost elaborate instrumentele i procedurile de
implementare a strategiei;
Analizai dac s-a determinat volumul i structura resurselor necesare
pentru realizarea obiectivelor;
Analizai dac au fost elaborate instrumentele i procedurile de control;
Adecvarea practicii i procedurilor IT la procesele existente
Analizai sistemul de elaborare a subsistemelor IT pentru funciile
principale.
Existena programului pentru instruirea utilizatorilor subsistemului IT
X
X
X
X
X
Examinai dac subsistemele IT acoper n totalitate nevoile pentru
X
funciile principale ale entitii publice
Analizai dac nevoile de subsisteme IT pentru funciile principale nouX
create au fost acoperite.
Verificai dac departamentele nfiinate ca urmare a funciilor principale
nou-create au fost solicitate s-i exprime cerinele specifice privind X
realizarea unor subsisteme IT proprii activitii lor
Analizai existena corelrii ntre termenele de realizare a subsistemelor.
X
Analizai procedurile pe baza crora se realizeaz subsistemele IT i
stabilii dac acestea sunt suficiente pentru implementarea acestor X
subsisteme n condiii optime.
Stabilii dac exist studii de fezabilitate pentru subsistemele IT
X
planificate.
Verificai dac exist proceduri pentru toate aplicaiile derulate n cadrul
X
organizaiei;
Verificai dac aplicaiile derulate n cadrul posturilor de lucru sunt
X
suficiente, necesare i asigur eficientizarea activitilor;
Verificai dac aplicaiile derulate sunt adecvate proceselor organizaiei;
X
Verificai dac aplicaiile sunt cunoscute i aplicate de utilizatori.
X
Elaborarea strategiei IT corespunde strategiei organizaiei
Dotarea actual cu tehnic de calcul a stat la baza elaborrii strategiei IT
Verificarea dac exist un control asupra strii echipamentelor;
X
Verificarea dac obiectivele strategice n domeniul IT sunt stabilite pe
X
baza unei analize a strii actuale;
Verificarea dac achiziia aplicaiilor i programelor are n vederea
X
dezvoltarea strategic a organizaiei;
Verificarea dac achiziia echipamentelor i tehnicii de calcul ine cont
X
de dotarea existent;
Verificarea dac achiziiile de echipamente in cont de caracteristicile
X
calitative i de performante acestora;
Verificarea dac achiziiile de echipamente sunt adaptate nevoilor i
X
necesitilor organizaiei;
Verificarea dac aplicaiile i programele de achiziionat sunt adecvate
X
proceselor organizaiei;
Verificarea dac aplicaiile i programele achiziionate conduc la
X
integrarea datelor i informaiilor;
Verificarea dac strategia IT conduce la informatizarea n totalitate a
X
organizaiei;
Verificarea dac strategia asigur pregtirea personalului n concordan
X
cu programele de dezvoltare IT.
Auditori,
Popescu Sorin
Radu George
96
Procedura P08: Colectarea dovezilor

ENTITATEA PUBLIC
TEST nr. 1.1

Obiectul
testului
Obiectivele
testului
Descrierea
testului
Data: 13.09.2009
Data: 13.09.2009

Analiza direciilor de aciune stabilite n cadrul strategiei IT i urmrirea dac acestea
contribuie la realizarea mandatului i scopului entitii i dac acestea au fost
implementate, conform programelor aprobate.
1. Populaia avut n vedere pentru constituirea eantionului este format din:
- strategia elaborat n domeniul IT, direciile de aciune definite i obiectivele
strategice stabilite cu privire la dezvoltarea entitii n domeniul IT;
- procesele verbale ale comisiei numite la nivelul entitii cu responsabiliti
n domeniul planificrii, elaborrii i urmririi implementrii strategiei;
- programele i aplicaiile informatice, aprobate la nivelul entitii, n
perioada analizat, care corespund direciilor de implementare a strategiei.
2. Eantionul a fost constituit astfel:
- strategia entitii n domeniul IT a fost analizat i evaluat n totalitatea ei i comparat
cu strategia entitii;
- n perioada suspus auditrii, au fost aprobate n vederea implementrii patru proiecte
informatice, n acest sens toate acestea fiind evaluate cu privire condiiile de
implementare, termenele de implementate i concordana cu direciile strategice
aprobate.
- n perioada supus auditrii, Comisia numit la nivelul entitii cu responsabiliti n
domeniul dezvoltrii IT s-a ntrunit trimestrial, n acest sens au fost analizate i evaluate
toate procesele verbale ntocmite dup fiecare edin de lucru organizat;
Constatri
3. Prin testarea ce se va realiza se va urmri, dac activitile desfurate n realizarea

direciilor de aciune stabilite n cadrul Strategiei sunt monitorizate i evaluate cu privire
la modul de implementare, respectiv:
- concordana strategiei elaborate n domeniul IT cu strategia entitii;
- responsabilitile stabilite Comisiei numit la nivelul entitii cu atribuii n domeniul
dezvoltrii IT, contribuie la asigurarea unei decizii eficiente la nivelul entitii.
- analiza proceselor verbale ale Comisiei numit la nivelul entitii cu atribuii n
domeniul dezvoltrii IT
- urmrirea dac toate activitile de implementare a strategiei sunt monitorizate i
evaluate;
Potrivit deciziei de numire, Comisia de planificare strategic nfiinat la nivelul entitii
are rolul de a stabili obiectivele strategice, relaiile cu celelalte componente structurale
din cadrul entitii, fundamentarea modalitilor de realizare a proiectelor, dimensionarea
resurselor ce urmeaz a fi angajate, stabilirea termenelor intermediare i finale de
realizare a proiectelor, monitorizarea implementrii proiectelor aprobate.
1. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a
constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile de
dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor entitii i
prin implementare se urmrete realizarea unui sistem informatic integrat, care s asigure
97
corelarea tuturor informaiilor i datelor la nivelul entitii, respectiv juridice, economice,

comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.
2. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu
responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de
natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i
armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i
atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns
analiza realizrii acestor activiti este rezumat doar la analiza raportrilor periodice
realizate de departamentul IT, cu privire la stadiul implementrii proiectelor IT.
Limitarea exercitrii acestor atribuii, doar la analiza raportrilor efectuate de
departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de implementare
a programelor informatice, conduce la formularea unor constatri i concluzii
insuficiente, care au influen n decizia managerial i dezvoltarea strategic.
3. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu
responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate n
vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de
faptul c anumite proiecte de dezvoltare IT, derulate n cadrul entitii, nu au fost supuse
analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei
au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul
entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c
discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre
departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile formulate
de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea resursele
financiare, au fost legate doar de acestea.
n urma examinrii i analizelor efectuate, s-a constatat c anumite proiecte nu au fost
implementate sau sunt ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei,
inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv asigurarea
resurselor financiare, nc din cursul anului anterior, dar pn n prezent nu s-a realizat
nici o procedur legat de stabilirea condiiilor tehnice ale aplicaiei, demararea
aciunilor de realizare a caietului de sarcini, sau procedurilor privind achiziia, cu toate c
n buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii
entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul
departamentului IT nu existau specialiti n testarea i implementarea lui, iar fondurile
aprobate permiteau doar achiziia aplicaiei.
Concluzii
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de

implementare a proiectelor, greutile ntmpinate se puteau cunoate i gsi soluiile
necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n vederea
utilizrii acestui program informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea
datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns nu
i termenele de realizare. n urma evalurii, s-a constatat c au fost demarate procedurile
pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul pieei i
alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va putea fi
realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii,
care depind de acesta, n acest sens va trebui amnat termenul de ncepere a procedurilor
privind implementarea proiectului Crearea unei structuri IT care s permit urmrirea
circuitului unui document, stadiul de realizare i persoanele care au intervenit asupra
acestuia, autorizarea pe niveluri ierarhice prestabilite. ntrzierea implementrii acestui
program a determinat nerealizarea n termenul planificat a obiectivului strategic
Modernizarea infrastructurii IT din cadrul entitii.
Neatribuirea Comisiei numit la nivelul entitii de responsabiliti n domeniul
98
dezvoltrii IT, a unor atribuii de urmrire fizic a modului de implementare a direciilor

strategice, respectiv a proiectelor informatice de dezvoltare i informatizare a entitii, a
condus la ntrzieri n achiziia, testarea i implementarea programelor, nenceperea
procedurilor de achiziie i implementare a altor programe sau aplicaii informatice.
Obiectivele strategice stabilite n domeniul IT nu au fost ndeplinite n termenele
stabilite.
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
99

ENTITATEA PUBLIC
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 1.1

Problema
Constatarea
Data: 13.09.2009
Data: 13.09.2009
Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i

aplicaiilor informatice.
1. Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a
constatat c aceasta deriv i este elaborat n conformitate cu direciile i principiile
de dezvoltare ale entitii, contribuie la dezvoltarea i eficientizarea activitilor
entitii i prin implementare se urmrete realizarea unui sistem informatic integrat,
care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i
patrimoniale.
2. Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu
responsabiliti n domeniul dezvoltrii IT, s-a constatat c acestea sunt, n general, de
natur metodologic, respectiv planificarea i elaborarea strategiei n domeniul IT i
armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast comisie are i
atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns
analiza realizrii acestor activiti este rezumat doar la raportrile periodice realizate
de departamentul IT, cu privire la stadiul implementrii proiectelor IT. Limitarea
exercitrii acestor atribuii, doar la analiza raportrilor efectuate de departamentul IT,
fr o evaluare fizic, din partea comisiei, a modului de implementare a programelor
informatice, conduce la formularea unor constatri i concluzii insuficiente, care au
influen n decizia managerial i dezvoltarea strategic.
3. Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu
responsabiliti n dezvoltarea IT, a direciilor de aciune strategice i a deciziilor luate
n vederea implementrii strategiei a pus n eviden unele disfuncionaliti, legate de
faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu au fost supuse
analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei
au privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul
entitii, ns potrivit proceselor verbale ntocmite n urma edinelor, a rezultat c
discuiile s-au derulat doar cu privire la proiectele pentru care au fost naintate de ctre
departamentul IT, rapoarte privind stadiul implementrii, astfel c propunerile
formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
resursele financiare, au fost legate doar de aceste aspecte.
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost
implementate sau sunt ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei,
inclusiv stadiul soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost
asigurate resursele financiare nc din cursul anului anterior, dar pn n prezent nu s-a
realizat nici o procedur legat de stabilire a condiiilor tehnice ale aplicaiei,
demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare a
achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii
entitii, a rezultat c acest program informatic nu a fost demarat, deoarece la nivelul
departamentului IT nu existau specialiti n testarea i implementarea programului, iar
fondurile aprobate permiteau doar achiziia aplicaiei.
100
Cauza
Consecina
Recomandri
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de

implementare a proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi
soluiile necesare, respectiv, n acest caz a condiiilor de pregtire a personalului n
vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea
datelor la nivelul organizaiei, a fost raportat stadiul de implementare la comisie, ns
nu i termenele de realizare. n urma evalurii s-a constatat c au fost demarate
procedurile pentru achiziia acestuia, ns pn n prezent acestea s-au limitat la studiul
pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea
altor aplicaii, care au legtur cu acesta, n acest sens va trebui decalat termenul de
ncepere a procedurilor privind implementarea proiectului Crearea unei structuri IT
care s permit urmrirea circuitului unui document, stadiul de realizare i persoanele
care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a
obiectivului strategic Modernizarea infrastructurii IT din cadrul entitii.
Neatribuirea Comisiei numit la nivelul entitii de responsabiliti n domeniul
dezvoltrii IT, a unor atribuii de urmrire fizic a modului de implementare a
direciilor strategice, respectiv a proiectelor informatice de dezvoltare i informatizare
a entitii.
Potrivit deciziei de numire, Comisia de planificare strategic nfiinat la nivelul
entitii are rolul de a stabili obiectivele strategice, relaiile cu celelalte componente
structurale din cadrul entitii, fundamentarea modalitilor de realizare a proiectelor,
dimensionarea resurselor ce urmeaz a fi angajate, stabilirea termenelor intermediare i
finale de realizare a proiectelor, monitorizarea implementrii proiectelor aprobate.
ntrzieri n achiziia, testarea i implementarea programelor.
Totodat, unele programe preconizate a fi achiziionate ulterior i care urmau a fi
implementate dup punerea n funciune a acestora nu s-au mai achiziionat.
Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i
redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
proiectelor informatice i informarea periodic a conducerii asupra realizrii acestora.
Analiza proiectelor informatice aprobate a fi implementate i pentru care au fost
alocate i resursele financiare, stabilirea de termene de implementare i respectarea
acestora.
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
Pentru conformitate,
Structura auditat
101
ENTITATEA PUBLIC
TEST nr. 1.2

Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Data: 13.09.2009
Data: 13.09.2009

Analiza sistemului de fundamentare a necesarului de resurse pentru realizarea
strategiei n domeniul IT.
Evaluarea condiiilor privind elaborarea strategiei va urmri analiza modului n
care au fost respectate i analizate urmtoarele activiti cuprinse n procedura de
realizare a strategiei din Lista de verificare nr. 1, poziia 1.2.
Strategia elaborat la nivelul structurii funcionale a avut n vedere urmtoarele:
a) evaluarea situaiei actuale pe baza analizei diagnostic;
b) identificarea punctelor tari i a punctelor slabe ale entitii;
c) formularea misiunii organizaiei;
d) fundamentarea variantelor strategice;
e) identificarea i proveniena resurselor;
f) implementarea strategiei .
Testarea s-a realizat prin evaluarea sistemului de elaborare a strategiei i a
documentelor rezultate, dar i n baza Notei de relaii nr. 1 privind modul de elaborare i
fundamentare a strategiei, adresat domnului Georgescu Mihai ef serviciu.
Din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
a) definirea rolului IT n cadrul organizaiei, fiind identificat i definit
importana departamentului IT;
b) definirea misiunii structurii funcionale n concordan cu obiectivele
strategice i direciile de aciune stabilite la nivelul organizaiei;
c) identificarea i proveniena resurselor financiare, materiale i umane
necesare aplicrii i implementrii strategiei;
d) implementarea strategiei, fiind fixate termenele necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor precum i
concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale,
nu s-au avut n vedere urmtoarele etape:
a) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea
activitii pentru o anumit perioad, prin strategie, presupune ca, n prealabil, s fie
cunoscut situaia actual, pe baza unei analize diagnostic, pentru a avea o imagine ct
mai complet asupra domeniului de activitate al organizaiei. Analiza diagnostic trebuia
elaborat n baza unor studii privind potenialului intern, folosind metode statistice,
matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i
fenomenelor specifice domeniului de activitate. Informaiile de intrare nu fac referire la
aspecte cum sunt: dimensiunea structurii funcionale, resursele umane, nzestrarea
tehnic, managementul utilizat;
b) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea;
c) Fundamentarea variantelor strategice obiectivele strategice stabilite nu au
fost corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi.
Realizarea strategiei implic fixarea i respectarea termenelor necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor, precum i
102
Concluzii
concentrarea eforturilor umane i materiale. Totodat, trebuie avut n vedere

compatibilitatea variantei strategice elaborat teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influen.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize
diagnostic, astfel nct s putem avea o imagine ct mai completa asupra organizaiei,
asupra rezultatelor pe care i-a propus s le obin, a potenialului su financiar, ct i a
importanei n cadrul realizrii programului de guvernare. Totodat nu au fost
identificate nici punctele tari i punctele slabe n vederea determinrii ameninrilor i
oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul
strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii interni
i factori externi. Realizarea strategiei implica fixarea i respectarea termenelor necesare
atingerii obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor
precum i concentrarea eforturilor umane i materiale.
n activitatea de fundamentare a strategiei nu s-a respectat procedura operaional
de lucru aprobat de conducerea entitii, astfel:
a) Nerealizarea, pe baza analizei diagnostic, a evalurii situaiei actuale n
vederea elaborrii strategiei.
b) neidentificarea punctelor tari i a punctelor slabe n vederea determinrii
ameninrilor i oportunitilor.
c) obiectivele strategice definite n cadrul strategiei nu au fost corelate cu
posibilitile efective ale organizaiei, cu factorii interni i factori externi.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
103
Procedura P08:
Colectarea dovezilor
ENTITATEA PUBLIC
NOT DE RELAII nr. 1.1
privind elaborarea i fundamentarea strategiei
adresat
Domnului Georgescu Mihai, ef serviciu

ntrebarea nr. 1. Cine rspunde de elaborarea strategiei n domeniul IT?
Rspuns nr. 1. Compartimentul metodologie i dezvoltare IT.

ntrebarea nr. 2. Cum au fost determinate necesitile de achiziii IT i cuprinse n cadrul strategiei?
Rspuns nr. 2. Pe baza analizei importanei activitilor pe care le desfoar organizaia i a modului de
satisfacere a cerinelor colaboratorilor.
ntrebarea nr. 3. Definirea misiunii departamentului pe ce a fost fundamentat?
Rspuns nr. 3. Pe baza mandatului stabilit de Consiliul de Administraie.
ntrebarea nr. 4. Strategia elaborat a fost implementat?
Rspuns nr. 4. Pe baza strategiei au fost elaborate politici pentru fiecare domeniu de activitate al
departamentului, politici pe baza crora au fost stabilite activitile i aciunile necesare.
ntrebarea nr. 5. La elaborarea strategiei, evaluarea situaiei actuale s-a realizat pe baza unei analize
diagnostic?
Rspuns nr. 5. Nu.
ntrebarea nr. 6. Cum au fost analizate i interpretate, la elaborarea strategiei punctele tari i punctele
slabe?
Rspuns nr. 6. Nu a fost realizat o analiza a punctelor tari i punctelor slabe la elaborarea strategiei.
ntrebarea nr. 7. Fundamentarea strategiei s-a bazat pe elaborarea mai multor variante?
Rspuns nr. 7. Nu.
ntrebarea nr. 6. Mai avei ceva de adugat?
Rspuns nr. 6. Nu.
Data: 13.09.2009
Dat n faa noastr: Auditori
Popescu Sorin
Radu George
ef serviciu,
Georgescu Mihai
104
Procedura P08:
ENTITATEA PUBLIC
INTERVIU nr. 1.1
privind elaborarea i fundamentarea planului strategic,
adresat domnului Ionescu Adrian, director general DGTI

Nr.
crt.
1.
2.
ntrebri
Da
Exist un sistem de fundamentare a planului

X
strategic?
Planul strategic este corelat cu planurile anuale?
X
3.
Exist un sistem de prioritizare a activitilor X

cuprinse n plan?
4.
Strategia definit la nivelul entitii publice definete

clar obiectivele?
Obiectivele strategice sunt n concordan cu
direciile de aciune ale entitii publice?
La elaborarea planului strategic ai avut n vedere
definirea mandatului i a misiunii structurii
organizaionale?
Planul strategic are n vedere principalele domenii de
interes n domeniul IT?
Planul strategic stabilete politica n domeniul IT?
Planul strategic precizeaz modalitile de aciune?
Planul strategic conine o ealonare a termenelor de
realizare a obiectivelor?
Au fost previzionate resursele necesare pentru
ndeplinirea planului strategic?
Necesitile de actualizare a planului strategic sunt
analizate periodic?
Ai desemnat persoane responsabile cu centralizarea
noutilor n vederea actualizrii planului strategic?
5.
6.
7.
8.
9.
10.
11.
12.
13.
Nu
Observaii
Planul strategic este defalcat n

planurile anuale.
Prin planul strategic aprobat se
urmrete
atingerea
obiectivelor strategice stabilite
prin politicile entitii publice
n domeniul IT.
X
X
X
X
X
X
X
X
Data: 13.09.2009
Formulat n prezena noastr: Auditori
Popescu Sorin
Radu George
Intervievat,
Director general, Ionescu Adrian
105
ENTITATEA PUBLIC

Problema
Constatarea
Data: 13.09.2009
Data: 13.09.2009
Nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor

de dezvoltare.
Din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
a) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit
importana acesteia;
b) definirea misiunii structurii funcionale n concordan cu obiectivele
strategice i direciile de aciune stabilite la nivelul organizaiei;
c) identificarea i proveniena resurselor financiare, materiale i umane
necesare aplicrii i implementrii strategiei;
d) implementarea strategiei, fiind fixate termenele necesare atingerii
obiectivelor n raport cu care se urmresc asigurarea i repartizarea resurselor
precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii
funcionale, nu s-au avut n vedere urmtoarelor etape:
a) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv
orientarea activitii pentru o anumit perioad, prin strategie, presupune ca, n
prealabil, s fie cunoscut situaia actual, pe baza unei analize diagnostic, pentru
a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului
intern, folosind metode statistice, matematice, analiza pe baz de bilan etc. care
s surprind evoluia proceselor i fenomenelor specifice domeniului de activitate.
Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea structurii
funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
b) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea;
c) Fundamentarea variantelor strategice obiectivele strategice stabilite
pentru IT nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii
interni i factori externi. Realizarea strategiei implic fixarea i respectarea
termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea
i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Totodat, trebuie avuta n vedere compatibilitatea variantei strategice elaborata
teoretic cu realitatea i modul n care s-a reuit surprinderea aciunii factorilor de
influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize
diagnostic, astfel nct s putem avea o imagine ct mai completa asupra
organizaiei, asupra rezultatelor pe care i-a propus s le obin, a potenialului su
financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea
determinrii ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul
strategiei, nu au fost corelate cu posibilitile efective ale organizaiei, cu factorii
interni i factori externi. Realizarea strategiei implica fixarea i respectarea
106
Cauza
Consecina
Recomandri
Auditor intern,
Radu George
termenelor necesare atingerii obiectivelor n raport cu care se urmresc asigurarea

i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Personalul responsabil de elaborarea strategiei nu a avut pregtirea necesara n
vederea realizrii unei analize de ansamblu a organizaiei i a unei analize a
domeniului de activitate, a identificrii factorilor interni i a factorilor externi care
influeneaz realizarea activitilor specifice, ct i a ameninrilor i
oportunitilor n ndeplinirea obiectivelor.
Implementarea strategiei nu contribuie la realizarea mandatului cu care a fost
investit organizaia, la atingerea obiectivelor generale definite i la realizarea
direciilor de aciune cu privire la dezvoltarea domeniului de activitate.
Pregtirea profesional anticipat a personalului implicat n elaborarea
strategiei, de ctre managementul responsabil cu aceasta.
Reanalizarea strategiei definite la nivelul structurii funcionale n
conformitate cu procedura operaional aprobat.
Actualizarea acesteia astfel nct implementarea sa s contribuie la realizarea
unui management modern in domeniul de activitate i la atingerea obiectivelor
strategice ale organizaiei.
mbuntirea procedurilor operaionale de lucru privind sistemul de fundamentare
a necesarului de resurse pentru elaborarea strategiei.
Supervizor,
Dumitru Daniel
Structur auditat
107
ENTITATEA PUBLIC
TEST nr. 1.3

Obiectul testului
Obiectivele testului
Descrierea testului
Constatri
Data: 13.09.2009
Data: 13.09.2009

Definirea obiectivelor generale derivate din obiectivele strategice.
Evaluarea condiiilor privind elaborarea strategiei va urmri analiza modului n
care au fost definite obiectivele generale, derivate din obiectivele strategice, n
conformitate cu Lista de verificare nr. 1, poziia 1.3 respectiv:
- Stabilirea obiectivelor strategice a inut cont de mediul intern i de mediul
extern;
- Obiectivele definite n cadrul strategiei asigur:
a. definirea realist a acestora;
b. asigurarea factorului de mobilizare;
c. definirea lor astfel nct s fie nelese de ctre salariai;
d. definirea lor n form stimulatoare;
e. asigurarea necesarului de resurse n vederea implementrii
obiectivelor
- Obiectivele generale sunt definite n termeni de impact;
- Obiectivele generale deriv din obiectivele strategice;
- Obiectivele generale acoper strategia definit n cadrul domeniului de
activitate;
- Obiectivele generale n domeniul resurselor umane ofer direcia i inta
final ce urmeaz a fi atins;
- Obiectivele sunt formulate de o manier precis, riguroas fr interpretri.
Testarea a fost completat cu elaborarea unui Interviu privind definirea n
termeni de impact a obiectivelor strategice, adresat domnului Stnescu Cristian - ef
serviciu.
Obiectivele strategice reprezint exprimrile cantitative i calitative ale scopului
pentru care exist i funcioneaz organizaia.
Din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat
c acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective
de realizare de care dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea
salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care
s permit nelegerea coninutului lor de ctre salariai;
- nu sunt stimulatoare i nu asigur o abordare sistemic a intereselor
organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe termen
mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de
natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de plecare
n conturarea unui sistem unitar de obiective ce vizeaz toate componentele procesuale
i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect
modaliti i opiuni de realizare care condiioneaz decisiv coninutul i
funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n
considerare principalele variabile exogene ce influeneaz comportamentul economic
108
Concluzii
i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.

La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu
s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor circulante
pe baza unor indicatori specifici, cantitativi i calitativi.
De asemenea, personalului nu i-au fost asigurate n toate situaiile, condiiile de
instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor
individuale, pentru a contribui astfel, n condiii de performan, la obinerea
impactului definit de obiectivele strategice.
Obiectivele strategice nu sunt definite, in toate cazurile, n mod realist, respectiv
nu deriv din atribuiile generale ce revin structurii funcionale, ceea ce creeaz
confuzii privind modul practic de realizare a acestora i implicit de asigurare a
impactului stabilit i de asigurare a definirii corespunztoare a obiectivelor specifice.
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
109
ENTITATEA PUBLIC
Interviu nr. 1.2

privind definirea n termeni de impact a obiectivelor strategice,
adresat domnului Stnescu Cristian - ef serviciu
Misiunea de audit: Audit IT

Perioada auditat: 01.01.2006 - 31.12.2008
Nr.
crt.
NTREBRI
DA
1.
Exist un responsabil cu elaborarea strategiei?
2.
NU
OBSERVAII
La definirea obiectivelor strategice a existat o analiz a

domeniilor pentru care acestea au fost definite?
La definirea obiectivelor strategice au fost luate n calcul
capacitile i posibilitile efective ale organizaiei privind
implementarea acestora?
4.
Obiectivele strategice sunt definite pentru nivelul de nelegere

al salariailor?
Obiectivele strategice
nu sunt realiste
nu sunt mobilizatoare
pentru salariai
nu sunt nelese de
salariai
5.
La stabilirea obiectivelor au fost dimensionate resursele pe

baza unor indicatori calitativi i cantitativi?
La definirea obiectivelor strategice s-a urmrit ca termenul de
implementare al acestora s fie multianual?
Salariaii au fost pregtii i instruii astfel nct s asigure
implementarea obiectivelor?
Obiectivele strategice sunt definite cu respectarea atribuiilor
i funciilor generale ale organizaiei?
Obiectivele generale sunt definite n cadrul strategiei elaborate
la nivelul organizaiei?
Obiectivele generale ofer pentru domeniile pe care sunt
definite, direcia i inta final ce urmeaz a fi atinse?
Obiectivele generale sunt definite ntr-o form riguroas, fr
interpretri i ntr-o manier precis?
3.
6.
7.
8.
9.
10.
11.
Data:
13.09.2009
X
X
X
X
X
X
X
Obiectivele
generale
definite
nu
sunt
antrenante
pentru
salariai
ef Serviciu,
Stnescu Cristian
Elaborat n prezena noastr: Auditori

Popescu Sorin
Radu George
110
ENTITATEA PUBLIC
Not de relaii nr. 1.2

privind elaborarea planului strategic i a planurilor anuale,
adresat domnului ef serviciu Dezvoltare aplicaii
ntrebarea nr. 1: Au fost elaborate planuri strategice i planuri anuale?
Rspuns nr. 1: Planul strategic a fost elaborat pentru o perioad de 5 ani n urm cu doi ani. Planul strategic
iniial este defalcat n planuri anuale pentru a se asigura coordonarea implementrii subsistemelor IT.
ntrebarea nr. 2: Elaborarea acestor planuri s-a realizat ntr-un cadru formalizat?
Rspuns nr. 2: Prin decizia managerului general a fost numit o comisie format din conductorii
principalelor departamente din cadrul entitii publice avnd responsabilitatea elaborrii planului strategic i
a planurilor anuale. n calitate de conductor al departamentului IT fac parte din aceast comisie.
ntrebarea nr. 3: Exist un sistem de fundamentare a planului strategic?
Rspuns nr. 3: Fundamentarea planului strategic s-a realizat pe baza analizei nevoilor de informatizare
formulate de ctre departamentele ce asigur realizarea funciilor principale ale entitii publice, pornindu-se
de la sistemul IT existent i urmrindu-se realizarea msurilor necesare n vederea atingerii parametrilor
stabilii prin politica IT.
ntrebarea nr. 4: Exist un sistem de prioritizare a activitilor cuprinse n plan?
Rspuns nr. 4: Da. Implementarea subsistemelor IT se va realiza conform planificrii, pornind de la
importana acestora pentru entitatea public i inndu-se cont de resursele de care dispune organizaia.
ntrebarea nr. 5: Mai avei ceva de adugat?
Rspuns nr. 5: Nu.
Data: 13.09.2009
Intervievat,
Adrian Ionescu
Popescu Sorin
Radu George
111

ENTITATEA PUBLIC
FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 1.3

Problema
Constatarea
Cauza
Consecina
Recomandarea
Data: 13.09.2009
Data: 13.09.2009
Obiectivelor strategice nu asigur acoperirea domeniului de activitate al

structurii funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei.
Obiectivele strategice reprezint exprimrile cantitative i calitative ale
scopului pentru care exist i funcioneaz organizaia.
Din analiza modului de definire i stabilire a obiectivelor strategice s-a
constatat c acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile
efective de realizare de care dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea
salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier
care s permit nelegerea coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor
organizaiei i componentelor sale organizatorice ntr-o viziune optimizant pe
termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de
natura sa (economic, tehnic), deoarece aceste obiective reprezint punctul de
plecare n conturarea unui sistem unitar de obiective ce vizeaz toate componentele
procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect
modaliti i opiuni de realizare care condiioneaz decisiv coninutul i
funcionalitatea strategiei, ceea ce impune ca la implementarea lor s se ia n
considerare principalele variabile exogene ce influeneaz comportamentul economic
i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu
s-a realizat o dimensionare corect a fondurilor de investiii i a mijloacelor
circulante pe baza unor indicatori specifici, cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de
instruire pentru dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor
individuale pentru a contribui astfel, n condiii de performan, la obinerea
impactului definit de obiectivele strategice.
Personalul implicat n elaborarea strategiei nu a fost pregtit n cadrul organizaiei i
nu a reuit s neleag obiectivele strategice i s stabileasc corect obiectivele
generale, care vor sta la baza stabilirii obiectivelor specifice ale acesteia.
n forma n care au fost identificate i stabilite obiectivele strategice i generale,
departamentul nu poate pune la dispoziia organizaiei o strategie care s asigure
posibilitatea de a-i dezvolta un management eficient i eficace al domeniului de
activitate n consens cu mandatul su.
Evaluarea performanelor actuale ale sistemului de organizare i conducere a
activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice.
112
Implicarea managementului pentru ca obiectivele strategice redefinite s

ntruneasc caracteristicile de a fi realiste, mobilizatoare, stimulative i s poat fi
nelese de salariai, stabilite de metodologie.
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare
(materiale, financiare i umane) implementrii lor.
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
Structur auditat
113
ENTITATEA PUBLIC
TEST nr. 1.4

Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Data: 13.09.2009
Data: 13.09.2009

Fundamentarea resurselor n vederea elaborrii planului anual de activitate.
Evaluarea resurselor n vederea elaborrii planului anual de activitate a pornit de la
analiza fundamentrii planului, pe baza elementelor prezentate n Lista de verificare
elaborat.
La elaborarea planului de activitate au fost avute n vedere urmtoarele:
- planul de activitate anual a fost comunicat i este cunoscut de personalul
implicat n realizarea acestuia;
- salariaii sunt motivai i cointeresai n realizarea obiectivelor planului de
activitate;
- este fundamentat i dimensionat necesarul de resurse;
- pentru realizarea activitilor planificate sunt asigurate competenele
necesare;
- salariaii cunosc metodologia de realizare i implementare a activitilor
planificate;
- planul este alctuit n concordan cu bugetul anual de venituri i
cheltuieli;
- pentru realizarea planului anual de activitate, managementul a luat n
considerare i cunoaterea nevoilor salariailor;
- planul anual de activitate coreleaz obiectivele individuale cu cele
organizaionale;
- stabilirea planului anual de activitate permite ncadrarea n resursele
financiare planificate.
- sunt anticipate condiiile viitoare n care va funciona organizaia.
Testarea a fost completat cu un Interviu privind fundamentarea resurselor pentru
asigurarea implementrii planului de activitate, adresat domnului Popescu Valentin ef serviciu Dezvoltare Aplicaii.
Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate
implic alocarea de costuri i resurse ridicate din partea organizaiei, care, n cele mai
multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost
realizate sau implementate n mod corespunztor, deoarece nu au fost repartizate
atribuiile n cadrul compartimentelor n corelaie cu noile obiective stabilite n cadrul
planului. Aceasta a nsemnat c, n unele cazuri, obiectivele i activitile, dei erau
cunoscute de personal, acesta nu avea competena necesar, n special a celor care erau
realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor
competene pentru realizarea acestora, proces care a ngreunat implementarea
obiectivelor i realizarea activitilor.
n alte cazuri, activitile de realizat nu au fost comunicate obiectiv salariailor,
respectiv obiectivele individuale au rmas aceleai, n condiiile n care obiectivele
cuprinse n planul compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea
msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru
nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la
ntrzieri n atingerea unor obiective ale planului.
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico114
Concluzii
informaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a

presupus definirea n cadrul planului anual, a unor asemenea obiective i activiti, ns
pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu
necesitile pentru atingerea obiectivelor planului.
n cadrul planului, reducerea costurilor a fost definit i prin reducerea
personalului, prin care s-au pierdut o serie de competene care, din motive financiare, nu
au mai putut fi nlocuite, ceea ce a condus la realizarea activitilor, fr a fi ndeplinite
condiiile de performan stabilite.
Monitorizarea resurselor financiare utilizate n derularea obiectivelor planului
anual a fost de multe ori deficitar, ceea ce a contribuit la majorarea costurilor .
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de
cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, importana
obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea
obiectivelor generale i a obiectivelor strategice.
Activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate corespunztor, deoarece nu s-au reanalizat i repartizat atribuiile
compartimentelor pentru a asigura competena necesar realizrii obiectivelor i
activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale
care s derive din noile obiective stabilite n cadrul planului de activitate i care se aflau
n competena compartimentului funcional.
n cadrul planului anual nu au fost definite obiective i activiti care s asigure
nevoia de mbuntire a nivelului de competen n raport cu progresele tehnicoinformaionale i organizatorice, creterea eficienei i reducerea costurilor, prin
corelarea necesarului de echipamente cu necesitile de atingere a obiectivelor planului.
S-a constatat monitorizarea deficitar a resurselor financiare utilizate n derularea
obiectivelor planului anual, ceea ce a dus la costuri suplimentare fa de cele planificate
pentru implementarea obiectivelor stabilite.
Necorelarea atribuiilor compartimentelor n vederea organizrii i asigurrii
competenelor necesare realizrii noilor obiective i activiti stabilite.
Necunoaterea de ctre toi salariaii a structurii planului anual de activitate, ceea ce
nu a asigurat implicarea acestora n implementarea obiectivelor.
Neasigurarea n totalitate a necesarului de mijloace pentru realizarea planului,
respectiv nu a existat un echilibru ntre necesitile de realizare a planului i necesarul de
echipamente.
Depirea costurilor planificate n realizarea i implementarea obiectivelor.
Performanele stabilite n realizarea activitilor nu au fost atinse n toate cazurile.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
115
ENTITATEA PUBLIC
INTERVIU nr. 1.3
privind fundamentarea resurselor pentru asigurarea implementrii planului de activitate, adresat
Domnului Popescu Valentin ef serviciu Dezvoltare Aplicaii
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
NTREBRI
DA
Exist un plan de activitate elaborat?

Planul de activitate este elaborat pe domenii de activitate?
La elaborarea planului de activitate s-a realizat o analiz SWOT
a domeniilor de activitate?
Planul de activitate este corelat cu posibilitile materiale,
financiare i umane existente n cadrul organizaiei?
X
X
Nu este realizat o analiz a

comportamentului salariailor
cu privire la intele i
indicatorii planului
Atribuiile definite compartimentelor s-a realizat n corelaie cu

activitile i sarcinile repartizate acestora?
Pentru realizarea activitilor n cadrul compartimentelor au
X
existat competenele necesare?
Activitile au fost comunicate corespunztor salariailor prin
atribuirea de obiective individuale corespunztoare?
Monitorizarea realizrii activitilor planificate s-a realizat
X
corespunztor, pe niveluri de responsabiliti?
Personalul implicat n realizarea obiectivelor i activitile
planificate a deinut cunotinele necesare realizrii acestora ?
Data: 13.09.2009
OBSERVAII
Planul de activitate a fost adus la cunotina i este cunoscut de

X
salariaii implicai n realizarea lui?
Politicile i strategiile elaborate n cadrul organizaiei i care
asigur implementarea i realizarea planului de activitate,
inclusiv metodologiile interne de lucru sunt cunoscute de X
salariai?
Pentru realizarea activitilor au fost asigurate echipamentele i

tehnologiile necesare ?
NU
x
X
Unele activiti nu au fost

implementate corespunztor
Realizarea cu ntrziere a
activitilor
X
X
Depirea
costurilor
planificate
n
realizarea
obiectivelor
Nu a existat echilibru ntre
necesitile
planului
i
necesarul de echipamente
ef serviciu Dezvoltare aplicaii,

Popescu Valentin

Popescu Sorin
Radu George
116
ENTITATEA PUBLIC

Problema
Constatarea
Data: 13.09.2009
Data: 13.09.2009
Resursele nu sunt fundamentate corect n vederea implementrii planului anual de

activitate;
Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate
implic alocarea de fonduri i resurse ridicate din partea organizaiei care, n cele mai
multe din cazuri, nu au ca referin atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost
realizate sau implementate n totalitate, n mod corespunztor, deoarece nu au fost
reanalizate i repartizate atribuiile n cadrul compartimentelor n corelaie cu noile
obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri,
obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena
necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale,
ceea ce a necesitat solicitarea unor competene pentru realizarea acestora, proces care a
ngreunat implementarea obiectivelor i realizarea activitilor.
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele
individuale au rmas aceleai, n condiiile n care obiectivele cuprinse n planul
compartimentului au fost cu totul altele. Aceasta a nsemnat stabilirea msurilor n cursul
anului, instruirea, sub diferite forme, a personalului pentru nelegerea acestora i
stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor
obiective ale planului.
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnicoinformaionale i organizatorice, pentru creterea eficienei i reducerea costurilor, a
presupus definirea n cadrul planului anual a unor asemenea obiective i activiti, ns
pentru implementarea acestora nu a fost corelat necesarul de mijloace i echipamente cu
necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului,
prin care s-au pierdut o serie de competene care, din motive financiare, nu au fost
nlocuite, prin dezvoltarea altor angajai, ceea ce a condus la realizarea activitilor, dar nu
au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a
fost de multe ori deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa
de cele planificate pentru implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de
cunoatere a normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor
culturi din cadrul organizaiei, importana obiectivelor stabilite spre ndeplinire i modul
cum acestea contribuie la atingerea obiectivelor generale i a obiectivelor strategice, i
nelegerea comportamentului competitiv ca un sistem n care oamenii i resursele
interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate corespunztor deoarece nu s-au reanalizat i repartizat atribuiile
compartimentelor pentru a asigura competena necesar realizrii obiectivelor i
activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale
care deriv din noile obiective stabilite n cadrul planului de activitate i care se aflau n
117
Cauza
Consecina
Recomandarea
competena compartimentului funcional.

Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se
asigure: nevoia de mbuntire a nivelului de competen n raport cu progresele tehnicoinformaionale i organizatorice;creterea eficienei i reducerea costurilor; corelarea
necesarul de echipamente cu necesitile de atingere a obiectivelor planului.
Inexistena unui sistem de reglementare i monitorizare a instruirii personalului, la
nivelul structurilor funcionale, prin care s se asigure comunicarea clar a sarcinilor de
realizat, a instrumentelor de aplicat i urmrirea utilizrii acestora.
Inexistena programelor de formare care se bazeaz pe dezvoltarea aptitudinilor de
cercetare-analiz-diagnoz, pe cultivarea capacitii de asumare a responsabilitilor de a
decide sau de a conduce activitatea unui grup.
Atitudinea fa de sarcini i responsabiliti nu este ntotdeauna pozitiv, iar politica de
cointeresare este slab.
Planurile anuale de activitate nu sunt ndeplinite n condiii de performan, iar indicatorii
de impact sau rezultat ataai obiectivelor nu sunt realizai n condiii de eficien,
economicitate i eficacitate.
Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct
metodologia specific domeniului de activitate, normativ i procedural, s fie aplicat
corespunztor pentru dezvoltarea i implementarea planurilor anuale.
n baza planurilor elaborate s se identifice toate atribuiile necesare pentru
atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul
compartimentelor.
Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare
creterii economice n condiiile n care au loc reduceri de personal.
Evaluarea cuprinztoare a resurselor (financiare, instituionale, programe, personal)
necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a
se asigura ncadrarea n limitele stabilite.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Structur auditat
118
ENTITATEA PUBLIC
TEST nr. 1.5

Obiectul testului
Obiectivele testului
Descrierea testului
Constatri
Concluzii
Data: 13.09.2009
Data: 13.09.2009
Planurile IT ofer asigurare cu privire la faptul c nevoile IT sunt alocate n

Implementarea subsistemele IT pentru funcii principale stabilite urmare direciilor
de dezvoltare ale organizaiei.
Populaia statistic a fost constituit din cele trei de funcii principale nou-create la
nivelul entitii publice n baza recomandrilor Comisiei Europene, identificate ca urmare
a analizei modificrilor operate n organigram la data elaborrii planului strategic.
Eantionul pentru realizarea testrii situaiei subsistemelor IT pentru funciile
principale a fost constituit din cele trei funcii identificate.
Testarea a constat n examinarea urmtoarelor elemente:
- examinarea dac subsistemele IT acoper n totalitate nevoile pentru funciile
principale ale entitii publice
- analiza dac nevoile de subsisteme IT pentru funciile principale nou-create au
fost acoperite
- verificarea dac departamentele nfiinate ca urmare a funciilor principale noucreate au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme
IT proprii activitii lor
- analiza procedurile pe baza crora se realizeaz subsistemele IT i stabilirea dac
acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime
Testarea s-a concretizat n elaborarea unei Liste de control privind analiza
subsistemelor IT pentru funciile principale nou-create.
Din analiza efectuat s-a constatat c n cadrul entitii publice exist structuri nounfiinate, ca urmare a schimbrilor legislative aprute, pentru care nu s-au realizat
aplicaii informatice specifice, respectiv Autoritatea de Management a Fondurilor
Structurale, Autoritatea de Management a Fondurilor de Coeziune, Autoritatea
competent pentru acreditarea ageniilor de plat. n acelai timp, exist i o structur
nou nfiinat Autoritatea de Management a Fondurilor de Coeziune care a notificat
departamentul IT, dar implementarea nu s-a realizat n termen.
Nu exist aplicaii informatice implementate la nivelul tuturor structurilor funcionale din
cadrul entitii
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
119
ENTITATEA PUBLIC
INTERVIU nr. 1.4

privind subsistemele IT pentru funciile principale
adresat
domnului Ionescu Adrian, Director General
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
8.
ntrebri
Da
Planul strategic prevede elaborarea de

subsisteme IT pentru funciile principale?
Au fost elaborate subsisteme IT pentru
toate funciile principale?
Procesul de elaborare a subsistemelor IT
pentru
funciile
principale
este
procedurat?
Au fost elaborate subsisteme IT pentru
funcii principale aprute la solicitarea
Comisiei Europene sau ca urmare a
schimbrilor legislative aprute n
Romnia?
A fost efectuat periodic (trimestrial,
anual) o analiz a nevoilor de subsisteme
IT la nivelul funciilor principale noucreate?
Sunt corelate termenelor de realizare a
subsistemelor IT?
Au fost realizate subsistemele IT la
termenele prevzute?
Au fost previzionate resursele necesare
pentru elaborarea subsistemelor IT?
Nu
Observaii
Procesul de elaborare a subsistemelor IT este nc

n derulare.
Prin planul strategic au fost stabilite termene de
realizare a subsistemelor IT.
Resursele umane de care dispunem sunt implicate

n elaborarea subsistemelor IT prevzute prin
planul strategic defalcat n planuri anuale. Pn n
prezent planul strategic iniial nu a fost modificat.
Realizarea acestei analize nu este n sfera de
competene a conductorului departamentului IT
Da, prin planul strategic.
X
X
X
S-au
nregistrat
ntrzieri
n
realizarea
subsistemelor IT
Departamentul IT asigur resursele umane
necesare pentru elaborarea subsistemelor IT.
Data: 13.09.2009
Intervievat,
Director general, Ionescu Adrian
Popescu Sorin
Radu George
120
ENTITATEA PUBLIC

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Data: 13.09.2009
Data: 13.09.2009
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice

activitilor care se desfoar n cadrul acestora.
Din analiz s-a constatat c n cadrul entitii publice exist structuri nounfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor
legislative, care nu au notificat departamentul IT n privina nevoilor lor de
aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice
activitii lor, dar care nu au beneficiat de implementarea acestora, conform
planificrii, datorit ntrzierilor n realizarea achiziiilor.
Inexistena la nivelul entitii publice a unor proceduri complete de elaborare
a strategiei IT care s permit actualizarea sistematica, funcie de schimbrile
legislative;
Insuficiena personalului de specialitate.
Domenii importante de activitate ale entitii publice pentru care nu s-a
realizat implementarea subsistemelor IT necesare pentru desfurarea activitii au
randamente sczute, ceea ce afecteaz pe ansamblul realizarea activitilor entitii
publice
Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele
posturilor;
Inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n
strategia IT.
Supervizor,
Dumitru Daniel
Structur auditat
121
122
Procedura P10
ENTITATEA PUBLIC
LISTA DE VERIFICARE nr. 2

Data: 15.09.2009
Data: 15.09.2009
Obiectivul I.
ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT
Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
2.
2.1.
2.2.
2.3.
2.4.
Da
Definirea atribuiilor i activitilor

Definirea atribuiilor i responsabilitilor n cadrul departamentului IT
Funcionalitatea procedurilor de lucru n corelaie cu activitile
X
derulate
Verificarea gradului de acoperire prin procedur a activitilor privind
X
organizarea i definirea structurilor organizatorice.
Verificarea concordanei atribuiilor stabilite Departamentului IT cu
cele ale organizaiei
Verificarea definirii clare a atribuiilor pe compartimentele funcionale
ale Departamentului IT
Verificarea definirii activitilor ce trebuie realizate n cadrul
Departamentului IT
Examinarea constituirii structurii funcionale de IT
Analiza criteriilor avute n vedere la crearea compartimentelor
funcionale ale structurii organizatorice;
nglobarea activitilor de control intern n punctele cheie de realizare a
activitilor
Atribuiile sunt stabilite urmare a evalurii posturilor;
Verificai dac definirea atribuiilor ine cont de reglementrile legale
aplicabile;
Verificai dac atribuiile executate n cadrul compartimentului IT sunt
n responsabilitatea acestui compartiment;
Verificai dac responsabilitile sunt delimitate clar de atribuii i
competene;
Verificai dac sunt definite atribuiile i aria de competen
Verificai dac aria de competen asigur realizarea activitilor i
aciunilor stabilite
Verificai dac relaiile cu celelalte posturi din cadrul
compartimentului cu care ar trebui s aib relaii funcionale sunt clar
definite
Verificai dac definirea atribuiilor ine cont de obiectivele generale i
specifice;
Definirea activitilor n cadrul structurii organizatorice
Verificai dac activitile sunt identificate la nivelul departamentului
X
IT;
Verificai dac activitile sunt definite omogen n cadrul structurii
X
funcionale
Verificai dac atribuiile specifice care asigur realizarea activitilor
X
sunt definite n cadrul atribuiilor generale ale organizaiei;
Verificai dac activitile repartizate n cadrul compartimentelor
Nu
Observaii
Test nr. 2.1

FIAP nr. 2.1
123
2.5.
2.6.
2.7.
2.8.
2.9.
2,10.
2.11.
2.12.
2.13.
2.14.
2.15.
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
respect criteriile avute n vedere la nfiinarea acestora, respectiv

exist atribuii definite pentru realizarea lor;
Analizai dac aciunile efectuate pentru realizarea activitilor se
regsesc n sarcinile definite la nivelul posturilor;
Verificai dac la realizarea unei activiti contribuie un singur
compartiment;
Verificai dac la repartizarea activitilor pe compartimente se ine
seama de rolul acestora;
Verificai dac atribuiile stabilite pentru realizarea activitii asigur
competena necesar pentru realizarea acesteia;
Verificai dac pentru fiecare activitate sunt stabilite aciunile necesare;
Verificate dac pentru fiecare aciune stabilit exist sarcin definit n
fia postului;
Verificai dac personalul are calificarea necesar pentru realizarea
activitilor;
Verificai dac pentru activitile identificate exist competena alocat
n vederea realizrii lor;
Verificai dac activitile identificate i alocate obiectivelor asigur
realizarea acestora i obinerea rezultatelor ateptate;
Verificai dac activitile repartizate n cadrul compartimentelor
respect criteriile avute n vedere la nfiinarea acestora;
a) definirea omogen a activitilor
b) activitile repartizate n cadrul compartimentelor respect criteriile
avute n vedere la nfiinarea acestora
c) atribuiile stabilite pentru realizarea activitilor definesc aria
necesar realizrii activitilor
d) aciunile stabilite n realizarea activitilor se regsesc n sarcinile
definite la nivelul posturilor;
Verificai dac personalul are calificarea adecvat pentru realizarea
activitilor;
Stabilirea structurii organizatorice
Verificai modul de elaborare i funcionalitatea organigramei
departamentului IT;
a) stabilirea structurii funcionale a departamentului, pe baza
organigramei
b) organigrama permite vizualizarea de ansamblu a organizrii
departamentului
c) definirea n termen a relaiilor din cadrul departamentului
d) definirea raporturilor de subordonare n cadrul organigramei
e) definirea numrului de posturi prin intermediul organigramei
Elaborarea organigramei n consens cu structura organizatoric;
Constituirea compartimentelor a avut n vedere natura activitilor;
Verificarea aprobrii organigramei de ctre persoanele competente;
Examinarea organigramei departamentului IT;
Evaluai demersurile realizate de departamentul IT pentru ocuparea
posturilor de conducere;
Analizai consecinele funcionrii departamentului IT prin delegarea
persoanelor de conducere;
Verificai dac organigrama departamentului IT asigur:
a) numrul total de posturi de conducere
b) numrul total de posturi de conducere ocupate cu delegaie
c) numrul de posturi de execuie
d) numrul de posturi de execuie neocupate
Verificai dac demersurile efectuate pentru ocuparea posturilor de
conducere:
a) numrul de concursuri organizate
b) numrul de solicitri ctre departamentul de resurse umane n
vederea organizrii concursurilor
Verificai dac conducerea a avut preocupri pentru ocuparea
posturilor de execuie
a) numrul de concursuri organizate
Test nr. 2.2.

Interviu nr. 2.1.
Not de relaii
nr. 2.1.
FIAP nr. 2.2.
Test nr. 2.3

FIAP nr. 2.3
X
X
X
X
Test nr. 2.4

Lista de control
2.1
FIAP nr. 2.4
124
1.11.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
b) numrul de solicitri ctre departamentul de resurse umane n

vederea organizrii concursurilor
Verificai existena un ui plan de implementare a msurilor necesare,
menit s asigure buna desfurare a activitii n cazul existenei unui
numr mare de posturi vacante
Evaluai preocuparea conducerii pentru ocuparea posturilor de
X
execuie;
Existena unui plan de implementare a msurilor necesare menite s
asigure buna desfurare a activitii n cazul existenei unui numr X
mare de posturi vacante;
Analizai dotarea departamentului cu echipamente hard i soft adecvate
pentru desfurarea activitilor specifice, astfel:
a) numr suficient de calculatoare dotate corespunztor;
X
b) numr suficient de servere;
c) numr suficient de echipamente auxiliare (imprimante, xerox-uri,
scanere, conexiuni la intranet/Internet);
- programe IT adecvate.
Verificai dac exista responsabil monitorizarea stadiului i modului de
X
realizare a obiectivelor generale i specifice ale departamentului;
Verificarea limitelor decizionale stabilite n derularea i realizarea
X
activitilor;
Examinarea modului de analiz a posturilor i de definire a sarcinilor
X
pe posturi;
Analiza modului de specializarea a posturilor n corelaie cu tipul de
X
activiti ce sunt realizate
Verificai dac elaborarea organigramei este realizat n consens cu
X
structura organizatoric;
Verificai dac posturile atribuite compartimentelor asigur realizarea
X
activitilor repartizate;
Verificai dac sistemul informaional este proiectat n conformitate cu
X
strategia;
Verificai dac sunt stabilite circuitele informaionale;
X
Analizai dac mijloacele de realizare a circuitelor informaionale sunt
X
definite i cunoscute;
Verificai dac sistemul informaional este operaional i este folosit
X
eficient i eficace;
Verificai dac tehnologiile informaionale sunt folosite i exploatate:
Internetul
X
E-mail-ul
Intranetul
Verificai dac oportunitatea, calitatea i cantitatea informaiilor este
X
bine precizat;
Verificai dac organigrama stabilete responsabilii structurilor
X
funcionale corespunztor fiecrui nivel ierarhic;
Analizai dac organigrama stabilete autoritatea de care responsabili
X
structurilor funcionale dispun.
Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT
Verificarea existenei politicii unitare privind gestionarea riscurilor
X
Verificarea existenei sistemului de evaluare a riscurilor
X
Verificai dac pentru riscurile identificate sunt stabilite i funcioneaz
Test nr. 2.5
controale interne
Interviu 2.2
FIAP nr. 2.5
Verificai modalitatea de stabilire i introducere a instrumentelor de
control pentru meninerea lor n limita de acceptare i dac acestea
menin riscurile la niveluri inferioare
Analizai dac exist un responsabil cu gestionarea riscurilor la nivelul
X
departamentului IT
Verificarea existenei Registrului riscurilor la nivelul Departamentului
X
IT
Verificai dac actualizarea Registrului riscurilor se realizeaz
X
sistematic
Verificai dac riscurile majore prezentate n Registrul riscurilor
X
elaborat la nivelul Direciei IT se regsesc n Registrul riscurilor
125
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20
C.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
elaborat la nivelul ntregii entiti publice;

Verificai dac exist un proces formal de analiz a riscurilor, utilizat
nainte de introducerea i ameliorarea noilor sisteme i pregtirea unor
planuri realiste de meninere a serviciilor n cazul n care operaiunile
nu decurg aa cum au fost proiectate.
Examinai dac se realizeaz monitorizarea i administrarea riguroas a
riscurilor care privesc implementarea aplicaiilor
Analizai dac implementarea controlului intern a urmrit dac acesta
este proiectat, implementat i meninut pentru a aborda riscurile care
amenin atingerea oricruia dintre obiectivele departamentului cu
privire la:
a) credibilitatea raportrii financiare
b) eficiena i eficacitatea operaiilor sale
c) respectarea legilor i reglementrilor aplicabile
Verificai dac riscurile sunt clar identificate i delimitate pe programe;
Verificai dac riscurile sunt tratate ca responsabilitate a conducerii
superioare, dat fiind impactul potenial al acestora asupra proiectului i
utilizrii resurselor;
Evaluai dac probabilitatea i impactul riscurilor sunt analizate
separat i sunt numite persoane care rspund de reducerea acestora;
Verificai dac revizuirea planurilor de diminuare i de gestionare a
riscurilor se realizeaz n mod regulat;
Examinai dac un risc identificat este raportat conducerii superioare i
sunt dispuse msuri de control intern pentru meninerea acestuia n
limite acceptabile;
Verificai dac criteriile de performan sunt utilizate corect n
procesele informaionale;
Analizai dac aprecierea criteriilor de performan are la baz
capacitile i abilitile demonstrate de salariai;
Verificai dac procesul decizional este implementat la toate nivelurile
ierarhice;
Analizai dac structura compartimentala este corect stabilit n funcie
de natura i omogenitatea activitilor;
Stabilirea responsabilitilor
Verificai dac elaborarea fiei postului este realizat n corelaie cu
cerinele postului;
Verificai dac sunt definite responsabiliti n realizarea sarcinilor din
fia postului;
Verificai dac fia postului definete corect cunotinele IT necesare
ocuprii postului;
Verificai dac este asigurat continuitatea realizrii activitilor la
eliberarea postului;
Abilitile, cunotinele i aptitudinile definite posturilor asigur
realizarea activitilor repartizate i a celor stabilite departamentului;
Verificai dac la definirea obiectivelor i sarcinilor se urmrete i
dezvoltarea capacitii profesionale a salariatului;
Verificai dac stabilirea obiectivelor individuale este realizat n
corelaie cu obiectivele departamentului;
Verificai dac persoana care ocup postul are capacitatea de a asigura
ndeplinirea atribuiilor i sarcinilor stabilite;
Verificai dac atribuiile definite n fia postului au caracter individual
Verificai dac stabilirea sarcinilor din fia postului este realizat n
concordan cu atribuiile din ROF;
Analizai modul de definire a competenelor manageriale;
Examinarea stabilirii sarcinilor n corelaie cu gradul profesional pe
care l definete postul;
Verificai dac atribuiile definite n fia postului sunt n concordan
cu activitile efectiv realizate de persoana ocupant a postului;
Urmrirea alocrii sarcinilor n fia postului n concordan cu
competenele manageriale:
a) modul de definire pentru funciile de execuie;
X
X
Test. nr. 2.6
FIAP nr. 2.6
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
126
1.16.
1.17.
1.18.
b) modul de definire pentru funciile de conducere;

Analizai dac fia postului definete:
a) condiiile privind studiile de specialitate
b) condiiile privind specializrile necesare pentru ocuparea postului
c) condiiile privind cunotinele informatice
d) definirea sarcinilor n funcie de nivelul postului
e) alocarea sarcinilor n concordan cu competenele manageriale
necesare postului
Verificarea definirii sarcinilor n conformitate cu activitile derulate;
Verificai dac atribuiile sunt definite astfel nct s asigure aria de
competen necesar realizrii activitilor, respectiv:
a) analiza atribuiilor stabilite compartimentului i stabilirea dac aria
de competen a acestora ajut la realizarea activitilor
b) urmrirea ca aria de competen s asigure realizarea activitilor i
aciunilor stabilite compartimentului funcional
c) analiza relaiilor cu celelalte structuri funcionale din cadrul
organizaiei cu care are sau ar trebui s aib relaii funcionale pentru
realizarea atribuiilor i activitilor
Test nr. 2.7

Interviu 2.3
Not de relaii
nr. 2.1
FIAP nr. 2.7
X
Test nr. 2.8
FIAP nr. 2.8
X
Auditori,
Popescu Sorin
Radu George
127

ENTITATEA PUBLIC
TEST nr. 2.1.

Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009
Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT

Evaluarea i urmrirea dac atribuiile stabilite personalului definesc aria de competen
necesar realizrii activitilor i aciunilor;
Eantionul s-a constituit prin selectarea a cte dou posturi din cadrul fiecrui
compartiment funcional al Departamentului IT, respectiv un numr de 6 posturi. In cazul
acestora se vor evalua atribuiile i relaiile funcionale definite cu privire la:
- definirea atribuiilor i a ariei de competen a acestora;
- urmrirea dac aria de competen asigur realizarea activitilor i aciunilor
stabilite;
- analiza relaiilor cu celelalte posturi din cadrul compartimentului cu care ar
trebui s aib relaii funcionale.
Atribuiile definite n sarcina salariailor nu sunt ntotdeauna conforme i nu asigur
competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare o aciune, nu asigur un coninut clar,
fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate.
Atribuiile stabilite salariailor nu asigur ntotdeauna aria de competen necesar pentru
realizarea activitilor.
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
128

ENTITATEA PUBLIC
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 2.1.

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Data: 13.09.2009
Data: 13.09.2009
Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur

ntotdeauna aria de competen privind realizarea activitilor i aciunilor
repartizate.
Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu
asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n
multe cazuri la modul general, nu indic, prin modul de formulare o aciune, nu
asigur un coninut clar, fiind definite sub forma unei relaii funcionale sau avnd
caracter de activitate.
Definirea atribuiilor specifice postului s-a realizat de ctre fiecare ef de
compartiment, fr a mai fi analizate i evaluate de ctre persoanele responsabile
de la nivelul departamentului.
Persoanele din cadrul compartimentelor funcionale nu au dispus de cunotinele
necesare astfel nct s poat defini corect o atribuie i n acelai timp s
urmreasc daca acestea asigur aria de competen a realizrii activitilor
repartizate postului.
Nu se asigur o arie de competen necesar i suficient pentru realizarea
activitilor i aciunilor.
Contientizarea managementului responsabil cu procesul de stabilire i definire a
atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de
definire a unei atribuii sau unui set de atribuii pentru asigurarea ariei de
competen necesar pentru realizarea activitilor.
Supervizor,
Dumitru Daniel
Structur auditat
129
Procedura P08:
ENTITATEA PUBLIC
TEST nr. 2.2.

Data: 15.09.2009
Data: 15.09.2009
Obiectul testului
Definirea activitilor n cadrul structurii organizatorice.
Obiectivele
testului
Descrierea
testului
Delimitarea activitilor compartimentului pe posturi.

Populaia eantionat o reprezint activitile i atribuiile alocate i stabilite pentru
dou servicii din cadrul departamentului IT, respectiv serviciul responsabil de
ntreinerea i implementarea aplicaiilor i serviciul responsabil cu programarea n
cadrul organizaiei.
Criteriile avute n vedere la analiza i evaluarea activitilor sunt reprezentate de cele
definite n Lista de verificare, i anume:
definirea omogen a activitilor;
activitile repartizate n cadrul compartimentelor respect criteriile avute n
vedere la nfiinarea acestora;
atribuiile stabilite pentru realizarea activitilor definesc aria necesar;
aciunile necesare realizrii activitilor se regsesc n sarcinile definite n fia
postului.
Pentru realizarea testului a fost realizat un interviu privind modul de stabilire a
activitilor n cadrul compartimentului, cu domnul Ionescu Adrian director general
Departament IT i a fost luat o not de relaii domnului Popescu Marin, ef serviciu
ntreinere i Implementare Aplicaii.
Constatri
La proiectarea structurii organizatorice se pleac de la inventarierea activitilor

existente sau necesare pentru realizarea obiectivelor i se efectueaz o analiz critic
pentru a se putea constata n ce msur acestea sunt adecvate realizrii funciunii.
La definirea activitilor se are n vedere complexitatea acestora, respectiv
gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe orizontal
const n numrul de activiti (specializri) i de subuniti funcionale (birouri,
servicii). Diferenierea pe vertical se refer la numrul de niveluri ierarhice de-a
lungul crora se exercit autoritatea n organizaie.
Analiza coninutului i modului de definire a activitilor necesare pentru
realizarea fiecrui obiectiv specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu
indic aciuni concrete de realizare a acestora, fie indic o aciune comun de
realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care
sunt exercitate aciuni concrete de realizare i pentru care exist rezultate ateptate
stabilite;
nu sunt identificate toate activitile care contribuie la realizarea
obiectivelor specifice i care asigur conformitatea cu reglementrilor legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei
nu se asigur evitarea dublrii aciunilor, respectiv exist activiti identice sau
similare, desfurate de mai multe departamente i probleme semnificative de
130
suprapunere i coordonare.
De asemenea, pentru realizarea unor activiti nu se respect principiul
convergenei n definirea i stabilirea coninutului activitilor care sunt necesare
pentru realizarea unui obiectiv.
Concluzii
Activitile nu sunt corect identificate i definite n cadrul compartimentelor,

astfel nct s contribuie la realizarea i implementarea obiectivelor.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
131
Procedura P08:
ENTITATEA PUBLIC
INTERVIU NR. 2.1

privind definirea activitilor i responsabilitilor n cadrul departamentului IT,
adresat domnului Adrian Ionescu, director general DGTI
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
ntrebri
Da
Avei o strategie de dezvoltare la nivelul structurii

funcionale?
Exist un responsabil cu actualizarea strategiei n
cadrul compartimentului IT?
Strategia de dezvoltare a compartimentului IT este n
concordan cu strategia general a organizaiei?
Ai aprobat un plan de activitate anual pentru
compartimentul IT?
Ai dezvoltat politici publice n domeniul IT pentru
asigurarea atingerii obiectivelor stabilite prin plan?
Exist proceduri operaionale de lucru pentru toate
activitile
care
se
desfoar
n
cadrul
compartimentului?
Exist responsabili desemnai pentru elaborarea i
actualizarea sistematic a procedurilor operaionale?
Ai aprobat procedurile operaionale de lucru?
Pn n prezent s-a realizat vreo revizie pentru
actualizarea procedurilor operaionale de lucru?
Considerai c procedurile operaionale sunt
complete, funcionale i asigur desfurarea
corespunztoare
a
activitilor
din
cadrul
compartimentului IT?
Mai avei ceva de adugat referitor la cele de mai sus?
Data:
15.09.2009
Nu
Observaii
X
X
X
X
X
Da, au fost elaborate
proceduri operaionale de
lucru, sunt cunoscute i
nsuite de ctre salariai
X
X
X
X
Da, anumite proceduri au

fost actualizate de 2 ori.
Da, dup efectuarea mai

multor revizii.
X
Intervievat,
Director General Adrian Ionescu
Elaborat n faa noastr; Auditori

Popescu Sorin
Radu George
132

ENTITATEA PUBLIC

privind modul de stabilire a activitilor n cadrul compartimentului
adresat
domnului Popescu Marin ef serviciu ntreinere i Implementare Aplicaii.
ntrebarea nr. 1: Ai participat la stabilirea atribuiilor i activitilor compartimentului?
Rspuns nr. 1: Activitile n cadrul compartimentului au fost stabilite pe baza atribuiilor definite.
ntrebarea nr. 2: Ai fost implicat n elaborarea atribuiilor compartimentului?
Rspuns nr. 2: n anul 2007 a fost elaborat Regulamentul de organizare i funcionare unde am participat
efectiv pentru departamentul pe care l coordonez. De fapt atribuiile stabilite de mine au rmas
neschimbate n urma aprobrii regulamentului.
ntrebarea nr. 3: La proiectarea structurii organizatorice s-a inut cont de inventarierea activitilor
executabile ?
Rspuns nr. 3: Structura compartimentului i numrul de posturi au fost prestabilite, iar noi a trebuit
doar s alocm activitile i atribuiile.
ntrebarea nr. 4: Activitile definite indic aciuni concrete de realizare i rezultate ateptate?
Rspuns nr. 4: n unele cazuri da, n alte cazuri le-am definit sub form de relaii de colaborare sau
participare n funcie de scopul urmrit.
ntrebarea nr. 5: Cum explicai faptul c nu sunt identificate toate activitile necesare realizrii
obiectivelor?
Rspuns nr. 5: Ulterior direcia a mai primit i alte activiti n vederea realizrii, ns pentru acestea nu
s-a mai procedat la reanalizarea obiectivelor i redefinirea acestora.
ntrebarea nr. 6: Din analiza unor activiti a rezultat c acestea sunt realizate mpreun cu alte
compartimente, ns, evalund obiectivele, s-a constatat c realizarea acestora include i activitile
realizate de celelalte compartimente. Cum explicai aceasta?
Rspuns nr. 6: Aceste obiective i activiti se regsesc la ambele compartimente, ns fiecare
compartiment realizeaz numai partea pentru care este responsabilizat.
Rspuns nr. 7: Nu.
Data: 15.09.2009
Popescu Sorin
Radu George
ef serviciu
Popescu Marin
133
Procedura P08:
ENTITATEA PUBLIC

Problema
Constatarea
Cauza
Consecina
Recomandarea
Data: 15.09.2009
Data: 15.09.2009
Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea

complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale
posturilor existente.
La proiectarea structurii organizatorice se pleac de la inventarierea
activitilor existente sau necesare pentru realizarea obiectivelor i se efectueaz o
analiz critic pentru a se constata n ce msur acestea sunt adecvate realizrii
funciunii.
La definirea activitilor se are n vedere complexitatea acestora, respectiv
gradul de difereniere a muncii pe orizontal i pe vertical. Diferenierea pe
orizontal const n numrul de activiti (specializri) i de subuniti funcionale
(birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
ierarhice de-a lungul crora se exercit autoritatea n organizaie.
Analiza coninutului i modului de definire a activitilor necesare pentru
realizarea fiecrui obiectiv specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie
nu indic aciuni concrete de realizare a acestora, fie indic o aciune comun de
realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n
care sunt exercitate aciuni concrete de realizare i pentru care exist rezultate
ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea
obiectivelor specifice i care asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale
direciei nu se asigur evitarea dublrii aciunilor, respectiv exist activiti
identice sau similare, desfurate de mai multe departamente i probleme
semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul
convergenei n definirea i stabilirea coninutului activitilor care sunt necesare
pentru realizarea unui obiectiv.
Managementul superior nu a acordat o suficient atenie domeniului
organizaional, n vederea reglementrii lui formale n cadrul tuturor
compartimentelor funcionale.
Nestabilirea clar a activitilor i aciunilor poate conduce la nerealizarea, n
condiii optime, a obiectivelor i nu permite identificarea cauzelor care au stat la
baza nerealizrii. De asemenea, nu se pot identifica problemele cu care se
confrunt personalul i nici nu se pot implementa politici care s asigure eficiena
i eficacitatea n realizarea activitilor.
Organizarea eficient a activitii impune realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei
iniiative de organizare a activitii.
Constituirea unei echipe, pe baza deciziei managementului general, care s
134
analizeze i s redefineasc activitile i aciunile realizate n cadrul

compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi
realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare
obinerii rezultatelor stabilite, realizate efectiv n cadrul compartimentului,
formulate ca aciuni concrete.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Structur auditat
135
Procedura P08:
ENTITATEA PUBLIC
TEST nr. 2.3

Data: 15.09.2009
Data: 15.09.2009
Obiectul testului
Obiectivele
testului
Descrierea
testului
Organizarea funcional a Departamentului IT

Examinarea dac organigrama reprezint un instrument la ndemna conducerii
prin care se permite vizualizarea de ansamblu a organizrii departamentului IT.
Constatri
Organigrama, ca document prin care se relev grafic structura organizaiei i

substructurile acesteia, nu pune n eviden organizarea i funcionarea
departamentului. Compartimentele aflate n subordinea departamentului nu sunt
nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
subordonare al departamentului n cadrul organizaiei.
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a
suprapunerilor de competene. Astfel, cu privire la raporturile de subordonare potrivit
organigramei, Serviciul Programare este organizat sub forma unui compartiment care
se afl n directa subordonare a directorului general adjunct al departamentului, n
realitate acest compartiment este organizat la nivel de serviciu i subordonat directorul
general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare
reorganizrilor efectuate.
Definirea relaiilor ierarhice, aa cum a fost precizat mai sus, nu asigur o integrare
corespunztoare a departamentului n structura organizatoric a organizaiei i nu
asigur operativitatea fluxului de informaii i date ntre structurile implicate n
prelucrarea datelor i obinerea rezultatelor finale.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se
precizeaz n cadrul serviciilor, numrul de posturi i responsabilii structurilor
funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste servicii
i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor ierarhice.
Organigrama nu este funcional i nu prezint n totalitate raporturile funcionale,
nivelurile ierarhice i relaiile interne existente ntre compartimente.
Concluzii
Auditor intern,
Radu George
Analiza modului de elaborare a organigramei se realizeaz n conformitate cu actul

normativ de organizare i funcionare a organizaiei i cu modului efectiv de organizare i
funcionare a structurilor funcionale din cadrul organizaiei, punndu-se accent pe urmtoarele:
- stabilirea structurii funcionale a departamentului, pe baza organigramei;
- organigrama permite vizualizarea de ansamblu a organizrii departamentului;
- definirea n termen a relaiilor din cadrul departamentului;
- definirea raporturilor de subordonare n cadrul organigramei;
- definirea numrului de posturi prin intermediul organigramei;
Supervizor,
Dumitru Daniel
136

ENTITATEA PUBLIC

Problema
Constatarea
Cauza
Consecina
Recomandri
Auditor intern,
Radu George
Data: 15.09.2009
Data: 15.09.2009
Organigrama nu permite o vizualizare de ansamblu a organizrii departamentului,

a numrului de personal repartizat n cadrul compartimentelor i a relaiilor
existente ntre compartimente.
Organigrama ca document prin care se relev grafic structura organizaiei i
substructurile acesteia nu pune n eviden organizarea i funcionarea
departamentului. Compartimentele aflate n subordinea departamentului nu sunt
nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de
evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de
subordonare, potrivit organigramei, Serviciul Programare este organizat sub
forma unui compartiment care se afl n directa subordonare a directorului
general adjunct al departamentului, dar n realitate acest compartiment este
organizat la nivel de serviciu i subordonat directorul general. Postul de director
general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o
integrare corespunztoare a departamentului n structura organizatoric a
organizaiei i nu se asigur operativitatea fluxului de informaii i date ntre
structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu
se precizeaz n cadrul serviciilor numrul de posturi i responsabilii structurilor
funcionale corespunztor fiecrui nivel ierarhic i/sau cine coordoneaz aceste
servicii i compartimente, ceea ce nu permite identificarea nivelurilor i relaiilor
ierarhice.
La nivelul organizaiei nu au existat reglementri procedurale s defineasc i s
stabileasc o form cadru de elaborare a organigramei. n ultima perioad n
cadrul organizaiei au fost realizate mai multe modificri structurale, n sensul c
activitile desfurate au fost reorganizate, ceea ce a presupus i modificri ale
structurilor funcionale.
Nu se asigur o nelegere corespunztoare a modului de organizare i funcionare
a departamentului, a nivelului ierarhic i a relaiilor existente ntre
compartimente.
n forma n care este elaborat organigrama, nu conine o serie de informaii
referitoare la relaiile interne existente ntre compartimente i la nivelurile de
subordonare.
Analiza actului normativ de organizare i funcionare a organizaiei.
Urmrirea atribuiilor definite departamentului astfel nct s acopere n totalitate
activitile desfurate.
Stabilirea corect a relaiilor i subordonrilor dintre compartimente.
Supervizor,
Dumitru Daniel
Structur auditat
137

ENTITATEA PUBLIC
TEST nr. 2.4.

Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009
Organizarea i funcionarea departamentului IT.

Analiza corelaiei dintre numrul de posturi de conducere ocupate i cele deinute cu delegaie.
Departamentul IT din cadrul entitii publice are 3 servicii funcionale. Eantionul va fi
constituit din posturile de conducere existente i testarea va urmri modul cum sunt realizate
atribuiile acestor posturi.
Analiza organigramei departamentului IT:
- numr total de posturi de conducere
- numr posturi de conducere ocupate cu delegaie
- numr total de posturi de execuie
- numr posturi de execuie neocupate.
Demersurile realizate de departamentul IT pentru ocuparea posturilor de conducere:
- numr de examene organizate pentru ocuparea posturilor;
- numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea
examenelor.
Preocuparea conducerii pentru ocuparea posturilor de execuie;
- numr de examene organizate pentru ocuparea posturilor
- numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea
concursurilor.
Existena unui plan de implementare a msurilor necesare, menit s asigure buna
desfurare a activitii n cazul existenei unui numr mare de posturi vacante.
Din analiza modului de acoperire a necesarului de resurse umane la nivelul departamentului IT
s-a constatat c dou din cele trei posturi de conducere de ef de serviciu sunt ocupate cu
delegaie de circa 18 luni.
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost
numite cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o
aptitudine managerial. Totodat analiza ndeplinirii/realizrii activitilor celor dou servicii a
pus n eviden faptul c n unele cazuri acestea nu au fost realizate sau au fost realizate cu
ntrziere.
Din verificarea modului de planificare i realizare zilnic a activitilor a rezultat c persoanele
responsabilizate n posturile de conducere nu au coordonat n nici un fel activitile care erau
realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la modul n
care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de
realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
activitile n funcie de cunotinele i aptitudinile pe care le deineau.
La nivelul celor dou servicii n aceast perioad nu a fost luat nici o decizie cu privire la
mbuntirea activitilor sau la dezvoltarea acestora.
Delegarea pe posturi de conducere de persoane care nu deineau abiliti manageriale.
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
138
Procedura P08:
ENTITATEA PUBLIC
Lista control nr. 2.1

privind organizarea i funcionarea departamentului IT
Nr.
crt
1.
2.
3.
4.
5.
Elemente
testate
Eantion
Evaluarea
demersurilor Analiza
consecinelor
Analiza organigramei departamentului
Existena preocuprii pentru Existena unui plan de
realizate de departamentul funcionrii departamentului
a
IT
ocuparea
posturilor
de implementare
IT
pentru
ocuparea IT cu persoane de conducere
msurilor
necesare
execuie
posturilor
cu delegaie
menit s asigure buna
Nr.
de
Nr.
Nr.
de
Nr.
de desf. a act. n cazul
Nr.
de
de examene
Nr. de sesizri Nr.
Nr. posturi total
Nr.
examene
Nr. total
solicitri ctre existenei unui numr
solicitri ctre
ale
depart. subsisteme IT organizate
de
cond. posturi posturi de organizate
compart. de mare de posturi de
compart. de
posturi de
la pentru
beneficiare ale neimpl.
ocupate cu de
execuie pentru
i/sau
conducere
RU
pentru conducere
RU
pentru
serviciilor IT timp
delegaie
ocuparea
execuie neocup. ocuparea
execuie vacante
org. ex.
org. ex.
posturilor
posturilor
Serviciul
3
dezvoltare
aplicaii
Serviciul
1
comunicaii
Serviciul
1
exploatare
aplicaii
Serviciul
proiectare
i 3
programare
Serviciul reele
1
informatice
12
Nu
Nu
Nu
Nu
Nu
Nu
10
Nu
Nu
Nu
14
Nu
Nu
Nu
Nu
Nu
Nu
139
Procedura P08:
ENTITATEA PUBLIC

Problema
Data: 15.09.2009
Data: 15.09.2009
Grad ridicat de neocupare a posturile existente i aprobate departamentului

IT.
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Dou din cele trei posturi de conducere de ef de serviciu au fost ocupate cu

delegaie de circa 18 luni.
Din verificarea modului de planificare i realizare zilnic a activitilor a
rezultat c persoanele responsabilizate n posturile de conducere nu au coordonat
n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat
n nici un fel salariaii cu privire la modul n care n care s realizeze activitile i
nici nu au realizat o monitorizare cu privire la modul de realizare a acestora.
Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n
funcie de cunotinele i aptitudinile pe care le deineau.
Examinarea fielor posturilor pentru posturile de execuie ocupate de
persoanele care au fost numite cu delegaie n posturi de conducere s-a constatat c
acestea nu prevedeau nici o aptitudine managerial.
La nivelul celor dou servicii n aceast perioad nu a fost luat nici o
decizie cu privire la mbuntirea activitilor sau la dezvoltarea acestora.
Numirea n posturi de conducere de persoane care nu deineau abiliti
manageriale adecvate pentru posturile respective.
ntrzieri n realizarea activitilor i/sau nerealizarea acestora, organizarea
i realizarea defectuoas a activitilor de ctre salariai.
Solicitarea desfurrii procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT.
Recrutarea va urmri dac persoanele selectate dein abilitile i aptitudinile
manageriale necesare realizrii activitilor specifice celor dou servicii i dac au
pregtirea de baz, de nivel superior, n domeniul IT.
Supervizor,
Dumitru Daniel
Structur auditat
140
Procedura P08:
ENTITATEA PUBLIC
TEST nr. 2.5

Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009
Examinarea sistemului de gestionare a riscurilor generale la nivelul departamentului IT

Analiza modului n care riscurile sunt identificate i gestionate la nivelul
departamentului IT, n vederea asigurrii existentei controalelor interne
corespunztoare
Eantionul va fi constituit din riscurile identificate i gestionate de
departamentul IT.
Pentru fiecare obiectiv al departamentului vor fi selectate 5% din riscuri i
acestea vor fi evaluate cu privire la modul n care au fost stabilite controalele interne,
cum au fost stabilite i introduse instrumente de control pentru meninerea lor n limite
de accesibilitate i dac toate aceste instrumente de control introduse menin riscurile
la niveluri inferioare. Totodat s-a urmrit dac controalele interne introduse sunt
funcionale.
Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor
din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale
i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control
intern asociate pentru limitarea acestora.
La nivelul departamentului nu este asigurata o gestiune corespunztoare a
riscurilor. Acestea nu sunt identificate i monitorizate n vederea meninerii lor n
limitele de accesibilitate.
Auditor intern,
Ionescu Adrian
Supervizor,
Florescu Cristian
141
Procedura P08:
ENTITATEA PUBLIC
INTERVIU nr. 2.2

privind sistemul de gestionare a riscurilor
adresat
domnului Ionescu Adrian, director general
Nr.
crt.
ntrebri
1.
X
Exist o politic de management al riscului?
Exist preocupri pentru managementul riscurilor n cadrul X
departamentului IT?
S-au organizat cursuri cu ntreg personalul pentru activitatea de
gestionare a riscurilor n conformitate cu metodologia de
organizare a sistemului de control intern conform prevederilor
OMFP nr. 946/2005 privind Codul controlului intern?
Au fost identificate riscurile la nivelul departamentului IT?
Exist un sistem de evaluare a riscurilor?
Au fost prevzute msuri de rspuns n cazul apariiei riscurilor?
Exist un sistem de monitorizare i raportare periodic a
riscurilor asociate activitii Direcia IT?
Avei elaborat i actualizat Registrul riscurilor?
Este desemnat un responsabil cu gestionarea riscurilor la nivelul X
departamentului IT?
2.
3.
4.
5.
6.
7.
8.
9.
Da
Nu
Obs.
X
X
X
X
X
Data: 15.09.2009
Intervievat,
Ionescu Adrian
Popescu Sorin
142

ENTITATEA PUBLIC

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
Data: 15.09.2009
Data: 15.09.2009
Neimplementarea unui sistem de control managerial potrivit cruia riscurile

aferente domeniului IT s fie identificate i gestionate.
Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul
departamentului i nu este condus Registrul riscurilor cuprinznd riscurile poteniale
i istoricul acestora, precum i instrumentele de control intern implementate pentru
limitarea acestora.
Lipsa procedurile de lucru, ct i a practicii n cadrul organizaiei privind
modul de identificare i gestionare a riscurilor.
Stocarea neadecvat a datelor i informaiilor;
Accesul la date i informaii a ntregului personal i nu pe niveluri de
autorizare;
Sistem informaional necorespunztor cerinelor organizaiei;
Posibilitatea sustragerii de date i informaii cu importan pentru entitate.
Elaborarea mecanismelor procedurale i metodologice privind identificarea
riscurilor i gestionarea acestora
Evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i
riscuri acceptabile.
Implementarea de instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil.
Supervizor,
Dumitru Daniel
Structur auditat
143

ENTITATEA PUBLIC
TEST nr. 2.6

Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Data: 15.09.2009
Data: 15.09.2009
Examinarea sistemului de gestionare a riscurilor generale la nivelul Departamentului IT

Analiza i evaluarea riscurilor a urmrit modul n care conducerea departamentului
identific riscurile relevante, estimeaz semnificaia acestora, evalueaz probabilitatea
apariiei lor i decide n funcie de acestea instrumentele de control pentru a le menine
sub control.
Analiza implementrii controlului intern a urmrit dac acesta este proiectat, implementat
i meninut pentru a aborda riscurile care amenin atingerea oricruia dintre obiectivele
departamentului cu privire la:
- credibilitatea raportrii financiare;
- eficiena i eficacitatea operaiilor sale;
- respectarea legilor i reglementrilor aplicabile.
Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c
unele activiti de control relevante nu au fost cuprinse n politicile i procedurile de
control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri
i analize ale performanei efective n comparaie cu bugetele, previziunile i performana
perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti
de control ale sistemelor informaionale, respectiv controalele asupra aplicaiilor
individuale i controalele generale asupra tehnologiei informaiei, care sunt de fapt politici
i proceduri care se refer la mai multe aplicaii i contribuie la asigurarea funcionrii
adecvate i continue a sistemelor informaionale.
Exemple de controale generale ale tehnologiei informaiei sunt controalele asupra
modificrii programului, controalele de restricionare a accesului la programe sau la date,
controalele asupra implementrii de noi aplicaii informatice.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor
politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o
aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor posturi
inferioare.
Din analiza efectuat a rezultat c la nivelul departamentului nu este organizat i nu se
conduce Registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate
i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Riscurile relevante includ evenimente, tranzacii sau mprejurri externe i interne care pot
aprea i care pot afecta n mod negativ capacitatea departamentului de a iniia, nregistra,
procesa i raporta date corecte i conforme. Riscurile apar i se schimb din urmtoarele
cauze:
- modificri ale mediului n care se desfoar activitatea.
- personal nou, care poate avea o nelegere diferit n ceea ce privete controlul
intern.
- extindere semnificativ i rapid a operaiilor, care constrng controalele i sporesc
apariia riscului.
- introducerea de noi tehnologii n procesele de producie i n sistemele
144
Concluzii
informaionale, care modific riscurile asociate cu controlul intern.

Sistemul de control intern nu cuprinde toate activitile de control necesare
minimizrii riscurilor i realizrii obiectivelor.
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
145

ENTITATEA PUBLIC

Problema
Constatarea
Data: 15.09.2009
Data: 15.09.2009
Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate

activitile de control ce trebuie alocate n vederea atingerii obiectivelor.
Din analiza sistemului de control intern instituit la nivelul departamentului IT a
rezultat c unele activiti de control relevante nu au fost cuprinse n politicile i
procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ
revizuiri i analize ale performanei efective n comparaie cu bugetele, previziunile
i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de
activiti de control ale sistemelor informaionale, respectiv controalele asupra
aplicaiilor individuale i controalele generale asupra tehnologiei informaiei, care
sunt de fapt politici i proceduri care se refer la mai multe aplicaii i contribuie la
asigurarea funcionrii adecvate continue a sistemelor informaionale.
Exemple de controale generale ale tehnologiei informaiei sunt controalele asupra
modificrii programului, controalele de restricionare a accesului la programe sau
la date, controalele asupra implementrii de noi aplicaii informatice.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor
politici adecvate stabilite de conducere sau de cei nsrcinai cu guvernana nu au o
aprobare de la aceste niveluri i nici nu au fost delegate n responsabilitatea unor
posturi inferioare.
Din analiza efectuat a rezultat c la nivelul departamentului nu este organizat i nu
se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt
identificate i nu sunt monitorizate n vederea stpnirii i meninerii lor la un nivel
acceptabil.
Riscurile relevante includ evenimente, tranzacii sau mprejurri externe i interne
care pot aprea i care pot afecta n mod negativ capacitatea departamentului de a
iniia, nregistra, procesa i raporta date corecte i conforme. Riscurile apar i se
schimb din urmtoarele cauze:
- modificri ale mediului n care se desfoar activitatea.
- personal nou, care poate avea o nelegere diferit n ceea ce privete
controlul intern.
- extindere semnificativ i rapid a operaiilor, care constrng controalele i
sporesc apariia riscului.
- introducerea de noi tehnologii n procesele de producie i de sisteme
informaionale care modifica riscurile asociate cu controlul intern.
Cauza
Consecina
Persoana responsabil cu revizuirea controalelor nu nelege care este scopul

acestora i nu ia msurile adecvate care se impun.
Controlul intern nu ofer o asigurare rezonabil n legtur cu atingerea
146
Recomandri
Auditor intern,
Popescu Sorin
obiectivelor.
Activitile de control, respectiv autorizarea, revizuirea performanei, procesarea
informaiilor, controalele fizice, separarea responsabilitilor nu ajut i nu dau
asigurri c deciziile conducerii sunt duse la ndeplinire.
Stabilirea controalelor interne aferente riscurilor identificate i determinarea
gradului de funcionalitate al acestora.
Pentru riscurile care nu se afl la un nivel acceptabil, s se proiecteze un instrument
sau msur de introducere de controale interne, fie individuale, fie n combinaie cu
alte controale, capabile s previn, detecteze i s corecteze n mod eficient
denaturrile semnificative.
Instituirea i conducerea Registrului riscurilor la nivelul organizaiei.
Supervizor,
Dumitru Daniel
Structur auditat
147
Procedura P08:
ENTITATEA PUBLIC
TEST nr. 2.7

Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009

Examinarea dac cerinele specifice solicitate la ocuparea postului respect
caracteristicile postului respectiv
Urmrirea dac fia postului elaborat pentru un anumit post, definete corect
condiiile specifice pe care trebuie s le ndeplineasc postul, respectiv:
a) condiiile privind studiile de specialitate;
b) condiiile privind specializrile necesare pentru ocuparea postului;
c) condiiile privind cunotinele informatice;
d) definirea sarcinilor n funcie de nivelul postului,
f) alocarea sarcinilor n concordan cu competenele manageriale necesare postului.
Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se
ine cont de scopul postului i cunotinele de baz necesare pentru realizarea
atribuiilor alocate acestuia. Din analiza fielor posturilor s-a constatat c la concursul
organizat pentru ocuparea postului respectiv poate participa orice persoana care are o
diploma, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc..
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru
ntre sarcinile i competenele titularului postului. Din analiza eantionului selectat a
rezultat c pentru posturile cu un nivel al studiilor medii sunt alocate aceleai atribuii
i responsabiliti ca i pentru posturile cu un nivel al studiilor superior. Acestea
creeaz probleme n gestionarea aplicaiilor i programelor, deoarece persoanelor
ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate
ntreinerea de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii
pentru organizaie, care necesit cunotine IT de nivel superior i chiar anumite
specializri.
Studiile de specialitate nu sunt menionate n fia postului potrivit cerinelor de
ocupare a postului.
Repartizarea sarcinilor n cadrul fielor posturilor nu se realizeaz n conformitate cu
competenele titularilor posturilor.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
148

ENTITATEA PUBLIC
INTERVIU nr. 2.3

privind definirea sarcinilor pe grade profesionale
adresat
efului Serviciului Programare Vasilescu Gheorghe

Nr.
crt.
1.
2.
3.
4.
5.
6.
NTREBRI
DA
Exist un responsabil cu elaborarea fielor posturilor?

Exist o delimitare a atribuiilor alocate compartimentelor
pentru fiecare post existent?
Sarcinile sunt definite pentru fiecare grad profesional n fia
postului?
Sarcinile sunt definite n baza atribuiilor stabilite la nivelul
serviciului i le acoper n totalitate?
Atribuiile definite asigur realizarea activitilor identificate?
Sarcinile sunt stabilite difereniat n funcie de gradul
profesional al postului?
X
X
Activitile din cadrul

serviciului
se
regsesc la mai multe
posturi
Nu s-a urmrit ca
sarcinile s difere n
funcie de gradele
profesionale definite
de post
8.
Pentru acelai tip de sarcini stabilite pentru posturi diferite X

sunt stabilite aceleai obiective individuale?
Totalitatea sarcinilor definite pentru posturile existente n X
cadrul serviciului este asigurat prin atribuii i contribuie la
realizarea activitilor?
X
Atribuiile definite postului acoper scopul acestuia?
Mai avei ceva de adugat referitor la cele de mai sus?
Data: 15.09.2009
Exist definite aceleai tipuri de sarcini pentru funcii

profesionale diferite?
10.
11.
OBSERVAII
7.
9.
NU
Intervievat,
Vasilescu Gheorghe
Elaborat n faa noastr: Auditori

Popescu Sorin
Radu George
149

ENTITATEA PUBLIC

privind alocarea sarcinilor n funcie de responsabiliti
adresat doamnei Vasilescu Maria
ntrebarea nr. 1: Postul pe care l ocupai este de execuie?
Rspuns nr. 1: Da.
ntrebarea nr. 2: Cunoatei atribuiile definite n fia postului?
Rspuns nr. 2: Da, dar nu sunt exercitate n totalitate.
ntrebarea nr. 3: Atribuia nr. 3 se refer la planificarea activitilor zilnice n cadrul serviciului. Ce
activiti realizai pentru ndeplinirea acesteia?
Rspuns nr. 3: Zilnic planific pentru fiecare salariat din cadrul serviciului activitile pe care trebuie s le
execute sau s le realizeze pentru ziua respectiv.
ntrebarea nr. 4: La nivelul serviciului exist numit sef de serviciu?
Rspuns nr. 4: Da.
ntrebarea nr. 5: De ce acesta nu realizeaz planificarea zilnic a activitilor salariailor din subordine?
Rspuns nr. 5: Are prea multe sarcini i a fost nevoit s delege o parte din atribuii.
ntrebarea nr. 6: Sarcina de planificare a activitilor serviciului va delegat-o prin fia postului?
Rspuns nr. 6: Nu, mi-a comunicat-o verbal.
ntrebarea nr. 7: Cine face analiza rezultatelor activitilor planificate?
Rspuns nr. 7: Nu este realizat aceast activitate. Eu i comunic cum am repartizat i el informeaz
conducerea.

Rspuns nr. 8: Nu.
Data: 15.09.2009
Intervievat,
Vasilescu Maria
Elaborat n faa noastr: Auditori

Popescu Sorin
Radu George
150
Procedura P08:
ENTITATEA PUBLIC

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 15.09.2009
Data: 15.09.2009
Studiile de specialitate nu sunt menionate n fia postului potrivit

cerinelor de ocupare a postului.
Repartizarea sarcinilor n cadrul fielor posturilor nu se realizeaz n
conformitate cu competenele titularilor posturilor.
Studiile de specialitate aferente unui post sunt definite n cadrul fiei
postului fr a se ine cont de scopul postului i cunotinele de baz necesare
pentru realizarea atribuiilor alocate acestuia. Din analiza fielor posturilor s-a
constatat c la concursul organizat pentru ocuparea postului respectiv poate
participa orice persoan care are o diplom, deoarece nu se specific tipul de
studii i nivelul acestora, respectiv n domeniul IT, studii superioare de lung
durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui
echilibru ntre sarcinile i competenele titularului postului. Din analiza
eantionului selectat a rezultat c pentru posturile cu un nivel al studiilor medii
sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel
al studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i
programelor, deoarece persoanelor ncadrate n cadrul departamentului pe studii
medii le-au fost date n responsabilitate ntreinerea de aplicaii i programe
complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care
necesit cunotine IT de nivel superior i chiar anumite specializri.
Tratarea cu superficialitate a procesului de elaborare a fielor posturilor.
Lipsa de responsabilitate n exercitarea sarcinilor i responsabilitilor de
ctre personalul cu atribuii de conducere.
Fia postului nu asigur n toate cazurile informaii suficiente comisiei de
recrutare i selecie, necesare pentru identificarea celor mai bune persoane pentru
postul respectiv.
Nerealizarea n termen i n condiii de calitate a obiectivelor individuale n
cazul personalului cu funcii de rang inferior i care are repartizat un numr mai
mare de sarcini n comparaie cu personalul cu funcii de rang superior.
Analiza sarcinilor i atribuiilor definite n fiele posturilor i stabilirea
acestora n funcie de caracteristicile postului, respectiv nivelul postului i
urmrirea definirii aceluiai gen de sarcini i atribuii numai dac posturile sunt
de acelai nivel.
Supervizor,
Dumitru Daniel
Structur auditat
151

ENTITATEA PUBLIC
TEST nr. 2.8

Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 15.09.2009
Data: 15.09.2009

Atribuiile stabilite compartimentelor funcionale vor fi evaluate i se va urmri dac acestea
definesc aria de competen necesar realizrii activitilor i aciunilor;
n cazul activitilor realizate prin colaborare cu alte structuri funcionale din cadrul
organizaiei, se va urmri dac relaiile funcionale de colaborare sau cooperare cu structurile
respective sunt corect definite i stabilite.
Eantionul a fost constituit prin alegerea aleatorie a unui numr de dou compartimente din
cadrul departamentului IT. n cazul acestora au fost evaluate atribuiile i relaiile funcionale
definite cu privire la:
- analiza atribuiilor stabilite compartimentului i stabilirea dac aria de competen a
acestora ajut la realizarea activitilor;
- urmrirea ca aria de competen s asigure realizarea activitilor i aciunilor
stabilite compartimentului funcional.
- analiza relaiilor cu celelalte structuri funcionale din cadrul organizaiei cu care are
sau ar trebui s aib relaii funcionale pentru realizarea atribuiilor i activitilor;
- definirea relaiilor ierarhice.
Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i
nu asigur competena de realizare a activitilor i aciunilor, acestea sunt definite n multe
cazuri la modul general, nu indic, prin modul de formulare, o aciune, nu asigur un coninut
clar, fiind definite sub forma unei relaii funcionale sau avnd caracter de activitate sau de
sarcin.
Nu sunt definite n cadrul ROF-ului, la capitolul privind departamentul IT, relaiile cu
celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu
este definit relaia funcional care reglementeaz asigurarea conformitii informaiilor cu
privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i
informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente
funcionale din cadrul organizaiei, precum i cu privire la asistarea n utilizarea
echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile
de execuie, ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice
diferite din cadrul departamentului IT.
Atribuiile stabilite compartimentelor funcionale nu asigur ntotdeauna aria de
competen necesar pentru realizarea activitilor;
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
152
Procedura P08:
ENTITATEA PUBLIC

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 15.09.2009
Data: 15.09.2009
Formularea atribuiilor n cadrul ROF-ului nu asigur ntotdeauna aria de

competen privind realizarea activitilor i aciunilor repartizate unui
compartiment.
Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna
conforme i nu asigur competena de realizare a activitilor i aciunilor, acestea
fiind definite n multe cazuri la modul general, nu indic, prin modul de formulare,
o aciune, nu asigura un coninut clar, fiind sub forma unei relaii funcionale sau
avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile
cu celelalte structuri funcionale cu care are sau ar trebui s aib relaii funcionale,
respectiv nu este definit relaia funcional care reglementeaz asigurarea
conformitii informaiilor cu privire la asistarea utilizatorilor n realizarea
activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i
programelor derulate la nivelul celorlalte departamente funcionale din cadrul
organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din
dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i
posturile de execuie, ci numai relaia ierarhic ntre posturile de conducere situate
la niveluri ierarhice diferite din cadrul departamentului IT.
Definirea atribuiilor specifice s-a realizat de ctre Departamentul IT, iar
cuprinderea lor n cadrul ROF-ului s-a realizat la nivelul Departamentului de
resurse umane, fr a mai fi analizat, de ctre persoanele responsabile, elaborarea
coerent i corect a documentului de organizare i funcionare.
Persoanele din cadrul departamentului IT care au fost responsabilizate cu
elaborarea capitolului aferent din cadrul ROF-ului nu au dispus de cunotinele
necesare astfel nct s poat defini corect o atribuie i n acelai timp s
urmreasc ca acestea s asigure aria de competent a realizrii activitilor din
cadrul compartimentului.
Nu se asigur o arie de competen necesar i suficient pentru realizarea
activitilor i aciunilor.
Identificarea i definirea corect n cadrul documentului de organizare i
funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale pe care
compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
Supervizor,
Dumitru Daniel
Structur auditat
153
154
Procedura P10
ENTITATEA PUBLICA
LISTA DE VERIFICARE NR. 3

Data: 16.09.2009
Data: 16.09.2009
Obiectivul III.
OPERAII ALE SISTEMULUI INFORMATIC

Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
Da
Nu
Obs.
Managementul operaiunilor
Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de administratori
Verificai dac identificarea disfuncionalitilor se face conform manualelor de
X
operare
Verificai dac mesajele sunt analizate i interpretate n timpul rulrii aplicaiei,
X
pentru identificarea cauzelor care au condus la apariia disfuncionalitilor;
Verificai dac mesajele de eroare se abordeaz n conformitate cu manualul de
X
operare;
Verificai dac a fost identificat i analizat impactul potenial al producerii unor
X
evenimente necontrolate asupra continuitii activitii;
Informatizarea organizaiei ia n considerarea toate departamentele din cadrul
acesteia, precum i funciile acestora, nu doar departamentele unde se X
proceseaz datele;
Verificai dac este estimat timpul maxim de nefuncionare care poate fi
X
acceptat i costurile asociate acestuia;
Analizai dac sunt stabilite de ctre conducere prioritile pentru procesele
X
necesare a fi informatizate i de integrare a datelor i informaiilor;
Verificai dac elaborarea planului de continuitate a activitilor se realizeaz
X
prin elaborarea de scenarii de ameninri;
Analizai dac determinarea nevoilor critice se realizeaz pe baza evalurii
X
funciilor, proceselor i personalului din cadrul fiecrui departament funcional;
Verificai dac pentru fiecare departament sunt stabilite urmtoarele:
a) ce echipamente specializate sunt necesare i cum se utilizeaz;
b) cum va funciona departamentul dac serverul, accesul la reea (intranet)
i/sau Internet nu sunt disponibile;
X
c) necesarul de personal i de spaiu pentru locul unde se face recuperarea;
d) ce echipamente sunt necesare la locul unde se face recuperarea;
e) ce controale critice operaionale sau de securitate sunt necesare nainte de a
face recuperarea;
Verificai dac personalul este instruit cu privire la salvarea i stocarea datelor i
X
securitatea informaiei;
Operaiile sunt analizate avnd n vedere interdependena lor?
X
Se analizeaz impactul produs de funcionarea incorect a unei operaii asupra
X
ntregului sistem?
Analiza a inut cont de funciile desfurate n cadrul entitii: tehnice sau legate
X
de procese?
Verificai dac funciile tehnice asigur o utilizare eficient a echipamentelor
X
Test
nr.
3.1.
a) dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite
FIAP nr.
b) dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i
3.1.
distribuite n siguran i n timp util
155
c) dac procedurile de salvare i restaurare protejeaz n mod real datele i

aplicaiile sistemului informatic
d) dac procedurile de mentenana a echipamentelor sunt realizate corect i la
intervale de timp stabilite n funcie de specificul fiecrei componente
e) dac echipamentele hardware sunt asigurate corespunztor
f) dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt
raportate i documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
1.25.
1.26.
1.27
1.28.
1.29.
1.30.
1.31.
1.32.
1.33.
1.34.
1.35.
1.36.
1.37.
1.38.
1.39.
1.40.
1.41.
1.42.
1.43.
1.44.
1.45.
1.46.
1.47.
1.48.
1.49.
1.50.
1.51.
1.52.
Operaiile sunt realizate ntr-o manier eficient, n timp util i la intervale bine
stabilite?
Exist aplicaii de programare i executare automat a proceselor?
Se urmrete reducerea riscului ca un proces:
- s nu fie iniiat corespunztor;
- s nu se execute n timpul planificat;
- s mreasc intervalele de inactivitate
- s nu fie monitorizat din punct de vedere al modului i timpului de execuie?
Se asigur obinerea rapoartelor detaliate privind procesele derulate?
n cazul apariiei unor erori de funcionare, administratorul responsabil poate
localiza ct mai precis defeciunea?
Se pot elabora soluiile de remediere?
Se realizeaz monitorizarea operaiilor din punctul de vedere al resurselor
alocate i utilizate efectiv: procesoare, memorii, mod de salvare?
Se utilizeaz aplicaii n acest scop?
Sunt identificate procesele care utilizeaz o cantitate mai mare de resurse dect
cele care i sunt alocate?
n acest caz, se realizeaz redimensionri ale resurselor alocate?
Sunt identificate procesele care nu utilizeaz complet resursele disponibile?
n acest caz, se are n vedere o reducere a volumului resurselor alocate?
Datele obinute, situaiile de ieite, rapoartele sunt stocate i distribuite n
siguran i n timp util?
Procesele genereaz la sfritul execuie diferite tipuri de rapoarte?
Aceste rapoarte sunt stocate n liste de ateptare?
Aceste fiiere pot fi listate, copiate, mutate n vederea unor analize sau
prelucrri ulterioare?
Mediile sau locaiile de stocare sunt protejate mpotriva deteriorrii sau a
accesului neautorizat?
Procedurile de salvare i restaurare protejeaz n mod real datele i aplicaiile
din sistemul informatic?
Acestea sunt corect planificate?
Sunt executate conform politicilor i procedurilor de securitate stabilite?
Exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale
de cteva ore, pentru operaiile curente?
Procedurile de salvare executate la intervale mai mari de timp includ copii
complete ale sistemelor informatice: date, operaii, programe?
Procedurile de mentenan a echipamentelor sunt realizate corect i la intervale
de timp stabilite n funcie de specificul fiecrei componente?
Verificrile tehnice sunt realizate innd cont de recomandrile fabricantului?
Sunt realizate de personal autorizat / specializat?
Se respect condiiile de acordare a garaniei?
Echipamentele hardware sunt asigurate corespunztor?
Exist polie da asigurare ncheiate pentru toate tipurile de riscuri?
Au fost estimate costurile implicate de eventuale daune?
Problemele de ordin tehnic, aprute n cadrul proceselor sunt raportate i
documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor?
La nivelul entitii este constituit un departament specializat n raportarea i
rezolvarea problemelor tehnice (help-desk)?
Se acord suport tehnic utilizatorilor, prin linii telefonice dedicate, e-mail sau
deplasri ale echipelor specializate?
Problemele aprute sunt definite corect?
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
156
1.53.
1.54.
1.55.
1.56.
1.57.
1.58.
1.59.
1.60.
1.61.
1.62.
1.63.
1.64.
1.65.
1.66.
1.67.
1.68.
1.69.
1.70.
1.71.
1.72.
1.73.
1.74.
1.75.
1.76.
1.77.
1.78.
1.79.
1.80.
1.81.
1.82.
1.83.
1.84.
2.
2.1.
2.2.
2.3.
Definirea cuprinde urmtoarele:

- data apariiei
- etapele premergtoare
X
- modul de manifestare a problemei
- departamentul la care a aprut problema
- datele de identificare a persoanei de contact?
Pentru definirea ct mai precis a problemelor, se utilizeaz rapoartele generate
X
automat de ctre aplicaiile respective?
Se utilizeaz programe de monitorizare a sistemelor informatice?
X
Verificai dac funciile legate de procese asigur integrarea acestora?
Test
3.1.
a) dac datele de intrare sunt validate
FIAP
X
b) dac se verific integritatea i completitudinea datelor
3.1.
c) dac se analizeaz eficiena operaiilor
d) dac se monitorizeaz i se gestioneaz bazele de date
Se realizeaz validarea datelor de intrare?
X
Se realizeaz verificarea datelor introduse n sistemul informatic din punct de
X
vedere al tipurilor de date, al lungimii acestora?
Pentru coduri, se impun reguli de formare i validare a acestora?
X
Se utilizeaz proceduri automate de verificare a intrrilor?
X
Se realizeaz verificarea integritii i completitudinii datelor?
X
Se utilizeaz proceduri de verificare a modului n care datele sunt introduse sau
X
importate dintr-o alt aplicaie?
Este avut n vedere riscul ca anumite date s fie pierdute, modificate, cu ocazia
X
prelurii dintr-o alt aplicaie?
Se utilizeaz funcii de verificare prin totaluri, chei i algoritmi?
X
Se analizeaz eficiena operaiilor?
X
Se realizeaz o verificare a modului n care se realizeaz prelucrrile, se
X
implementeaz funciile i programele?
Se urmrete modul de iniiere a unor proceduri?
X
Se urmrete timpul de execuie?
X
Se utilizeaz programe care s automatizeze aceste prelucrri?
X
Se monitorizeaz i se gestioneaz bazele de date?
X
Se analizeaz modul n care se obin rapoartele i situaiile de ieire necesare
X
diferitelor niveluri de management?
Se procedeaz la replicarea anumitor date, n vederea obinerii unei mai mari
X
flexibiliti n interaciunea cu acestea?
Utilizatorii finali pot obine rapoarte diverse fr a afecta tranzaciile curente?
X
Utilizatorii finali pot obine datele necesare fr a dispune de cunotine de
X
specialitate?
Se acord suport utilizatorilor pentru aplicaiile existente?
X
Utilizatorii finali au cunotine aprofundate privind prelucrarea datelor?
X
Interfaa cu utilizatorul este prietenoas?
X
Aplicaiile pot fi utilizate uor?
X
Exist suport tehnic prin documente, sisteme de instruire, manuale, servicii puse
X
la dispoziie de ctre productorii aplicaiilor?
Se realizeaz administrarea aplicaiilor?
X
Administrarea aplicaiilor se realizeaz de ctre manageri sau persoane
autorizate, specializate, care au ca atribuii protejarea aplicaiilor mpotriva X
distrugerilor, a accesului neautorizat sau utilizri incorecte?
Administratorii asigur i suportul tehnic pentru utilizatorii finali?
X
Se realizeaz rapoarte periodice asupra modului n care sunt utilizate aplicaiile,
X
alocarea resurselor, realizarea proceselor din cadrul entitii?
Se realizeaz o analiz a automatizrii unor proceduri manuale, a modului n
care sunt obinute i analizate datele de ieire, a uurinei n utilizarea X
aplicaiilor?
Responsabilitatea pentru supravegherea sarcinilor pe seturi de programe revine administratorilor
Verificai dac utilizatorii sunt instruii pentru nsuirea modului de lucru cu X
aplicaia;
Verificai dac noutile aprute n aplicaie sunt comunicate utilizatorilor n X
timp adecvat;
Verificai dac instruirea se realizeaz n conformitate cu documentaia X
nr.
nr.
157
2.4.
2.5.
2.6.
2.7.
2.8.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
3.13.
3.14.
3.15.
3.16.
B.
1.
1.1.
1.2.
aplicaiei;
Verificai dac utilizatorii primesc asisten n rularea aplicaiilor ori de cte ori
au nevoie;
Verificai dac asistena tehnic este acordat n conformitate cu manualele de
utilizare;
Verificai dac responsabilitatea funcionarii fiecrui program este n sarcina
unui administrator;
Verificai dac exist o supraveghere permanent n cadrul sistemului asupra
derulrii unui program sau aplicaie;
Verificai dac sistemul integrat permite depistarea automat a nefuncionrii
unui program sau aplicaie;
Elaborarea planului anual de activitate
Verificai gradul de acoperire cu activiti care concur la realizarea planului
anual de activitate:
a) activiti identificate;
b) proceduri aferente realizrii activitilor
c) aprobarea procedurilor de ctre persoanele competente;
d) actualizarea sistematic a procedurilor;
e) respectarea principiul dublei semnturi;
f) stabilirea responsabilitilor persoanelor implicate n activitatea de
implementare a sistemului IT;
Examinai dac exist atribuii privind realizarea activitilor cuprinse n planul
anual de activitate n domeniul IT;
Analizai politica entitii publice n domeniul IT i stabilii dac asigur
atingerea obiectivelor entitii publice;
Verificai dac politica entitii publice n domeniul IT se reflect n planul
anual de activitate n domeniul IT;
Examinai dac managerii cu responsabiliti n monitorizarea implementrii
politicii IT, au fost consultai la elaborarea planului anual de activitate n
domeniul IT;
Analizai activitatea de actualizare a planului anual de activitate n domeniul IT;
Analizai dac la elaborarea planului anual de activitate n domeniul IT s-au
avut n vedere:
a) analiza sistemului de fundamentare a planului;
b) analiza corelrii planului anual de activitate cu planul strategic;
c) evaluarea sistemului de prioritizare a activitilor cuprinse n plan;
d) verificarea elaborrii i aprobrii planului anual
Verificai documentele oficiale prin care au fost desemnate persoanele
responsabile cu elaborarea i actualizarea planului;
Examinai dac responsabilitile sunt clar definite pentru realizarea activitilor
IT;
Analizai dac fiele posturilor pentru persoanele responsabile au fost
actualizate;
Identificai deciziile luate n vederea elaborrii i actualizrii planului i
analizai dac acestea sunt n conformitate cu activitile stabilite;
Examinai instrumentele utilizate pentru estimarea resurselor i termenelor
necesare pentru realizarea planului de activitate;
Verificai dac prin elaborarea planului de activitate au fost stabilite plafoane
bugetare pentru activitile ce trebuie realizate i procedurile ce vor fi aplicate n
cazul n care acestea sunt depite;
Verificai dac planul este aprobat de persoanele competente;
Analizai dac planul aprobat este n conformitate cu politicile entitii publice
n domeniul IT;
Analizai mpreun cu factorii responsabili de realizarea subsistemelor IT pentru
funciile principale din cadrul entitii publice dac exist departamente
importante pentru care nu s-au realizat subsisteme IT;
Managementul problemelor
Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s
specifice modul de configurare al programului antivirus;
Verificai dac exist proceduri pentru protecia mpotriva viruilor, care s
specifice modul de actualizare a programului;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
158
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10
1.11.
1.12.
1.13.
1.14.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
Verificai dac riscurile reprezentate de virui sunt limitate ca urmare a alegerii

celor mai potrivite soluii antivirus;
Verificai dac riscul de virusare al unui program sau aplicaie este redus ca
urmare a scanrii antivirus pe servere, staii de lucru sau pota electronic;
Verificai dac riscul de virusare este limitat urmare actualizrii constante a
programelor antivirus;
Verificai dac programul antivirus scaneaz automat memoria calculatoarelor,
fiierele, mediile de stocare;
Verificai dac programul antivirus scaneaz traficul de date, inclusiv e-mail i
internet, n procesul de de-virusare;
Verificai dac programul antivirus emite alerte atunci cnd detecteaz un virus;
Verificai dac sunt efectuate verificri regulate pentru a se asigura c
programul antivirus nu a fost dezactivat;
Verificai dac implementarea programelor anti-virus se realizeaz conform
procedurilor
a) instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor
de lucru
b) programul anti-virus verific staia de lucru la pornire
c) programul anti-virus monitorizeaz toate programele i aplicaiile active,
mesajele primite i verific automat actualizrile la intervale regulate
d) programul anti-virus se actualizeaz n reea, astfel nct s protejeze eficient
datele electronice mpotriva viruilor nou-aprui
Verificai dac sunt efectuate controale regulate pentru a se asigura c
configurarea programului de protecie este corect;
Verificai dac utilizatorii sunt avertizai cu privire la pericolul reprezentat de
virui;
Verificai dac utilizatorii sunt avertizai cu privire la apariia a noi tipuri de
virui;
Verificai dac utilizatorii sunt supravegheai permanent cu privire la utilizarea
calculatoarelor i pstrarea programelor sau aplicaiilor curate.
Analizai criteriile avute n vedere la elaborarea subsistemelor IT pentru
funciile principale;
Examinai eficiena programului pentru instruirea utilizatorilor n vederea
utilizrii programelor i aplicaiilor;
Examinai dac subsistemele IT acoper n totalitate nevoile pentru funciile
principale ale entitii publice;
Analizai dac nevoile de subsisteme IT pentru funciile nou-create au fost
acoperite;
Verificai dac departamentele nfiinate ca urmare a funciilor principale noucreate au fost solicitate s-i exprime cerinele specifice privind realizarea unor
subsisteme IT specifice activitii lor;
Analizai existena corelrii ntre termenele de realizare a subsistemelor;
Analizai procedurile pe baza crora se realizeaz subsistemele IT i stabilii
dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii
optime;
Stabilii dac exist studii de fezabilitate pentru subsistemele IT planificate.
Verificai dac au fost stabilite responsabiliti personalului de specialitate, pe
linia implementrii sistemului IT;
Comparai atribuiile cuprinse n fiele posturilor cu cele din procedurile privind
implementarea sistemului IT i evaluai completitudinea prelurii acestora;
Examinai cunoaterea reglementrilor specifice privind implementarea
sistemului IT de ctre responsabilii cu realizarea acestei activiti;
Verificai dac realizarea subsistemelor IT s-a realizat conform planificrilor;
Verificai dac subsistemele IT au fost realizate la termenele stabilite;
Examinai modul de alocare a resurselor necesare realizrii subsistemelor IT;
X
X
X
X
X
X
X
Identificai evoluiile tehnologice ce au determinat schimbarea programelor i
nr.
de
nr.
de
nr.
nr.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
2.15.
Test
3.2
Foaie
lucru
3.1.
List
control
3.1.
FIAP
3.2.
Test
nr.
3.3.
Interviu
nr. 3.1.
FIAP nr.
3.3
159
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
2.22.
2.23.
2.24.
2.25.
2.26.
2.27.
2.28.
2.29.
2.30.
2.31.
2.32.
2.33.
2.34.
2.35.
2.36.
2.37.
2.38.
2.39.
2.40.
2.41.
C.
1.
1.1.
aplicaiilor planificate a fi implementate;

Verificai activitatea de monitorizare a implementrii subsistemelor IT;
Verificai complementaritatea subsistemelor IT;
Verificai dac exist controale de sistem unitare implementate la nivelul
subsistemelor IT;
Verificai dac sunt implementate controale menite s analizeze datele introduse
n aplicaii;
Verificai dac exist controale efectuate pe parcursul procesrii datelor i dac
exist rapoarte produse n caz de nerealizare a procesrii;
Analizai dac nregistrrile privind controlul datelor rezultate n urma
procesrii asigur c aceste date sunt complete;
Analizai dac datele transferate din alte aplicaii sunt supuse unui proces
standard de validare;
Verificai dac sunt implementate controale care verific nregistrrile duble;
Verificai modul de autorizare electronic i/sau manual a tranzaciilor;
Verificai dac operaiile privind efectuarea tranzaciilor se realizeaz numai de
la computere definite n prealabil;
Examinai dac modul de arhivare a nregistrrilor se face astfel nct s permit
urmrirea tranzaciilor efectuate din faza de iniiere pn la finalizarea lor;
Verificai modul de raportare a schimbrilor operate la nivelul datelor salvate;
Examinai dac utilizatorii neleg controalele implementate;
Verificai funcionalitatea subsistemelor IT n reea;
Verificai respectarea procedurilor privind transmiterea datelor n reea;
Analizai dac subsistemele componente programelor asigur integrarea
acestora;
Analizai modul de soluionare a neconcordanelor aprute n integrarea
subsistemelor;
Examinai dac sunt elaborate manualele de utilizare i manualele de operare;
Analizai dac manualele de utilizare i de operare sunt comprehensive i
corespund nevoilor utilizatorilor;
Verificai existena programelor de instruire a utilizatorilor subsistemelor IT;
Verificai existena controalelor asupra datelor introduse n aplicaii;
Verificai existena controalelor pe parcursul procesrii datelor i generarea
rapoartelor privind erorile de procesare;
Verificai existena controalelor asupra datelor rezultate n urma procesrii,
astfel nct s se asigure c acestea sunt complete;
Verificai dac subsistemele IT realizate respect cerinele stabilite prin politica,
procedurile i studiile de fezabilitate ntocmite;
Verificai dac subsistemele IT au fost realizate la termenele stabilite;
Verificai dac resurselor necesare realizrii subsistemelor IT au fost alocate
conform planului anual de activitate;
Este analizat modul de rezolvare i prevenire a incidentelor care afecteaz
funcionarea normal a serviciilor IT ale entitii publice?
Managementul problemelor asigur corectarea erorilor, prevenind reapariia
acestora?
Se folosete ntreinerea preventiv pentru reducerea probabilitii ca aceste
erori s mai apar?
Atunci cnd o problem nu poate fi rezolvat de prima linie de asisten, aceasta
este direcionat ctre ajutorul din linia a doua?
Se au n vedere urmtoarele cinci faze de baz:
1. iniierea raportarea problemei
2. planificarea definirea problemei i conceperea unui plan de atac
3. execuia desfurarea planului de atac, adunarea de date, urmrirea
problemei, cercetarea tehnic, codarea i testarea ulterioar
4. monitorizarea i analiza monitorizarea i confirmare rezultatelor de ctre
utilizatorii finali
5. ncheierea documentarea problemei i a aciunilor de corecie.
Funcionalitatea departamentului IT
Analizai dac departamentul IT este subordonat unui nivel managerial
corespunztor;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
160
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
1.25.
1.26.
1.27.
1.28.
1.29.
1.30.
1.31.
Comparai atribuiile cuprinse n fiele posturilor cu cele din proceduri i

evaluai completitudinea acestora;
Verificai dac organigrama departamentului IT corespunde organizrii actuale
a departamentului;
Verificai dac organigrama definete nivelurile ierarhice din cadrul
departamentului;
Verificai dac organigrama definete relaiile organizatorice dintre
compartimentele funcionale ale departamentului IT;
Verificai dac organigrama stabilete numrul de posturi pentru fiecare
compartiment funcional al departamentului IT;
Verificai dac numrul de posturi existent n cadrul departamentului IT asigur
realizarea activitilor i atribuiilor;
Analizai dac atribuiile departamentului sunt definite corect i n totalitate n
cadrul ROF-ului;
Verificai dac activitile sunt repartizate corect n cadrul compartimentelor, n
funcie de atribuiile alocate;
Verificai dac sarcinile stabilite prin fiele posturilor asigur realizarea n
totalitate a activitilor;
Verificai dac atribuiile sunt repartizate omogen pe compartimente, asigurnd
funcionalitatea acestora;
Analizai gradul de ocupare a posturilor n cadrul departamentului IT;
Analizai modul n care se asigur continuitatea activitilor n funcie de
pregtirea salariailor i vechimea n munc;
Analizai dotarea departamentului cu echipamente hard i soft adecvate pentru
desfurarea activitilor specifice, astfel:
a) numr suficient de calculatoare dotate corespunztor;
b) numr suficient de servere
c) numr suficient de echipamente auxiliare (imprimante, xerox-uri, scanere,
conexiuni la intranet/Internet)
d) programe IT adecvate
Verificai dac fiele posturilor stabilesc responsabiliti pentru toate activitile
desfurate;
Verificai dac actualizarea fielor posturilor se realizeaz periodic n funcie de
modificarea activitilor sau sarcinilor posturilor;
Analizai dac pregtirea i calificarea salariailor departamentului IT asigur
funcionalitatea programelor, aplicaiilor, echipamentelor i dezvoltarea
informaional a entitii;
Analizai dac planurile de pregtire profesional continu asigur dezvoltarea
cunotinelor i aptitudinilor personalului;
Verificai dac se realizeaz evaluarea performanelor personalului
departamentului IT;
Verificai dac exist concordan ntre rapoartele de evaluare i programele de
instruire la nivel individual;
Verificai dac evaluarea performanelor asigur corectitudinea aprecierii
realizrii obiectivelor individuale;
Verificai dac criteriile de performan sunt stabilite corect n funcie de gradul
de ndeplinire a obiectivelor;
Verificai dac evaluarea performanelor personalului contribuie la dezvoltarea
profesional a acestuia;
Verificai dac obiectivele individuale sunt stabilite corect n conformitate cu
sarcinile atribuite postului;
Analizai dac aciunile necesare pentru realizarea obiectivelor individuale i
realizate efectiv pentru implementarea acestora corespund n totalitate cu
aciunile repartizate postului potrivit fiei postului;
Verificai dac exist o politic unitar privind gestionarea riscurilor;
Verificai dac exista un sistem de gestionare a riscurilor;
Analizai dac este desemnat un responsabil privind gestionarea riscurilor la
nivelul departamentului IT;
Verificai existena Registrului riscurilor la nivelul Departamentului IT i modul
de conducere al acestuia;
Verificai dac sunt stabilite responsabiliti pentru actualizarea procedurilor de
lucru i instruciunilor privind derularea programelor i aplicaiilor;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
161
1.32.
1.33.
1.34.
1.35.
1.36.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21
D.
1.
1.1.
1.2.
1.3.
1.4.
Verificai condiiile i criteriile privind delegarea sarcinilor i atribuiilor;

Analizai sistemul de control managerial exercitat la nivelul departamentului;
Examinai dac fiele posturilor stabilesc corect nivelul postului i
complexitatea activitilor;
Verificai dac nivelul de cunotine i deprinderi al ocupantului postului
corespunde necesitilor i nivelului postului;
Verificarea dac se respecta principiul segregrii atribuiilor n realizarea
sarcinilor i activitilor.
Asigurarea caracterului secret al datelor
Verificai dac aplicaiile respect schemele privind nivele de secretizare n
conformitate cu standardele organizaiei;
Verificai dac schema de secretizare a datelor este utilizat pentru determinarea
nivelelor diferite de importan a sistemelor sau informaiilor;
Verificai dac schema de secretizare a datelor este utilizat pentru determinarea
nivelelor diferite de sensibilitate a informaiilor sau sistemelor;
Verificai dac secretizarea informaiilor ia n considerare impactul pierderii
confidenialitii, integritii sau disponibilitilor informaiei asupra activitii;
Verificai dac secretizarea se aplic informaiilor, sistemelor sau aplicaiilor i
programelor;
Verificai dac secretizarea informaiei include identitatea persoanelor cu
responsabiliti primare;
Verificai dac secretizarea informaiei este aprobat de emitentul informaiei;
Verificai dac performana sistemelor este monitorizat comparativ cu intele
stabilite;
Verificai dac performana sistemelor este monitorizat utiliznd programe de
monitorizare automat;
Verificai dac disponibilitatea sistemelor este apreciat din punctul de vedere al
utilizatorilor activitii
Verificai dac monitorizarea sistemelor se concentreaz pe punctele
vulnerabile;
Verificai dac mecanismele de detectare asigur semnalizarea atacurilor
informatice;
Verificai dac mecanismele de detectare includ un proces de actualizare a
programelor utilizate n acest scop;
Verificai dac mecanismele de detectare emit alerte cnd se nregistreaz
activiti suspecte;
Verificai dac rapoartele obinute n urma procesrilor sunt verificate pentru a
descoperi orice utilizare neobinuit a sistemelor;
Verificai dac sunt nregistrate toate evenimentele cheie n cadrul unui sistem;
Verificai dac conducerea IT autorizeaz nregistrarea activitilor i revizuirea
proceselor care urmeaz a fi aplicate;
Verificai dac nregistrrile conin date referitoare la oprirea/pornirea
sistemelor i proceselor cheie, situaiile de eroare sau de excepie, acces sau
schimbri ale fiierelor sau programelor;
Verificai dac informaiile nregistrate identific programele speciale i
informaiile accesate, data accesrii, cile de acces, schimbarea parametrilor de
nregistrare n sistem;
Verificai dac nregistrrile sunt pstrate suficient timp respectnd cerinele
utilizatorilor i pentru a putea fi revizuite;
Verificai dac revizuirea nregistrrilor este fundamentat pe o evaluare a
impactului unor evenimente asupra activitilor i este realizat cu instrumente
automate;
Mentenana echipamentelor
ntreinerea calculatorului i a echipamentelor
Verificai dac operaiunile de mentenan se efectueaz conform planificrii,
folosindu-se procedurile standard de testare;
Verificai dac disfuncionalitile hardware sunt identificate corect i n timp
util;
Verificai dac disfunciunile identificate sunt analizate i nlturate n
conformitate cu instruciunile i manualele de ntreinere;
Verificai dac produsele software sunt instalate i configurate conform
documentaiilor i indicaiilor furnizorilor;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
162
1.5.
1.6.
1.7.
1.8.
1.9.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
D.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20
1.21.
1.22
Analizai dac funcionarea sistemului de operare este verificat periodic

utiliznd instrumente de testare specializate;
Analizai dac funcionarea aplicaiilor este verificat periodic,
Verificai dac parametrii referitori la starea de funcionare urmare aplicrii
procedurilor de testare specializate sunt nregistrai n jurnale;
Verificai dac neconformitile sunt analizate i readuse la valorile normale;
Verificai dac corecia erorilor se realizeaz n limita competenelor
Instalarea i configurarea calculatorului
Verificai dac sursele de alimentare sunt alese i verificate n conformitate cu
cerinele tehnice;
Verificai dac echipamentele periferice sunt instalate i conectate conform
documentaiei;
Verificai dac instalarea respect condiiile de calitate i eficien din manuale
i instruciuni;
Verificai dac conectarea n reea respect standardele n vigoare,
Verificai dac sistemul de operare, componentele software, componentele de
acces n reea sunt instalate i configurate corect;
Verificai dac partajarea resurselor se face verificnd tipul de acces permis
utilizatorilor;
Verificai dac funcionarea aplicaiilor este testat periodic;
Utilizarea echipamentelor
Realizarea eficient a operaiilor n cadrul departamentului IT
Verificai dac este analizat impactul produs de funcionarea incorect a unei
operaii asupra ntregului sistem;
Verificai dac analiza a inut cont de funciile desfurate n cadrul sistemului;
Verificai dac operaiile IT sunt realizate ntr-o manier eficient, n timp util i
la intervale bine stabilite?
Verificai dac procesele IT sunt iniiate corespunztor;
Verificai dac procesele IT se execut n timpul planificat;
Verificai dac procesele IT sunt monitorizate din punct de vedere al modului i
timpului de execuie;
Verificai dac se asigur generarea rapoartelor detaliate privind procesele
derulate;
Verificai dac n cazul apariiei unor erori de funcionare, administratorul
responsabil le poate localiza ct mai precis;
Verificai dac se realizeaz monitorizarea operaiilor din punctul de vedere al
resurselor alocate i utilizate: procesoare, memorii, mod de salvare;
Verificai dac sunt identificate procesele care utilizeaz o cantitate mai mare de
resurse i dac acestea sunt redimensionate;
Verificai dac datele obinute, situaiile de ieire, rapoartele sunt stocate i
distribuite n siguran i n timp util;
Verificai dac procesele genereaz la sfritul execuiei diferite tipuri de
rapoarte;
Verificai dac rapoartele generate sunt stocate n liste de ateptare;
Verificai dac mediile sau locaiile de stocare sunt protejate mpotriva
deteriorrii sau a accesului neautorizat;
Verificai dac procedurile de mentenan a echipamentelor sunt realizate corect
i la intervale de timp stabilite n funcie de specificul fiecrei componente;
Examinai dac verificrile tehnice sunt realizate innd cont de recomandrile
productorului;
Examinai dac verificrile tehnice sunt realizate de personal autorizat /
specializat;
Verificai dac echipamentele hardware sunt asigurate corespunztor;
Verificai dac problemele de ordin tehnic, aprute n cadrul proceselor sunt
raportate i documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere;
Verificai dac se acord suport tehnic utilizatorilor, inclusiv prin deplasri ale
echipelor specializate;
Verificai dac problemele aprute sunt definite prin specificarea datei apariiei
problemei, modul de manifestare al problemei, departamentul unde a aprut
problema;
Verificai dac pentru identificarea ct mai precis a problemelor, se utilizeaz
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
163
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
3.
3.1.
3.2.
3.3.
3.4.
3.4.
.
rapoartele generate automat de ctre aplicaiile respective;

Administrarea eficient a aplicaiilor i programelor
Verificai dac se realizeaz validarea datelor de intrare;
Examinai dac se realizeaz verificarea datelor introduse n sistemul informatic
din punct de vedere al tipurilor de date, al dimensiunii acestora;
Verificai dac pentru coduri, se impun reguli de creare i validare a acestora;
Examinai dac se utilizeaz proceduri automate de verificare a datelor de
intrare;
Examinai dac se utilizeaz proceduri de verificare a modului n care datele
sunt introduse sau importate dintr-o alt aplicaie;
Verificai dac este avut n vedere riscul ca anumite date s fie pierdute,
modificate, cu ocazia prelurii dintr-o alt aplicaie;
Verificai dac se utilizeaz funcii de verificare prin totaluri, chei i algoritmi;
Examinai dac se realizeaz o verificare a modului n care se efectueaz
prelucrrile, se implementeaz funciile i programele;
Verificai dac se monitorizeaz i se gestioneaz bazele de date;
Verificai dac se analizeaz modul n care se obin rapoartele i situaiile de
ieire necesare diferitelor niveluri de management;
Verificai dac utilizatorii finali pot obine rapoarte diverse fr a afecta
tranzaciile curente;
Verificai dac se acord suport tehnic utilizatorilor pentru aplicaiile existente;
Verificai dac utilizatorii finali au cunotine aprofundate privind prelucrarea
datelor;
Verificai dac interfaa cu utilizatorul este prietenoas;
Verificai dac aplicaiile pot fi utilizate uor;
Verificai dac exist suport tehnic prin documente, sisteme de instruire,
manuale, servicii puse la dispoziie de ctre productorii aplicaiilor;
Verificai dac se realizeaz administrarea aplicaiilor;
Verificai dac administrarea aplicaiilor se realizeaz de ctre administratori
autorizai, care au ca atribuii protejarea aplicaiilor mpotriva distrugerilor, a
accesului neautorizat sau utilizrii incorecte;
Verificai dac administratorii asigur i suportul tehnic pentru utilizatorii finali;
Verificai dac se realizeaz rapoarte periodice asupra modului n care sunt
utilizate aplicaiile, alocarea resurselor, realizarea proceselor din cadrul entitii;
Verificai dac se realizeaz o analiz a automatizrii unor proceduri manuale, a
modului n care sunt obinute i analizate datele de ieire, a uurinei n
utilizarea aplicaiilor;
Verificai dac este analizat modul de rezolvare i prevenire a incidentelor care
afecteaz funcionarea normal a serviciilor IT;
Verificai dac msurile de corectare a erorilor asigur prevenirea reapariiei
acestora;
Verificai dac este utilizat controlul preventiv pentru reducerea probabilitii ca
erorile soluionate s mai apar;
Verificai dac utilizarea unei aplicaii asigur:
a) controlul datelor introduse n aplicaii
b) controlul pe parcursul procesrii datelor i rapoartelor produse n caz de
nerealizare a procesrii
c) controlul datelor rezultate n urma procesrii, astfel nct s se asigure c
aceste date sunt complete
d) validarea datelor transferate din alte aplicaii
e) controalelor verific nregistrrile duble
f) autorizarea electronic i/sau manual a tranzaciilor
g) efectuarea tranzaciilor numai de la computere definite n prealabil
h) pstrarea integral a nregistrrilor astfel nct s se poat urmri tranzaciile
efectuate din faza de iniiere pn la finalizarea lor
nelegerea controalelor implementate de ctre utilizatori
Verificai dac soluionarea unei probleme are n vedere urmtoarele etape:
a) raportarea problemei;
b) definirea problemei i conceperea unui plan de atac;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Test
3.4.
Foaie
lucru
3.2.
List
control
3.2.
nr.
de
nr.
de
nr.
164
3.5.
c) desfurarea planului de atac, adunarea de date, urmrirea problemei,

cercetarea tehnic, codarea i testarea ulterioar;
d) monitorizarea i confirmare rezultatelor de ctre utilizatorii finali;
e) documentarea problemei i a aciunilor de corecie.
Verificai dac procedurile de salvare sunt executate la intervale optime i
includ copii complete ale sistemelor informatice: date, operaii, programe;
Auditori,
Popescu Sorin
Radu George
165
Procedura - P08: Colectarea dovezilor

ENTITATEA PUBLIC
TEST NR. 3.1
Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Data: 16.09.2009
Data: 16.09.2009
Performana, capacitatea i disponibilitatea sistemelor informatice este monitorizat de

administratorii de reea
Controlul operaiilor realizate de sistemele informatice.
Echipa de auditori a procedat la controlul operaiilor realizate de sistemele informatice,
analiznd modul n care sunt procesate datele, realizate tranzaciile i executate funciile
aplicaiilor, pentru a implementa corect procesele desfurate n cadrul entitii.
ntruct aceste operaii sunt interdependente, auditorii nu au analizat separat fiecare funcie,
ci au considerat procesele desfurate n cadrul entitii ca un tot unitar.
Pentru a crete eficiena analizei operaiilor, auditorii le-au mprit n dou categorii: funcii
tehnice i funcii legate de procese.
Testarea a urmrit urmtoarele aspecte, stabilite n Lista de verificare 3:
A. funcii tehnice:
1. - dac operaiile sunt realizate eficient, n timp util i la intervale bine
stabilite;
2. - dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate
i distribuite n siguran i n timp util;
3. - dac procedurile de salvare i restaurare protejeaz n mod real datele i
aplicaiile sistemului informatic
4. - dac procedurile de mentenan a echipamentelor sunt realizate corect i
la intervale de timp stabilite n funcie de specificul fiecrei componente;
5. - dac echipamentele hardware sunt asigurate corespunztor;
6. - dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt
raportate i documentate corespunztor, astfel nct s se poat elabora
soluiile corespunztoare de remediere a problemelor.
B. funcii legate de procese:
7. - dac datele de intrare sunt validate;
8. - dac se verific integritatea i completitudinea datelor
9. - dac se analizeaz eficiena operaiilor
10. - dac se monitorizeaz i se gestioneaz bazele de date.
Testul s-a materializat n verificarea pe teren a implementrii controlului privind
operaiunile sistemelor informatice.
n urma analizei modului de implementare a controlului privind operaiunile sistemelor
informatice, echipa de auditori a constatat urmtoarele:
1. - dac operaiile sunt realizate eficient, n timp util i la intervale bine stabilite;
Echipa de auditori a constatat c la nivelul entitii se utilizeaz aplicaii de programare i
executare automat a proceselor. Acestea reduc riscul ca un proces s nu fie iniiat
corespunztor, s nu se execute n timpul planificat, reduce la minim intervalele de
inactivitate, iar fiecare proces poate fi monitorizat din punct de vedere al modului i al
timpului de execuie.
Aplicaiile de planificare automat genereaz rapoarte detaliate despre procesele derulate, iar
n cazul apariiei unor erori de funcionare, permit administratorului responsabil s
localizeze ct mai precis defeciunea i s elaboreze soluii de remediere.
166
n urma analizei modului de alocare i utilizare efectiv a resurselor (procesoare, memorie,

spaiu ocupat pe hard-disk, mod de salvare etc.), echipa de auditori a constatat c nu au fost
realizat o monitorizare corespunztoare a operaiilor desfurate, care s in cont alocarea
resurselor.
n acest sens, a fost constatat faptul c procesoarele i memoriile de lucru ale calculatoarelor
din cadrul departamentului IT, pe care sunt instalate programele antivirus i care asigur o
supraveghere permanent a reelelor, sunt mai lente dect componentele similare aflate n
configuraiile calculatoarelor din cadrul Direciei Generale de Investiii, Achiziii Publice i
Servicii Interne.
De asemenea, s-a constatat c hard-disk-urile din configuraiile acelorai calculatoare, de la
nivelul Direciei Generale de Investiii, Achiziii Publice i Servicii Interne, dispun de
capaciti excedentare, n majoritatea cazurilor fiind ocupate n procent de maxim 10-15%.
2. - dac datele obinute, situaiile de ieire, rapoartele generate sunt stocate i
distribuite n siguran i n timp util;
Echipa de auditori a constatat c majoritatea proceselor genereaz la terminarea execuiei
diferite tipuri de fiiere. De cele mai multe ori, aceste fiiere sunt stocate ntr-o list de
ateptare, putnd fi copiate, mutate n vederea unor analize sau prelucrri ulterioare.
Echipa de auditori a observat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele
nefiind restricionat.
3. - dac procedurile de salvare i restaurare protejeaz n mod real datele i
aplicaiile sistemului informatic.
Echipa de auditori a constatat c procedurile de salvare sunt corect planificate i sunt
executate conform politicilor i procedurilor de securitate stabilite. n plus, s-a constat faptul
c exist proceduri de creare a copiilor de siguran realizate zilnic sau la intervale de cteva
ore, pentru operaiunile curente, i proceduri de salvare executate la intervale mai mari de
timp, care includ copii complete ale sistemelor informatice: date, operaiuni, programe.
4. - dac procedurile de mentenan a echipamentelor sunt realizate corect i la
intervale de timp stabilite n funcie de specificul fiecrei componente;
Echipa de auditori analizat procedurile de mentenan privind sistemele IT.
n acest sens, au fost inventariate interveniile efectuate asupra computerelor i
imprimantelor/copiatoarelor aflate n cadrul Biroului Multiplicare, din cadrul Serviciului
Administrativ i Gospodrirea Patrimoniului.
Astfel, s-a constatat c 3 din cele 7 imprimante care deserveau necesitile biroului foloseau
consumabile compatibile sau care au fost rencrcate, fapt ce a condus la o calitate mai slab
a printrilor, dar i la pierderea garaniei oferit de furnizor.
De asemenea, s-a constatat c dou din cele 6 computere din cadrul aceluiai birou se blocau
n cazul efecturii unor operaiuni mai complexe. Acest fapt se datoreaz faptului c sursele
de alimentare iniiale s-au defectat i au fost nlocuite cu unele asemntoare ca design, dar
care nu ofereau suficient energie pentru prelucrrile mai complexe. ntruct aceste surse nu
respectau specificaiile fabricantului, a fost pierdut garania respectivelor echipamente.
n cazul multiplicatoarelor de mare capacitate, s-a constatat c n 2 din 3 cazuri, a fost
depit termenul la care trebuia efectuat inspecia tehnic periodic, fapt ce a condus la o
uzur mai pronunat a acestora, dar i la ieirea mai rapid din garanie.
Au fost constatate 2 computere care aveau sigiliile furnizorului rupte, fapt ce denot
intervenii ale personalului neautorizat. i aceste aspecte au condus la pierderea garaniei.
5. - dac echipamentele hardware sunt asigurate corespunztor;
Echipa de auditori a constatat c pentru echipamentele hardware nu au fost ncheiate polie
de asigurare, care s acopere diferitele tipuri de riscuri i costurile implicate de eventuale
daune.
6. - dac toate problemele de ordin tehnic aprute n cadrul proceselor, sunt raportate
i documentate corespunztor, astfel nct s se poat elabora soluiile
corespunztoare de remediere a problemelor.
Analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute
n cadrul proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale
din partea personalului specializat din cadrul departamentului IT al entitii, urmrindu-se
strict remedierea respectivelor probleme i fr a se avea n vedere etapele premergtoare
apariiei problemei, cauzele i modul de propagare etc.
167
Concluzii
Auditor intern,
Radu George
B. funcii legate de procese:

Echipa de auditori a constatat c la nivelul entitii au fost realizate verificri ale
datelor introduse n sistemul informatic din punct de vedere al tipurilor de date, al lungimii
acestora, iar pentru coduri au fost utilizate reguli speciale de creare i validare a acestora. De
asemenea, se folosesc proceduri automate de verificare a intrrilor.
Echipa de auditori a verificat existena unor proceduri de verificare a modului n
care datele au fost introduse sau importate dintr-o aplicaie n alta. n aceste situaii, anumite
nregistrri se pot pierde sau datele pot fi modificate, ducnd la apariia unor probleme n
prelucrare. Aceste aspecte au fcut obiectul FIAP-ului de la testul nr. 6.
Recomandare:
Utilizarea unor funcii de verificare prin totaluri, chei i algoritmi.
Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii
funciilor i programelor, asupra modului de iniiere a unor proceduri sau a timpului de
execuie, echipa de auditori a constatat c o anumit parte din aceste verificri se realizeaz
manual.
n urma analizei modului de monitorizare i gestionare a bazelor de date, echipa de auditori
a concluzionat c rapoartele i situaiile de ieire ofer suficiente informaii managementului
n vederea lurii deciziilor corecte.
n urma deficienelor constatate cu ocazia testrii operaiunilor efectuate de sistemele
informatice, s-a ntocmit FIAP-ul nr. 3.1.
Supervizor,
Dumitru Daniel
168
Procedura - P08:
Entitatea Public
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 3.1

PROBLEMA
CONSTATRI
CAUZE
Data: 15.09.2009
Data: 15.09.2009
Existena unor controale interne slabe privind managementul operaiunilor IT,

reflectate n disfuncii legate de gestionarea acestora.
Echipa de auditori a constatat urmtoarele:
1. n urma analizei modului de alocare i utilizare efectiv a resurselor IT
disponibile, echipa de auditori a constatat c unele departamente dispun de resurse
insuficiente (departamentul IT), n timp ce altele dispun de resurse excedentare
(Direcia General de Investiii, Achiziii Publice i Servicii Interne), fiind
utilizate n proporie de max. 10-15%.
2. Echipa de auditori a constatat c listele generate n urma prelucrrilor
pe un anumit computer puteau fi vizualizate i modificate de pe toate celelalte
computere din reea, accesul la ele nefiind restricionat.
4. n urma inventarierii interveniilor efectuate asupra computerelor i
imprimantelor/copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c
procedurile privind mentenana nu au fost realizate cu respectarea specificaiilor
productorului, de ctre personal autorizat, fapt ce a condus, n majoritatea
cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor
respective.
6. Analiznd modul de soluionare a unui numr de 6 probleme de ordin
tehnic aprute n cadrul proceselor, echipa de auditori a constatat c au fost
efectuate intervenii punctuale din partea personalului specializat din cadrul
departamentului IT al entitii, urmrindu-se strict remedierea respectivelor
probleme i fr a se avea n vedere etapele premergtoare apariiei problemei,
cauzele i modul de propagare etc.
Analiznd modul de efectuare a verificrilor asupra prelucrrilor,
implementrii funciilor i programelor, asupra modului de iniiere a unor
proceduri sau a timpului de execuie, echipa de auditori a constatat c o anumit
parte din aceste verificri se realizeaz manual.
1. Lipsa unei imagini de ansamblu asupra alocrii i utilizrii efective a
resurselor de IT.
2. Lipsa proteciilor i a restricionrii accesului la rezultatele
prelucrrilor.
4. Alocarea de fonduri insuficiente pentru achiziia de consumabile
originale.
De asemenea, anumite probleme tehnice au trebuit soluionate n regim de urgen,
fapt ce a fost realizat prin utilizarea unor componente luate de pe alte sisteme
nefuncionale, fr a avea n vedere respectarea n totalitate a cerinelor
productorului.
6. Datorit insuficienei personalului de specialitate, anumite intervenii
tehnice s-au limitat doar la remedierea problemelor punctuale, fr a avea n
169
vedere etapele premergtoare, cauzele, i modul de propagare ale acestora.

Neconstituirea la nivelul departamentului IT a unui colectiv nsrcinat cu
raportarea i soluionarea rapid a problemelor de ordin tehnic (Help-desk).
Lipsa utilizrii programelor de monitorizare a sistemelor informatice.
9. Neutilizarea unor programe care s automatizeze ntr-un grad ct mai
mare verificrile efectuate asupra operaiile informatice.
Anumite procese de importan vital dispun de resurse insuficiente, n timp ce
CONSECINE
anumite resurse nu sunt complet utilizate.
Vulnerabilitate ridicat a rezultatelor prelucrrilor.
Calitate sczut a rezultatelor prelucrrilor.
Pierderea garaniilor pentru anumite echipamente. Uzura mai rapid a acestora.
nlturarea doar a consecinelor anumitor probleme de ordin tehnic, nu i a
cauzelor.
Verificarea manual a operaiunilor informatice prezint un risc mai mare de
nedetectare a problemelor, dect verificarea automatizat.
RECOMANDRI Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor
n funcie de gradul de complexitate al operaiilor efectuate. Urmrirea n
permanen a echilibrului ntre necesitile IT i resursele alocate acestor scopuri.
Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului
neautorizat.
Procedurile de mentenan a echipamentelor s fie realizate corect i la intervale
de timp stabilite n funcie de specificul fiecrei componente, numai de ctre
personal autorizat n acest sens.
Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea
i rezolvarea operativ a problemelor de ordin tehnic (Help Desk), care s asigure
i acordarea suportului tehnic de specialitate ctre utilizatori, fie prin linii
telefonice dedicate, fie prin e-mail sau deplasri ale echipelor specializate.
De asemenea, s se aib n vedere definirea corect a problemelor: data apariiei,
frecvena, etapele premergtoare, modul de manifestare, datele de identificare ale
persoanelor de contact etc.
n acelai scop pot fi utilizate i raportrile generate automat sau se pot utiliza
programe de monitorizare a sistemelor informatice.
Elaborarea i implementarea unor programe care s automatizeze pe ct posibil
verificrile efectuate asupra operaiilor informatice.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Structur auditat
170

ENTITATEA PUBLIC
TEST nr. 3.2.
ntocmit: Popescu Sorin / Radu George
Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009

Analiza programelor anti-virus
Populaia statistic testat a fost constituit din totalul calculatoarelor personale
utilizate la nivelul entitii publice, adic 250 de computere.
Eantionul pentru realizarea testrii programelor anti-virus a fost stabilit pe
baza unui procent de 2%, din totalul populaiei de 250 de calculatoare, respectiv 5
calculatoare personale, eantionarea utilizat a fost la ntmplare, conform Foii de
lucru nr.
Testrile au constat n verificarea implementrii programelor anti-virus conform
procedurilor:
- instalarea unui program anti-virus adecvat necesitilor utilizatorilor
staiilor de lucru;
- programul anti-virus s verifice staia de lucru la pornire;
- programul anti-virus s monitorizeze toate programele i aplicaiile active,
mesajele primite i s verifice automat actualizrile la intervale regulate
(zilnic);
- programul anti-virus s se actualizeze n reea, astfel nct s protejeze
eficient datele electronice mpotriva viruilor nou-aprui.
O politic adecvat de securitate IT trebuie s prevad instalarea unui program
anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s
monitorizeze toate programele de aplicaii active, mesajele primite i s verifice
automat actualizrile la intervale regulate (poate chiar zilnic).
Din analiza echipamentelor de calcul selectate n eantion cu privire la modul n
care programele i aplicaiile coninute de acestea sunt protejate mpotriva atacurilor
din reea i din afara reelei, s-a constatat c:
- n cazul a 2 calculatoare din cadrul entitii publice, configuraia programului antivirus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea
e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea
conductorului departamentului, deoarece se considera c programul anti-virus are un
efect negativ asupra performanei sistemului;
Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi
prezena viruilor i am constatat c acestea erau infectate cu virui.
Programele anti-virus nu sunt utilizate conform instruciunilor i licenelor.
Auditor,
Radu George
Supervizor,
Dumitru Daniel
171

ENTITATEA PUBLIC
FOAIE DE LUCRU NR. 3.1.

Obiectiv: Protejarea anti-virus a sistemelor informatice
Testarea se va realiza pe un eantion care a fost constituit astfel:
- populaia total este de 250 calculatoare personale;
- eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale;
- pasul de selecie va fi 250 : 5 = 50;
- eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se
conecteaz la reeaua entitii publice la poziiile:
11, 61, 111, 161, 211,
conform celor prezentate n Lista de control anexat la Testul nr. 4.6.:
- eantionul constituit va fi verificat integral;
- n urma verificrii se va ntocmi un test.
Auditor,
Radu George
Supervizor,
Dumitru Daniel
172

ENTITATEA PUBLICA
Lista control nr. 3.1.

privind Programele anti-virus
Elemente Verificarea implementrii programelor anti-virus conform procedurilor
testate
Programul
Instalarea unui program
monitorizeaz
Programul anti-virus s
programele i
anti-virus
adecvat
verific staia de lucru la
necesitilor utilizatorilor
active, mesajele
pornire
verific
staiilor de lucru
actualizrile la
Eantion
regulate (zilnic)
Computer
aflat
la X
X
X
poziia 11
Computer
aflat
la X
X
X
poziia 61
Computer
aflat
la FIAP
poziia 111
Computer
aflat
la FIAP
poziia 161
Computer
aflat
la NU
poziia 211
Auditor,
Radu George
anti-virus
Verificarea
Programul anti-virus se Monitorizarea
toate
a sistemului
de
actualizeaz n reea, astfel sistematic
aplicaiile
actualizare
a
nct s protejeze eficient funcionalitii
primite i
anti- programelor antidatele
electronice programelor
automat
virus
mpotriva viruilor nou- virus
intervale
aprui
X
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
Supervizor,
Dumitru Daniel
173

ENTITATEA PUBLICA

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor,
Radu George
Data: 16.09.2009
Data: 16.09.2009
Neaplicarea n mod unitar a politicii de securitate IT a condus la infectarea

cu virui a unor staii de lucru din sistemul IT al entitii publice.
O politic adecvat de securitate IT trebuie s prevad instalarea unui
program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la
pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i
s verifice automat actualizrile la intervale regulate (poate chiar zilnic).
Echipa de auditori a verificat 5 de staii de lucru, selectate n mod aleator,
din cadrul tuturor departamentelor i a constatat urmtoarele:
- n 2 departamente din cadrul entitii publice configuraia programului anti-virus
pentru un numr de doua calculatoare a fost modificat pentru a ntrerupe
monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor
anexate. Acest lucru s-a realizat la cererea conductorului departamentului,
deoarece se considera c programul anti-virus are un efect negativ asupra
performanei sistemului;
Urmare acestei constatri, am verificat respectivele staii de lucru pentru a
descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.
Lipsa monitorizrii permanente a staiilor de lucru cu privire la funcionarea
programelor antivirus, precum i responsabilizarea utilizatorilor n cazul n care
dezactiveaz un program antivirus.
Prezena viruilor i a altor programe duntoare pe staiile de lucru
afecteaz n mod negativ activitatea staiilor de lucru putnd duce la blocarea
acestora sau chiar a ntregului sistem program, aplicaie sau sistem informatic.
Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor
staiilor de lucru din cadrul entitii publice, configurarea corecta n cazurile n
care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n
care acestea sunt dezactivate i produc disfuncii n cadrul organizaiei.
Supervizor,
Dumitru Daniel
Pentru conformitate
Structura auditat
174

ENTITATEA PUBLIC
TEST nr. 3.3.

Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009
Realizarea subsistemelor IT conform aprobrilor i planificrilor.
Populaia este formata din aplicaiile i programele aprobate de conducerea
organizaiei pentru a fi implementate n perioada suspus evalurii. Acestea vor fi
evaluare n totalitate.
Analiza va urmri dac un program sau aplicaie aprobat a fost implementat cu
respectarea termenelor. Pentru fiecare aplicaie sau program aprobat se va urmri i
dac au fost stabilite resursele financiare necesare, inclusiv cuprinderea lor n buget.
Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i
aprobat, a pus n eviden faptul c termenele stabilite pentru implementarea
programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile
aplicaii IT ntmpin dificulti n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de
programe performante.
Programele i aplicaiile aprobate i pentru care au fost stabilite i aprobate i resursele
nu sunt implementate n termen.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
175
Procedura P08:
ENTITATEA PUBLIC
INTERVIU nr. 3.1.

privind gradul de realizare a subsistemelor IT stabilite prin planul strategic
adresat
domnului Eleodor Darius, ef Serviciul analiza, proiectare i programare
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
8.
ntrebri
Da
Exist un sistem procedurat de realizare a subsistemelor IT

X
Sistemele implementate au fost stabilite prin planul strategic i
prin planurile anuale?
Exist persoane responsabile de implementarea subsistemelor
IT?
Subsistemele IT au fost realizate la termenele stabilite?
Exist resurse alocate pentru realizarea subsistemelor IT?
X
Avei
o procedur pentru monitorizarea implementrii
subsistemelor IT?
n toate cazurile n care persoanele responsabile au primit alte
sarcini de serviciu au fost desemnate alte persoane care s
monitorizeze implementarea subsistemelor IT?
Nu mai avei ceva de adugat?
X
Nu
Observaii
X
X
X
X
X
Data: 16.09.2009
Dat n faa noastr
Auditori:
Popescu Sorin
Radu George
Intervievat
Sef serviciu
Eleodor Darius
176

ENTITATEA PUBLIC
FIS DE IDENTIFICARE I ANALIZ A PROBLEMEI nr. 3.3.
Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 16.09.2009
Data: 16.09.2009
Subsistemele IT nu au fost realizate la termenele stabilite.

Analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i
aprobat, a pus n evidenta faptul ca termenele stabilite pentru implementarea
programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja
noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic
celorlalte departamente care au nevoie de aceste informaii i unde funcioneaz
deja de programe performante.
Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul
programelor deja existente au fost utilizate pentru finalizarea unor aplicaii i
programe deja ncepute i nefinalizate.
ntrzieri n realizarea activitilor planificate att n cadrul departamentului
IT ct i n cadrul altor departamente, deoarece datele i informaiile sunt reluate i
introduse manual.
Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate,
identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de
termene de finalizare i urmrirea respectrii acestora.
Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt
compatibile cu cele deja implementate sau aflate n faza de implementare i numai
dac exista resursele necesare aprobate prin buget.
Supervizor,
Dumitru Daniel
Structur auditat
177

ENTITATEA PUBLIC
TEST nr. 3.4.
Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009

Verificarea existenei unor controale generale implementate la nivelul subsistemelor IT
Populaia statistic este reprezentat de 15 subsisteme IT ce reprezint numrul
total al subsistemelor IT funcionale la nivelul entitii publice. Eantionarea va fi
reprezentat de 5 elemente din ntreaga populaie, deci 30%, pentru c este un numr
rezonabil de subsisteme.
Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de
verificare nr. 3, poz.., i anume:
- Controlul datelor introduse n aplicaii;
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de
nerealizarea procesrii (ntreruperi, transfer).
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c
aceste date sunt complete
- Validarea datelor transferate din alte aplicaii
- Controalelor care verific nregistrrile duble;
- Autorizarea electronic i/sau manual a tranzaciilor
- Efectuarea tranzaciilor numai de la computere definite n prealabil
- Pstrarea integral a nregistrrilor astfel nct s se poat urmri
tranzaciile efectuate din faza de iniiere pn la finalizarea lor;
- nelegerea controalelor implementate de ctre utilizatori.
Testarea s-a concretizat n elaborarea Listei de control nr... privind existena
controalelor generale la nivelul subsistemelor IT.
Din analiza modului de implementare i funcionare a controalelor la nivelul
subsistemelor IT, s-a constat inexistena urmtoarelor controale generale:
- Controlul asupra datelor introduse n aplicaii;
- Controlul asupra datelor rezultate n urma procesrii astfel nct s se
asigure c aceste date sunt complete;
- Controlul pe parcursul procesrii datelor i rapoartelor rezultate;
- Controlul privind validarea datelor transferate din alte aplicaii;
- Controlul asupra tranzaciilor efectuate.
Controalele generale nu sunt implementate n totalitate la nivelul subsistemelor
informatice.
Auditor intern,
Radu George
Supervizor,
Dumitru
Daniel
178

ENTITATEA PUBLICA
FOAIE DE LUCRU nr. 3.2.

Obiect:
Existena controalelor generale la nivelul subsistemelor IT
Verificarea existenei unor controale generale

implementate la nivelul subsistemelor IT.
- populaia total este de 15 subsisteme IT;
- eantionul va fi de 30%, respectiv 15 x 30% = 5 subsisteme IT;
- eantionul se va constitui din:
o Subsistemul IT pentru gestiunea resurselor umane
o Subsistemul IT pentru operaiuni financiare
o Subsistemul IT pentru activitatea contabil
o Subsistemul IT pentru activitatea juridic
o Subsistemul IT de coordonare a relaiilor bugetare cu Uniunea European
conform celor prezentate n Lista de control nr. 3.2..:
Obiectivul
Data: 16.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
179

ENTITATEA PUBLIC

privind existena controalelor generale la nivelul subsistemelor IT
Nr.
Crt.
Elemente
testate
Eantion
1.
2.
3.
4.
5.
Controlul
pe
Efectuarea
Controlul datelor
parcursul
Validarea
tranzaciilor
rezultate n urma
Controale care Autorizarea
procesrii
datelor
Controlul datelor
astfel
verific
electronic i/sau numai de
datelor
i procesrii,
introduse
n
transferate
nct s se asigure
nregistrrile manual
a computere
rapoartele
din
alte
aplicaii
definite
duble
tranzaciilor
produse n caz c aceste date sunt
aplicaii
prealabil
de nerealizare a complete
procesrii
Subsistemul IT pentru
gestiunea resurselor FIAP
umane
X
operaiuni financiare
X
activitatea contabil
FIAP
activitatea juridic
Subsistemul IT de
coordonare a relaiilor
X
bugetare cu Uniunea
European
Pstrarea integral
a
nregistrrilor
astfel nct s se nelegerea
la poat
urmri controalelor
implementate
de
tranzaciile
n efectuate din faza ctre utilizatori
de iniiere pn la
finalizarea lor
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
Data> 16.09.2009
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
180

ENTITATEA PUBLICA

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 16.09.2009
Data: 16.09.2009
Inexistena controalelor generale implementate la nivelul subsistemelor IT

Din evaluare, auditorii interni au constatat c nu exist un sistem de
controale generale care s fie avute n vedere n cadrul procesului de proiectare,
realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe
echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de
nerealizarea procesrii (ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure
c aceste date sunt complete;
- Controlul privind tranzaciile efectuate.
Lipsa unei bune gestiuni a riscului, pe baza creia sa fie identificate controalele
interne i modul n care acestea funcioneaz.
Inexistena unui set de controale generale, armonizat pentru toate
subsistemele IT, poate s conduc la nedetectarea modificrilor
neautorizate aduse datelor procesate i astfel apare probabilitatea ca date
eronate s fie introduse, prelucrate i stocate n sistemul IT.
Identificarea riscurilor care guverneaz toate subsistemele IT, stabilirea
controalelor interne care ar trebui s existe pentru ca acestea s funcioneze corect,
urmrirea controalelor interne care exist i funcioneaz, identificarea i
implementarea de instrumente de control pentru controalele interne care nu sunt
implementate sau nu funcioneaz.
Supervizor,
Dumitru Daniel
Structur auditat
181
Procedura P10
ENTITATEA PUBLICA

Data: 16.09.2009
Data: 16.09.2009
Obiectivul I.
SECURITATEA INFORMAIEI
Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
Organizarea securitii informaiilor
Elaborarea politicii privind securitatea informaiei
Verificai dac exist o politic de securitate a informaiei;
Verificai dac politica de securitate a informaiei este aprobat de
conducerea organizaiei;
Verificai dac politica privind securitatea informaiei stabilete
responsabilitile asociate i principiile de securitate care trebuie
urmate de ctre personal;
Verificai dac politica de securitate a informaiei supune
informaiile i sistemele importante unei analize de risc n mod
regulat;
Verificai dac politica de securitate a informaiei impune ca
sistemele s fie clasificate ntr-un mod care s indice importana
acestora pentru organizaie;
Verificai dac politica de securitate a informaiei impune
utilizarea numai a programelor liceniate;
Verificai dac politica de securitate a informaiei asigur
condiiile de raportare sau abaterile de la regularitate;
Verificai dac protejarea informaiei este asigurat n condiii de
confidenialitate, integritate i disponibilitate;
Verificai dac politica de securitate interzice utilizarea
informaiilor i sistemelor organizaiei fr autorizare;
Verificai dac politica de securitate interzice scoaterea informaiei
sau echipamentelor din cadrul organizaiei fr autorizare;
Verificai dac politica de securitate interzice utilizarea
informaiilor, inclusiv a infrastructurii sau echipamentelor IT n
alte scopuri;
Verificai dac politica de securitate interzice copierea
neautorizat a datelor i informaiilor;
Verificai dac politica de securitate interzice divulgarea
informaiilor ctre persoane neautorizate;
Verificai dac politica de securitate oblig utilizatorii s nchid
programele sau aplicaiile cnd nu sunt utilizate;
Verificai dac politica de securitate oblig utilizatorii s se
deconecteze de la aplicaii, atunci cnd las calculatorul
Da
Nu
Obs.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
182
1.16.
1.17.
1.18
1.19
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
nesupravegheat;
Verificai dac politica de securitate este comunicat ntregului
X
personal;
Verificai dac politica de securitate are n vedere prevenirea
X
falsificrii probelor n cazul unui incident;
Verificai dac politica de securitate stabilete msurile
X
disciplinare ce pot fi luate n cazul nerespectrii ei;
Verificai dac politica de securitate este revizuit i actualizat
X
periodic.
Stabilirea responsabilitilor n cadrul politicii de securitate
Verificai dac exist o persoan din conducerea de vrf cu
X
responsabilitate general pentru securitatea informaiei;
Verificai dac exist un comitet nsrcinat cu coordonarea
X
activitii de securitate a informaiei;
Verificai dac comitetul responsabil de securitatea informaiei
X
coordoneaz aceast activitate la nivelul ntregii organizaii;
Verificai dac din comitetul nsrcinat cu coordonarea activitii
de securitate a informaiei fac parte persoane din conducerea de X
vrf a organizaiei;
Verificai dac comitetul nsrcinat cu coordonarea activitii de
securitate a informaiei este responsabil pentru integrarea X
informaiei pentru toate sectoarele organizaiei;
securitate a informaiei asigur tratarea intereselor privind X
securitatea informaiei curent i consecvent;
securitate a informaiei este responsabil pentru aprobarea X
politicilor i standardelor de securitate a informaiei;
securitate a informaiei este responsabil pentru aprobarea X
procedurilor de securitate a informaiei;
securitate a informaiei este responsabil pentru aprobarea i
X
stabilirea prioritilor activitii de mbuntire a securitii
informaiei;
securitate a informaiei asigur coordonarea implementrii X
instrumentelor de control aferente securitii informaiei;
securitate a informaiei accentueaz importana securitii X
informaiei n cadrul organizaiei;
Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii autorizai
Verificai dac regulile de securitate privind accesul la
X
echipamentele i datele stabilite sunt respectate cu strictee;
Verificai dac abaterile de la regulile impuse sunt imediat
X
semnalate persoanelor responsabile;
Verificai dac dispozitivele de stocare sunt pstrate n condiii de
securitate pentru a evita distrugerea fizic, pierderea sau X
modificarea coninutului;
Verificai dac condiiile de pstrare sunt verificate periodic i
X
mbuntite;
Verificai dac salvrile de date sunt efectuate cu periodicitatea
X
impus de importana datelor i de regulile prestabilite;
Verificai dac arhivarea datelor este realizat cu frecvena impus
X
de reglementrile de operare;
Verificai dac drepturile utilizatorilor sunt verificate periodic, n
X
conformitate cu sarcinile alocate acestora;
Verificai dac permisiunile curente de acces la resursele partajate
sunt verificate, n vederea conformitii cu regulile de securitate X
impuse;
Verificai dac accesul la directoarele i fiierele cu caracter secret
X
se realizeaz n conformitate cu reglementrile interne;
183
3.10.
3.11.
3.12.
B.
1.
1.1.
1.2.
1.3.
1.4
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
Verificai dac arhivarea datelor este realizat adecvat importanei

acestora;
Verificai dac duplicarea datelor se realizeaz conform cu
reglementrile interne;
Verificai asigurarea securitii dispozitivelor de stocare a datelor;
Disponibilitatea datelor
Protejarea datelor mpotriva viruilor
Verificai dac programele sunt protejate fa de virui;
Verificai dac viruii detectai sunt nlturai prin utilizarea de
produse specializate antivirus;
Verificai dac actualizarea produselor antivirus se face
permanent;
Verificai dac procedurile de scanare i eliminare a viruilor sunt
lansate periodic n execuie;
Verificai dac programul antivirus intr n funciune ntotdeauna
la pornirea computerelor;
Verificai dac viruii sunt detectai cu operativitate utiliznd
metode adecvate;
Verificai dac exist continuitate n asigurarea licenelor
programelor antivirus;
Verificai dac implementarea programelor anti-virus asigur:
a) instalarea unui program anti-virus adecvat necesitilor
utilizatorilor staiilor de lucru;
b) verificarea computerelor la pornire;
c) monitorizarea tuturor programelor i aplicaiilor active, a
mesajelor primite i verificarea automat a actualizrilor la
intervale regulate (zilnic);
d) actualizarea n reea, astfel nct s protejeze eficient datele
mpotriva viruilor nou-aprui;
Verificai dac este realizat o monitorizarea sistematic a
funcionalitii programelor anti-virus;
Verificai dac sistemul de actualizare a programelor anti-virus
este adecvat necesitilor programelor i aplicaiilor utilizate n
cadrul entitii;
Asigurarea continuitii activitilor
Verificai dac planul privind asigurarea continuitii activitilor
permite cunoaterea msurilor ce trebuie luate n cazul producerii
unui eveniment nedorit;
Verificai dac scopul planului de asigurare a continuitii
activitii este de a minimiza efectele produse de un dezastru;
Verificai dac planul privind continuitatea activitilor are impact
major asupra activitilor curente critice;
Verificai dac resursele umane, precum i cele hardware/software
implicate n procesul de aplicare a planului sunt prestabilite i sunt
disponibile;
Verificai dac planul descrie strategia general de asigurare a
continuitii activitii;
Verificai dac planul stabilete rolurile i responsabilitile
personalului implicat;
Verificai dac planul stabilete criteriile i procedurile de
recunoatere a unei crize;
Verificai dac planul definete procedurile tehnice de reluare sau
continuare a proceselor critice;
Verificai dac planul stabilete procedurile de revenire la modul
normal de operare;
Verificai dac planul conine procedurile de ntreinere,
actualizare i testare periodic a acestuia;
Verificai dac echipa de coordonare, n caz de producere a
evenimentului nedorit, este condus de managementul de vrf;
Verificai dac echipa de coordonare n caz de producere a
evenimentului nedorit este responsabil pentru iniierea planului
privind continuitatea activitilor;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
184
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
3.
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
C.
1.
1.1.
1.2.
Verificai dac echipa de intervenie n caz de dezastru este

implicat n conceperea planului privind continuitatea activitilor;
Verificai dac elaborarea planurilor privind continuitatea
activitilor a avut n vedere urmtoarele etape:
a) iniierea planului
b) analiza de risc i de impact
c) definirea cerinelor i dezvoltarea strategiei
d) implementarea strategiei i reducerea riscului
e) dezvoltarea i implementarea planurilor;
f) testarea i asigurarea mentenanei planurilor.
Verificai dac planurile privind continuitatea activitilor sunt
conforme cu obiectivele generale i cu strategia de administrare a
riscurilor;
Verificai dac funciile critice sunt identificate de administratorii
sistemelor, dndu-se prioritate proceselor din cadrul acestor
funcii;
Verificai dac obiectivele avute n vedere pentru asigurarea
continuitii activitii sistemelor au ca scop reluarea i
recuperarea funciilor critice;
Verificai dac planurile privind continuitatea activitilor includ
cel puin o locaie secundar pentru salvarea datelor;
Verificai dac sunt stabilite proceduri alternative/de urgen
pentru realizarea funciilor critice n cazul cderii reelelor;
Verificai dac prile implicate n planul de asigurare a
continuitii activitilor, comunic eficient, att n interiorul, ct
i n exteriorul organizaiei, utiliznd mijloace de comunicare
sigure i testate;
Verificai dac elementele planurilor privind asigurarea
continuitii activitii sunt testate periodic.
Recuperarea datelor n caz de dezastru
Verificai dac a fost elaborat planul de recuperare a datelor n caz
de dezastru;
Verificai dac planul de recuperare a datelor n caz de dezastru a
fost aprobat;
Verificai dac este responsabilizat echipa de implementare a
planului i sunt stabilite responsabilitile adecvate membrilor
echipei;
Verificai dac planul este comunicat personalului cu
responsabiliti n punerea n aplicare a acestuia n caz de
dezastru;
Analizai dac planul de recuperare a datelor a fost testat i
modificat periodic n baza rezultatelor obinute n urma testrii;
Verificai dac sunt definite n cadrul planului domeniile de
aciune importante ale entitii publice;
Verificai dac sunt identificate principalele procese i aplicaii IT
ce trebuie recuperate;
Verificai dac au fost analizate cerinele specifice cu privire la
recuperarea datelor n caz de dezastru la nivelul sistemului IT;
Verificai dac sunt stabilii responsabili cu monitorizarea
respectrii procedurilor privind recuperarea datelor n caz de
dezastru;
Verificai dac salvrile de siguran sunt actualizate sistematic;
Stabilii dac locaia n care sunt stocate datele pentru a fi
recuperate n caz de dezastru este adecvat;
Analizai sistemul de arhivare a datelor.
Asigurarea funcionrii programelor i aplicaiilor
Asigurarea introducerii corecte a datelor
Verificai dac documentele primare sunt analizate pentru
identificarea tipurilor de date care trebuie introduse sau
modificate;
Verificai dac datele sunt pregtite i verificate pentru a fi
introduse n sistemul informatic n vederea prelucrrii;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
185
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
3.
3.1.
3.2.
Verificai dac se verific i se testeaz toate procedurile de

introducere a datelor;
Verificai dac se monitorizeaz prelucrarea electronic a datelor;
Verificai se urmresc rapoartele de erori nregistrate de sistemul
informatic i dac se efectueaz teste pentru identificarea cauzelor
apariiei acestora;
Verificai modul de urmrire a rezultatelor prelucrrilor i modul
de distribuire ctre utilizatori;
Verificai modul de ntocmire a jurnalului interveniilor
operatorilor, jurnalul utilizrii bibliotecii de programe i a
arhivelor de date i aplicaii
Verificai dac aplicaiile informatice sunt utilizate n conformitate
cu instruciunile de exploatare;
Verificai dac ablonul de introducere a datelor este identificat
corect, conform metodologiei proprii;
Verificai dac elementele ablonului sunt analizate cu
responsabilitate, n vederea introducerii datelor n condiii de
eficien;
Verificai dac introducerea datelor se realizeaz cu respectarea
specificaiilor programului utilizat;
Verificai dac se urmrete permanent conformitatea datelor
introduse cu documentele primare;
Verificai dac datele introduse sunt salvate pe suport de stocare n
formatul de fiier adecvat;
Verificai dac datele introduse sunt salvate corect i complet;
Verificai dac datele sunt salvate la intervale de timp prestabilite;
Verificai dac datele salvate sunt organizate adecvat, pentru a fi
regsite cu uurin;
Verificai dac salvrile de rezerv se realizeaz automat sau
manual, n funcie de opiuni;
Verificai dac datele neconforme cu documentele primare sunt
corectate;
Analizai dac datele introduse sunt verificate prin modaliti
adecvate, n scopul identificrii operative a erorilor;
Verificai dac datele corectate sunt salvate.
Prelucrarea datelor
Verificai dac programul de prelucrare a datelor este adecvat;
Verificai dac programul de prelucrare a datelor este corect
identificat, n funcie de necesiti i de rezultatele urmrite;
Verificai modul de depistare i corectare a erorilor aprute n
timpul rulrilor aplicaiilor informatice;
Verificai dac procesrile aplicate datelor introduse sunt corecte;
Verificai modul de funcionare a programelor, folosind ca date de
test fie nregistrri originale, fie nregistrri mostr i corectarea
eventualelor erori aprute n procesul de introducere a datelor;
Verificai dac prelucrarea datelor cu ajutorul aplicaiilor
informatice se realizeaz n conformitate cu instruciunile de
exploatare;
Verificai dac prelucrrile efectuate sunt vizualizate n scopul
verificrii i sunt prezentate pe suportul de redare specificat;
Verificai dac alegerea suportului de redare se realizeaz innd
cont de destinaia datelor;
Verificai dac prioritile suportului de redare respect cerinele;
Verificai dac documentul este pregtit pentru redare prin setarea
caracteristicilor specifice;
Verificai dac echipamentul de ieire este ales adecvat, n scopul
ndeplinirii condiiilor optime de furnizare a datelor.
Asigurarea securitii datelor i documentelor
Verificai dac sunt realizate copii de siguran pe suporturi de
stocare adecvate;
Verificai dac copiile de siguran sunt realizate la intervalele de
timp menionate n procedura intern;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
186
3.3.
3.4.
3.5.
3.6.
3.7.
3.8.
3.9.
3.10.
3.11.
3.12.
3.13.
3.14.
D.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
2.
Verificai dac copiile de siguran sunt verificate pentru

X
conformitate cu originalele;
Verificai dac arhivarea sau duplicarea datelor este realizat n
X
funcie de importana acestora i cu frecvena necesar;
Verificai dac accesul la calculator este realizat prin conturi i
X
parole asociate, cu asigurarea caracterului de confidenialitate;
X
se face corespunztor reglementrilor interne;
Verificai dac documentele primare i cele rezultate n urma
X
imprimrii sunt pstrate n condiii de securitate;
Verificai dac suporturile de stocare sunt verificate pentru a le
X
depista pe cele virusate sau defecte;
Verificai dac dispozitivele de stocare a datelor sunt pstrate n
condiii de securitate pentru a evita distrugerea fizic, pierderea X
sau modificarea coninutului;
Verificai dac condiiile de pstrare sunt verificate periodic i
X
mbuntite dup caz;
Verificai dac funcionarea severelor i a sistemelor este
X
permanent i atent monitorizat;
Verificai dac accesul utilizatorilor la echipamente i la suporturi
de date este realizat numai n limita permisiunilor cerute de X
efectuarea sarcinilor curente;
Verificai dac regulile de securitate referitoare la accesul la
X
echipamente sunt respectate;
Verificai dac abaterile de la regulile de securitate sunt semnalate
X
prompt persoanelor responsabile;
Implementarea instrumentelor de control
Accesul la aplicaie este oferit pe baza necesitilor utilizatorului
Verificai dac drepturile de acces sunt acordate conform regulilor
X
impuse prin manualele de instalare a aplicaiei;
Verificai dac drepturile de acces sunt respectate de ctre
X
utilizatori;
Verificai dac responsabilitatea pentru administrarea i operarea
X
aplicaiei este definit clar;
Verificai dac utilizatorii sunt instruii cu privire la utilizarea
X
reelei i securitatea acesteia;
Verificai dac administratorii de reea primesc instruirea adecvat
X
i potrivit cu privire la sigurana i controlul reelei;
Verificai dac activitatea n reea este monitorizat, asigurndu-se
X
c securitatea acesteia este adecvat;
Verificai dac doar utilizatorii autorizai pot efectua conexiuni la
reea i exist proceduri pentru verificarea conexiunilor X
neautorizate;
Verificai dac codificarea utilizat previne accesul neautorizat la
X
datele transmise prin reea;
Verificai dac instrumentele de control stabilite asigur datele i
programele mpotriva pierderii, deteriorrii, coruperii deliberate X
sau accidentale, i a atacurile informatice;
Verificai dac reelele sunt proiectate i construite pentru a
X
asigura eficiena traficului de date;
Verificai dac programele de administrare a reelei i fiierele de
pe server sunt salvate pentru siguran i copii ale acestora sunt X
pstrate n locuri sigure;
Verificai dac exist metode de recuperare i de continuitate a
activitii n eventualitatea defectrii liniilor sau nodurilor de X
reea;
Verificai dac accesul fizic la domeniile critice ale reelei este
X
restricionat numai pentru personalul autorizat;
Verificai dac pentru echipamentele importante i pentru nodurile
X
reelelor s-au alocat resurse suplimentare de securitate.
Introducerea instrumentelor de control fizic asupra echipamentelor IT
al aplicaiilor
187
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
2.22.
2.23.
2.24.
2.25.
Verificai dac accesul fizic la sistemele de calculatoare este

restricionat prin:
a) sistem adecvat de ncuietori;
b) blocarea accesului atunci cnd mediul este eliberat;
c) instalarea de alarme;
d) asigurarea de personal de paz;
Verificai dac efectuarea controalelor fizice se realizeaz conform
procedurilor;
Verificai dac accesul la servere este restricionat, avnd n
vedere datele critice procesate, fiind permis numai persoanelor
autorizate;
Verificai camerele n care se afl severele i echipamentele, dac
se respect urmtoarele cerine:
a) sunt dotate cu camere de supraveghere, care acoper ntreaga
zon de acces la server i sunt monitorizate permanent:
b) sunt prevzute cu senzori de micare;
c) dispun de sistem de alarm n caz de incendiu;
d) dispun de sisteme de stingere a incendiilor;
e) sunt prevzute cu echipamente de aer condiionat;
f) sunt prevzute cu ui neinflamabile echipate cu ncuietori
adecvate.
Verificai dac echipamentele i documentaia de importan
critic sunt asigurate suplimentar;
Verificai dac sistemele de detectare a accesului neautorizat
instalate sunt verificate periodic;
Verificai dac calculatoarele portabile sunt protejate mpotriva
furtului;
Verificai dac utilizatorii sistemului au acces numai pentru
scopuri clare i autorizate;
Verificai dac utilizatorii sistemului sunt supravegheai
permanent;
Verificai dac echipamentele i facilitile critice sunt protejate
prin montarea lor n afara zonei de acces a publicului;
Verificai dac perimetrul de securitate fizic al camerelor care
adpostesc echipamente i faciliti critice este ntrit i protejat;
Verificai dac se realizeaz supravegherea continu a camerelor
n care sunt adpostite echipamente i faciliti critice;
Verificai dac autorizaiile pentru accesul fizic la echipamente
sunt emise n conformitate cu procedurile documentate;
Verificai dac autorizaiile pentru accesul fizic sunt revizuite
periodic pentru a se asigura accesul la acestea numai a persoanelor
autorizate;
Verificai dac sunt luate msuri pentru restricionarea accesului la
calculatoare i la informaiile pstrate de acestea;
Verificai dac msurile de protecie sunt n acord cu politica de
securitate a organizaiei;
Verificai dac msurile de control in seama de clasificarea
nivelurilor de securitate;
Verificai dac msurile de control in seama de cerinele stabilite
de responsabilii sistemelor i ale organelor de reglementare;
Verificai dac msurile de control in seama de necesitatea de a
pune n practic rspunderea personal;
Verificai dac msurile de control asigur punerea n practic a
unor instrumente suplimentare de control;
Verificai dac msurile de control asigur separarea sarcinilor;
Verificai dac accesul este restricionat conform politicii de
securitate;
Verificai dac msurile de control privind accesul restricioneaz
capacitile sistemului care pot fi utilizate;
Verificai dac msurile de control ale accesului identific locaia
terminalelor aflate n exploatare;
Verificai dac msurile de control privind accesul sunt realizate
X
X
Test nr. 4.3.

List
de
control nr.
4.1.
FIAP
nr.
4.3.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
188
2.26.
E.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22.
1.23.
1.24.
1.25.
pe baza unui sistem de parole;

Verificai dac msurile de control privind accesul sunt revizuite
ca rspuns la noi ameninri, cerine ale activitii sau noi
capaciti;
Securitatea reelei
Monitorizarea securitii reelelor
Verificai dac riscurile ce amenin securitatea i disponibilitatea
reelei i a aplicaiilor sunt inventariate;
Verificai dac securitatea reelei are n vedere vulnerabilitatea
aplicaiilor i sistemelor de operare, greelile de configurare i
erorile;
Verificai dac este realizat o hart a reelei;
Verificai identificarea elementelor de baz din reea
Verificai dac este realizat o hart exact a reelei;
Verificai dac sunt identificate toate elementele din reea,
respectiv servere, sisteme desktop, sisteme laptop, routere, puncte
de acces, imprimante, sau alte dispozitive;
Verificai dac este implementat un program de management al
vulnerabilitilor;
Verificai dac exist posibilitatea de a actualiza situaia reelei de
cte ori este nevoie.
Verificai clasificarea elementelor din reea
Verificai dac se realizeaz o clasificare a sistemelor desktop, a
serverelor i a aplicaiilor, n funcie de valoarea pe care acestea o
reprezint pentru entitatea public;
Verificai dac se realizeaz o grupare i clasificare a
dispozitivelor din reea n funcie de prioriti, de la sisteme cu
importan redus, cum sunt cele de test, la sistemele de
importan medie, cum sunt sistemele laptop folosite la biroul
aprovizionare i pn la sistemele de importan vital pentru
entitate (tranzacii, operaiuni financiare)
Verificai modul de clasificare a sistemelor depinde de natura
operaiunilor desfurate;
Verificai modul de identificarea rapid i precis a
vulnerabilitilor
Verificai dac identificarea vulnerabilitilor pleac de la analiza
topologiei reelelor formate din servere, sisteme de operare sau
platforme web diferite;
Verificai dac este realizat protecia prin implementarea unui
sistem adecvat de management al vulnerabilitilor
Verificai dac acesta se bazeaz pe informaii precise i
configuraii de sistem i reea adecvate;
Verificai dac se realizeaz protecia n profunzime prin
implementarea unui sistem adecvat de management al
vulnerabilitilor;
Verificai dac se realizeaz corelarea gradului de risc cu valoarea
pentru activitile entitii, reprezentat de vulnerabilitile
sistemelor i a segmentelor de reea;
Verificai transformarea datelor de securitate brute n informaii
Verificai dac n urma prelucrrilor, administratorii obin rapoarte
complete care detaliaz nivelul critic al vulnerabilitilor;
Verificai dac este asigurat accesul instant la soluiile de
remediere;
Verificai dac se folosesc patch-uri de securitate furnizate de
dezvolttorul de aplicaii;
Verificai dac se folosesc strategii ocolitoare sau alte msuri
defensive;
Verificai dac pe lng rapoartele generate pentru administratorii
i responsabilii cu securitatea, informaiile sunt strnse, adaptate i
prezentate acelor persoane care necesit detalii despre situaia
securitii n cadrul entitii;
Verificai dac rapoartele sunt prezentate conducerii.
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
189
1.26.
1.27.
1.28.
1.29.
1.30.
1.31.
1.32.
1.33.
1.34.
1.35.
1.36.
1.37.
1.38.
F.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
Verificai modul de monitorizarea securitii reelelor, n timp

Verificai dac expunerea la risc este monitorizat prin
reprezentarea strii de ansamblu a reelei;
Verificai dac se utilizeaz un panou de afiare n timp real,
privind expunerea la risc, prin reprezentarea vizual a strii de
ansamblu a reelei;
Verificai dac se realizeaz actualizarea continu a acestuia;
Verificai dac panoul de afiare privind expunerea la risc este
adaptat nevoilor de securitate ale organizaiei;
Verificai dac la fiecare evaluare a vulnerabilitilor se creeaz o
nregistrare care consemneaz data i ora scanrii, numrul
vulnerabilitilor identificate, gradul de severitate i impactul
asupra activitilor;
Verificai dac sup aplicarea patch-urilor, o scanare ulterioar
valideaz aplicarea corect a soluiilor pentru fiecare sistem;
Verificai dac se obine reducerea riscurilor asociate;
Verificai dac politica de securitate a gestionrii reelelor
informatice este implementat i asigur protejarea datelor i
informaiilor, respectiv:
a) identificarea elementelor de baz din reea
b) clasificarea elementelor din reea
c) identificarea vulnerabilitilor reelei
d) transformarea datelor de securitate, n informaii
e) monitorizarea securitii reelelor n timp
f) procesul de remediere a vulnerabilitilor reelelor
Verificai dac se urmrete mentenana sistemelor.
Verificai integrarea procesului de remediere a vulnerabilitilor
Verificai dac entitatea este preocupat de aplicarea msurilor
proactive i reactive, pentru remedierea vulnerabilitilor
descoperite i a erorilor de configurare;
Verificai dac entitatea este preocupat de remedierea rapid i
eficient a vulnerabilitilor.
Gestionarea parolelor
Utilizatori au parole de acces individuale
Verificai dac fiecare calculator este parolat;
Verificai dac parola alocat este individual;
Verificai dac parola este cunoscut doar de utilizator;
Verificai dac programele i aplicaiile au nivele de acces n
funcie de nivelul postului;
Verificai dac parolele sunt schimbate periodic, respectnd
regulile de complexitate impuse;
Verificai dac exist un calendar privind parolele de acces
Verificai dac exist desemnat o persoan responsabil cu
verificarea periodic a sistemului de parole de acces
Verificai dac accesul la calculator, la folosirea resurselor locale
i a celor din reea este realizat prin conturi i parole asociate
fiecrui utilizator;
Verificai dac alocarea conturilor i parolelor respect caracterul
de confidenialitate;
Schimbarea periodic a parolelor
Verificai dac parolele de acces sunt asigurate n scopul pstrrii
caracterului secret;
Verificai dac permisiunile sau drepturile utilizatorilor sunt
verificate periodic, pentru a corespunde strict sarcinilor acestora;
se face corespunztor reglementrilor interne;
Verificai dac parolele asigur urmtoarele reguli:
a) numr minim de caractere este opt;
b) conin caractere alfa numerice;
c) sunt case-sensitive;
d) sunt mascate pe ecran, pentru a nu fi vzute;
Verificai dac administratorul sistemului creeaz i configureaz
X
X
X
X
X
X
X
X
Test nr. 4.1.

FIAP
nr.
4.1.
X
X
X
X
X
X
X
X
Test nr. 4.2.

Interviu nr.
4.1.
FIAP
nr.
4.2.
X
X
X
X
X
X
190
2.7.
2.8.
2.9.
2.10.
2.11.
3.
4.
4.1.
4.2.
4.3.
4.4.
G.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
corespunztor conturile fiecrui utilizator;

Verificai dac parolele generice iniiale sunt schimbate de ctre
fiecare utilizator n parte;
Verificai dac sistemul beneficiaz de urmtoarele caracteristici:
a) suspendarea conturilor i parolelor dup o anumit perioad
de inactivitate;
b) schimbarea parolelor la intervale stabilite de timp;
c) suspendarea conturilor dup ncercri succesive nereuite de
acces la sistem;
d) accesul utilizatorilor restricionat la anumite perioade de
timp;
e) deconectarea utilizatorilor dup un anumit timp de
inactivitate;
Verificai dac configurarea conturilor se face n funcie de tipurile
de utilizatori;
Verificai dac contul de administrare poate fi ters;
Verificai dac sistemul permite configurarea i controlul
parametrilor de sistem.
Protejarea parolelor
Verificai dac parolele respect urmtoarele reguli:
- numr minim de 8 caractere;
- s conin caractere alfanumerice;
- s fie CASE-SENSITIVE;
- s fie mascate pe ecran pentru a nu fi vzute.
Verificai dac administratorul sistemului creeaz i configureaz
corespunztor conturile fiecrui utilizator;
Verificai dac parolele generice iniiale sunt schimbate de ctre
fiecare utilizator n parte;
Persoanele autorizate au acces la sistemul de operare
Verificai dac accesul la sistem se realizeaz numai pe baza
conturilor de utilizatori n funcie de tipurile specifice i de
atribuiile specifice fiecrui angajat
Verificai dac conturile de utilizatori respect condiii privind
parolele, modul de acces, restriciile specifice;
Verificai dac utilizatorii sunt instruii s respecte regulile privind
securitatea logic;
Verificai dac exist proceduri legate de accesul neautorizat;
Securitatea logic
Asigurarea securitii funcionrii programelor i aplicaiilor
Verificai dac nainte proiectrii unui plan de control al
securitii, sunt identificate riscurile la care sunt supuse sistemele
informatice din punct de vedere logic;
Verificai dac echipa care realizeaz planul de securitate include
specialiti din diverse domenii informatice i auditori interni,
pentru a putea identifica toi factorii de risc i a se formula cele
mai bune soluii de nlturare a acestora;
Verificai dac planul de securitate include metodele de asigurare
a securitii pentru fiecare etap din funcionarea sistemelor,
pentru tipuri de operaii, protecia bazelor de date, a sistemelor de
operare;
Verificai asigurarea securitii n faza de implementare a noilor
sisteme informatice
Verificai dac la instalarea sistemelor informatice noi, se creeaz
conturi de sistem i conturi de acces;
Verificai dac parolele iniiale ale acestor conturi sunt schimbate
dup accesarea sistemului;
Verificai dac sistemul beneficiaz de urmtoarele caracteristici:
- numrul minim de caractere pentru parole;
- suspendarea conturilor i parolelor dup o anumit perioad de
inactivitate;
- schimbarea parolelor la intervale stabilite de timp;
- suspendarea conturilor dup ncercri succesive nereuite de
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
191
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22
1.23.
1.24.
1.25
1.26.
1.27
1.28
1.29
1.30
1.31.
1.32.
1.33.
1.34.
acces la sistem;
- accesul la sistem al utilizatorilor s fie restricionat la anumite
perioade de timp, ntre anumite ore;
- deconectarea utilizatorilor dup un anumit timp de inactivitate;
- configurarea conturilor n funcie de tipurile de utilizatori;
- contul de administrare (system user) s nu poat fi ters;
Verificai dac sistemul permite configurarea i controlul
parametrilor cheie;
Verificai dac salvarea datelor se realizeaz periodic n
conformitate cu specificaiile manualului;
Verificai dac copiile de siguran se realizeaz conform
indicatorilor din manualele de operare;
Verificai dac modulele/programele/datele salvate sunt corecte i
complete, conform manualelor de operare;
Verificai dac identificarea modulelor/programelor/datelor
salvate se face cu uurin;
Verificai dac suporturile/dispozitivele de stocare sunt depozitate
n condiii speciale, conform manualelor de operare;
Verificai dac coninutul fiecrui suport/dispozitiv de stocare este
consemnat pe etichet i nregistrat n registru;
Verificai dac dispozitivele de stocare au asigurat securitatea
conform instruciunilor de stocare;
Verificai dac exist un acces sigur i controlat la echipamentele
i dispozitivele de stocare;
Verificai dac dispozitivele de stocare sunt pstrate n condiii de
securitate;
Verificai dac modulele/programele, datele sunt salvate pe
dispozitivele sau suporturile de stocare precizate de manuale;
Verificai dac echipamentele i componentele hardware sunt
nregistrate corect i cu toate detaliile relevante pentru accesarea
operativ a informaiilor privind starea de funcionare i
configuraia lor,
Verificai dac evidenele dispozitivelor de stocare a datelor sunt
conduse, n scopul identificrii prompte a coninutului acestora.
Verificai dac accesul n cadrul sistemului se realizeaz numai pe
baza conturilor de utilizatori n funcie de tipurile specifice i de
atribuiunile fiecrui angajat;
Verificai dac aceste conturi respect anumite condiii privind
parolele, modul de acces, restriciile pe care le are fiecare cont n
parte;
Verificai dac utilizatorii sunt instruii s respecte regulile de
securitate logic;
Verificai dac exist proceduri pentru rezolvarea problemelor
legate de accesul neautorizat;
Verificai dac accesul la distan permite accesarea diferitelor
tipuri de aplicaii;
Verificai dac securizarea transferurilor se realizeaz prin linii
dedicate;
Verificai dac securizarea transferurilor utilizeaz protocoale
specifice de comunicaie;
Verificai dac la liniile dedicate au acces numai persoanele
autorizate din cadrul organizaiei;
Verificai dac se folosesc algoritmi de criptare a datelor;
Verificai dac algoritmii de criptare in cont de tipul informaiei;
Verificai dac datele transferate sunt criptate;
Verificai dac este evaluat riscul de interceptare neautorizat a
transferurilor;
Verificai dac utilizatorul aflat la distan se poate conecta la
reeaua entitii, numai printr-un canal prestabilit, alocat special
comunicrii / traficului la distan;
Verificai dac terminalul utilizatorului furnizeaz anumite date de
identificare astfel nct conexiunea s poat fi realizat;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
192
1.35.
1.36.
1.37.
1.38.
1.39.
1.40.
1.41.
1.42.
1.43.
1.44.
1.45.
Verificai dac, n cazul dispozitivelor wireless, se realizeaz o

blocare a accesului posibililor utilizatori, aflai n raza de aciune a
acestora;
Verificai dac SSL (este un protocol pentru producerea i
pstrarea de conexiuni codificate ntre browser-ul de web i
serverul de web) folosete protocolul TCP/IP n acionarea asupra
protocoalelor de nivel nalt;
Verificai dac se realizeaz autentificarea clientului ctre server;
Verificai dac protocolul ofer ambelor staii posibilitatea de a
stabili o conexiune codificat;
Verificai dac certificatele de server asigur identitatea celeilalte
pri;
Verificai dac este asigurat evidena dispozitivelor token, pentru
cazurile n care accesul utilizatorilor la sistem se realizeaz prin
validri multiple;
Verificai dac pentru tranzaciile importante cum ar fi e-banking,
bursa, e-commerce i tranzaciile financiare sunt realizate
autentificri garantate cu ajutorul acestor dispozitive?
Verificai dac administrarea securitii sistemelor este realizat de
ctre persoane specializate;
Verificai dac managerii de pe diferitele nivele sunt
responsabilizai cu implementarea corect a procedurilor i
politicilor de securitate?
Verificai dac acetia sunt responsabili cu instruirea utilizatorilor
n respectarea regulilor de securitate, de monitorizare permanent
a sistemelor, de concepere i modificare a politicilor i regulilor de
securitate;
Verificai dac administratorii responsabili cu protecia sistemelor
se consult cu auditorii interni pentru implementarea celor mai
bune soluii;
X
X
X
X
X
X
X
X
Auditori,
Popescu Sorin
Radu George
193

ENTITATEA PUBLICA
TEST nr. 4.1.

Data: 16.09.2009
Data: 16.09.2009
Obiectul
testului
Obiectivele
testului
Monitorizarea securitii reelelor.
Descrierea
testului
1. Populaia avut n vedere pentru constituirea eantionului este format din

reelele de calculatoare existente n cadrul entitii, n numr de 8.
Asigurarea c datele i informaiile sunt protejate n cadrul sistemului informatic,

limitnd accesul n funcie de nivelele de autorizare sau pe baza unui sistem adecvat de
parole.
2. Eantionul a fost reprezentat de 3 reele, respectiv din cadrul direciei generale

resurse umane, direciei generale buget-finane i direciei generale administrativ achiziii.
Constatri
3. Prin testarea ce se va realiza se va urmri, dac politica de securitate a

gestionrii reelelor informatice existente n cadrul organizaiei este implementat i
asigurat protejarea datelor i informaiilor. Testarea s-a axat pe managementul
securitii reelelor i a avut n vedere urmtoarele:
identificarea elementelor de baz din reea
clasificarea elementelor din reea
identificarea vulnerabilitilor reelei
transformarea datelor de securitate, n informaii
monitorizarea securitii reelelor n timp
procesul de remediere a vulnerabilitilor reelelor
n urma analizei modului de gestionare a securitii reelelor, au rezultat
urmtoarele:
1. La nivelul entitii au fost elaborate hari privind reele informatice existente. n
acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a
routerelor, a punctelor de acces, a imprimantelor i a celorlalte dispozitive conectate la
reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii
reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c
pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care deservea
direcia general buget-finane s-a constatat c, au fost achiziionate i conectate 4 noi
computere i o imprimant de reea, toate deservite prin intermediul unui nou router,
care nu au fost consemnate n cadrul hrii.
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la
nivelul direciei, fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor
prin controlarea accesului i implementarea de programe antivirus adecvate.
2. La nivelul departamentului IT exist o clasificare a sistemelor hardware, n
funcie de importana fiecrei categorii pentru buna desfurare a activitii n cadrul
entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de prioriti, de la
sisteme cu importan redus, cum sunt sistemele de test sau care sunt folosite
independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
194
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul
delegaiilor sau pentru lucrul acas, la sisteme de importan major pentru asigurarea
continuitii activitilor organizaiei, cum ar fi sistemele care gestioneaz bazele de date,
serverele care deservesc compartimentele cheie ale entitii (tranzacii, operaiuni
financiare etc.).
ns, n ceea ce privete aplicaiile informatice la nivelul entitii nu exist o
prioritizare a importanei fiecreia, n vederea implementrii msurilor corespunztoare
de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului secretariat pentru
urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate ca i
sistemul integrat privind conducerea organizaiei.
Concluzii
3. Datorit faptului c n cadrul entitii se folosesc servere, sisteme de operare i

platforme web diferite, identificarea vulnerabilitilor sistemului n ansamblu este o
activitate complex i necesar. Analiza rapoartele de activitate a pus n eviden faptul
c s-a procedat la peticirea a vulnerabilitilor, dup care atenia a fost ndreptat ctre
riscurile medii i mici.
Acest mod de abordare are eficien n reducerea riscurilor, ns nu a fost corelat
gradului de risc cu importana fiecrei activiti realizate, ceea ce poate afecta
vulnerabilitatea unor sisteme sau segmente de reea.
Nu exist stabilit n mod clar a hart cu toate posturile din cadrul organizaiei dotate cu
computer, iar securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de
autorizare a accesului i unui sistem adecvat de parole.
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Structur auditat
195

ENTITATEA PUBLIC

Problema
Constatarea
Data: 16.09.2009
Data: 16.09.2009
Posturile de lucru dotate cu computer nu sunt evideniate la nivelul

Departamentului IT, neasigurndu-se o intervenie prompt i rapid.
Securitatea datelor i informaiilor nu este asigurat pe baza unui sistem de
autorizare a accesului i unui sistem adecvat de parole.
1. La nivelul entitii au fost elaborate hari privind reele informatice existente. n
acest sens, au fost stabilite locaiile serverelor, sistemelor desktop, sistemelor
laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte
dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de
management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul
c pentru dou reele hrile erau corespunztoare, ns referitor la reeaua care
deservea direcia general buget-finane s-a constatat c, au fost achiziionate i
conectate 4 noi computere i o imprimant de reea, toate deservite prin
intermediul unui nou router, care nu au fost consemnate n cadrul hrii.
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile
utilizate la nivelul direciei, fr a fi luate msuri pentru asigurarea securitii
datelor i informaiilor prin controlarea accesului i implementarea de programe
antivirus adecvate.
2. La nivelul departamentului IT exist o clasificare a sistemelor hardware,
n funcie de importana fiecrei categorii pentru buna desfurare a activitii n
cadrul entitii. n acest sens, dispozitivele din reea au fost grupate n funcie de
prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau care
sunt folosite independent pentru asigurarea funciilor mai puin importante ale
entitii i sistemele de importan medie, cum sunt sistemele laptop folosite de
unii angajai n cadrul delegaiilor sau pentru lucrul acas, la sisteme de importan
major pentru asigurarea continuitii activitilor organizaiei, cum ar fi sistemele
care gestioneaz bazele de date, serverele care deservesc compartimentele cheie
ale entitii (tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii n parte, n ceea ce privete aplicaiile informatice, nu a fost avut
n vedere o prioritizare a importanei acestora n vederea alocrii corespunztoare a
resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul serviciului
secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai
msuri de securitate ca i sistemul integrat privind conducerea organizaiei.
3. Datorit faptului c n cadrul entitii se folosesc servere, sisteme de operare i
platforme web diferite, identificarea vulnerabilitilor sistemului n ansamblu este
o activitate complex i necesar. Analiza rapoartelor de activitate a pus n
eviden faptul c s-a procedat la peticirea vulnerabilitilor, dup care atenia a
fost ndreptat ctre riscurile medii i mici.
Acest mod de abordare are eficien n reducerea riscurilor, ns nu a fost corelat
gradului de risc cu importana fiecrei activiti realizate, ceea ce poate afecta
196
Cauza
Consecina
Recomandarea
Auditor intern,
Popescu Sorin
vulnerabilitatea unor sisteme sau segmente de reea.

Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz
nivelul vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu
sunt adaptate i prezentate persoanelor cu responsabiliti decizionale asupra
securitii informaionale.
Lipsa unei prioritizri a aplicaiilor n funcie de importana lor n
desfurarea activitilor din cadrul entitii.
Lipsa unui sistem de analiz i monitorizare a vulnerabilitilor, care s
identifice i actualizeze vulnerabilitile sistemului i remedieze greelile de
configurare.
Imposibilitatea protejrii integrale a reelelor IT, a alocrii corespunztoare a
resurselor (spaii de memorie, vitez de procesare, stabilitate) n cadrul reelelor
IT.
Lipsa unei viziuni de ansamblu asupra vulnerabilitilor care afecteaz
funcionalitatea reelelor.
Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n
vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu.
Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile
operative de soluionare. Rapoartele ntocmite n urma identificrii i soluionrii
vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii
organizaiei.
Supervizor,
Dumitru Daniel
Structura auditat
197
ENTITATEA PUBLICA
TEST nr. 4.2.

Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009
Utilizatorii au parole de acces individuale

Verificarea sistemului de prevenire i detectare a accesrilor i modificrilor
sau transmiterilor neautorizate de baze de date.
Eantionul cuprinde administratorul i utilizatorii sistemului informatic din
cadrul departamentului IT, care au n dotare 5 calculatoare.
Testarea privind securitatea sistemului informatic a avut la baz Lista de
verificare nr. 4, poziia 4.2 astfel:
existena unui sistem de parole care s fie modificate periodic;
realizarea calendarului privind parolele de acces;
desemnarea unei persoane responsabile cu verificarea periodic a
sistemului de parole de acces;
Testul s-a materializat prin verificarea pe teren a existenei sistemului de
parole de acces i a existenei unui responsabil cu verificarea schimbrii periodice a
acestora de ctre utilizatori.
Din verificarea sistemului de parole existent, pentru cele 5 calculatoare
utilizate, prin observarea direct pe teren, s-a constatat:
inexistena unui sistem de parole de acces;
nedesemnarea unui responsabil cu verificarea schimbrii
sistemului de parole de acces;
inexistena unui sistem de informare sistematic a utilizatorilor.
Sistem inadecvat de parole utilizat n cadrul entitii
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
198

ENTITATEA PUBLICA
INTERVIU nr.4.1.
privind Politica de securitate IT
adresat
domnului Ptrulescu George, Director Direcia IT
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
ntrebri
Da
Exist o politic de securitate IT?

Exist preocupri pentru securitatea IT?
Politica de securitate IT este actualizat?
Este desemnat un responsabil cu monitorizarea
implementrii politicii de securitate IT?
Este desemnat un responsabil cu gestionarea riscurilor la
nivelul departamentului IT?
Au fost ntocmite i transmise sistematic rapoarte de
monitorizare?
Mai avei ceva de adugat?
X
X
X
X
Nu
Obs.
X
X
Data: 16.09.2009
Dat n faa noastr
Auditori,
Popescu Sorin
Radu George
Intervievat,
Ptrulescu George
199

ENTITATEA PUBLICA

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Radu George
Data: 16.09.2009
Data: 16.09.2009
Neasigurarea securitii sistemului informatic

Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a
unui responsabil cu verificarea schimbrii periodice a parolelor de acces.
Analiza interviului a scos n eviden, de asemenea, faptul c nu exist un
sistem de securitate a sistemului informatic i un responsabil cu administrarea
acestui sistem.
Entitatea nu aplic procedura care prevede schimbarea sistematic a parolelor,
precum i verificarea acestora de ctre o persoan responsabil;
Posibilitatea utilizrii datelor i informaiilor din sistem n mod neadecvat de
ctre persoane neautorizate;
Vulnerabilitatea ridicat a sistemului n faa unor intrri nedorite sau unor
atacuri informaionale.
Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului
informatic;
Stabilirea unei persoane care s aib n responsabilitate atribuii i competene
de verificare a schimbrii periodice a parolelor de acces.
Supervizor,
Dumitru Daniel
Structur auditat
200

ENTITATEA PUBLICA
TEST nr. 4.3.

Obiectul
testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 16.09.2009
Data: 16.09.2009
Introducerea instrumentelor de control fizic asupra echipamentelor IT al aplicaiilor.

Examinarea modului de efectuare a controalelor fizice conform procedurilor
Populaia statistic a fost constituit din structurile funcionale ale organizaiei
identificate pe baza analizei organigramei entitii publice.
Eantionul a fost constituit prin selectarea aleatoare a Direciei IT precum i a
Departamentului Financiar Contabil i a Departamentului Resurse Umane unde sunt
localizate servere ce deservesc necesitile lor specifice, respectiv 20% din totalul
populaiei.
verificare, respectiv:
Verificarea dotrii camerelor n care se afl servere-le cu echipamente adecvate,
astfel:
- camere de supraveghere care acoper zona de intrare n camera serverului
monitorizate permanent de serviciul ce asigur paza cldirii;
- senzori de micare;
- sistem de alarm n caz de incendiu;
- sistem de stingere a incendiilor;
- echipamente de aer condiionat;
- ui ignifugate echipate cu ncuietori adecvate.
Testarea s-a concretizat n elaborarea Listei de control nr. 4.4 privind Evaluarea
controalelor fizice n domeniul IT.
Din examinarea efectuata si observarea la fata locului s-au constatat unele
disfuncii legate de accesul necontrolat la toate cele trei locaii selectate (Centrul IT,
Departamentului Financiar Contabil, Departamentul Resurse Umane) att a persoanelor
din cadrul altor departamente ct i a altor persoane din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent
monitorizate. Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i
nesupravegheate, dei sunt echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea
prezentrii unei autorizaii scrise.
Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea
echipamentelor
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
201

ENTITATEA PUBLICA

privind efectuarea controalelor fizice conform procedurilor
Elemente
testate
Eantion
Direcia IT
Departamentul
Financiar Contabil
Departamentul
Resurse Umane
Sistemul de controale fizice

implementat la nivelul camerelor n care se afl servere
Camere de supraveghere care acoper Senzori de Sistem de alarm Sistem
zona de intrare n camera serverului micare
n caz de incendiu stingere
monitorizate permanent de serviciul ce
incendiilor
asigur paza cldirii
de Echipamente Ui
ignifugate
a de
aer echipate cu ncuietori
adecvate
condiionat
X
X
X
X
X
X
X
X
X
X
NU
NU
NU
NU
NU
Data: 16.09.2009
Auditori,
Popescu Sorin
Radu George
Nota :
Echipa de auditori a constatat c nu au fost instalate nici camere de supraveghere care acoper zona de intrare n camera serverului monitorizate
permanent de serviciul ce asigur paza cldirii nici senzori de micare la nivelul Departamentul Resurse Umane. n prezenta List de control auditorii
au punctat lipsa acestor controale cu meniunea Nu deoarece situaia a fost remediat n timpul misiunii de audit i nu s-a mai ntocmit FIAP, dar
aspectele negative constatate vor fi menionate n Raportul de audit intern.
202

ENTITATEA PUBLICA

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor intern,
Popesc Sorin
Data: 16.09.2009
Data: 16.09.2009
Controalele fizice nu sunt implementate in mod eficient pentru a asigura

securitatea echipamentelor
Din examinarea efectuata si observarea la fata locului s-a constatat unele
disfuncii legate de accesul necontrolat la toate cele trei locaii selectate (Centrul
IT, Departamentului Financiar Contabil, Departamentul Resurse Umane) att a
persoanelor din cadrul altor departamente ct i a altor persoane din afara entitii
publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt
permanent monitorizate. Deseori, camerele n care sunt localizate servere-le sunt
lsate descuiate i nesupravegheate, dei sunt echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea
prezentrii unei autorizaii scrise.
Controalele interne nu sunt implementate in totalitate si nu sunt stabilite
responsabiliti cu privire la asigurarea fizica a echipamentelor.
Posibilitatea de dispariie a unor echipamente lsate nesupravegheate, cat si
accesul nepermis la date si informaii ale organizaiei si utilizarea acestora in alte
scopuri fata de interesul organizaiei.
Introducerea de instrumente de control adecvate astfel incit orice acces la
echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile
in care acesta este permis sa fie supravegheat in totalitate.
Supervizor,
Dumitru Daniel
Structur auditat
203
Procedura P10
ENTITATEA PUBLIC

Data: 17.09.2009
Data: 17.09.2009
Obiectivul V.
PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR
Nr.
crt.
A
1.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
Proiectarea i elaborarea programelor i aplicaiilor
Achiziia programelor informatice
Verificai dac s-a realizat o fundamentare a deciziei privind achiziia
unui program existent pe pia, sau dezvoltarea acestuia n cadrul
entitii;
Verificai dac s-a realizat un studiu al pieei care s vizeze ofertele
furnizorilor de programe necesare a fi achiziionate;
Verificai dac modul de concepere a programelor ine cont de cerinele
activitii utilizatorilor i sunt compatibile cu alte sisteme utilizate de
entitate;
Verificai dac aplicaia/programul este conceput astfel nct s suporte
situaii imprevizibile n utilizarea lui de ctre organizaie;
Verificai dac activitile de testare se realizeaz astfel nct s nu
afecteze prelucrrile;
Proiectarea programului informatic
Verificai dac n proiectarea unui program/aplicaii fluxul de date a fost
identificat corect i complet n funcie de specificul activitilor i
periodicitatea acestora;
Verificai dac n proiectarea programului/ aplicaiei fluxul de date se au
n vedere rezultatele ateptate;
Verificai dac pentru proiectarea unui program sau aplicaie, procedurile
sunt stabilite corect i complet n funcie de prelucrrile care se vor aplica
datelor n vederea obinerii rezultatelor ateptate;
Verificai dac proiectarea unui program aplicaie analizeaz situaia
existent pentru a identifica potenialele deficiene n fluxul de date;
Verificai dac algoritmul programului este elaborat adecvat pentru
rezolvarea corect a problemei;
Verificai dac interfaa programului ine cont de structura i formatul
datelor de intrare;
Verificai dac modelele de organizare, accesare, prelucrare i arhivare a
datelor sunt elaborate riguros prin folosirea celor mai adecvate soluii
tehnice;
Verificai dac nivelul de independen fa de platforma suport hardware
i software sunt stabilite conform specificaiilor;
Verificai dac mediile i instrumentele de dezvoltare a
programului/aplicaiei sunt stabilite cu respectarea specificaiilor;
Da
Nu
Observaii
X
X
X
X
X
X
X
X
X
X
X
X
X
X
204
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
1.22
1.23.
1.24.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
Verificai dac structura datelor introduse asigur o minim redundan;

Verificai dac sunt definite criterii de performan;
Verificai dac pentru fiecare aplicaie n parte sunt stabilite urmtoarele:
numrul de utilizatori, rolurile acestora, privilegiile i restriciile
aplicabile fiecrui rol in parte, accesul restricionat;
Verificai dac aplicaia funcioneaz cu respectarea filtrelor, proteciilor,
verificrilor implicite;
Verificai dac au fost definite criterii pentru acceptarea aplicaiilor;
Verificai dac proiectarea aplicaiei este monitorizat;
Verificai dac erorile de funcionare sunt transmise programatorilor;
Verificai dac aplicaia este instalat conform instruciunilor;
Verificai dac versiunile aplicaiilor instalate ulterior sunt compatibile i
utilizeaz toate resursele versiunilor anterioare;
Verificai dac, n cazul n care noile versiuni nu sunt funcionale, se mai
pot restaura versiunile anterioare;
Verificai dac cerinele de dezvoltare a aplicaiei sunt identificate de
ctre utilizatori;
Verificai dac comunicarea cu echipa de specialiti este permanent pe
timpul proiectrii i utilizrii aplicaiei;
Verificai dac schemele logice ale fiecrui program/aplicaie sunt
realizate corect i complet;
Verificai dac aplicaiile permit reconfigurarea anumitor algoritmi,
indicatori sau modele de calcul (de exemplu programele contabile s
permit modificarea cotei TVA, etc.) n funcie de schimbrile legislative
sau de alt natur.
Verificai dac este implementat un sistem de raportare a erorilor ctre
departamentul de suport tehnic.
Elaborarea programului informatic
Verificai dac algoritmul programului/aplicaiei este conform cu logica
operaiilor pentru obinerea rezultatelor dorite;
Verificai dac algoritmul respect cerinele de integrare ale aplicaiei;
Verificai dac interfaa programului cu utilizatorul corespunde cerinelor
de comunicare om-calculator;
Verificai dac limbajul de programare ales corespunde cerinelor de
proiectare;
Verificai dac soluiile de programare sunt utilizate n mod performant;
Verificai dac graficul de realizare a programului i bugetul sunt
respectate;
Verificai dac disfuncionalitile sau neconformitile aprute n rularea
programului sunt identificate pe baza mesajelor generate;
Verificai dac identificarea erorilor este completat cu anumite coduri de
eroare care nsoesc mesajele furnizate de aplicaie;
Verificai dac mesajele sunt analizate i interpretate pentru identificarea
cauzelor care au condus la apariia lor;
Verificai dac integrarea prilor componente ale unui program se face
respectnd cerinele utilizatorilor;
Verificai dac documentaia programului este conform cu funciile
realizate de acesta;
Verificai dac documentaia realizat prezint n detaliu necesitile
tehnice hardware i software;
Testarea i implementarea programelor i aplicaiilor
Testarea programului i aplicaiei
Verificai dac modul de testare al programului este stabilit n
concordan cu precizrile din documentaie;
Verificai dac datele de test sunt definite corespunztor prelucrrilor
programului pe toate ramurile acestuia;
Verificai dac datele de test evideniaz riguros condiiile de validare
definite de program;
Verificai dac programul / aplicaia este executat cu date de test
specifice pentru a constata modul de funcionare a acestuia;
Verificai dac neconformitile i erorile constatate n cursul testrii sunt
analizate cu atenie;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
205
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
1.17.
1.18.
1.19
1.20.
1.21.
1.22.
1.23.
1.24.
1.25.
1.26.
1.27
2.
2.1
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
Verificai dac exist un sistem automat de testare unitar a

funcionalitilor de baz ale aplicaiei.
Verificai dac componentele testate sunt integrate n sistemul informatic
dup un plan bine stabilit, cu minimizarea consecinelor negative;
Verificai dac componentele nou integrate sunt testate cu rigurozitate;
Rezultatele testrii sunt evaluate n concordan cu precizrile din
documentaia programului/aplicaiei;
Verificai dac neconformitile i erorile semnalate n cursul testrii sunt
analizate i soluionate;
Verificai dac coreciile ce trebuie operate n program sunt stabilite i
conduc la o mbuntire;
Verificai dac programul/aplicaia este instalat la utilizator conform
procedurii specifice;
Verificai dac datele de testare sunt generate n conformitate cu
manualele de operare i utilizare;
Verificai dac simulrile se realizeaz conform manualului de utilizare;
Verificai dac rezultatele testrilor sunt analizate centralizat;
Verificai dac rezultatele testrii sunt interpretate conform manualelor
de utilizare i operare;
Verificai dac aplicaia corespunde cerinelor reale;
Verificai dac aplicaia cu date reale ruleaz conform manualului de
utilizare;
Verificai dac rezultatele sunt interpretate conform documentaiei
aplicaiei;
Verificai dac erorile constatate sunt comunicate programatorilor;
Verificai dac corectitudinea rezultatelor este asigurat prin algoritmii
de calcul utilizai de program/aplicaie
Verificai dac corectitudinea datelor este verificat prin modaliti
specifice;
Verificai dac sunt puse la dispoziia utilizatorului up-date-uri ale
aplicaiilor;
Verificai dac filtrele, proteciile i verificrile asigurate de
program/aplicaie sunt semnalate beneficiarului;
Verificai dac erorile cauzate de algoritmii de calcul sunt ndeprtate
prin corectarea acestora;
Verificai dac etapele de testare sunt reluate corect i n totalitate pentru
a verifica ndeprtarea erorilor i pentru a se asigura c nu au aprut
altele noi.
Verificai dac dup implementarea unui nou modul al aplicaiei,
documentaia aferent este actualizat.
Asigurarea corectitudinii rezultatelor
Verificai dac opiunile i parametrii de lucru ai programului/aplicaiei
sunt stabilii conform specificaiilor din documentaii;
Verificai dac cerinele hardware /software necesare rulrii
programului/aplicaiei sunt adecvat specificate;
Verificai dac condiiile de funcionare a programului/aplicaiei sunt
stabilite n concordan cu solicitrile beneficiarului i n funcie de
cerinele aplicaiei;
Verificai dac condiiile de funcionare a programului/aplicaiei sunt
stabilite n concordan cu solicitrile utilizatorului.
Verificai dac procedura de instalare este elaborat cu respectarea
condiiilor de funcionare a programului;
Verificai dac programul/aplicaia este instalat la beneficiar conform
procedurii specifice i urmare a solicitrii acestuia;
Verificai dac stocarea datelor asigur urmtoarele:
a) dac o dat sau informaie este stocat ntr-un singur fiier
b) dac accesul se realizeaz uor la o dat stocat i n funcie de nivelul
de autorizare
c) dac datele se pot accesa n mod global n cazul realizrii de noi
programe sau de utilizare a celor existente
d) dac o dat sau informaie este prezentat sau transmis n aceeai
form de la un fiier la altul
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Test nr. 5.1.

FIAP nr. 5.1.
206
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
Verificai
dac
opiunile
i
parametrii
de
operare
ai
programului/aplicaiei sunt setai conform specificaiilor din
documentaii;
Verificai dac condiiile de funcionare a programului/ aplicaiei sunt
refcute dup incidente hardware sau software;
Verificai dac implementarea programului/aplicaiei este monitorizat;
Verificai dac istoricul aplicaiilor menioneaz operaiile de ntreinere
sau up-date-urile realizate;
Verificai dac istoricul programului/ aplicaiei este pstrat n siguran;
Verificai dac utilizatori sunt instruii pentru nsuirea modului de
operare cu programul/aplicaia n conformitate cu documentaia aferent;
Verificai dac eventualele dezvoltrii ale aplicaiei sunt aduse la
cunotina utilizatorilor;
Verificai dac utilizatorii sunt asistai n lucrul efectiv cu
programul/aplicaia;
Verificai dac reinstalarea aplicaiei se realizeaz respectnd procedurile
standardizate;
Verificai dac jurnalul privind interveniile de service este adus la
cunotina persoanelor responsabile;
Verificai dac opiunile i parametrii de lucru ai aplicaiei sunt setai
conform documentaiei aplicaiei;
X
X
X
X
X
X
X
X
X
X
X
Auditori,
Popescu Sorin
Radu George
207

ENTITATEA PUBLICA
TEST nr. 5.1.

Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Data: 17.09.2009
Data: 17.09.2009
Asigurarea corectitudini datelor n cadrul programelor informatice

Organizarea datelor n sistemele informatice
Populaia statistic a fost constituit din fiierele da date constituite n vederea
organizrii i pstrrii datelor.
Eantionul pentru realizarea testrii modului de organizare a datelor n sistemele
informatice a fost constituit prin selectarea unui eantion reprezentativ care cuprinde
date din cadrul tuturor domeniilor de activitate din cadrul entitii.
- dac o dat sau informaie este stocat ntr-un singur fiier
- dac accesul se realizeaz uor la o dat stocat i n funcie de nivelul de
autorizare
- dat datele se pot accesa n mod global n cazul realizrii de noi programe sau
de utilizare a acelor existente
- dac o dat sau informaie este prezentat sau transmis n aceeai form de la
un fiier la altul
Testarea s-a concretizat n elaborarea unei Liste de control privind organizarea
i pstrarea datelor n cadrul sistemelor informatice.
Datele sunt stocate n memoria intern i memoria extern a oricrui sistem de calcul.
Organizarea datelor trebuie s asigure:
- timp de acces minim la date;
- apariia n sistem a datelor o singur dat;
- spaiu de memorie intern i extern pentru date ct mai mic;
- reflectarea prin organizare a tuturor legturilor dintre procesele economice
pe care aceste date le reprezint;
- posibilitatea modificrii structurii datelor i a relaiilor dintre date fr a
produce schimbri n programele care le gestioneaz.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor
fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s
permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de
indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a
unei nregistrri din fiier.
Organizarea datelor n fiierele de date prezint urmtoarele disfuncii:
- redundan mare stocarea datelor n mai multe fiiere
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii
suplimentare de sortare, fuziune, ventilare
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s
208
acceseze datele ntr-o manier global

actualizarea datelor prin adugare, modificare, tergere genereaz erori
atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date
- dependena programelor fa de date modificrile din structura datelor
oblig la efectuarea de corecturi n programele de calculator
- fiecare dat este descris independent n toate fiierele n care apar dac
ntr-un fiier se modific formatul i valoarea unei date, acea modificare nu
se transmite automat, pentru aceeai dat, n toate fiierele de date.
Organizarea datelor n fiierele de date nu asigur o stocare i utilizare eficient a
acestora.
-
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
209

ENTITATEA PUBLICA

Problema
Constatarea
Cauza
Consecina
Recomandarea
Data: 17.09.2009
Data: 17.09.2009
Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a

acestora.
Datele sunt stocate n memoria intern i memoria extern a oricrui sistem de calcul.
Organizarea datelor trebuie s asigure:
- timp de acces minim la date;
- apariia n sistem a datelor o singur dat;
- spaiu de memorie intern i extern pentru date ct mai mic;
- reflectarea prin organizare a tuturor legturilor dintre procesele economice
pe care aceste date le reprezint;
- posibilitatea modificrii structurii datelor i a relaiilor dintre date fr a
produce schimbri n programele care le gestioneaz.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor
fiierului n secvena n care au fost stocate sau pe baz unui cod de identificare care s
permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de
indeci care pentru fiecare valoare atributului care permite identificarea n mod unic a
unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii
suplimentare de sortare, fuziune, ventilare
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s
acceseze datele ntr-o manier global
- actualizarea datelor prin adugare, modificare, tergere genereaz erori
atunci cnd mai muli utilizatori doresc s modifice simultan aceleai date
- dependena programelor fa de date modificrile din structura datelor
oblig la efectuarea de corecturi n programele de calculator
fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier
se modific formatul i valoarea unei date, acea modificare nu se transmite automat,
pentru aceeai dat, n toate fiierele de date.
Lipsa specialitilor, precum i a participrii personalului la diversele cursuri de
specialitate organizate n afara entitii, n vederea dobndirii cunotinelor necesare
pentru organizarea eficient a datelor.
Exploatarea cu dificultate a datelor, apariia erorilor n cadrul sistemelor de date
existente urmare utilizrii i stocrii incorecte a datelor, posibilitatea de modificare n
mod necontrolat a unui sistem de date.
Urmare creterii necesarului de date i informaii i a progreselor tehnologiilor
informaiei este necesar organizarea datelor n baze de date, respectiv un fiier format
din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor:
- definirea, structurarea, ordonarea i gruparea datelor n colecii de date
omogene;
210
Auditor intern,
Radu George
stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat;
memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de
calcul.
Supervizor,
Dumitru Daniel
Structur auditat
211
Procedura P10
ENTITATEA PUBLIC

Data: 18.09.2009
Data: 18.09.2009
Obiectivul VI.
ELABORAREA I IMPLEMENTAREA PROIECTELOR IT
Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
1.16.
2.
Dezvoltarea proiectelor IT
Iniierea i elaborarea proiectelor IT
Analizai dac situaia pentru care trebuie implementat un proiect IT
este bine izolat i evaluat folosind mijloace specifice;
Analizai dac lansarea proiectului pentru implementarea unor noi
soluii IT este stabilit dup analiza detaliat a cauzelor i efectelor
pe termen lung ale perpeturii deficienelor actuale;
Verificai dac soluiile propuse pentru implementarea unui proiect
IT corespund cerinelor identificate;
Verificai dac obiectivele generale ale proiectului sunt stabilite cu
respectarea strategiei generale a organizaiei;
Analizai dac componentele proiectului reflect soluiile ce trebuie
implementate i care vor conduce la realizarea obiectivelor stabilite;
Verificai dac componentele proiectului sunt compatibile direct sau
prin interfee cu proiectele aflate n derulare;
Verificai dac rezultatele intermediare i finale ale proiectului sunt
evaluate folosind criterii adecvate;
Verificai dac bugetul alocat proiectului permite obinerea
configuraiilor hard/soft propuse;
Verificai dac cheltuielile cu mentenana acoper durata optim de
exploatare;
Verificai dac implementarea proiectului propus beneficiaz de
asisten tehnic;
Verificai dac cerinele utilizatorilor proiectului sunt identificate
corect i complet;
Verificai dac proiectele IT se pliaz pe cerinele utilizatorilor
crora le sunt destinate;
Verificai dac proiectul propus a fi elaborat este comparat cu cele
din portofoliul organizaiei, pentru a identifica asemnri i deosebiri
de care s se in cont;
Verificai dac proiectele propuse sunt competitive pentru
organizaie;
Verificai dac monitorizarea riscurilor asigur viabilitatea planului
de continuitate a activitilor;
Verificai dac frecvena i complexitatea testrilor proiectelor
implementate se bazeaz pe riscurile necontrolate.
Monitorizarea performanelor soluiilor IT implementate
Da
Nu
Observaii
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
212
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
Verificai dac parametrii de referin i valorile etalon ale

programelor elaborate respect specificaiile i se ncadreaz n X
standarde;
Verificai dac regulile i procedurile stabilite pentru supravegherea
i colectarea valorilor parametrilor de referin nu afecteaz lucrul X
utilizatorilor i nici funcionarea aplicaiilor;
Verificai dac regulile i procedurile utilizate pentru evaluarea
programelor nu conduc la ambiguiti i identific posibilitatea X
apariiei unei erori de funcionare;
Verificai dac jurnalele cu valorile de referin monitorizate sunt
X
pstrate i analizate periodic, pentru a se stabili coreciile necesare;
Verificai dac disfuncionalitile hard i soft sesizate de ctre
X
utilizatori sunt recepionate i sunt detectate cauzele;
Verificai dac analizele i rapoartele privind implementarea
proiectelor IT propuse sunt ntocmite riguros i dac evenimentele X
sau disfunciunile sunt evaluate i se elaboreaz soluii de remediere.
Implementarea i funcionarea programelor i aplicaiilor
Reproiectarea soluiilor IT pentru programe i aplicaii
Verificai dac punctele slabe, critice i limitrile unui
X
program/aplicaie sunt identificate;
Verificai dac documentaia cu fluxul de date i prelucrrile
X
necesare este elaborat adecvat situaiei reale;
Verificai dac documentaia ntocmit constituie baza procesului de
X
proiectare;
Verificai dac soluiile IT sunt proiectate pornind de la punctele
slabe, critice detectate, de la evoluiile tehnologice existente i cele X
prefigurate de dezvoltarea entitii;
Verificai dac soluiile noi propuse sunt axate pe atingerea
X
obiectivelor strategiei de dezvoltare a organizaiei;
Verificai dac soluiile noi au la baz o analiz cauz-efect, o
X
analiz tehnic, precum i o analiz a eficienei investiiei;
Verificai dac soluiile acceptate conduc la mbuntirea
X
performanelor intelor propuse;
Verificai dac soluiile noi in cont de constrngerile existente n
X
cadrul entitii;
Verificai dac soluiile noi se ncadreaz n strategia de funcionare
X
i dezvoltare a organizaiei;
Verificai dac studiile i analizele elaborate evideniaz clar
X
impactul tehnologiilor propuse;
Verificai dac riscurile legate de securitatea datelor sunt identificate
X
i evaluate corect i complet;
Verificai dac msurile pentru prevenirea i contracararea riscurilor
X
sunt gndite adecvat situaiei;
Verificai dac procedurile pentru minimizarea unui atac la
X
securitatea sistemului sunt elaborate i sunt adecvate;
ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametrii optimi
Verificai dac utilizarea computerelor/echipamentelor periferice sau
a componentelor de conectare n reea se realizeaz potrivit X
procedurilor specifice;
Verificai dac se monitorizeaz mesajele de eroare n funcionarea
X
echipamentelor/aplicaiilor;
Verificai dac erorile sunt corectate direct sau prin intervenii ale
X
personalului de specialitate;
Verificai dac informaiile despre modul de funcionare a
calculatorului sau a echipamentelor sunt transmise n timp util X
utilizatorului;
Verificai dac supravegherea proceselor aflate n execuie i a
performanelor aplicaiilor, sistemelor sau programelor se realizeaz X
prin aplicarea procedurilor i respectarea lor;
Verificai dac evenimentele care indic performanele i starea
X
sistemelor sunt nscrise i pstrate n jurnale;
Verificai dac imprimantele i alte echipamente de reea sunt corect X
213
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
instalate i sunt configurate corespunztor accesului partajat;

Verificai dac funcionarea echipamentelor de tiprire i accesul
utilizatorilor la acestea sunt verificate periodic;
Verificai dac utilizatorii beneficiaz permanent de asisten
tehnic;
Verificai situaia licenelor deinute pentru sistemul de operare
Windows
Verificai situaia licenelor deinute pentru pachetul de programe
Microsoft Office
Verificai dac entitatea public a achiziionat licene pentru
programele utilizate
Analizai dac au fost identificate limitrile bugetare n privina
achiziiilor licenelor i dac au fost gsite soluii alternative
Analizai eventualele disfuncionaliti aprute n procesul de
achiziionare a licenelor
Verificai existena soft-urilor neliceniate instalate de utilizatori
Verificai desemnarea responsabilitilor privind achiziionarea
licenelor pentru programele de calculator
Verificai existena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au
achiziionat licene
Verificai dac conectarea i comunicarea calculatoarelor n reea
sunt permanent supravegheate i meninute;
Verificai dac funcionarea serviciilor din reea i accesul
utilizatorilor la servicii sunt atent monitorizate;
Verificai dac interconectarea reelelor, inclusiv conectarea la
reeaua Internet este supravegheat cu responsabilitate;
Verificai dac apariia situaiilor deosebite sunt aduse la cunotina
administratorului de reea;
Verificai dac dispozitivele de stocare a datelor sunt utilizate
conform instruciunilor specifice de lucru;
Verificai dac salvrile de siguran sunt pstrate n condiii
adecvate;
Verificai dac datele salvate anterior se pot restaura la nevoie i
utilizatorii sunt asistai pentru recuperarea integral a acestora;
Verificai dac procedurile de salvare sunt corespunztoare strategiei
de securitate;
Verificai dac sistemele de operare i aplicaiile sunt instalate,
modernizate sau configurate folosind proceduri standardizate;
Verificai dac modul de funcionare a echipamentelor, a sistemelor
de operare i a aplicaiilor folosite de utilizatori este verificat
periodic;
Verificai dac erorile i incidentele aprute sunt remediate operativ;
Test nr. 6.1.

Foaie de lucru nr. 6.1.
List de control 6.1.
FIAP nr. 6.1.
X
X
X
X
X
X
X
X
X
X
X
Auditori,
Popescu Sorin
Radu George
214

ENTITATEA PUBLICA
TEST nr. 6.1.

Obiectul testului
Data: 18.09.2009
Data: 18.09.2009
Situaia licenelor pentru programele de calculator
Obiectivele
testului
Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea

public;
Identificarea eventualelor limitri bugetare n privina achiziionrii licenelor i
a aciunilor ntreprinse de departamentul IT n aceste condiii;
Analiza eventualelor disfuncionaliti aprute n procesul de achiziionare a
licenelor i a modului de soluionare a lor.
Descrierea
testului
Eantionul pentru realizarea testrii situaiei licenelor pentru programele de

calculator utilizate a fost stabilit pe baza unui procent de 5%, din totalul populaiei de
580 de calculatoare, respectiv 29 calculatoare personale, conform foii de lucru anexate.
Pentru fiecare post de lucru dotat cu calculator a fost verificat situaia licenelor
deinute att pentru sistemul de operare Windows, ct i pentru pachetul de programe
Microsoft Office.
Testarea a constat n examinarea elementelor stabilite potrivit listei de verificare,
i anume:
- verificarea situaiei licenelor deinute pentru sistemul de operare Windows;
- verificarea situaiei licenelor deinute pentru pachetul de programe
Microsoft Office;
- verificarea dac entitatea public a achiziionat licene pentru programele
utilizate;
- identificarea eventualelor limitri bugetare n privina achiziionrii
licenelor;
- analiza eventualelor disfuncionaliti aprute n procesul de achiziionare a
licenelor;
- verificarea existenei soft-urilor neliceniate instalate de utilizatori;
- verificarea desemnrii responsabilitilor privind achiziionarea licenelor
pentru programele de calculator;
- verificarea existenei controalelor de sistem ce alerteaz administratorul n
cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Testarea s-a concretizat n elaborarea Listei de control nr. 3.5. privind situaia
licenelor pentru programele de calculator.
Din analiza Listei de control nr. 3.5, s-au constatat ca angajaii unor
departamente folosesc programe aferente pachetului Microsoft Office fr ca pentru
acestea entitatea public s fi achiziionat licene. Aceste programe au fost instalate
folosind coduri piratate.
De asemenea, sistemul IT al entitii publice nu a fost prevzut cu controale
care s-i permit alertarea administratorului de sistem n cazul utilizrii unor astfel de
programe, fr licen.
Utilizarea n cadrul entitii publice a unor programe software fr licen
Constatri
Concluzii
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
215

ENTITATEA PUBLICA

Obiectul nr. 3: Situaia licenelor pentru programele de calculator
Obiectivul : Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea public
-
populaia total este de 250 calculatoare personale;

eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale;
pasul de selecie va fi 250 : 5 = 50;
eantionul se va constitui din calculatoarele existente n Lista de inventariere a calculatoarelor
personale din entitatea public ncepnd de la poziia 0 i va cuprinde computerele cu numerele de
inventar: 50, 100, 150, 200, 250
eantionul constituit va fi verificat integral;
n urma verificrii se va ntocmi un test.
Data: 18.04.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
216

ENTITATEA PUBLICA

privind Situaia licenelor pentru programele de calculator

Verificarea
Verificarea
existenei
Verificarea
Verificarea
situaiei
controalelor de sistem
situaiei
existenei softlicenelor
ce
alerteaz
licenelor
urilor
att
administratorul n cazul
deinute
att deinute
neliceniate
utilizrii de
soft-uri
pentru sistemul pentru pachetul
instalate
de
programe
pentru care nu
s-au
de
operare de
utilizatori
achiziionat licene
Windows
Microsoft Office
Elemente
testate
Eantion
Computer nregistrat
numr de inventar 50
Computer nregistrat
numr de inventar 100
Computer nregistrat
Computer nregistrat
Computer nregistrat
cu
FIAP
cu
FIAP
FIAP
cu
FIAP
FIAP
cu
FIAP
cu
FIAP
Data: 18.09.2009
Auditor intern,
Popescu Sorin
Supervizor,
Dumitru Daniel
217

ENTITATEA PUBLICA

Data: 13.09.2009
Data: 13.09.2009
Problema
Constatarea
Utilizarea n cadrul entitii publice a unor programe software fr licen.

Cu toate c entitatea public a achiziionat licene pentru pachetul de programe
Lotus, s-au constatat c n cadrul unor departamente se folosesc programe aferente
pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat
licene. Practic salariaii au instalat programe utiliznd CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de
sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au
achiziionat licene.
Cauza
Salariaii entitii publice au observat c dei programele existente permit realizarea

sarcinilor de serviciu, totui programele din pachetul Microsoft Office sunt mai
fiabile, mai flexibile i permit realizarea unui numr mai mare de operaiuni, cu care
sunt deja familiarizai.
De asemenea aceast situaie a fost generat i de primirea de la alte entiti publice
a unor fiiere electronice create cu programele din pachetul Microsoft Office, i
care nu au putut fi prelucrate n continuare folosind programele Lotus.
Consecina
Entitatea public este pasibil de sanciuni din partea Oficiului Romn

pentru Drepturi de Autor, pentru utilizarea unor programe fr licen;
Soft-urile neliceniate instalate de utilizatori pot conine virui, troieni sau
alte programe ce ar putea afecta n mod grav subsistemele IT la care au acces aceti
utilizatori, sau chiar sistemul IT n ansamblul su;
Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind
utilizarea programelor fr licen;
Dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office;
Realizarea unei analize complexe n urma creia managementul entitii
publice s decid asupra oportunitii schimbrii programelor existente i
achiziionarea unui numr adecvat de licene Microsoft Office.
Recomandarea
Auditor intern,
Radu George
Supervizor,
Dumitru Daniel
Structur auditat
218
Procedura P10
ENTITATEA PUBLIC

Data: 19.09.2009
Data: 19.09.2009
Obiectivul 7.
PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIUNE A UNEI
REELE
Nr.
crt.
A
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
1.8.
1.9.
1.10.
1.11.
1.12.
1.13.
1.14.
1.15.
Da
Nu
Observaii
Proiectarea, instalarea i administrarea reelei de calculatoare

Asigurarea bunei funcionri a sistemelor bazate pe existena i funcionarea reelei de calculatoare
Verificai dac resursele materiale necesare pentru urmrirea
performanelor i meninerea n funciune a reelei de calculatoare
X
sunt stabilite corect pe componente, respectiv server, client,
echipament de conectare la reea;
Verificai dac resursele umane sunt identificate i stabilite ca
X
dimensiune att numeric, ct i n raport de competenele necesare;
Verificai dac echipamentele din reea sunt administrate centralizat; X
Verificai dac pentru fiecare echipament din reea i sunt asociate
X
proceduri, operaii i termene de efectuare;
Verificai dac subsistemele existente pot fi configurate i
X
supravegheate individual;
Verificai dac configurarea reelei, conectarea componentelor n
reea, distribuirea serviciilor conduc la creterea productivitii X
muncii n organizaie;
Verificai dac numrul componentelor de tip server i al celor de tip
client se stabilete n conformitate cu activitile desfurate n X
organizaie;
Verificai dac serverele i staiile client sunt amplasate n reea i
X
configurate conform regulilor impuse prin strategia de securitate;
Verificai dac riscul apariiei erorilor previzibile este corect evaluat; X
Verificai dac la apariia incidentelor neprevzute, sunt puse n
X
practic proceduri de rspuns special prevzute;
Verificai dac regulile stabilite i implementate asigur accesul
controlat i sigur al utilizatorilor numai la acele resurse de care au
X
nevoie pentru ndeplinirea sarcinilor de serviciu conform fiei
postului;
Verificai dac datele disponibile i folosite n reea sunt corecte,
X
sigure i obinute la timp;
Verificai dac regulile stabilite i implementate pentru urmrirea
traficului de informaii n reea, a ncrcrii reelei, a performanelor
X
serverelor i serviciilor sunt folosite numai pentru evaluarea corect
a strii de funcionare a reelei i a componentelor ei;
Verificai dac dezvoltarea, adaptarea sau reconfigurarea reelei se
realizeaz pe baza evalurii modului de funcionare i au drept scop
X
creterea performanelor serviciilor i diminuarea ncrcrii reelei n
anumite puncte;
Verificai dac lista parametrilor de referin i valorile etalon
folosite pentru evaluarea performanelor echipamentelor hardware i
X
ale componentelor software respect specificaiile productorilor i
se ncadreaz n standarde;
219
1.16.
1.17.
1.18.
1.19.
1.20.
1.21.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12
B.
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.
1.7.
Verificai dac pentru fiecare echipament este stabilit un set propriu

de parametri i valori acceptate, conform standardelor de
funcionare;
Verificai dac regulile, procedurile i criteriile folosite pentru
evaluarea performanelor nu conduc la ambiguiti i identific din
timp posibilitatea apariiei unor erori de funcionare.
Verificai dac jurnalele cu valorile msurate ale parametrilor de
referin sunt pstrate i analizate periodic, n vederea stabilirii
coreciilor suplimentare pentru prentmpinarea apariiei erorilor de
funcionare;
Verificai dac erorile, nefuncionalitile sunt evaluate i sunt
elaborate soluii de remediere;
Verificai dac vulnerabilitile sunt identificate i corectate;
Verificai dac fiecare component a reelei este evaluat conform
unui etalon standard.
Administrarea serverelor
Verificai dac resursele hardware instalate respect indicaiile
productorului;
Verificai dac resursele hardware instalate i configurate respect
cerinele IT implementate n organizaie;
Verificai dac accesul i utilizarea resurselor serverului respect
strategia de securitate a reelei;
Verificai dac programele sunt instalate i configurate conform
specificaiei productorilor;
Verificai dac permisiunea de administrare a unui program este
acordat numai personalului calificat i cu respectarea strategiei de
securitate a reelei;
Verificai dac administrarea programelor se face de la distan
folosind instrumente specifice;
Verificai dac activitile de ntreinere hardware sau software sunt
planificate conform cerinelor din instruciunile de utilizare;
Verificai dac soluiile de salvare ale unui program sunt corecte i
eficiente;
Verificai dac jurnalele obinute prin monitorizarea programelor
sunt pstrate pentru a fi periodic consultate;
Verificai dac jurnalele identific utilizatorii care au avut acces la
program, n limita permisiunilor ce le-au fost acordate;
Verificai dac jurnalele identific tentativele nereuite ale
utilizatorilor de a avea acces la programe;
Verificai dac intruii din interior sau exterior pot fi identificai prin
informaiile pstrate n jurnale.
Interconectarea i securitatea reelei
Interconectarea reelelor
Verificai dac conexiunile dintre reele sunt conforme cu arhitectura
general i respect standardele de interconectare;
Verificai dac componentele hardware i software ale
echipamentelor de legtur sunt configurate respectnd regulile de
securitate a transmisiilor de date din strategia de securitate a
organizaiei;
Verificai dac tabelele de rutare sunt corect configurate i indic
adresele reelelor accesibile;
Verificai dac instalarea i configurarea echipamentelor de legtur
ntre reele respect instruciunile din documentaia tehnic;
Verificai dac instalarea i configurarea componentelor software
respect indicaiile productorilor i sunt conforme strategiei de
securitate;
Verificai dac cerinele de conectare la Internet sunt identificate n
conformitate cu fia postului pentru fiecare categorie de personal i
respect strategia de securitate;
Verificai dac accesul permis din reeaua Internet la programele i
aplicaiile organizaiei respect strategia de securitate privitoare la
accesul la informaiile organizaiei;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
220
1.8.
1.9.
1.10.
1.11.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10.
2.11.
2.12.
2.13.
2.14.
2.15.
2.16.
2.17.
2.18.
2.19.
2.20.
2.21.
2.22.
2.23.
2.24.
2.25
2.26.
2.27.
Verificai dac conectarea la Internet se realizeaz n conformitate cu

standardele de securitate n vigoare;
Verificai dac sunt implementate reguli de securitate pentru accesul
la i din reeaua Internet n conformitate cu strategia de securitate a
organizaiei;
Verificai dac accesul prin intermediul Internet-ului la programe
este strict monitorizat pentru detectarea tentativelor de acces
neautorizat;
Verificai dac tentativele de acces neautorizat sunt urmate de
declanarea procedurilor de securitate.
Verificai dac cerinele de asigurare a securitii reelei sunt
identificate n funcie de activitile desfurate;
Verificai dac cerinele de asigurare a securitii transmisiilor de
date sunt stabilite n funcie de activitile desfurate;
Verificai dac vulnerabilitile i ameninrile sunt corect
identificate i prioritizate;
Verificai dac obiectivele activitii de management al riscurilor
sunt eliminarea, atenuarea sau transferul riscurilor;
Verificai dac fiecrui risc identificat i corespunde un set de
proceduri a cror aplicare conduce la atenuarea sau eliminarea
pagubelor;
Verificai dac procedurile de securitate respect principiul aprrii /
imunizrii procesului vizat de eventuale atacuri informatice;
Verificai dac procedurile de securitate elaborate pentru protecia
datelor, aplicaiilor, sistemelor de operare i echipamentelor sunt
eficiente;
Verificai dac procedurile de securitate ce trebuie implementate
sunt aduse operativ la cunotina personalului;
Verificai dac sistemele de operare i aplicaiile sunt configurate
astfel nct s aplice automat procedurile de securitate;
Verificai dac transmisiile de date i comunicaiile n reea sunt
configurate astfel nct s aplice automat procedurile de securitate;
Verificai dac jurnalele de evenimente sunt analizate periodic
pentru identificarea potenialelor lipsuri de securitate;
Verificai dac reaciile managerilor i ale personalului fa de
securitatea reelei sunt periodic i atent evaluate;
Verificai dac aplicarea procedurilor de securitate mpiedic buna
desfurare a activitilor organizaiei;
Verificai dac detectarea unui incident neprevzut determin o
reacie prestabilit.
Verificai modul de implementare a msurilor privind sigurana
accesului utilizatorilor n reea conform procedurilor;
Verificai modul de alocare a numelui de utilizator i parolei aferente
pentru accesul la reea;
Verificarea monitorizrii siguranei accesului utilizatorilor n reea
Analizai dac a fost elaborat documentaia tehnic adecvat
privind conectarea la Internet.
Verificai dac aceast documentaie este adecvat i actualizat
Determinai dac manualele privind utilizarea reelei au n vedere
asigurarea securitii comunicrii datelor n reea.
Analizai aciunile ntreprinse n cazurile n care a fost ameninat
integritatea i eficacitatea transmiterii datelor n reea.
Verificai existena procedurilor i desemnarea responsabilitilor
pentru monitorizarea controalelor fizice;
Verificai efectuarea controalelor fizice conform procedurilor;
Analiza siguranei accesului la reea i a comunicrii datelor n reea
Monitorizarea conectrii la reea conform listei de logare;
Analizai rapoartele de monitorizare a traficului datelor n reea.
Verificai existena procedurilor i desemnarea responsabilitilor
pentru monitorizarea accesului utilizatorilor n reea;
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Test nr. 7.1.

Foaie de lucru nr. 7.1.
List de control 7.1.
FIAP nr. 7.1.
X
X
X
X
X
X
X
X
X
X
221

ENTITATEA PUBLICA
TEST nr. 7.1.

Obiectul testului
Obiectivele
testului
Descrierea
testului
Constatri
Concluzii
Data: 19.09.2009
Data: 19.09.2009

Sigurana accesului la reea i a comunicrii datelor n reea
Populaia statistic a fost constituit din cele 250 de calculatoare existente la
nivelul entitii publice, conform Listei de inventariere a calculatoarelor personale.
Eantionul pentru realizarea testrii siguranei accesului la reea a fost stabilit pe
baza unui procent de 2%, din totalul populaiei statistice, respectiv 5 calculatoare
personale, conform Foii de lucru nr. 4.5.
verificare nr. 4, poz. 4.5, i anume:
- Verificai modul de alocare a numelui de utilizator i parolei aferente pentru
accesul la reea ;
- Monitorizarea conectrii la reea conform listei de log-are.
Testarea s-a concretizat n elaborarea Listei de control nr. .. privind accesul i
comunicarea datelor n reea.
Din analiza Listei de control rezultate, s-au constatat urmtoarele:
a. majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de
serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator
i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare
subsistem IT trebuie folosite nume de utilizator i parol diferite, n loc s se
foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se
conecteaz angajatul.
b. datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori
acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele
colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de
identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele
subsisteme IT.
c. practic, sistemul de parole nu mai are funcii principale de restricionare a
accesului persoanelor nepotrivite, ci ngreuneaz funcionarea sistemului.
d. n situaia apariiei unor incidente nu se pot stabili responsabilitile
aferente.
Sistemul de parole este stabilit si utiliza in mod neadecvat
Auditor,
Radu George
Supervizor,
Dumitru Daniel
222
ENTITATEA PUBLICA

Obiectiv: Sigurana accesului la reea i a comunicrii datelor n reea
- populaia total este de 250 calculatoare personale;
- eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale;
- pasul de selecie va fi 250 : 5 = 50;
- eantionul se va constitui din calculatoarele existente
n Lista IP-urilor
calculatoarelor ce se conecteaz la reeaua entitii publice la poziiile:
35, 85, 135, 185, 235
Data: 19.09.2009
Auditor,
Radu George
Supervizor,
Dumitru Daniel
223

ENTITATEA PUBLICA

Privind accesul i comunicarea datelor n reea
Elemente
Testate
Eantion
Verificai modul de alocare a numelui de

utilizator i parolei aferente pentru accesul la Monitorizarea conectrii la reea conform
listei de log-are
reea
Computer aflat la poziia 35
FIAP

X
FIAP
FIAP
X
X
X
X
X
Data: 19.09.2009
Auditor,
Radu George
Supervizor,
Dumitru Daniel
224

ENTITATEA PUBLICA

Problema
Constatarea
Cauza
Consecina
Recomandarea
Auditor,
Radu George
Data: 19.09.2009
Data: 19.09.2009
Neutilizarea unui singur nume de utilizator i unei singure parole pentru

accesul la sistemul IT.
Din evaluare s-a constatat c majoritatea salariailor din cadrul entitii
publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe
subsisteme IT care folosesc nume de utilizator i parole diferite.
Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT
trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc
acelai nume de utilizator i parol indiferent de subsistemul IT la care se
Inexistena unor proceduri de lucru adecvate potrivit crora sa fie reglementat
modul de conectare a echipamentelor la reea sau programe si aplicaii.
Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia
noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele
colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de
identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele
subsisteme IT.
n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.
Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul
entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au
nevoie utiliznd un singur nume de utilizator i o singur parol;
Supervizor,
Dumitru Daniel
Pentru conformitate
Structura auditat
225
226
Procedura P10:
REVIZUIREA DOCUMENTELOR DE LUCRU
Entitatea Public
CONSTITUIREA DOSARELOR DE AUDIT INTERN

Data: 20.09.2009
Data: 20.09.2009
Dup finalizarea interveniei la faa locului, se constituie Dosarele de audit intern n vederea
asigurrii unei legturi ntre obiectivele stabilite prin programul de audit, intervenia la faa locului i
raportul de audit public intern. Documentele culese i/sau ntocmite pe timpul misiunii de audit se
constituie n urmtoarele dosare:
A. Dosarul permanent, care cuprinde:
a) Seciunea A Raportul de audit intern i anexele acestuia:
- Ordinul de serviciu;
- Declaraia de independen;
- Rapoartele de audit intern (intermediar, final, sinteza Raportului de audit intern);
- teste;
- Fiele de identificare i analiz a problemelor;
- Formularele de constatare a iregularitilor;
- Programul interveniei la faa locului.
b) Seciunea B administrativ:
- Notificarea privind declanarea misiunii de audit;
- Minuta edinei de deschidere;
- Minuta reuniunii de conciliere;
- Minuta edinei de nchidere;
- Corespondena cu entitatea structurii auditate;
c) Seciunea C - documentaia misiunii de audit public intern:
- strategii interne;
- reguli, regulamente i legi aplicabile;
- proceduri de lucru;
- materiale despre entitatea/structura auditat;
- rapoarte de audit public intern anterioare;
- informaii privind fluxul de informaii;
- documentaia analizei riscului;
- documentaia privind sistemul de control (aprobri, autorizri, separarea
sarcinilor, supervizarea, reconcilierea, rapoarte etc.);
d) Seciunea D - supervizarea i revizuirea desfurrii misiunii i a rezultatelor
acesteia i cuprinde Lista de supervizare a documentelor;
B. Dosarul documentelor de lucru cuprinde copii xerox a documentelor justificative, care confirm i
sprijin concluziile. Dosarul se indexeaz prin atribuirea de litere i cifre pentru fiecare seciune/obiectiv din
cadrul programului.
Dosarele de audit public intern sunt proprietatea entitii publice i sunt confideniale i se pstreaz
pn la ndeplinirea recomandrilor din raportul de audit intern, dup care se arhiveaz potrivit
reglementarilor legale privind arhivarea.
227
Not:
Constituirea dosarelor de audit intern se realizeaz n finalul interveniei la faa locului i are ca
scop de a asigura o legtur ntre obiectivele misiunii de audit stabilite prin programul de audit,
constatrile efectuate n etapa de intervenie la faa locului i raportul de audit public intern.
Documentele de lucru trebuie organizate astfel nct s faciliteze trecerea n revist a dosarului i
s permit o comparaie rapid ntre constatrile i probele de audit.
Este necesar clasificarea tuturor documentelor de lucru, n funcie de etapa de activitate creia i
corespund.
Sursa de informaie trebuie indicat clar i precis, pentru a pstra i a verifica ulterior fiabilitatea
ei.
228
Procedura P10:
REVIZUIREA DOCUMENTELOR DE LUCRU
Entitatea public
NOTA CENTRALIZATOARE A DOCUMENTELOR DE LUCRU

Constatarea
Data: 10.10..2009
Data: 10.10.2009
Exist
Da
Nu
Auditori
Proces verbal 3242/23.01.2009

.
Popescu Sorin
Radu George
List obiective specifice

List obiective generale
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Document justificativ
Seciunea E Strategia i planificarea sistemelor informatice

Analiza
proceselor-verbale
ale Comisiei numite la nivelul
entitii cu responsabiliti n
dezvoltarea IT, a direciilor
de aciune strategice i a
deciziilor luate n vederea
implementrii strategiei a pus
n
eviden
unele
disfuncionaliti, legate de
faptul c anumite proiecte de
dezvoltare IT derulate n
cadrul entitii nu au fost
supuse analizei i evalurii
comisiei.
Obiectivele specifice ale
structurii funcionale, definite
n cadrul strategiei, nu au fost
corelate cu posibilitile
efective ale organizaiei, cu
factorii interni i factori
externi.
..
Seciunea F- Organizarea i funcionarea departamentului IT
Atribuiile definite in sarcina Fiele posturilor pentru eantionul constituit
salariailor
nu
sunt
ntotdeauna conforme i nu
asigur
competena
de
realizare a activitilor i
aciunilor,
acestea
fiind
definite n multe cazuri la
modul general, nu indic, prin
modul de formulare o aciune,
nu asigur un coninut clar,
fiind definite sub forma unei
relaii funcionale sau avnd
caracter de activitate.
Organigrama ca document Organigrama departamentului
prin care se relev grafic
structura
organizaiei
i
substructurile acesteia nu
pune n eviden organizarea
i
funcionarea
departamentului.
Compartimentele aflate n
subordinea departamentului
nu sunt nominalizate n
229
totalitate
n
cadrul
organigramei i nu este
precizat nici nivelul de
subordonare
al
departamentului n cadrul
organizaiei.
Seciunea G - Operaii ale sistemului informatic

Analiza
implementrii
subsistemelor IT, potrivit
planului anual ntocmit i
aprobat, a pus n evidenta
faptul ca termenele stabilite
pentru
implementarea
programelor
nu
sunt
respectate,
iar
departamentele ce ar trebui s
utilizeze deja noile aplicaii
IT ntmpin deficiene n
transmiterea datelor n format
electronic
celorlalte
departamente care au nevoie
de aceste informaii i unde
funcioneaz
deja
de
programe performante.
Planul anual de dezvoltare a sistemului IT

Procesele verbale privind punerea n funciune
a aplicaiilor
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Popescu Sorin
Radu George
Popescu Sorin
Radu George
.
Seciunea H- Securitatea informaiilor
Inexistena unui sistem de
stabilire de ctre fiecare
utilizator a parolelor i a unui
responsabil cu verificarea
schimbrii
periodice
a
parolelor de acces.
Procedura privind schimbarea parolelor
Seciunea H Achiziionarea i testarea aplicaiilor

Organizarea
datelor
n
fiierele de date prezint
urmtoarele
disfuncii:
redundan mare, acces dificil
la date, izolarea datelor,
actualizarea datelor prin
adugare,
modificare,
tergerea genereaz erori
atunci cnd mai muli
utilizatori doresc s modifice
simultan
aceleai
date,
dependena
programelor,
descrierea independent a
datelor n toate fiierele n
care apar.
Procedura privind organizarea datelor n fiiere

Fiele de intervenie la fiecare aplicaie
.
Seciunea I Elaborarea i implementarea proiectelor IT
Cu toate c entitatea public
a achiziionat licene pentru
pachetul de programe Lotus,
s-au constatat c n cadrul
unor
departamente
se
folosesc programe aferente
pachetului Microsoft Office
fr ca pentru acestea
entitatea public s fi
achiziionat licene.
Lista staiilor de lucru pe care erau instalate

programe aferente Microsoft Office, fr licen
230
.
Seciunea K Proiectarea i meninerea n funciune a unei reele
Sistemul IT este conceput
astfel nct pentru accesul la
fiecare subsistem IT trebuiesc
folosite: nume de utilizator i
parol diferite, n loc s se
foloseasc acelai nume de
utilizator i parol indiferent
de subsistemul IT la care se
Lista staiilor de lucru la care accesul se

realizeaz cu aceleai nume de utilizator i
parol
Popescu Sorin
Radu George
.
Auditori,
Popescu Sorin
Radu George
Not:
Revizuirea documentelor asigur c documentele de lucru sunt pregtite n mod corespunztor i c
acestea furnizeaz un sprijin adecvat pentru munca efectuat i pentru dovezile adunate n timpul misiunii de
audit intern.
Auditorii revd documentele procedurale i documentele de lucru din punct de vedere al formei i al
coninutului, se asigur c dovezile de audit prezentate n susinerea constatrilor sunt justificative, respectiv
sunt suficiente, concludente i relevante.
231
232
Procedura P11:
EDINA DE NCHIDERE
Entitatea Public
MINUTA EDINEI DE NCHIDERE

Data: 15.10..2009
Data: 15.10.2009
Lista participanilor:
Numele
Funcia
Direcia/
Serviciul
Dumitru Daniel
Popescu Sorin
Radu George
Minc Cristian
Negru Adrian
Ciobanu Vasile
Butnaru Lenua
Vasilescu George
Toma Eugen
Stnescu Ioana
Istrate Viorica
Sef serviciu
Auditor intern
Auditor intern
Director
Sef serviciu
ef serviciu
ef serviciu
ef serviciu
Consilier
Consilier
Consilier
SAI
SAI
SAI
Direcia IT
Serviciul 1 IT
Serviciul 2 IT
Serviciul 3 IT
Serviciul 4 IT
Serviciul 2 IT
Serviciul 3 IT
Serviciul 4 IT
Nr.
telefon
E-mail
Semntura
B. Concluzii:
n cadrul edinei au fost prezentate obiectivele auditate i constatrile pentru fiecare obiect auditat. De asemenea, au
fost discutate constatrile, au fost analizate cauzele care au contribuit la realizarea disfuncionalitilor i au fost
comentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate.
In cadrul edinei de nchidere, structura auditat si-a nsuit n totalitate constatrile i recomandrile formulate de
echipa de auditori si, n acest sens, au prezentat Planul de aciune i Calendarul de implementare al
recomandrilor, cu termenele de realizare i persoanele responsabile, vor fi urmrite de echipa de auditori, pana la
implementarea acestora.
n consecin, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregtit pentru
aprobare i transmitere structurii auditate. Raportul de audit intern va fi nsoit de o SINTEZA care va conine
concluziile echipei de auditori interni cu prezentarea principalelor recomandri i opinia generala a acesteia.
Structura auditat se angajeaz sa completeze Planul de aciune i calendarul implementrii recomandrilor, cu
termenele de realizare i persoanele responsabile cu implementare acestora, pe care l vor discuta cu echipa de
auditori.
233
Not:
edina de nchidere a interveniei la faa locului are ca scop prezentarea opiniei auditorilor interni, a
constatrilor i recomandrilor finale, precum i discutarea unui plan de aciune nsoit de un calendar de implementare
a recomandrilor.
n cadrul acestei edine se urmrete ca att constatrile, ct i recomandrile, s fie uor de neles, s nu
permit interpretri i s nu fie prtinitoare. Constatrile trebuie s aib la baz documente doveditoare, iar
recomandrile trebuie s ajute managementul entitii auditate n luarea deciziilor manageriale n vederea eliminrii
deficienelor constatate.
234
Procedura P16:
SUPERVIZAREA MISIUNII DE AUDIT INTERN
Entitatea Public
LISTA DE SUPERVIZARE A DOCUMENTELOR

Nr.
crt.
1.
Lucrarea
Declaraia
independen
de
2
Colectarea
informaiilor
3.
.
.
.
n
Programul
audit intern
de
Constatarea
i
raportarea
iregularitilor
Nota
centralizatoare a
documentelor de
lucru
Raportul de audit
Data: 18.10..2009
Data: 18.10.2009
Propunerea
efului
structurii
de
audit/
Rspunsul
supervizorului misiunii,
auditorilor
ca urmare a revizuirii
documentului
Revizuirea
rspunsurilor
auditorilor de ctre
eful structurii de
audit/supervizor
Nu exist incompatibilitate
De acord
Se va ntocmi i
Nu exista un centralizator al elabora documentul
documentelor colectate i procedura de lucru
privind documentele
prelucrate
colectate i prelucrate
In programul de audit nu Programul de audit a
apare obiectivul cu privire la fost refcut, obiectivul
definirea
structurilor privind
definirea
organizatorice
structurilor
organizatorice a fost
cuprins n program
Nu s-a ntocmit i elaborat Se va ntocmi i
fisa de constatare i elabora FCRI n acest
raportare a iregularitilor caz
pentru constatarea cu privire
la necalcularea taxei pentru
eliberarea autorizaiilor de
construire
Nu s-a ntocmit i elaborat Se va elabora i
nota
centralizatoare
a ntocmi i elabora
nota centralizatoare a
De acord
De acord
De acord
De acord
..
..
Raportul de audit nu
prezint
cauzele
i
consecinele
constatrilor
efectuate
Raportul de audit va fi
completat
cu
precizarea cauzelor i De acord
consecinelor aferente
constatrilor efectuate
Supervizor,
Georgescu Cristian
235
Not:
Supervizarea reprezint activitatea de ndrumare, consiliere, supraveghere i verificare efectuat de
ctre supervizor asupra activitii echipei de audit, se realizat pe tot parcursul derulrii misiunii de audit
intern prin semnarea documentelor ntocmite.
Scopul activitii de supervizare este asigurarea c obiectivele misiunii de audit intern au fost atinse
n condiii de calitate.
Documentele de audit elaborate (procedurale sau ntocmite de auditor cu privire la constatri
efectuate) trebuie supervizate pentru a se asigura c acestea vin n sprijinul raportului de audit i c toate
procedurile de audit necesare au fost efectuate.
236
Procedura
ELABORARE RAPORT DE AUDIT INTERN
Entitatea Public
PROIECT
DE RAPORT DE AUDIT INTERN
ACTIVITATEA IT
BUCURETI
2009
237
CAPITOLUL I
DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN
Echipa de auditare - a fost format din:

Ordinul de efectuare a misiunii de audit - auditarea activitilor cuprinse n Planul de audit intern pe anul
2010, s-a fcut n baza Ordinului de serviciu nr. 11/12.08.2009.
Baza legal a aciunii de auditare:

Planul de audit intern pentru anul 2009, aprobat de conducerea entitii publice;
Legea nr. 672/2002 privind auditul public intern;
OMFP nr. 38/15.01.2003 pentru aprobarea Normelor generale de privind exercitarea activitii
de audit public intern.
Normele proprii de audit public intern ale entitii, avizate i aprobate de conducere, privind
exercitarea activitii de audit intern n cadrul entitii.
Durata misiunii de audit: 01.09.2009 20.10.2009.

Scopul aciunii de auditare const n:
- asigurarea conducerii asupra funcionrii echipamentelor, aplicaiilor i programelor n
concordan cu cerinele stabilite;
- asigurarea aplicrii corecte a msurilor de testarea i implementarea noilor aplicaii, de a
soluiona problemele aprute n funcionarea aplicaiilor.
Obiectivele aciunii de auditare au urmrit:

Tipul de auditare - audit de conformitate/regularitate.

Tehnici de audit intern utilizate:
- verificarea se realizeaz n vederea asigurrii validitii, realitii i acurateei nregistrrilor n
contabilitate a documentelor i a concordanei cu legile i regulamentele n vigoare, precum i a eficacitii
controlului intern prin cu ajutorul urmtoarele tehnici de verificare:
a) comparaia: pentru confirmarea identitii unor informaii, dup obinerea lor din dou sau
mai multe surse diferite;
b) examinarea: pentru detectarea erorilor i/sau iregularitilor;
c) recalcularea: verificarea algoritmilor de calcul i a calculelor matematice;
d) punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de
nregistrri;
238
e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul
validrii acestora;
f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea
nregistrrilor spre documentele justificative;
g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru
verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au
fost nregistrate.
- observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i
formeaz o imagine de ansamblu asupra structurii auditate;
- interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor
auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru
eventualele explicaii suplimentare se solicit note de relaii;
- analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate,
cuantificate i msurate distinct.
Instrumentele de audit intern utilizate:

- Chestionarul de luare la cunotin - CLC: pentru obinerea unor informaii referitoare la
contextul socio-economic, organizare intern, funcionarea entitii/structurii auditate;
- Chestionarul de control intern - CCI: orienteaz auditorii interni n activitatea de
identificare obiectiv a disfunciunilor i cauzelor reale ale acestora. Acesta a fost utilizat pentru evaluarea
instrumentelor de control existente, mpreun cu alte informaii relevante pentru audit, pe parcursul
desfurrii misiunii de audit intern;
- List de verificare - LV: pentru stabilirea condiiilor de regularitate pe care trebuie s le
ndeplineasc fiecare domeniu auditabil. Cuprinde un set de operaii ce trebuie parcurse de auditor pentru a
analiza activitile de control intern ncorporate n proceduri, existena responsabilitilor pentru efectuarea
acestora i permite stabilirea testelor de conformitate atunci cnd sunt semnalate diferite disfuncionaliti;
- Fia de identificare i analiz a problemelor FIAP: ntocmit pentru fiecare
disfuncionalitate constatat;
- Formularul de constatare i raportare a iregularitilor FCRI: ntocmit cu scopul de a
informa conducerea direciei cu privire la iregularitatea constat.
Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat

documentaia aferent perioadei auditate, respectiv 01.01.2008 30.06.2009, care a cuprins urmtoarele:
- legi i regulamente aplicabile structurii auditate;
- strategia n domeniul IT;
- organigrama Direciei IT;
- Regulamentul de Organizare i Funcionare;
- Fiele posturilor;
- Proceduri operaionale de lucru;
- Rapoarte de evaluare;
- Liste de achiziii n domeniul IT;
- aplicaii informatic;
- programe informatice achiziionate;
- Planul privind continuitatea activitilor, etc.
Documente i materiale ntocmite pe timpul auditrii:
- documentaia aferent analizei riscurilor;
- tabelul puncte tari i puncte slabe;
- tematica n detaliu a misiunii de audit intern;
- programul de audit intern;
- liste de verificare structurate pe obiective;
- foi de lucru pentru stabilirea eantioanelor;
- chestionare de control intern;
- teste;
- liste de control;
- fie de identificare i analiz a problemelor constatate - FIAP-uri;
239
- formulare de constatare i raportare a iregularitilor - FCRI-uri;

- proiectul raportul de audit intern;
- minutele edinelor de deschidere, de nchidere i de conciliere;
- Raportul de audit intern;
- planul de aciune i calendarul de implementare a recomandrilor;
- fia de urmrire a implementrilor recomandrilor.
- foi de lucru privind descrierea activitilor auditate;
- documente de lucru;
- note de relaii;
- interviuri.
Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4
posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar
conform organigramei i Regulamentului de organizare i funcionare.
Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de
subordonare i de colaborare, precum i sarcinile de serviciu.
II. CONSTATRI
II. CONSTATRI I RECOMANDRI
Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n
perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor
semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de
management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
1.1. Strategia IT este concordan cu scopurile organizaiei

Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor
informatice.
Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv
i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la
dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem
informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.
Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul
dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i
elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast
comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza
realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu
privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza
raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de
implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente,
care au influen n decizia managerial i dezvoltarea strategic.
Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea
IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden
240
unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu
au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit
proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la
proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii,
astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt
ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul
soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din
cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor
tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare
a achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest
program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n
testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a
proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest
caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul
organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma
evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea
s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au
legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea
proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de
realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic
Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare
strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de
dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
e) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia;
f) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de
aciune stabilite la nivelul organizaiei;
g) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i
implementrii strategiei;
h) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care
se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n
vedere urmtoarelor etape:
d) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o
anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei
analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode
statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor
specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea
structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
e) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea;
f) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost
corelate cu posibilitile efective ale organizaiei, cu factorii interni i factori externi. Realizarea strategiei
241
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s
putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le
obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost
implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat
n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la
nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia
astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate
i la atingerea obiectivelor strategice ale organizaiei.
n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul
de fundamentare a necesarului de resurse pentru elaborarea strategiei.
Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii
funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint
exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia.
n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c
acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care
dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea
coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale
organizatorice ntr-o viziune optimizant pe termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic,
tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de
obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de
realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la
implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul
economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o
dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici,
cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru
dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n
condiii de performan, la obinerea impactului definit de obiectivele strategice.
Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de
organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
managementului pentru ca obiectivele strategice redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai, stabilite de metodologie.
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.

242
Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.

Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea
de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin
atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n
cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a
nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea
competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce
a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
aceleai, n condiiile n care obiectivele cuprinse n planul compartimentului au fost cu totul altele. Aceasta
a nsemnat stabilirea msurilor n cursul anului, instruirea, sub diferite forme, a personalului pentru
nelegerea acestora i stabilirea prioritilor de implementare, ceea ce a condus la ntrzieri n atingerea unor
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului
anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul
de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au
pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor
angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori
deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru
implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a
normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei,
importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor
generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii
i resursele interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate
corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura
competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din
noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului
funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de
mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile
de atingere a obiectivelor planului.
Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a
salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate
s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate
corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele
necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii
planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n
limitele stabilite.
1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT
sunt alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
desfoar n cadrul acestora.
243
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a
recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n
privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu
au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor.
Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu
cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.


1.4.1. Comitetul IT transpune strategia n planuri pe termen scurt i pe
termen mediu
.
1.4.2. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea
sistemelor i activitilor realizate
.


..

1.6.1. Dotarea actual cu tehnic de calcul a stat la baza strategiei IT
..
2. ORGANIYAREA I FUNCIONAREA DEPARTAMENTULUI IT

2.1.1. Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT
Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de
competen privind realizarea activitilor i aciunilor repartizate.
Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de
realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin
modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale
sau avnd caracter de activitate.
n acest sens s-a recomandat contientizarea managementului responsabil cu procesul de stabilire
i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a
244
unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea
activitilor.

Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii
acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a
muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri)
i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv
specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni
concrete de realizare a acestora, fie indic o aciune comun de realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate
aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care
asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea
dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i
probleme semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i
stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv.
Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a
activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s
redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se
asigure c obiectivele vor fi realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii
rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.

2.2.1. Organizarea funcional a Departamentului IT
Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia
nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea
departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor
de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare
este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct
al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat
directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor
efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare
a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de
informaii i date ntre structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n
cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel
ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor
i relaiilor ierarhice.
Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare
i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n
totalitate activitile desfurate.
245
Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au
coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel
salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu
privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite
cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial.
Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.

Departamentului IT
Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu
este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele
de control intern implementate pentru limitarea acestora.
Pentru aceast deficien s-a recomandat elaborarea mecanismelor procedurale i metodologice
privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control
pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul
acceptabil.
Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce
trebuie alocate n vederea atingerii obiectivelor.
Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele
activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale
performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale
sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra
tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i
contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate
stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au
fost delegate n responsabilitatea unor posturi inferioare.
Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor
identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri
de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn,
detecteze i s corecteze n mod eficient denaturrile semnificative.
n acelai timp din analiza efectuat a mai rezultat c la nivelul departamentului nu este organizat i
nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt
monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului
riscurilor la nivelul organizaiei.

Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de
scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza
fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa
orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
246
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i
competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel
al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al
studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece
persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea
de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit
cunotine IT de nivel superior i chiar anumite specializri.
Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului, respectiv nivelul postului i urmrirea definirii
aceluiai gen de sarcini i atribuii numai dac posturile sunt de acelai nivel.
Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme
i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma
unei relaii funcionale sau avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte
structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia
funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n
realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate
la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n
utilizarea echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie,
ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul
departamentului IT.
n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul
documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale
pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
3. OPERAII ALE SISTEMULUI INFORMATIC

Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii
legate de gestionarea acestora, astfel:
- n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de
auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce
altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne),
fiind utilizate n proporie de max. 10-15%.
- echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind
restricionat.
- n urma inventarierii interveniilor efectuate asupra computerelor, imprimantelor i
copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au
fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n
majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective.
- analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul
proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului
specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme
i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc.
- Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i
programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a
constatat c o anumit parte din aceste verificri se realizeaz manual.
247
Pentru deficienele constatate s-a recomandat urmtoarele:

- implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de
gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT
i resursele alocate acestor scopuri.
- mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat.
- procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp
stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens.
- constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea
operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de
specialitate ctre utilizatori, fie prin linii telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
- elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile
efectuate asupra operaiilor informatice.

administratorilor
3.1.3. Elaborarea planului anual de activitate

..

Din analiz s-a constatat neaplicarea n mod unitar a politicii de securitate IT, care a condus la
infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a
verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2
departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua
calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i,
n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece
se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Urmare acestei
constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c
toate erau infectate cu virui.
Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de
verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice, configurarea corecta n
cazurile n care aceste programe au fost dezactivate, stabilirea de responsabiliti n cazul n care acestea
sunt dezactivate i produc disfuncii n cadrul organizaiei.

Din analiza efectuat a rezultat c, subsistemele IT nu au fost realizate la termenele stabilite. Astfel,
analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul
ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui
s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja
existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate.
ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor
departamente, deoarece datele i informaiile sunt reluate i introduse manual.
Pentru deficienele constatate s-a recomandat analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate
numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac
exista resursele necesare aprobate prin buget.
248
3.3. Funcionalitatea Departamentului IT

.
.


.

3.5.1. Realizarea eficient a operaiilor n cadrul Departamentului IT
.
.
Din evaluare, auditorii interni au mai constatat c nu exist un sistem de controale generale care s fie
avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor
IT ce ruleaz pe echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii
(ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt
complete;
Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate
subsistemele IT, stabilirea controalelor interne care ar trebui s existe pentru ca acestea s funcioneze
corect, urmrirea controalelor interne care exist i funcioneaz, identificarea i implementarea de
instrumente de control pentru controalele interne care nu sunt implementate sau nu funcioneaz.
4. SECURITATEA INFORMAIEI


.
4.1.3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii
autorizai
.
249

.

4.3.1. Asigurarea introducerii corecte a datelor
..
4.3.3. Asigurarea securitii datelor i documentelor

PROBLEMA
Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile
specifice privind asigurarea securitii reelelor, astfel:
- la nivelul departamentului IT au fost ntocmite hri privind infrastructura reelelor IT, ns una
din cele 3 hri cuprinse n eantion nu fusese actualizat, astfel nct aplicaiile copiate pe un numr de 4
sisteme nu au fost protejate prin intermediul programelor antivirus. De asemenea, aplicaiile contabile au
fost copiate de pe unul din calculatoarele existente, fr a se proceda la instalarea acestora de ctre
personalul specializat din cadrul departamentului IT, ocazie cu care nu au putut fi asigurata integritatea
tuturor modulelor.
- dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n
parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei
acestora n vederea alocrii corespunztoare a resurselor de securitate.
- la nivelul entitii s-a procedat la identificarea i nlturarea celor mai critice vulnerabiliti ale
reelelor, ns nu a fost avut n vedere un sistem de management al vulnerabilitilor, la cel mai profund
nivel, actualizat, care s permit identificarea precis i cuprinztoare a ultimilor vulnerabiliti ale
sistemului sau a greelilor de configurare, bazndu-se pe informaii precise i configuraii de sistem i de
reea adecvate.
- administratorii de sistem au procedat la ntocmirea de rapoarte care detaliaz nivelul critic al
vulnerabilitilor i au furnizat soluii de remediere ns informaiile nu au fost strnse, adaptate i prezentate
acelor persoane care decid asupra situaiei securitii n cadrul entitii publice. Astfel, conducerea entitii
nu a avut la dispoziie informaiile necesare cuantificrii efortului necesar pentru asigurarea securitii
reelelor.
Pentru remedierea deficienelor constatate au fost formulate urmtoarele recomandri:
1. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n
timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct
schimbrile n cadrul utilizatorilor, echipamentelor sau aplicaiilor s se realizeze evitnd expunerile la
riscuri;
2. Prioritizare i a aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse
considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat;
3. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis,
cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
4. Toate rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie
corelate i aduse la cunotina conducerii entitii publice.
250

Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
neasigurndu-se o intervenie prompt i rapid, iar securitatea datelor i informaiilor nu este asigurat pe
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole.
La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost
stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a
imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului
de management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele
hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a
constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei,
fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i
implementarea de programe antivirus adecvate.
La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea
au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau
care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul
acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi
sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii
(tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n
ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n
vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul
serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate
ca i sistemul integrat privind conducerea organizaiei.
Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul
vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate
persoanelor cu responsabiliti decizionale asupra securitii informaionale.
Recomandrile formulate au fcut referire la prioritizarea aplicaiilor informatice, n funcie de
importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare.
Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse
la cunotina conducerii organizaiei.
4.4.2. Introducerea instrumentelor de control fizic asupra echipamentelor IT al

aplicaiilor
Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor.
Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul
necontrolat la cele trei locaii selectate att a persoanelor din cadrul altor departamente ct i a altor persoane
din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate.
Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt
echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei
autorizaii scrise.
Pentru deficienele constatate s-a recomandat introducerea de instrumente de control adecvate
astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile
251


4.6.1. Utilizatori au parole de acces individuale
Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui responsabil cu
verificarea schimbrii periodice a parolelor de acces.
Analiza interviului a scos n eviden, de asemenea, faptul c nu exist un sistem de securitate a
sistemului informatic i un responsabil cu administrarea acestui sistem.
Recomandarea s-a referit la schimbarea sistematic a parolelor de acces de ctre utilizatorii
sistemului informatic, precum i stabilirea unei persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de acces.

..

5. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR

5.1.1. Achiziia programelor informatice
.
.
.
5.2.2. Asigurarea corectitudini rezultatelor

Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n
care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii.
252
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care
pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere;
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de
sortare, fuziune, ventilare;
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele
ntr-o manier global;
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli
utilizatori doresc s modifice simultan aceleai date;
- dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de
corecturi n programele de calculator;
- fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se
modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n
toate fiierele de date.
Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv
un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor
n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional
prelucrabil ntr-un sistem de calcul.
6. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT


.
6.2.2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametri optimi
Din evaluarea realizat s-a constatat utilizarea n cadrul entitii publice a unor programe software fr
licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au
constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca
pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd
CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Pentru remedierea deficienelor constatate s-a recomandat inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor
programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize
complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii
programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.
7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIE A UNEI

REELE
253

..
.

Din evaluare s-a constatat neutilizarea unui singur nume de utilizator i unei singure parole pentru
accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura
sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole
diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite:
nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de
subsistemul IT la care se conecteaz angajatul.
Pentru aceasta s-a recomandat realizarea unui proces de reenginering la nivelul sistemului IT din
cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un
singur nume de utilizator i o singur parol;
*
*
Precizm faptul c, constatrile prezentate au la baz probe de audit, obinute pe baza testelor
efectuate, consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre
factorii de management ai entitii. Aceste evaluri au fost discutate i recomandrile auditorilor au fost
acceptate n edina de nchidere a misiunii i au fost apreciate de ctre participani ca fiind realiste i
fezabile.
Considerm c rezultatele evalurii auditorilor interni privind Activitatea IT se nscriu n parametri
normali pentru aceast perioad de consolidare a implementrii activitii de audit intern n cadrul entitilor.
De asemenea, prin implementarea recomandrilor echipei de auditori activitatea Direciei IT va cunoate o
ameliorare semnificativ.
Structura auditat are obligaia s respecte Programul de aciune i Calendarul implementrii
recomandrilor i s raporteze periodic echipei de auditori interni stadiul implementrii acestora.
Prezentul proiect de Raport de audit intern a fost ntocmit n baza tematicii n detaliu a obiectelor
auditabile selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor
efectuate n procedurile de colectare a dovezilor, din timpul interveniei pe teren, i s-au materializat n
elaborarea de FIAP-uri i FCRI-uri care au fost preluate n Raportul de audit intern.
Data: 18.10.2009
Auditori interni,
Popescu Sorin
Radu George
Supervizor,
Dumitru Daniel
Director , Direcia IT
..
254
Not:
Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului
general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n
urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit
utilizate.
La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele
de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte
documente de lucru.
255
Procedura P14:
REUNIUNEA DE CONCILIERE
Entitatea Public
Serviciul de audit public intern
MINUTA EDINEI DE CONCILIERE

Data: 10.09.2009
Data: 10.09.2009
A. Lista participanilor:
Numele
Funcia
Direcia/
Serviciul
Dumitru Daniel
Popescu Sorin
Radu George
Ptrulescu George
Voiculescu Alin
Boerescu Ilie
Teodorescu Rodica
Eleodor Darius
Iordache Camelia
Pun Elena
Badea tefan
Coordonator
Auditor
Auditor
Director
Sef
Sef
Sef
Sef
Sef
Sef
Sef
CAPI
SAPI
SAPI
DIT
STDAM
SCD
SEE
SAPP
SRC
SSD
SAT
Nr.
telefon
E-mail
Semntura
B. Stenograma edinei
n cadrul edinei de conciliere s-a discutat asupra constatrilor i recomandrilor cuprinse n proiectul
Raportului de audit, iar reprezentanii structurii auditate au reiterat o parte din problemele cu care se
confrunt i anume:
- lipsa fondurilor necesare privind achiziia de echipamente performante;
- programe i aplicaii vechi care se adapteaz foarte greu nevoilor actuale de lucru i necesitilor
utilizatorilor;
- personal insuficient;
- participarea foarte slab i restrns la instruiri, datorit lipsei resurselor financiare.
Cu privire la constatrile i recomandrile formulate, conducerea entitii a formulat un singur punct de
vedere, respectiv existena sistemului potrivit cruia fiecare utilizator poate stabili i introduce propria
parol, n vederea protejrii echipamentului i a aplicaiilor pe care le utilizeaz. n acelai timp exist
responsabilizat persoan care verific dac parolele de acces au fost schimbate periodic i au prezentat n
acest sens documente justificative.
Auditori interni au reinut acest aspect, au evaluat documentele prezentate i au concluzionat c
raportul de audit va fi revizuit n mod corespunztor referitor la aceast informaie, iar recomandarea i
termenele de implementare vor ine seama aciunile planificate de entitate pentru implementarea acestui
program.
Pentru implementarea recomandrilor i remedierea problemelor constatate structura auditat a ntocmit
256
i ne-a prezentat planul de aciune i calendarul de implementare al recomandrilor, prin care s-au stabilit
persoanele responsabile pentru implementare, etapele i termenele de realizare.
Pentru toate celelalte constatri, structura auditat nu a formulat obiecii fiind de acord cu acestea,
recunoscnd deficienele din activitatea specific.
Not:
Scopul edinei de conciliere este de a analiza constatrile i concluziile i de a valida definitiv recomandrile i planul
de aciune elaborat pentru implementarea acestora, modalitile de punere n practic, responsabilii i calendarul de
implementare.
Participani vor fi persoanele prezente la edina de nchidere, conductorul structurii auditate i persoanele
responsabile cu punerea n practic a aciunilor stabilite.
edina de conciliere trebuie organizat n termen de 10 zile de la data primirii punctului de vedere al auditatului.
257
258
Procedura
ELABORARE RAPORT DE AUDIT INTERN
Entitatea Public
RAPORT DE AUDIT INTERN
ACTIVITATEA IT
BUCURETI
2009
259
CAPITOLUL I
DATE DE IDENTIFICARE A MISIUNII DE AUDIT INTERN
Echipa de auditare - a fost format din:

Ordinul de efectuare a misiunii de audit - auditarea activitilor cuprinse n Planul de audit intern pe anul
2010, s-a fcut n baza Ordinului de serviciu nr. 11/12.08.2009.
Baza legal a aciunii de auditare:

Planul de audit intern pentru anul 2009, aprobat de conducerea entitii publice;
Legea nr. 672/2002 privind auditul public intern;
OMFP nr. 38/15.01.2003 pentru aprobarea Normelor generale de privind exercitarea activitii
de audit public intern.
Normele proprii de audit public intern ale entitii, avizate i aprobate de conducere, privind
exercitarea activitii de audit intern n cadrul entitii.
Durata misiunii de audit: 01.09.2009 20.10.2009.

Scopul aciunii de auditare const n:
- asigurarea conducerii asupra funcionrii echipamentelor, aplicaiilor i programelor n
concordan cu cerinele stabilite;
- asigurarea aplicrii corecte a msurilor de testarea i implementarea noilor aplicaii, de a soluiona
problemele aprute n funcionarea aplicaiilor.
Obiectivele aciunii de auditare au urmrit:

Tipul de auditare - audit de conformitate/regularitate.

Tehnici de audit intern utilizate:
- verificarea se realizeaz n vederea asigurrii validitii, realitii i acurateei nregistrrilor n
contabilitate a documentelor i a concordanei cu legile i regulamentele n vigoare, precum i a eficacitii
controlului intern prin cu ajutorul urmtoarele tehnici de verificare:
a) comparaia: pentru confirmarea identitii unor informaii, dup obinerea lor din dou sau
mai multe surse diferite;
b) examinarea: pentru detectarea erorilor i/sau iregularitilor;
c) recalcularea: verificarea algoritmilor de calcul i a calculelor matematice;
d) punerea de acord: pentru realizarea procesului de potrivire a doua categorii diferite de
nregistrri;
e) confirmarea: pentru solicitarea informaiilor din mai multe surse independente cu scopul
validrii acestora;
f) garantarea: pentru verificarea realitii tranzaciilor nregistrate pornind de la examinarea
260
nregistrrilor spre documentele justificative;

g) urmrirea: pentru verificarea modului n care au fost elaborate procedurile, pentru
verificarea documentelor justificative spre articolul contabil n vederea verificrii dac toate operaiunile au
fost nregistrate.
- observarea fizic: const n urmrirea unui proces sau a unei proceduri, prin care auditorul i
formeaz o imagine de ansamblu asupra structurii auditate;
- interviul, notele de relaii: se realizeaz de ctre auditorii interni prin intervievarea persoanelor
auditate, implicate i interesate i informaiile primite, care trebuie s fie susinute de documente. Pentru
eventualele explicaii suplimentare se solicit note de relaii;
- analiza: const n descompunerea unei entiti n elemente, care pot fi izolate, identificate,
cuantificate i msurate distinct.
Instrumentele de audit intern utilizate:

- Chestionarul de luare la cunotin - CLC: pentru obinerea unor informaii referitoare la
contextul socio-economic, organizare intern, funcionarea entitii/structurii auditate;
- Chestionarul de control intern - CCI: orienteaz auditorii interni n activitatea de
identificare obiectiv a disfunciunilor i cauzelor reale ale acestora. Acesta a fost utilizat pentru evaluarea
instrumentelor de control existente, mpreun cu alte informaii relevante pentru audit, pe parcursul
desfurrii misiunii de audit intern;
- List de verificare - LV: pentru stabilirea condiiilor de regularitate pe care trebuie s le
ndeplineasc fiecare domeniu auditabil. Cuprinde un set de operaii ce trebuie parcurse de auditor pentru a
analiza activitile de control intern ncorporate n proceduri, existena responsabilitilor pentru efectuarea
acestora i permite stabilirea testelor de conformitate atunci cnd sunt semnalate diferite disfuncionaliti;
- Fia de identificare i analiz a problemelor FIAP: ntocmit pentru fiecare
disfuncionalitate constatat;
- Formularul de constatare i raportare a iregularitilor FCRI: ntocmit cu scopul de a
informa conducerea direciei cu privire la iregularitatea constat.
Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat

documentaia aferent perioadei auditate, respectiv 01.01.2008 30.06.2009, care a cuprins urmtoarele:
- legi i regulamente aplicabile structurii auditate;
- strategia n domeniul IT;
- organigrama Direciei IT;
- Regulamentul de Organizare i Funcionare;
- Fiele posturilor;
- Proceduri operaionale de lucru;
- Rapoarte de evaluare;
- Liste de achiziii n domeniul IT;
- aplicaii informatic;
- programe informatice achiziionate;
- Planul privind continuitatea activitilor, etc.
Documente i materiale ntocmite pe timpul auditrii:
- documentaia aferent analizei riscurilor;
- tabelul puncte tari i puncte slabe;
- tematica n detaliu a misiunii de audit intern;
- programul de audit intern;
- liste de verificare structurate pe obiective;
- foi de lucru pentru stabilirea eantioanelor;
- chestionare de control intern;
- teste;
- liste de control;
- fie de identificare i analiz a problemelor constatate - FIAP-uri;
- formulare de constatare i raportare a iregularitilor - FCRI-uri;
- proiectul raportul de audit intern;
261
- minutele edinelor de deschidere, de nchidere i de conciliere;

- Raportul de audit intern;
- planul de aciune i calendarul de implementare a recomandrilor;
- fia de urmrire a implementrilor recomandrilor.
- foi de lucru privind descrierea activitilor auditate;
- documente de lucru;
- note de relaii;
- interviuri.
Organizarea Direciei IT
Direcia IT a funcionat n perioada supus auditrii cu un numr de 32 salariai, din care un 4
posturi de conducere un director, i 4 efi de serviciu. Organizarea i funcionarea direciei se desfoar
conform organigramei i Regulamentului de organizare i funcionare.
Pentru toi salariaii au fost ntocmite fie ale posturilor prin care s-au stabilit relaiile ierarhice de
subordonare i de colaborare, precum i sarcinile de serviciu.
II. CONSTATRI
II. CONSTATRI I RECOMANDRI
Prezentam principalele constatri, consecinele care s-au produs sau care ar putea sa apar n
perioada imediat urmtoare, precum i recomandrile formulate n vederea corectrii disfuncionalitilor
semnalate sau ale celor care pot s survin, diminurii riscurilor existente i mbuntirii sistemelor de
management i control intern al activitilor auditate cu scopul facilitrii atingerii obiectivelor prestabilite.
Obiectivul I.
1. STRATEGIA I PLANIFICAREA SISTEMELOR INFORMATICE
1.1. Strategia IT este concordan cu scopurile organizaiei

Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i aplicaiilor
informatice.
Cu privire la armonizarea strategiei n domeniul IT cu strategia entitii, s-a constatat c aceasta deriv
i este elaborat n conformitate cu direciile i principiile de dezvoltare ale entitii, contribuie la
dezvoltarea i eficientizarea activitilor entitii i prin implementare se urmrete realizarea unui sistem
informatic integrat, care s asigure integrarea tuturor informaiilor i datelor la nivelul entitii, respectiv
juridice, economice, comerciale, tehnice, financiar-contabile, de personal, sociale i patrimoniale.
Din analiza atribuiilor stabilite Comisiei numit la nivelul entitii cu responsabiliti n domeniul
dezvoltrii IT, s-a constatat c acestea sunt, n general, de natur metodologic, respectiv planificarea i
elaborarea strategiei n domeniul IT i armonizarea acesteia cu strategia i mandatul entitii. Totui, aceast
comisie are i atribuii cu privire la monitorizarea activitilor privind implementarea strategiei, ns analiza
realizrii acestor activiti este rezumat doar la raportrile periodice realizate de departamentul IT, cu
privire la stadiul implementrii proiectelor IT. Limitarea exercitrii acestor atribuii, doar la analiza
raportrilor efectuate de departamentul IT, fr o evaluare fizic, din partea comisiei, a modului de
implementare a programelor informatice, conduce la formularea unor constatri i concluzii insuficiente,
care au influen n decizia managerial i dezvoltarea strategic.
Analiza proceselor-verbale ale Comisiei numite la nivelul entitii cu responsabiliti n dezvoltarea
IT, a direciilor de aciune strategice i a deciziilor luate n vederea implementrii strategiei a pus n eviden
unele disfuncionaliti, legate de faptul c anumite proiecte de dezvoltare IT derulate n cadrul entitii nu
au fost supuse analizei i evalurii comisiei. Astfel, n cursul anului 2009, discuiile n cadrul comisiei au
262
privit, n general, analiza progreselor proiectelor IT stabilite i aprobate la nivelul entitii, ns potrivit
proceselor verbale ntocmite n urma edinelor, a rezultat c discuiile s-au derulat doar cu privire la
proiectele pentru care au fost naintate de ctre departamentul IT, rapoarte privind stadiul implementrii,
astfel c propunerile formulate de comisie cu privire la dezvoltarea IT, inclusiv cu privire la asigurarea
n urma examinrii i analizelor efectuate s-a constatat c anumite proiecte nu au fost implementate sau sunt
ntrzieri n implementarea acestora, respectiv:
a) aplicaia privind evidena documentelor intrate ieite din cadrul organizaiei, inclusiv stadiul
soluionrii lor, a fost aprobat a fi implementat, inclusiv au fost asigurate resursele financiare nc din
cursul anului anterior, dar pn n prezent nu s-a realizat nici o procedur legat de stabilire a condiiilor
tehnice ale aplicaiei, demararea aciunilor de realizare a caietului de sarcini, sau a procedurilor de realizare
a achiziiei, cu toate c prin buget au fost alocate fondurile necesare.
Din discuiile purtate cu responsabilii IT n domeniul dezvoltrii i informatizrii entitii, a rezultat c acest
program informatic nu a fost demarat, deoarece la nivelul departamentului IT nu existau specialiti n
testarea i implementarea programului, iar fondurile aprobate permiteau doar achiziia aplicaiei.
n condiiile n care atribuiile comisiei permiteau i o evaluare fizic a modului de implementare a
proiectelor, greutile ntmpinate se puteau cunoate i se puteau gsi soluiile necesare, respectiv, n acest
caz a condiiilor de pregtire a personalului n vederea utilizrii programului informatic.
b) pentru proiectul Implementarea unei infrastructuri IT care s asigure integrarea datelor la nivelul
organizaiei, a fost raportat stadiul de implementare la comisie, ns nu i termenele de realizare. n urma
evalurii s-a constatat c au fost demarate procedurile pentru achiziia acestuia, ns pn n prezent acestea
s-au limitat la studiul pieei i alocarea banilor n cadrul bugetului. Proiectul se afl n ntrziere i nu va
putea fi realizat n timp util. Aceasta va avea consecine negative n implementarea altor aplicaii, care au
legtur cu acesta, n acest sens va trebui decalat termenul de ncepere a procedurilor privind implementarea
proiectului Crearea unei structuri IT care s permit urmrirea circuitului unui document, stadiul de
realizare i persoanele care au intervenit asupra acestuia, autorizarea pe niveluri ierarhice prestabilite.
ntrzierea implementrii acestui program a determinat decalarea termenul planificat a obiectivului strategic
Pentru deficienele constatate s-a recomanda reanalizarea atribuiilor Comisiei de planificare
strategic n domeniul IT i redefinirea acestora astfel nct s poat realiza i monitorizarea implementrii
Referitor la nerespectarea procedurii de elaborare i fundamentare a strategiei i a politicilor de
dezvoltare s-a constat, din analiza sistemului de fundamentare a strategiei, rezult c s-au realizat
urmtoarele etape:
i) stabilirea rolului IT n cadrul organizaiei, fiind identificat i definit importana acesteia;
j) definirea misiunii structurii funcionale n concordan cu obiectivele strategice i direciile de
aciune stabilite la nivelul organizaiei;
k) identificarea i proveniena resurselor financiare, materiale i umane necesare aplicrii i
implementrii strategiei;
l) implementarea strategiei, fiind fixate termenele necesare atingerii obiectivelor n raport cu care
se urmresc asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Tot din analiz rezult c la elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n
vedere urmtoarelor etape:
g) Evaluarea situaiei actuale pe baza analizei diagnostic, respectiv orientarea activitii pentru o
anumit perioad, prin strategie, presupune ca, n prealabil, s fie cunoscut situaia actual, pe baza unei
analize diagnostic, pentru a avea o imagine ct mai complet asupra domeniului de activitate al organizaiei.
Analiza diagnostic trebuia elaborat n baza unor studii privind potenialului intern, folosind metode
statistice, matematice, analiza pe baz de bilan etc. care s surprind evoluia proceselor i fenomenelor
specifice domeniului de activitate. Informaiile de intrare nu fac referire la aspecte cum sunt: dimensiunea
structurii funcionale, resursele umane, nzestrarea tehnic, managementul utilizat;
h) Identificarea punctelor tari i a punctelor slabe ale entitii n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea;
i) Fundamentarea variantelor strategice obiectivele strategice stabilite pentru IT nu au fost
implic fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale. Totodat, trebuie
263
avuta n vedere compatibilitatea variantei strategice elaborata teoretic cu realitatea i modul n care s-a
reuit surprinderea aciunii factorilor de influenta.
Strategia a fost elaborat fr a se evalua situata actuala, pe baza unei analize diagnostic, astfel nct s
putem avea o imagine ct mai completa asupra organizaiei, asupra rezultatelor pe care i-a propus s le
obin, a potenialului su financiar, ct i a importanei n cadrul realizrii programului de guvernare.
Totodat nu au fost identificate nici punctele tari i punctele slabe n vederea determinrii
ameninrilor i oportunitilor cu care se confrunt entitatea.
De asemenea, obiectivele strategice ale structurii funcionale, definite n cadrul strategiei, nu au fost
implica fixarea i respectarea termenelor necesare atingerii obiectivelor n raport cu care se urmresc
asigurarea i repartizarea resurselor precum i concentrarea eforturilor umane i materiale.
Pentru deficienele constatate s-a recomandat pregtirea profesional anticipat a personalului implicat
n elaborarea strategiei, de ctre managementul responsabil cu aceasta. Reanalizarea strategiei definite la
nivelul structurii funcionale n conformitate cu procedura operaional aprobat i actualizarea acesteia
astfel nct implementarea sa s contribuie la realizarea unui management modern in domeniul de activitate
i la atingerea obiectivelor strategice ale organizaiei.
n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de lucru privind sistemul
de fundamentare a necesarului de resurse pentru elaborarea strategiei.
Referitor la faptul c obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii
funcionale i nu contribuie la asigurarea realizrii mandatului organizaiei s-a constat c acestea reprezint
exprimrile cantitative i calitative ale scopului pentru care exist i funcioneaz organizaia.
n acelai timp din analiza modului de definire i stabilire a obiectivelor strategice s-a constatat c
acestea nu ntrunesc urmtoarele caracteristici definitorii:
- nu sunt realiste i nu au fost luate n calcul capacitile i posibilitile efective de realizare de care
dispune organizaia n condiiile actuale;
- nu sunt mobilizatoare i nu implic eforturi de autodepire din partea salariailor;
- nu sunt comprehensibile i nu sunt formulate i prezentate ntr-o manier care s permit nelegerea
coninutului lor de ctre salariai;
- nu sunt antrenante i nu asigur o abordare sistemic a intereselor organizaiei i componentelor sale
organizatorice ntr-o viziune optimizant pe termen mediu i lung.
Aceti factori trebuie s se regseasc la orice obiectiv strategic, indiferent de natura sa (economic,
tehnic), deoarece aceste obiective reprezint punctul de plecare n conturarea unui sistem unitar de
obiective ce vizeaz toate componentele procesuale i structurale ale organizaiei.
Dimensiunea i natura obiectivelor strategice genereaz direct sau indirect modaliti i opiuni de
realizare care condiioneaz decisiv coninutul i funcionalitatea strategiei, ceea ce impune ca la
implementarea lor s se ia n considerare principalele variabile exogene ce influeneaz comportamentul
economic i managerial al organizaiei, ct i capacitatea acesteia de adaptare la schimbare.
La fundamentarea necesarului de resurse solicitate de atingerea obiectivelor nu s-a realizat o
dimensionare corect a fondurilor de investiii i a mijloacelor circulante pe baza unor indicatori specifici,
cantitativi i calitativi.
De asemenea, nu n toate situaiile, personalului i-au fost asigurate condiiile de instruire pentru
dobndirea aptitudinilor necesare realizrii eficiente a obiectivelor individuale pentru a contribui astfel, n
condiii de performan, la obinerea impactului definit de obiectivele strategice.
Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale sistemului de
organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont de influena
factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
Totodat, la redefinirea acestora se va urmri asigurarea resurselor necesare implementrii lor.

Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Din analiz s-a constatat c eforturile pentru elaborarea planului anual de activitate implic alocarea
264
de fonduri i resurse ridicate din partea organizaiei care, n cele mai multe din cazuri, nu au ca referin
atingerea scopului fundamental al acesteia.
n acelai timp, activitile considerate prioritare ale planului anual nu au fost realizate sau
implementate n totalitate, n mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n
cadrul compartimentelor n corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a
nsemnat c, n unele cazuri, obiectivele i activitile dei erau cunoscute de personal, acesta nu avea
competena necesar, n special a celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce
a necesitat solicitarea unor competene pentru realizarea acestora, proces care a ngreunat implementarea
n alte cazuri, activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
Nevoia de mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice, pentru creterea eficienei i reducerea costurilor, a presupus definirea n cadrul planului
anual a unor asemenea obiective i activiti, ns pentru implementarea acestora nu a fost corelat necesarul
de mijloace i echipamente cu necesitile pentru atingerea obiectivelor planului.
n cadrul planului reducerea costurilor a fost definit i prin reducerea personalului, prin care s-au
pierdut o serie de competene care, din motive financiare, nu au fost nlocuite, prin dezvoltarea altor
angajai, ceea ce a condus la realizarea activitilor, dar nu au fost atinse condiiile de performan stabilite.
Monitorizarea resursele financiare utilizate n derulare obiectivelor planului anual a fost de multe ori
deficitar, ceea ce a contribuit la realizarea de costuri suplimentare fa de cele planificate pentru
implementarea obiectivelor stabilite.
n cadrul entitii nu a fost comunicat eficient i nu a fost contientizat nevoia de cunoatere a
normelor, legislaiei i metodologiei n domeniile de activitate, a diferitelor culturi din cadrul organizaiei,
importana obiectivelor stabilite spre ndeplinire i modul cum acestea contribuie la atingerea obiectivelor
generale i a obiectivelor strategice, i nelegerea comportamentului competitiv ca un sistem n care oamenii
i resursele interacioneaz continuu.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate
corespunztor deoarece nu s-au reanalizat i repartizat atribuiile compartimentelor pentru a asigura
competena necesar realizrii obiectivelor i activitilor stabilite n cadrul planului.
De asemenea, nu au fost stabilite i comunicate salariailor obiectivele individuale care deriv din
noile obiective stabilite n cadrul planului de activitate i care se aflau n competena compartimentului
funcional.
Definirea n cadrul planului anual a obiectivelor i activitilor s-a realizat fr s se asigure: nevoia de
mbuntire a nivelului de competen n raport cu progresele tehnico-informaionale i
organizatorice;creterea eficienei i reducerea costurilor; corelarea necesarul de echipamente cu necesitile
de atingere a obiectivelor planului.
Pentru deficientele constatate s-a recomandat dezvoltarea unui sistem de instruire i pregtire a
salariailor astfel nct metodologia specific domeniului de activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate
s se identifice toate atribuiile necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate
corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii resurselor umane pentru a obine competenele
necesare creterii economice n condiiile n care au loc reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare, instituionale, programe, personal) necesare implementrii
planurilor anuale de activitate i monitorizarea eficient pentru a se asigura ncadrarea n limitele stabilite.
1.2.2. Planurile IT ofer asigurare cu privire la faptul c resursele IT sunt

alocate n concordan cu necesitile
Unele departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a
recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n
privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou
nfiinate care i-au exprimat nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu
265
au beneficiat de implementarea acestora, conform planificrii, datorit ntrzierilor n realizarea achiziiilor.

Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin proceduri cu
cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la nivelul
departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.


1.4.1. Comitetul IT transpune strategia n planuri pe termen scurt i pe
termen mediu
.
1.4.2. Comitetul IT stabilete prioritile proiectelor ntre dezvoltarea
sistemelor i activitilor realizate
.


..

1.6.1. Dotarea actual cu tehnic de calcul a stat la baza strategiei IT
..
2. ORGANIYAREA I FUNCIONAREA DEPARTAMENTULUI IT

2.1.1. Definirea atribuiilor i responsabilitilor n cadrul Departamentului IT
Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna aria de
competen privind realizarea activitilor i aciunilor repartizate.
Atribuiile definite in sarcina salariailor nu sunt ntotdeauna conforme i nu asigur competena de
realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul general, nu indic, prin
modul de formulare o aciune, nu asigur un coninut clar, fiind definite sub forma unei relaii funcionale
sau avnd caracter de activitate.
n acest sens s-a recomandat contientizarea managementului responsabil cu procesul de stabilire
i definire a atribuiilor prin informri i consilieri pentru clarificarea modalitilor practice de definire a
unei atribuii sau unui set de atribuii pentru asigurarea ariei de competen necesar pentru realizarea
activitilor.

266
Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea complexitii
acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
La definirea activitilor se are n vedere complexitatea acestora, respectiv gradul de difereniere a
muncii pe orizontal i pe vertical. Diferenierea pe orizontal const n numrul de activiti (specializri)
i de subuniti funcionale (birouri, servicii). Diferenierea pe vertical se refer la numrul de niveluri
Analiza coninutului i modului de definire a activitilor necesare pentru realizarea fiecrui obiectiv
specific a pus n eviden urmtoarele:
unele activiti sunt definite sub forma unor relaii de colaborare care fie nu indic aciuni
concrete de realizare a acestora, fie indic o aciune comun de realizare;
altele sunt definite sub forma unor relaii de colaborare, n condiiile n care sunt exercitate
aciuni concrete de realizare i pentru care exist rezultate ateptate stabilite;
nu sunt identificate toate activitile care contribuie la realizarea obiectivelor specifice i care
asigur conformitatea cu reglementrile legale.
Prin modul de organizare a activitilor structurilor organizatorice ale direciei nu se asigur evitarea
dublrii aciunilor, respectiv exist activiti identice sau similare, desfurate de mai multe departamente i
probleme semnificative de suprapunere i de coordonare.
De asemenea, pentru realizarea unor activiti, nu se respect principiul convergenei n definirea i
stabilirea coninutului activitilor care sunt necesare pentru realizarea unui obiectiv.
Pentru reglementarea deficienelor constatate s-a recomandat realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui angajat, care s stea la baza oricrei iniiative de organizare a
activitii. Constituirea unei echipe, pe baza deciziei managementului general, care s analizeze i s
redefineasc activitile i aciunile realizate n cadrul compartimentelor i serviciilor, astfel nct s se
asigure c obiectivele vor fi realizate n totalitate.
La stabilirea obiectivelor se va urmri dac sunt ataate toate activitile necesare obinerii
rezultatelor stabilite, realizate efectiv n cadrul compartimentului, formulate ca aciuni concrete.

Organigrama ca document prin care se relev grafic structura organizaiei i substructurile acesteia
nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n subordinea
departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici nivelul de
Organigrama nu furnizeaz o nelegere a raporturilor de subordonare i de evitare a suprapunerilor
de competene. Astfel, cu privire la raporturile de subordonare, potrivit organigramei, Serviciul Programare
este organizat sub forma unui compartiment care se afl n directa subordonare a directorului general adjunct
al departamentului, dar n realitate acest compartiment este organizat la nivel de serviciu i subordonat
directorul general. Postul de director general adjunct a fost desfiinat n anul 2008 urmare a reorganizrilor
efectuate.
Definirea relaiilor ierarhice aa cum a fost precizat mai sus, nu asigur o integrare corespunztoare
a departamentului n structura organizatoric a organizaiei i nu se asigur operativitatea fluxului de
informaii i date ntre structurile implicate n fluxul tehnologic al activitilor.
n structura organizatoric a departamentului, definit n cadrul organigramei, nu se precizeaz n
cadrul serviciilor numrul de posturi i responsabilii structurilor funcionale corespunztor fiecrui nivel
ierarhic i/sau cine coordoneaz aceste servicii i compartimente, ceea ce nu permite identificarea nivelurilor
i relaiilor ierarhice.
Pentru remedierea deficienelor constatate s-a recomandat analiza actului normativ de organizare
i funcionare a organizaiei i urmrirea atribuiilor definite departamentului astfel nct s acopere n
totalitate activitile desfurate.
Totodat, din evaluare s-a mai constat c persoanele responsabilizate n posturile de conducere nu au
coordonat n nici un fel activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel
salariaii cu privire la modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu
privire la modul de realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat
267

Examinarea fielor posturilor pentru posturile de execuie ocupate de persoanele care au fost numite
cu delegaie n posturi de conducere s-a constatat c acestea nu prevedeau nici o aptitudine managerial.
Pentru aceste nereguli s-a recomandat desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de baz, de nivel superior, n domeniul IT.

Departamentului IT
Din analiz s-a constatat c riscurile nu sunt identificate i gestionate la nivelul departamentului i nu
este condus Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele
de control intern implementate pentru limitarea acestora.
Pentru aceast deficien s-a recomandat elaborarea mecanismelor procedurale i metodologice
privind identificarea riscurilor i gestionarea acestora, evaluarea riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri acceptabile, precum i implementarea de instrumente de control
pentru riscurile inerente, astfel nct manifestarea acestora s fie limitat i nivelul acestora s devin unul
acceptabil.
Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de control ce
trebuie alocate n vederea atingerii obiectivelor.
Din analiza sistemului de control intern instituit la nivelul departamentului IT a rezultat c unele
activiti de control relevante nu au fost cuprinse n politicile i procedurile de control instituite, astfel:
- revizuiri ale performanei - aceste activiti de control trebuie s includ revizuiri i analize ale
performanei efective n comparaie cu bugetele, previziunile i performana perioadelor precedente;
- procesarea informaiilor acestea trebuie s includ cele dou grupri de activiti de control ale
sistemelor informaionale, respectiv controalele asupra aplicaiilor individuale i controalele generale asupra
tehnologiei informaiei, care sunt de fapt politici i proceduri care se refer la mai multe aplicaii i
contribuie la asigurarea funcionrii adecvate continue a sistemelor informaionale.
Anumite activiti de control care nu sunt de rutin i care depind de existena unor politici adecvate
stabilite de conducere sau de cei nsrcinai cu guvernana nu au o aprobare de la aceste niveluri i nici nu au
fost delegate n responsabilitatea unor posturi inferioare.
Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente riscurilor
identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau msuri
de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s previn,
detecteze i s corecteze n mod eficient denaturrile semnificative.
n acelai timp din analiza efectuat a mai rezultat c la nivelul departamentului nu este organizat i
nu se conduce registrul riscurilor. Riscurile cu care se confrunt organizaia nu sunt identificate i nu sunt
monitorizate n vederea stpnirii i meninerii lor la un nivel acceptabil.
Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului

Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine cont de
scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia. Din analiza
fielor posturilor s-a constatat c la concursul organizat pentru ocuparea postului respectiv poate participa
orice persoan care are o diplom, deoarece nu se specific tipul de studii i nivelul acestora, respectiv n
domeniul IT, studii superioare de lung durat absolvite cu diplom de licen etc.
La stabilirea sarcinilor n fiele posturilor nu se urmrete asigurarea unui echilibru ntre sarcinile i
competenele titularului postului. Din analiza eantionului selectat a rezultat c pentru posturile cu un nivel
al studiilor medii sunt alocate aceleai atribuii i responsabiliti ca i pentru posturile cu un nivel al
268
studiilor superiore. Acestea creeaz probleme n gestionarea aplicaiilor i programelor, deoarece

persoanelor ncadrate n cadrul departamentului pe studii medii le-au fost date n responsabilitate ntreinerea
de aplicaii i programe complexe i chiar realizarea de astfel de aplicaii pentru organizaie, care necesit
cunotine IT de nivel superior i chiar anumite specializri.
Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
Totodat, atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme
i nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la
modul general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma
unei relaii funcionale sau avnd caracter de activitate sau sarcin.
Nu sunt definite n cadrul ROF-ului la capitolul privind departamentul IT relaiile cu celelalte
structuri funcionale cu care are sau ar trebui s aib relaii funcionale, respectiv nu este definit relaia
funcional care reglementeaz asigurarea conformitii informaiilor cu privire la asistarea utilizatorilor n
realizarea activitilor de introducere a datelor i informaiilor n cadrul aplicaiilor i programelor derulate
la nivelul celorlalte departamente funcionale din cadrul organizaiei, precum i cu privire la asistarea n
utilizarea echipamentelor din dotare.
Totodat, nu sunt prezentate relaiile ierarhice ntre posturile de conducere i posturile de execuie,
ci numai relaia ierarhic ntre posturile de conducere situate la niveluri ierarhice diferite din cadrul
departamentului IT.
n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n cadrul
documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor funcionale
pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
3. OPERAII ALE SISTEMULUI INFORMATIC

Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n disfuncii
legate de gestionarea acestora, astfel:
- n urma analizei modului de alocare i utilizare efectiv a resurselor IT disponibile, echipa de
auditori a constatat c unele departamente dispun de resurse insuficiente (departamentul IT), n timp ce
altele dispun de resurse excedentare (Direcia General de Investiii, Achiziii Publice i Servicii Interne),
fiind utilizate n proporie de max. 10-15%.
- echipa de auditori a constatat c listele generate n urma prelucrrilor pe un anumit computer
puteau fi vizualizate i modificate de pe toate celelalte computere din reea, accesul la ele nefiind
restricionat.
- n urma inventarierii interveniilor efectuate asupra computerelor, imprimantelor i
copiatoarelor aflate n cadrul biroului Multiplicare, s-a constatat c procedurile privind mentenana nu au
fost realizate cu respectarea specificaiilor productorului, de ctre personal autorizat, fapt ce a condus, n
majoritatea cazurilor, la pierderea garaniei, dar a fost afectat i performana echipamentelor respective.
- analiznd modul de soluionare a unui numr de 6 probleme de ordin tehnic aprute n cadrul
proceselor, echipa de auditori a constatat c au fost efectuate intervenii punctuale din partea personalului
specializat din cadrul departamentului IT al entitii, urmrindu-se strict remedierea respectivelor probleme
i fr a se avea n vedere etapele premergtoare apariiei problemei, cauzele i modul de propagare etc.
- Analiznd modul de efectuare a verificrilor asupra prelucrrilor, implementrii funciilor i
programelor, asupra modului de iniiere a unor proceduri sau a timpului de execuie, echipa de auditori a
constatat c o anumit parte din aceste verificri se realizeaz manual.
Pentru deficienele constatate s-a recomandat urmtoarele:
- implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie de
gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile IT
i resursele alocate acestor scopuri.
269
- mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii sau accesului neautorizat.
- procedurile de mentenan a echipamentelor s fie realizate corect i la intervale de timp
stabilite n funcie de specificul fiecrei componente, numai de ctre personal autorizat n acest sens.
- constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea i rezolvarea
operativ a problemelor de ordin tehnic (Help Desk), care s asigure i acordarea suportului tehnic de
specializate.
- elaborarea i implementarea unor programe care s automatizeze pe ct posibil verificrile
efectuate asupra operaiilor informatice.

administratorilor
3.1.3. Elaborarea planului anual de activitate

..

Din analiz s-a constatat neaplicarea n mod unitar a politicii de securitate IT, care a condus la
infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a
verificat 5 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2
departamente din cadrul entitii publice configuraia programului anti-virus pentru un numr de doua
calculatoare a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i,
n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece
se considera c programul anti-virus are un efect negativ asupra performanei sistemului. Urmare acestei
constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c
toate erau infectate cu virui.
Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de

Din analiza efectuat a rezultat c, subsistemele IT nu au fost realizate la termenele stabilite. Astfel,
analiza implementrii subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul
ca termenele stabilite pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui
s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte
departamente care au nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Resursele financiare alocate pentru implementarea acestor aplicaii n cadrul programelor deja
existente au fost utilizate pentru finalizarea unor aplicaii i programe deja ncepute i nefinalizate.
ntrzieri n realizarea activitilor planificate att n cadrul departamentului IT ct i n cadrul altor
departamente, deoarece datele i informaiile sunt reluate i introduse manual.
Pentru deficienele constatate s-a recomandat analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii acestora. Noile aplicaii i programe vor fi aprobate i achiziionate
numai dac sunt compatibile cu cele deja implementate sau aflate n faza de implementare i numai dac
exista resursele necesare aprobate prin buget.
3.3. Funcionalitatea Departamentului IT

270
.
.


.

3.5.1. Realizarea eficient a operaiilor n cadrul Departamentului IT
.
.
Din evaluare, auditorii interni au mai constatat c nu exist un sistem de controale generale care s fie
avute n vedere n cadrul procesului de proiectare, realizare, testare i implementare a tuturor subsistemelor
IT ce ruleaz pe echipamentele entitii publice, astfel:
- Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii
(ntreruperi, transfer);
- Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt
complete;
Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate
4. SECURITATEA INFORMAIEI


.
4.1.3. Securitatea datelor asigur disponibilitatea acestora doar pentru utilizatorii
autorizai
.
271

.

4.3.1. Asigurarea introducerii corecte a datelor
..
4.3.3. Asigurarea securitii datelor i documentelor

Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect procedurile
specifice privind asigurarea securitii reelelor, astfel:
- la nivelul departamentului IT au fost ntocmite hri privind infrastructura reelelor IT, ns una
din cele 3 hri cuprinse n eantion nu fusese actualizat, astfel nct aplicaiile copiate pe un numr de 4
sisteme nu au fost protejate prin intermediul programelor antivirus. De asemenea, aplicaiile contabile au
fost copiate de pe unul din calculatoarele existente, fr a se proceda la instalarea acestora de ctre
personalul specializat din cadrul departamentului IT, ocazie cu care nu au putut fi asigurata integritatea
tuturor modulelor.
- dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n
parte, n ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei
acestora n vederea alocrii corespunztoare a resurselor de securitate.
- la nivelul entitii s-a procedat la identificarea i nlturarea celor mai critice vulnerabiliti ale
reelelor, ns nu a fost avut n vedere un sistem de management al vulnerabilitilor, la cel mai profund
nivel, actualizat, care s permit identificarea precis i cuprinztoare a ultimilor vulnerabiliti ale
sistemului sau a greelilor de configurare, bazndu-se pe informaii precise i configuraii de sistem i de
reea adecvate.
- administratorii de sistem au procedat la ntocmirea de rapoarte care detaliaz nivelul critic al
vulnerabilitilor i au furnizat soluii de remediere ns informaiile nu au fost strnse, adaptate i prezentate
acelor persoane care decid asupra situaiei securitii n cadrul entitii publice. Astfel, conducerea entitii
nu a avut la dispoziie informaiile necesare cuantificrii efortului necesar pentru asigurarea securitii
reelelor.
Pentru remedierea deficienelor constatate au fost formulate urmtoarele recomandri:
1. Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea n
timp util a situaiilor privind reelele IT; Tratarea securitii reelelor ca pe un proces continuu, astfel nct
riscuri;
2. Prioritizare i a aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate, avnd n vedere c acestea necesit de cele mai multe ori resurse
considerabile, care trebuie s fie direct proporionale cu valoarea datelor sau echipamentelor de protejat;
3. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis,
cuprinztor i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
4. Toate rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie
corelate i aduse la cunotina conducerii entitii publice.

272
Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,

baza unui sistem de autorizare a accesului i unui sistem adecvat de parole.
La nivelul entitii au fost elaborate hari privind reele informatice existente. n acest sens, au fost
stabilite locaiile serverelor, sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a
imprimantelor i a celorlalte dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului
de management al securitii reelelor din cadrul entitii.
Analiza celor 3 reele care a constituit eantionul, a pus n eviden faptul c pentru dou reele
hrile erau corespunztoare, ns referitor la reeaua care deservea direcia general buget-finane s-a
constatat c, au fost achiziionate i conectate 4 noi computere i o imprimant de reea, toate deservite prin
De asemenea, pe cele 3 computere au fost copiate aplicaiile contabile utilizate la nivelul direciei,
fr a fi luate msuri pentru asigurarea securitii datelor i informaiilor prin controlarea accesului i
implementarea de programe antivirus adecvate.
La nivelul departamentului IT exist o clasificare a sistemelor hardware, n funcie de importana
fiecrei categorii pentru buna desfurare a activitii n cadrul entitii. n acest sens, dispozitivele din reea
au fost grupate n funcie de prioriti, de la sisteme cu importan redus, cum sunt sistemele de test sau
care sunt folosite independent pentru asigurarea funciilor mai puin importante ale entitii i sistemele de
importan medie, cum sunt sistemele laptop folosite de unii angajai n cadrul delegaiilor sau pentru lucrul
acas, la sisteme de importan major pentru asigurarea continuitii activitilor organizaiei, cum ar fi
sistemele care gestioneaz bazele de date, serverele care deservesc compartimentele cheie ale entitii
(tranzacii, operaiuni financiare etc.).
Dei exist o clasificare a sistemelor hardware, n funcie de importana fiecrei categorii n parte, n
ceea ce privete aplicaiile informatice, nu a fost avut n vedere o prioritizare a importanei acestora n
vederea alocrii corespunztoare a resurselor de securitate. Ex. - aplicaia informatic utilizat la nivelul
serviciului secretariat pentru urmrirea circuitului documentelor beneficiaz de aceleai msuri de securitate
ca i sistemul integrat privind conducerea organizaiei.
Administratorii de reea au procedat la ntocmirea de rapoarte prin care detaliaz nivelul
vulnerabilitilor i furnizeaz soluii de remediere, ns informaiile nu sunt adaptate i prezentate
persoanelor cu responsabiliti decizionale asupra securitii informaionale.
Recomandrile formulate au fcut referire la prioritizarea aplicaiilor informatice, n funcie de
importana acestora, n vederea alocrii corespunztoare a msurilor de securitate i tratarea securitii
reelelor ca pe un proces continuu. Implementarea unui sistem de management al vulnerabilitilor, care s
identifice vulnerabilitile i greelile de configurare i s dispun msurile operative de soluionare.
Rapoartele ntocmite n urma identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse
4.4.2. Introducerea instrumentelor de control fizic asupra echipamentelor IT al

aplicaiilor
Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea echipamentelor.
Din examinarea efectuata si observarea la fata locului s-a constatat unele disfuncii legate de accesul
necontrolat la cele trei locaii selectate att a persoanelor din cadrul altor departamente ct i a altor persoane
din afara entitii publice;
Totodat, dei au fost instalate camere de supraveghere, acestea nu sunt permanent monitorizate.
Deseori, camerele n care sunt localizate servere-le sunt lsate descuiate i nesupravegheate, dei sunt
echipate cu ncuietori adecvate;
La scoaterea echipamentelor din cadrul organizaiei nu exist obligativitatea prezentrii unei
autorizaii scrise.
Pentru deficienele constatate s-a recomandat introducerea de instrumente de control adecvate
astfel incit orice acces la echipamentele sau datele si informaiile organizaiei sa fie limitat, sau in cazurile

273

4.6.1. Utilizatori au parole de acces individuale
Din verificarea efectuata a rezultat c nu exist o securitate a sistemului informatic i un responsabil
cu administrarea acestui sistem.
Recomandarea s-a referit la stabilirea unei persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de acces.

..

5. PROIECTAREA I TESTAREA PROGRAMELOR I APLICAIILOR

5.1.1. Achiziia programelor informatice
.
.
.
5.2.2. Asigurarea corectitudini rezultatelor

Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a acestora.
Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n secvena n
care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a nregistrrii.
Accesul direct se obine prin indexarea fiierelor, adic prin crearea unor tabele de indeci care
pentru fiecare valoare atributului care permite identificarea n mod unic a unei nregistrri din fiier.
- redundan mare stocarea datelor n mai multe fiiere;
- acces dificil la date exploatarea multiutilizator a datelor necesit operaii suplimentare de
sortare, fuziune, ventilare;
- izolarea datelor imposibilitatea realizrii de programe pe calculator care s acceseze datele
ntr-o manier global;
274
- actualizarea datelor prin adugare, modificare, tergere genereaz erori atunci cnd mai muli
utilizatori doresc s modifice simultan aceleai date;
- dependena programelor fa de date modificrile din structura datelor oblig la efectuarea de
corecturi n programele de calculator;
- fiecare dat este descris independent n toate fiierele n care apar dac ntr-un fiier se
modific formatul i valoarea unei date, acea modificare nu se transmite automat, pentru aceeai dat, n
toate fiierele de date.
Pentru remedierea acestor deficiente s-a recomandat organizarea datelor n baze de date, respectiv
un fiier format din nregistrri, care conin cmpuri i operaii de cutare, sortare sau recombinare.
Pentru aceasta este necesar realizarea urmtoarelor: definirea, structurarea, ordonarea i gruparea datelor
n colecii de date omogene; stabilirea legturilor ntre date, ntre elementele unei colecii de date i ntre
coleciile de date, dup o ierarhie bine precizat, precum i memorarea datelor pe un suport informaional
prelucrabil ntr-un sistem de calcul.
6. ELABORAREA I IMPLEMENTAREA PROIECTELOR IT


.
6.2.2. ntreinerea aplicaiilor garanteaz funcionarea proceselor la parametri optimi
Din evaluarea realizat s-a constatat utilizarea n cadrul entitii publice a unor programe software fr
licen. Astfel, cu toate c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au
constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca
pentru acestea entitatea public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd
CD-uri piratate.
La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz
administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene.
Pentru remedierea deficienelor constatate s-a recomandat inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind utilizarea programelor fr licen i dezinstalarea tuturor
programelor neliceniate din pachetul Microsoft Office. Totodat, s-a recomandat i realizarea unei analize
complexe n urma creia managementul entitii publice s decid asupra oportunitii schimbrii
programelor existente i achiziionarea unui numr adecvat de licene Microsoft Office.
7. PROIECTAREA, IMPLEMENTAREA I MENINEREA N FUNCIE A UNEI

REELE
..
.
275


Din evaluare s-a constatat neutilizarea unui singur nume de utilizator i unei singure parole pentru
accesul la sistemul IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura
sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole
diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite:
nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de
subsistemul IT la care se conecteaz angajatul.
Pentru aceasta s-a recomandat realizarea unui proces de reenginering la nivelul sistemului IT din
cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un
singur nume de utilizator i o singur parol;
III. CONCLUZII
Echipa de auditori pe baza testrilor i analizelor efectuate evalueaz Activitatea de stabilire i
colectare a impozitelor i taxelor locale din entitatea auditat conform grilei:
Nr..
Crt.
1.
2.
3.
4.
5.
6.
7.
APRECIERE
OBIECTIVUL
FUNCIONAL
Strategia i planificarea sistemelor

informatice;
Organizarea
i
funcionarea
departamentului IT;
X
Elaborarea i implementarea proiectelor
IT;
Proiectarea i meninerea n funciune a
unei reele.
DE
MBUNTIT
X
CRITIC
X
X
X
X
X
Precizm, faptul c constatrile prezentate au la baz probe de audit obinute pe baza testelor
efectuate consemnate n documentele de lucru ntocmite de ctre echipa de auditori i nsuite de ctre factorii
de management ai entitii. Aceste evaluri au la baz discuiile care au avut loc cu privire la recomandrile
auditorilor n edinele de nchidere i conciliere ale misiunii, apreciate de ctre participanii la aceste edine,
ca fiind realiste i fezabile, i materializate n minutele edinelor de nchidere i conciliere.
Considerm c rezultatele evalurii auditorilor interni privind Activitatea privind tehnologia
informaiei se nscrie n parametri normali pentru aceast perioad de introducere a auditului intern n
entiti. De asemenea, prin implementarea recomandrilor echipei de auditori activitatea de stabilire i
colectare a impozitelor i taxelor locale va cunoate o ameliorare semnificativ.
Structura auditat are obligaia s ntocmeasc Programul de aciune i Calendarul implementrii
recomandrilor i s raporteze periodic echipei de auditori stadiul implementrii acestora.
Prezentul Raport de audit intern a fost ntocmit n baza Tematicii n detaliu a obiectelor auditabile
selectate, a Programului de audit i a Programului de intervenie la faa locului, a constatrilor efectuate n
timpul etapei de colectrii i prelucrrii informaiilor i n timpul Intervenie la fata locului. Toate
constatrile efectuate au la baz probe de audit realizate prin teste, interviuri, liste de control, note de relaii
i n urma analizei i interpretrii acestora s-au elaborat FIAP-uri i FCRI-uri care au condus la concluziile
cuprinse n Raportul de audit intern.
276
Data: 28.10.2009
Auditori interni,
Popescu Sorin
Radu George
Supervizor,
Dumitru Daniel
Not:
Proiectul de raport de audit intern concretizeaz activitatea auditorilor interni prin prezentarea cadrului
general de desfurare a activitii entitii, obiectivelor, constatrilor, concluziilor i recomandrilor obinute n
urma misiunii realizate, ct i aria i metodologia de audit, tehnicile de colectare i de analiz a dovezilor de audit
utilizate.
La elaborarea Proiectului de raportul de audit intern, auditorul folosete dovezile de audit raportate n Fiele
de Identificare i Analiza a Problemelor i n Formularul de Constatare i Raportare a Iregularitilor i n celelalte
documente de lucru.
277
Procedura P15:
ELABORAREA RAPORTULUI DE AUDIT INTERN
SINTEZA
RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit intern privind Activitatea de tehnologia informaiei din cadrul entitii publice s-a desfurat
conform prevederilor Legii nr. 672/2002 privind auditul public intern, cu modificrile i completrile ulterioare,
OMFP nr. 38/2003 de aprobare a Normelor generale privind exercitarea activitii de audit intern, a Normelor specifice
proprii de audit intern aprobate de conducere i a Planului de audit intern pe anul 2009, i a fost realizata de:
Popescu Sorin - auditor superior, coordonator echip

Radu George - auditor superior
Dumitru Daniel - supervizor.
II. CONCLUZII
Nr..
Crt.
1.
2.
3.
4.
5.
6.
7.
APRECIERE
OBIECTIVUL
FUNCIONAL
Strategia i planificarea sistemelor

informatice;
Organizarea
i
funcionarea
departamentului IT;
X
Elaborarea i implementarea proiectelor
IT;
Proiectarea i meninerea n funciune a
unei reele.
DE
MBUNTIT
X
CRITIC
X
X
X
X
X
III. CONSTATRI i RECOMANDRI

Principalele constatri i recomandri rezultate n urma evalurii:
1. Constatri: Nerealizarea n termen a procedurilor de achiziie i implementare a programelor i

aplicaiilor informatice.
Recomandare: Reanalizarea atribuiilor Comisiei de planificare strategic n domeniul IT i redefinirea
acestora astfel nct s poat realiza i monitorizarea implementrii proiectelor informatice i informarea
periodic a conducerii asupra realizrii acestora.
278
2. Constatri: La elaborarea strategiei, la nivelul structurii funcionale, nu s-au avut n vedere evaluarea
situaiei actuale pe baza analizei diagnostic, identificarea punctelor tari i a punctelor slabe ale entitii i
fundamentarea variantelor strategice
Recomandri: Pregtirea profesional anticipat a personalului implicat n elaborarea strategiei, de ctre
managementul responsabil cu aceasta. Reanalizarea strategiei definite la nivelul structurii funcionale n
conformitate cu procedura operaional aprobat i actualizarea acesteia astfel nct implementarea sa s
contribuie la realizarea unui management modern in domeniul de activitate i la atingerea obiectivelor
strategice ale organizaiei. n acelai timp s-a mai recomandat mbuntirea procedurilor operaionale de
lucru privind sistemul de fundamentare a necesarului de resurse pentru elaborarea strategiei.
3. Constatri: Obiectivelor strategice nu asigur acoperirea domeniului de activitate al structurii funcionale
i nu contribuie la asigurarea realizrii mandatului organizaiei. Acestea reprezint exprimrile cantitative i
calitative ale scopului pentru care exist i funcioneaz organizaia.
Recomandri: Pentru deficienele constatate s-a recomandat evaluarea performanelor actuale ale
sistemului de organizare i conducere a activitilor desfurate n cadrul structurii funcionale, innd cont
de influena factorilor de mediu, interni i externi, n vederea redefinirii obiectivelor strategice. Implicarea
4. Constatri: Resursele nu sunt fundamentate corect n vederea implementrii planului anual de activitate.
Activitile considerate prioritare ale planului anual nu au fost realizate sau implementate n totalitate, n
mod corespunztor, deoarece nu au fost reanalizate i repartizate atribuiile n cadrul compartimentelor n
corelaie cu noile obiective i activiti stabilite n cadrul planului. Aceasta a nsemnat c, n unele cazuri,
obiectivele i activitile dei erau cunoscute de personal, acesta nu avea competena necesar, n special a
celor care erau realizate n colaborare cu alte structuri funcionale, ceea ce a necesitat solicitarea unor
competene pentru realizarea acestora, proces care a ngreunat implementarea obiectivelor i realizarea
activitilor. Activitile nu au fost comunicate salariailor, respectiv obiectivele individuale au rmas
Recomandri: Dezvoltarea unui sistem de instruire i pregtire a salariailor astfel nct metodologia
specific domeniului de activitate, normativ i procedural, s fie aplicat corespunztor pentru
dezvoltarea i implementarea planurilor anuale. n baza planurilor elaborate s se identifice toate atribuiile
necesare pentru atingerea obiectivelor stabilite, iar acestea s fie repartizate corespunztor n cadrul
compartimentelor. Promovarea dezvoltrii resurselor umane pentru a obine competenele necesare creterii
economice n condiiile n care au loc reduceri de personal, precum i evaluarea cuprinztoare a resurselor
necesare implementrii planurilor anuale de activitate i monitorizarea eficient pentru a se asigura
ncadrarea n limitele stabilite.
5. Constatri: Departamente din cadrul entitii nu dispun de subsisteme IT specifice activitilor care se
Recomandare: Pentru deficienele constatate s-a recomandat coroborarea atribuiilor prezentate prin
proceduri cu cele stabilite prin fiele posturilor i inventarierea stadiului implementrii subsistemelor IT la
nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuie incluse n strategia IT.
6. Constatri: Atribuiile stabilite pentru posturile din cadrul Departamentului IT nu asigur ntotdeauna
aria de competen privind realizarea activitilor i aciunilor repartizate.
Recomandare: Contientizarea managementului responsabil cu procesul de stabilire i definire a atribuiilor
prin informri i consilieri pentru clarificarea modalitilor practice de definire a unei atribuii sau unui set
de atribuii pentru asigurarea ariei de competen necesar pentru realizarea activitilor.
7. Constatri: Activitile nu sunt definite omogen n cadrul structurii funcionale, iar stabilirea
complexitii acestora nu se realizeaz n funcie de nivelurile de calificare ale posturilor existente.
Recomandri: Realizarea unei analize riguroase a sarcinilor i responsabilitilor fiecrui angajat, care s
stea la baza oricrei iniiative de organizare a activitii. Constituirea unei echipe, pe baza deciziei
managementului general, care s analizeze i s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c obiectivele vor fi realizate n totalitate.
279
8. Constatri: Organigrama ca document prin care se relev grafic structura organizaiei i substructurile
acesteia nu pune n eviden organizarea i funcionarea departamentului. Compartimentele aflate n
subordinea departamentului nu sunt nominalizate n totalitate n cadrul organigramei i nu este precizat nici
nivelul de subordonare al departamentului n cadrul organizaiei. Organigrama nu furnizeaz o nelegere a
raporturilor de subordonare i de evitare a suprapunerilor de competene. Astfel, cu privire la raporturile de
subordonare, potrivit organigramei, Recomandare: Pentru remedierea deficienelor constatate s-a
recomandat analiza actului normativ de organizare i funcionare a organizaiei i urmrirea atribuiilor
definite departamentului astfel nct s acopere n totalitate activitile desfurate.
9. Constatri: Persoanele responsabilizate n posturile de conducere nu au coordonat n nici un fel
activitile care erau realizate zilnic de ctre salariai, nu au ndrumat n nici un fel salariaii cu privire la
modul n care n care s realizeze activitile i nici nu au realizat o monitorizare cu privire la modul de
realizare a acestora. Salariaii, n baza sarcinilor stabilite prin fia postului, au realizat activitile n funcie
de cunotinele i aptitudinile pe care le deineau.
Recomandare: Desfurarea procesului de selecie i recrutarea n vederea ocuprii posturilor de conducere
existente la nivelul departamentului IT. n acelai timp se va urmri dac persoanele selectate dein
abilitile i aptitudinile manageriale necesare realizrii activitilor specifice celor dou servicii i dac au
pregtirea de baz, de nivel superior, n domeniul IT.
10. Constatare: Riscurile nu sunt identificate i gestionate la nivelul departamentului i nu este condus
Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, precum i instrumentele de control
intern implementate pentru limitarea acestora.
Recomandare: Elaborarea mecanismelor procedurale i metodologice privind identificarea riscurilor i
gestionarea acestora, evaluarea riscurilor identificate i diferenierea acestora n riscuri inerente i riscuri
acceptabile, precum i implementarea de instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s devin unul acceptabil.
11. Constatare: Sistemul de control intern definit la nivelul organizaiei nu cuprinde toate activitile de
control ce trebuie alocate n vederea atingerii obiectivelor.
Recomandare: Pentru remedierea acestor deficiene s-a constatat stabilirea controalelor interne aferente
riscurilor identificate i determinarea gradului de funcionalitate al acestora i proiectarea de instrumente sau
msuri de introducere de controale interne, fie individuale, fie n combinaie cu alte controale, capabile s
previn, detecteze i s corecteze n mod eficient denaturrile semnificative.
12. Constatare: La nivelul departamentului nu este organizat i nu se conduce registrul riscurilor. Riscurile
cu care se confrunt organizaia nu sunt identificate i nu sunt monitorizate n vederea stpnirii i
meninerii lor la un nivel acceptabil.
Recomandare: Pentru soluionarea acestei deficiene s-a recomandat instituirea i conducerea Registrului
13. Constatare: Studiile de specialitate aferente unui post sunt definite n cadrul fiei postului fr a se ine
cont de scopul postului i cunotinele de baz necesare pentru realizarea atribuiilor alocate acestuia.
Recomandare: Pentru aceasta s-a recomandat analiza sarcinilor i atribuiilor definite n fiele posturilor i
13. Constatare: Atribuiile definite n sarcina compartimentelor funcionale nu sunt ntotdeauna conforme i
nu asigur competena de realizare a activitilor i aciunilor, acestea fiind definite n multe cazuri la modul
general, nu indic, prin modul de formulare, o aciune, nu asigura un coninut clar, fiind sub forma unei
relaii funcionale sau avnd caracter de activitate sau sarcin. Nu sunt definite n cadrul ROF-ului la
capitolul privind departamentul IT relaiile cu celelalte structuri funcionale cu care are sau ar trebui s aib
relaii funcionale, respectiv nu este definit relaia funcional care reglementeaz asigurarea conformitii
informaiilor cu privire la asistarea utilizatorilor n realizarea activitilor de introducere a datelor i
informaiilor n cadrul aplicaiilor i programelor derulate la nivelul celorlalte departamente funcionale din
cadrul organizaiei, precum i cu privire la asistarea n utilizarea echipamentelor din dotare.
Recomandare: n vederea remedierii acestor deficiene s-a recomandat identificarea i definirea corect n
cadrul documentului de organizare i funcionare, a atribuiilor specifice departamentului, a relaiilor
funcionale pe care compartimentul la are cu alte structuri funcionale din cadrul organizaiei.
280
14. Constatare: Existena unor controale interne slabe privind managementul operaiunilor IT, reflectate n
disfuncii legate de gestionarea acestora.
Recomandare: Implementarea unei aplicaii care s monitorizeze alocarea i utilizarea resurselor n funcie
de gradul de complexitate al operaiilor efectuate. Urmrirea n permanen a echilibrului ntre necesitile
IT i resursele alocate acestor scopuri. Mediile sau locaiile de stocare s fie protejate mpotriva deteriorrii
sau accesului neautorizat. Constituirea n cadrul departamentului IT a unui colectiv specializat n raportarea
i rezolvarea operativ a problemelor de ordin tehnic, care s asigure i acordarea suportului tehnic de
specializate.
15. Constatare: Neaplicarea n mod unitar a politicii de securitate IT, care a condus la infectarea cu virui a
unor staii de lucru din sistemul IT al entitii publice. Astfel, echipa de auditori a verificat 5 de staii de
lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat c n 2 departamente din
cadrul entitii publice configuraia programului anti-virus pentru un numr de doua calculatoare a fost
modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a
fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera
c programul anti-virus are un efect negativ asupra performanei sistemului.
Recomandare: Pentru deficienele constatate s-a recomandat constituirea unor echipe pentru efectuarea de
16. Constatare: Subsistemele IT nu au fost realizate la termenele stabilite. Astfel, analiza implementrii
subsistemelor IT, potrivit planului anual ntocmit i aprobat, a pus n evidenta faptul ca termenele stabilite
pentru implementarea programelor nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile
aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care au
nevoie de aceste informaii i unde funcioneaz deja de programe performante.
Recomandare: Analiza tuturor aplicaiilor i programelor ncepute i nefinalizate, identificarea resurselor
financiare necesare pentru finalizarea acestora, stabilirea de termene de finalizare i urmrirea respectrii
acestora. Noile aplicaii i programe vor fi aprobate i achiziionate numai dac sunt compatibile cu cele deja
implementate sau aflate n faza de implementare i numai dac exista resursele necesare aprobate prin buget.
17. Constatare: Nu exist un sistem de controale generale care s fie avute n vedere n cadrul procesului
de proiectare, realizare, testare i implementare a tuturor subsistemelor IT ce ruleaz pe echipamentele
entitii publice.
Recomandare: Pentru deficienele constatate s-a recomandat identificarea riscurilor care guverneaz toate
18. Constatare: Din analiza efectuat s-a constatat c la nivelul Departamentului IT nu se respect
procedurile specifice privind asigurarea securitii reelelor.
Recomandare: Implementarea procedurilor operaionale de lucru cu elemente care s asigure actualizarea
n timp util a situaiilor privind reelele IT. Tratarea securitii reelelor ca pe un proces continuu, astfel nct
riscuri. Implementarea unui sistem de management al vulnerabilitilor, care s identifice precis, cuprinztor
i actualizat la zi, ultimele vulnerabiliti ale sistemului sau a greelilor de configurare.
19. Constatare: Posturile de lucru dotate cu computer nu sunt evideniate la nivelul Departamentului IT,
baza unui sistem de autorizare a accesului i unui sistem adecvat de parole. La nivelul entitii au fost
elaborate hari privind reele informatice existente. n acest sens, au fost stabilite locaiile serverelor,
sistemelor desktop, sistemelor laptop, a routerelor, a punctelor de acces, a imprimantelor i a celorlalte
dispozitive conectate la reea. Aceste hri au stat la baza elaborrii sistemului de management al securitii
reelelor din cadrul entitii.
Recomandare: Prioritizarea aplicaiilor informatice, n funcie de importana acestora, n vederea alocrii
corespunztoare a msurilor de securitate i tratarea securitii reelelor ca pe un proces continuu.
Implementarea unui sistem de management al vulnerabilitilor, care s identifice vulnerabilitile i
281
greelile de configurare i s dispun msurile operative de soluionare. Rapoartele ntocmite n urma

identificrii i soluionrii vulnerabilitilor reelelor s fie corelate i aduse la cunotina conducerii
organizaiei.
20. Constatri: Controalele fizice nu sunt implementate in mod eficient pentru a asigura securitatea
echipamentelor.
Recomandare: Introducerea de instrumente de control adecvate astfel incit orice acces la echipamentele
sau datele si informaiile organizaiei sa fie limitat, sau in cazurile in care acesta este permis sa fie
supravegheat in totalitate.
21. Constatri: Inexistena unui sistem de stabilire de ctre fiecare utilizator a parolelor i a unui
responsabil cu verificarea schimbrii periodice a parolelor de acces.
Recomandare: Schimbarea sistematic a parolelor de acces de ctre utilizatorii sistemului informatic,
precum i stabilirea unei persoane care s aib n responsabilitate atribuii i competene de verificare a
schimbrii periodice a parolelor de acces.
22. Constatare: Organizarea datelor i stocarea acestora nu asigur o utilizare i exploatare eficient a
acestora. Accesul la o nregistrare din fiierul de date se obine prin parcurgerea nregistrrilor fiierului n
secvena n care au fost stocate sau pe baz unui cod de identificare care s permit regsirea rapid a
nregistrrii.
Recomandare: Organizarea datelor n baze de date, respectiv un fiier format din nregistrri, care conin
cmpuri i operaii de cutare, sortare sau recombinare. Pentru aceasta este necesar realizarea urmtoarelor:
definirea, structurarea, ordonarea i gruparea datelor n colecii de date omogene; stabilirea legturilor ntre
date, ntre elementele unei colecii de date i ntre coleciile de date, dup o ierarhie bine precizat, precum i
memorarea datelor pe un suport informaional prelucrabil ntr-un sistem de calcul.
23. Constatri: Utilizarea n cadrul entitii publice a unor programe software fr licen. Astfel, cu toate
c entitatea public a achiziionat licene pentru pachetul de programe Lotus, s-au constatat c n cadrul
unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea
public s fi achiziionat licene. Practic salariaii au instalat programe utiliznd CD-uri piratate.
Recomandare: Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea
programelor fr licen i dezinstalarea tuturor programelor neliceniate din pachetul Microsoft Office.
Totodat, s-a recomandat i realizarea unei analize complexe n urma creia managementul entitii publice
s decid asupra oportunitii schimbrii programelor existente i achiziionarea unui numr adecvat de
licene Microsoft Office.
24. Constatare: Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul
IT, n condiiile n care majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu,
trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT
este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i
parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care
se conecteaz angajatul.
Recomandare: Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice,
astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator
i o singur parol;
In ncheiere, consideram necesara implicarea colectivului n analiza i implementarea

recomandrilor propuse i a aciunilor discutate i informarea sistematica asupra evoluiei
acestora, att a managementului general, cat i a echipei de auditori interni.
Auditori interni,
Popescu Sorin
Radu George
Supervizor,
Dumitru Daniel
282
Procedura P18:
URMRIREA RECOMANDRILOR
Entitatea Public
FIA DE URMRIRE A RECOMANDRILOR

Data: 10.09.2009
Data: 10.09.2009
Sfrit de lun
RECOMANDAREA
Reanalizarea atribuiilor Comisiei de planificare strategic n

domeniul IT i redefinirea acestora astfel nct s poat realiza
i monitorizarea implementrii proiectelor informatice i
informarea periodic a conducerii asupra realizrii acestora.
Pregtirea profesional anticipat a personalului implicat n
elaborarea strategiei, de ctre managementul responsabil cu
aceasta. Reanalizarea strategiei definite la nivelul structurii
funcionale n conformitate cu procedura operaional
aprobat i actualizarea acesteia astfel nct implementarea sa
s contribuie la realizarea unui management modern in
domeniul de activitate i la atingerea obiectivelor strategice
ale organizaiei.
mbuntirea procedurilor operaionale de lucru privind
sistemul de fundamentare a necesarului de resurse pentru
elaborarea strategiei.
Evaluarea performanelor actuale ale sistemului de organizare
i conducere a activitilor desfurate n cadrul structurii
funcionale, innd cont de influena factorilor de mediu,
interni i externi, n vederea redefinirii obiectivelor strategice.
Implicarea managementului pentru ca obiectivele strategice
redefinite s ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi nelese de salariai,
stabilite de metodologie. Totodat, la redefinirea acestora se
va urmri asigurarea resurselor necesare implementrii lor.
Dezvoltarea unui sistem de instruire i pregtire a salariailor
astfel nct metodologia specific domeniului de activitate,
normativ i procedural, s fie aplicat corespunztor pentru
dezvoltarea i implementarea planurilor anuale. n baza
planurilor elaborate s se identifice toate atribuiile necesare
pentru atingerea obiectivelor stabilite, iar acestea s fie
repartizate corespunztor n cadrul compartimentelor.
Totodat, s-a mai recomandat promovarea dezvoltrii
resurselor umane pentru a obine competenele necesare
creterii economice n condiiile n care au loc reduceri de
personal, precum i evaluarea cuprinztoare a resurselor
Parial
implement
at
Neimplem
entat
Recomandarea
Implement
at
Nr.
crt.
Misiunea de audit intern: Raport de audit

Stabilirea i colectarea intern
nr.
impozitelor i taxelor locale 234532/
14.07.2010
Data planificat/
Data implementrii
31.12.2009
31.03.2010
31.12.2009
31.12.2009
283
8
9
10
11
12
13
14
(financiare, instituionale, programe, personal) necesare

implementrii planurilor anuale de activitate i monitorizarea
eficient pentru a se asigura ncadrarea n limitele stabilite.
Coroborarea atribuiilor prezentate prin proceduri cu cele
stabilite prin fiele posturilor i inventarierea stadiului
implementrii subsistemelor IT la nivelul departamentelor
entitii publice i stabilirea necesitilor IT care trebuie
incluse n strategia IT.
Contientizarea managementului responsabil cu procesul de
stabilire i definire a atribuiilor prin informri i consilieri
pentru clarificarea modalitilor practice de definire a unei
atribuii sau unui set de atribuii pentru asigurarea ariei de
competen necesar pentru realizarea activitilor.
Realizarea unei analize riguroase a sarcinilor i
responsabilitilor fiecrui angajat, care s stea la baza oricrei
iniiative de organizare a activitii. Constituirea unei echipe,
pe baza deciziei managementului general, care s analizeze i
s redefineasc activitile i aciunile realizate n cadrul
compartimentelor i serviciilor, astfel nct s se asigure c
obiectivele vor fi realizate n totalitate. La stabilirea
obiectivelor se va urmri dac sunt ataate toate activitile
necesare obinerii rezultatelor stabilite, realizate efectiv n
cadrul compartimentului, formulate ca aciuni concrete.
Analiza actului normativ de organizare i funcionare a
organizaiei i urmrirea atribuiilor definite departamentului
astfel nct s acopere n totalitate activitile desfurate.
Desfurarea procesului de selecie i recrutarea n vederea
ocuprii posturilor de conducere existente la nivelul
departamentului IT. n acelai timp se va urmri dac
persoanele selectate dein abilitile i aptitudinile manageriale
necesare realizrii activitilor specifice celor dou servicii i
dac au pregtirea de baz, de nivel superior, n domeniul IT.
Elaborarea mecanismelor procedurale i metodologice privind
identificarea riscurilor i gestionarea acestora, evaluarea
riscurilor identificate i diferenierea acestora n riscuri
inerente i riscuri acceptabile, precum i implementarea de
instrumente de control pentru riscurile inerente, astfel nct
manifestarea acestora s fie limitat i nivelul acestora s
devin unul acceptabil.
Stabilirea controalelor interne aferente riscurilor identificate i
determinarea gradului de funcionalitate al acestora i
proiectarea de instrumente sau msuri de introducere de
controale interne, fie individuale, fie n combinaie cu alte
controale, capabile s previn, detecteze i s corecteze n
mod eficient denaturrile semnificative.
Analiza sarcinilor i atribuiilor definite n fiele posturilor i
stabilirea acestora n funcie de caracteristicile postului,
respectiv nivelul postului i urmrirea definirii aceluiai gen
de sarcini i atribuii numai dac posturile sunt de acelai
nivel.
Identificarea i definirea corect n cadrul documentului de
organizare i funcionare, a atribuiilor specifice
departamentului, a relaiilor funcionale pe care
compartimentul la are cu alte structuri funcionale din cadrul
organizaiei.
Implementarea unei aplicaii care s monitorizeze alocarea i
utilizarea resurselor n funcie de gradul de complexitate al
operaiilor efectuate. Urmrirea n permanen a echilibrului
ntre necesitile IT i resursele alocate acestor scopuri.
Protejarea mediile sau locaiile de stocare mpotriva
deteriorrii sau accesului neautorizat.
Realizarea corect i la intervale de timp stabilite n funcie de
31.12.2009
31.12.2009
31.03.2010
31.12.2009
31.03.2010
31.03.2010
31.12.2009
31.12.2009
31.12.2009
31.03.2010
284
15
16
17
18
19
20
specificul fiecrei componente, numai de ctre personal

autorizat n acest sens, a procedurilor de mentenan a
echipamentelor s fie
Constituirea n cadrul departamentului IT a unui colectiv
specializat n raportarea i rezolvarea operativ a problemelor
de ordin tehnic (Help Desk), care s asigure i acordarea
suportului tehnic de specialitate ctre utilizatori, fie prin linii
telefonice dedicate, fie prin e-mail sau deplasri ale echipelor
specializate.
Elaborarea i implementarea unor programe care s
automatizeze pe ct posibil verificrile efectuate asupra
operaiilor informatice.
Constituirea unor echipe pentru efectuarea de verificri antivirus la nivelul tuturor staiilor de lucru din cadrul entitii
publice, configurarea corecta n cazurile n care aceste
programe au fost dezactivate, stabilirea de responsabiliti n
cazul n care acestea sunt dezactivate i produc disfuncii n
cadrul organizaiei.
Analiza tuturor aplicaiilor i programelor ncepute i
nefinalizate, identificarea resurselor financiare necesare pentru
finalizarea acestora, stabilirea de termene de finalizare i
urmrirea respectrii acestora. Noile aplicaii i programe vor
fi aprobate i achiziionate numai dac sunt compatibile cu
cele deja implementate sau aflate n faza de implementare i
numai dac exista resursele necesare aprobate prin buget.
Identificarea riscurilor care guverneaz toate subsistemele IT,
stabilirea controalelor interne care ar trebui s existe pentru ca
acestea s funcioneze corect, urmrirea controalelor interne
care exist i funcioneaz, identificarea i implementarea de
instrumente de control pentru controalele interne care nu sunt
Implementarea procedurilor operaionale de lucru cu elemente
care s asigure actualizarea n timp util a situaiilor privind
reelele IT; Tratarea securitii reelelor ca pe un proces
continuu, astfel nct schimbrile n cadrul utilizatorilor,
echipamentelor sau aplicaiilor s se realizeze evitnd
expunerile la riscuri;
Prioritizarea aplicaiilor informatice, n funcie de importana
acestora, n vederea alocrii corespunztoare a msurilor de
securitate, avnd n vedere c acestea necesit de cele mai
multe ori resurse considerabile, care trebuie s fie direct
proporionale cu valoarea datelor sau echipamentelor de
protejat;
Implementarea
unui
sistem
de
management
al
vulnerabilitilor, care s identifice precis, cuprinztor i
actualizat la zi, ultimele vulnerabiliti ale sistemului sau a
greelilor de configurare.
Corelarea rapoartelor ntocmite n urma identificrii i
soluionrii vulnerabilitilor reelelor i aducerea lor la
cunotina conducerii entitii publice.
Prioritizarea aplicaiilor informatice, n funcie de importana
acestora, n vederea alocrii corespunztoare a msurilor de
securitate i tratarea securitii reelelor ca pe un proces
continuu. Implementarea unui sistem de management al
vulnerabilitilor, care s identifice vulnerabilitile i
greelile de configurare i s dispun msurile operative de
soluionare. Rapoartele ntocmite n urma identificrii i
soluionrii vulnerabilitilor reelelor s fie corelate i aduse
Introducerea de instrumente de control adecvate astfel incit
orice acces la echipamentele sau datele si informaiile
organizaiei sa fie limitat, sau in cazurile in care acesta este
permis sa fie supravegheat in totalitate.
31.12.2009
31.-03.2010
31.12.2009
31.03.2010
31.12.2009
31.12.2009
285
21
22
23
24
Schimbarea sistematic a parolelor de acces de ctre

utilizatorii sistemului informatic, precum i stabilirea unei
persoane care s aib n responsabilitate atribuii i
competene de verificare a schimbrii periodice a parolelor de
acces.
Organizarea datelor n baze de date, respectiv un fiier format
din nregistrri, care conin cmpuri i operaii de cutare,
sortare sau recombinare. Pentru aceasta este necesar realizarea
urmtoarelor: definirea, structurarea, ordonarea i gruparea
datelor n colecii de date omogene; stabilirea legturilor ntre
date, ntre elementele unei colecii de date i ntre coleciile de
date, dup o ierarhie bine precizat, precum i memorarea
datelor pe un suport informaional prelucrabil ntr-un sistem
de calcul.
Inventarierea tuturor staiilor de lucru pentru a stabili situaia
real privind utilizarea programelor fr licen i
dezinstalarea tuturor programelor neliceniate din pachetul
Microsoft Office. Totodat, s-a recomandat i realizarea unei
analize complexe n urma creia managementul entitii
publice s decid asupra oportunitii schimbrii programelor
existente i achiziionarea unui numr adecvat de licene
Microsoft Office.
Realizarea unui proces de reenginering la nivelul sistemului
IT din cadrul entitii publice, astfel nct salariaii s poat
accesa subsistemele IT de care au nevoie utiliznd un singur
nume de utilizator i o singur parol;
Instruciuni
1. Introducei recomandrile de audit dup cum
sunt prezentate n Raportul de audit intern.
2.
Verificai
coloana
corespunztoare:
implementat, parial implementat, neimplementat
3. Introducei data planificat pentru implementare
n Raportul de audit intern i data implementrii
Auditori interni,
Popescu Sorin
31.12.2009
31.03.2010
31.12.2009
31.03.2010
Structura auditat: Departamentul Tehnologia

Informaiei
Data: 28.10.2009
Semntura conductorului .
Auditori: Popescu Sorin/ Radu George
Data i semntura
Supervizor,
Dumitru Daniel
Radu George
Not:
Aceast etap a misiunii de audit presupune asigurarea c recomandrile din raportul de audit intern
sunt implementate ntocmai la termenele stabilite i n mod eficace, iar conducerea a evaluat riscul de
neaplicare a acestor recomandri.
Structura de audit intern va evalua eficacitatea i oportunitatea aciunilor stabilite i ntreprinse n
vederea implementrii recomandrilor, respectarea termenelor i va determina progresele nregistrate de
structura auditat i modul de mbuntire a activitilor stabilind valoarea nou creat de auditul intern.
Responsabilul entitii auditate asigur monitorizarea implementrii planului de aciune i l
informeaz periodic pe auditor.
Responsabilul din cadrul structurii de audit intern cu urmrirea recomandrilor trebuie s
implementeze i s actualizeze un proces de urmrire a implementrii recomandrilor care s permit
supravegherea i s garanteze c msurile au fost efectiv implementate de ctre management
286
Procedura P18:
URMRIREA RECOMANDRILOR
Entitatea public
Serviciul audit intern
PLANUL DE ACIUNE I CALENDARUL
IMPLEMENTRII RECOMANDRILOR
Nr.
crt.
1.
2.
3.
Recomandarea
Plan de aciune
Reanalizarea atribuiilor Comisiei de

planificare strategic n domeniul IT i
redefinirea acestora astfel nct s poat
realiza i monitorizarea implementrii
proiectelor informatice i informarea
periodic a conducerii asupra realizrii
acestora.
Identificarea atribuiilor Comisiei

de planificare strategic
Revizuirea atribuiilor i includerea
de atribuii i cu privire la
monitorizarea
implementrii
proiectelor informatice, precum i
cu privire la raportarea stadiilor de
realizare.
Cuprinderea acestor atribuii n
cadrul procedurilor de lucru.
Stabilirea temei de curs
Elaborarea cursului
Stabilirea grupului int
Organizarea
i
desfurarea
cursului
Revizuirea strategiei
Actualizarea strategiei
Revizuirea procedurilor de lucru
privind
fundamentarea
i
elaborarea strategiei IT
Pregtirea profesional anticipat a

personalului implicat n elaborarea
strategiei,
de
ctre
managementul
responsabil cu aceasta. Reanalizarea
strategiei definite la nivelul structurii
funcionale n conformitate cu procedura
operaional aprobat i
actualizarea
acesteia astfel nct implementarea sa s
contribuie la realizarea unui management
modern in domeniul de activitate i la
atingerea obiectivelor strategice ale
organizaiei.
mbuntirea procedurilor operaionale de
lucru privind sistemul de fundamentare a
necesarului de resurse pentru elaborarea
strategiei.
Evaluarea performanelor actuale ale
sistemului de organizare i conducere a
activitilor desfurate n cadrul structurii
funcionale, innd cont de influena
factorilor de mediu, interni i externi, n
vederea redefinirii obiectivelor strategice.
Implicarea managementului pentru ca
obiectivele strategice redefinite s
ntruneasc caracteristicile de a fi realiste,
mobilizatoare, stimulative i s poat fi
nelese de salariai, stabilite de
metodologie. Totodat, la redefinirea
acestora se va urmri asigurarea resurselor
necesare implementrii lor.
Realizarea analizei diagnostic la

nivelul entitii
Identificarea punctelor forte
Identificarea punctelor slabe
Identificarea oportunitilor
Identificarea ameninrilor
Identificarea factorilor de influen
interni i externi n realizarea
strategiei
Redefinirea obiectivelor strategice
Urmrirea ca obiectivele strategice
s fie realiste, mobilizatoare,
stimulative i s fie nelese de
salariaii
care
particip
la
implementarea lor.
Identificarea i aprobarea resurselor
necesare realizrii obiectivelor
strategice.
Responsabilizarea managementului
cu privire la urmrirea i
coordonarea activitilor n vederea
Calendar
implementa
re
Responsabil
cu
implementar
ea
31.12.2009
eful
IT
Depart.
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
287
4.
5.
6.
7.
Dezvoltarea unui sistem de instruire i

pregtire a salariailor astfel nct
metodologia specific domeniului de
activitate, normativ i procedural, s fie
aplicat corespunztor pentru dezvoltarea
i implementarea planurilor anuale. n baza
planurilor elaborate s se identifice toate
atribuiile necesare pentru atingerea
obiectivelor stabilite, iar acestea s fie
repartizate corespunztor n cadrul
compartimentelor.
Totodat, s-a mai recomandat promovarea
dezvoltrii resurselor umane pentru a
obine competenele necesare creterii
economice n condiiile n care au loc
reduceri de personal, precum i evaluarea
cuprinztoare a resurselor (financiare,
instituionale,
programe,
personal)
necesare implementrii planurilor anuale
de activitate i monitorizarea eficient
pentru a se asigura ncadrarea n limitele
stabilite.
Coroborarea atribuiilor prezentate prin

proceduri cu cele stabilite prin fiele
posturilor i inventarierea stadiului
implementrii subsistemelor IT la nivelul
departamentelor entitii publice i
stabilirea necesitilor IT care trebuie
incluse n strategia IT.
Contientizarea
managementului
responsabil cu procesul de stabilire i
definire a atribuiilor prin informri i
consilieri pentru clarificarea modalitilor
practice de definire a unei atribuii sau
unui set de atribuii pentru asigurarea ariei
de competen necesar pentru realizarea
activitilor.
Realizarea unei analize riguroase a
sarcinilor i responsabilitilor fiecrui
angajat, care s stea la baza oricrei
iniiative de organizare a activitii.
Constituirea unei echipe, pe baza deciziei
realizrii obiectivelor strategice

Identificarea temelor de curs
necesare pentru ca personalul din
cadrul departamentului IT s
deprind cunotinele necesare
realizrii
sarcinilor
stabilite
posturilor.
Organizarea i cuprinderea n
cadrul seminarilor a ntregului
personal din cadrul departamentului
IT n funcie de nevoile identificate
Asigurarea c temele de curs
cuprind
n
mod
adecvat
metodologia
domeniului
de
activitate
Analiza comparativ a atribuiilor
stabilite posturilor i a celor
necesare realizrii obiectivelor i
urmrirea dac acestea sunt
suficiente sau este necesar
completarea lor.
Redefinirea atribuiilor acolo unde
este necesar.
Urmrirea repartizrii n mod
omogen a atribuiilor n cadrul
posturilor
Pregtirea i instruirea personalului
n
vederea
dezvoltrii
competenelor necesare astfel nct
s contribuie la dezvoltarea
entitii.
Reevaluarea resurselor i urmrirea
ca acestea s fie suficiente pentru
implementarea
planurilor
de
activitate.
Monitorizarea resurselor astfel nct
s se asigure ncadrarea n limitele
stabilite
Compararea atribuiilor stabilite n
fiele posturilor cu activitile i
responsabilitile definite n cadrul
procedurilor i urmrirea ca acestea
s asigure aria necesar realizrii
lor.
Inventarierea
stadiului
implementrii
programelor
i
aplicailor IT, analiza nerealizrilor
conform programelor i stabilirea
de msuri necesare a fi cuprinse n
cadrul strategiei.
Organizarea de grupuri de lucru n
vederea
contientizrii
managementului cu privire la
definirea i stabilirea atribuiilor
Evaluarea
sarcinilor
i
responsabilitilor
stabilite
posturilor
Urmrirea
dac
sarcinile
i
responsabilitile stabilite postului
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
Depart.IT
31.03.2010
eful
IT
Depart.
288
8.
9.
10.
11.
12.
13.
managementului general, care s analizeze

i s redefineasc activitile i aciunile
realizate n cadrul compartimentelor i
serviciilor, astfel nct s se asigure c
obiectivele vor fi realizate n totalitate. La
stabilirea obiectivelor se va urmri dac
sunt ataate toate activitile necesare
obinerii rezultatelor stabilite, realizate
efectiv n cadrul compartimentului,
formulate ca aciuni concrete.
Analiza actului normativ de organizare i
funcionare a organizaiei i urmrirea
atribuiilor definite departamentului astfel
nct s acopere n totalitate activitile
desfurate.
Desfurarea procesului de selecie i
recrutarea n vederea ocuprii posturilor de
conducere
existente
la
nivelul
departamentului IT. n acelai timp se va
urmri dac persoanele selectate dein
abilitile i aptitudinile manageriale
necesare realizrii activitilor specifice
celor dou servicii i dac au pregtirea de
baz, de nivel superior, n domeniul IT.
Elaborarea mecanismelor procedurale i
metodologice
privind
identificarea
riscurilor i gestionarea acestora, evaluarea
riscurilor identificate i diferenierea
acestora n riscuri inerente i riscuri
acceptabile, precum i implementarea de
instrumente de control pentru riscurile
inerente, astfel nct manifestarea acestora
s fie limitat i nivelul acestora s devin
unul acceptabil.
Stabilirea controalelor interne aferente
riscurilor identificate i determinarea
gradului de funcionalitate al acestora i
proiectarea de instrumente sau msuri de
introducere de controale interne, fie
individuale, fie n combinaie cu alte
controale, capabile s previn, detecteze i
s corecteze n mod eficient denaturrile
semnificative.
Analiza sarcinilor i atribuiilor definite n
fiele posturilor i stabilirea acestora n
funcie de caracteristicile postului,
respectiv nivelul postului i urmrirea
definirii aceluiai gen de sarcini i atribuii
numai dac posturile sunt de acelai nivel.
Identificarea i definirea corect n cadrul

documentului de organizare i funcionare,
a atribuiilor specifice departamentului, a
relaiilor
funcionale
pe
care
compartimentul la are cu alte structuri
funcionale din cadrul organizaiei.
individualizeaz n mod adecvat

postul respectiv.
Numirea comisiei cu atribuii de
evaluare a activitilor stabilite
fiecrui compartimente
Examinarea dac atribuiile stabilite
comisiei sunt suficiente i adecvate
pentru a evalua dac posturile
existente contribuie n mod adecvat
la realizarea obiectivelor
Examinarea ROF-ului entitii i
urmrirea
dac
atribuiile
menionate pentru departamentul IT
asigur aria de competen necesar
realizrii activitilor desfurate n
cadrul acestuia.
Stabilirea unei proceduri de lucru
cu privire la selecia i recrutarea
personalului
n
cadrul
departamentului IT.
Examinarea
dac
persoanele
selectate n posturile de conducere
dein
abiliti
i
aptitudini
manageriale i dac specialitatea
studiilor corespunde necesitilor
postului.
Responsabilizarea persoanelor cu
privire la gestiunea riscurilor
Identificarea riscurilor n cadrul
departamentului
Evaluarea i analiza riscurilor
Tratarea riscurilor
Controlul riscurilor
Identificarea
tuturor
riscurilor
inerente n cadrul departamentului
Stabilirea instrumentelor de control
necesare limitrii riscurilor
Implementarea instrumentelor de
control
Urmrirea
eficienei
i
funcionalitii instrumentelor de
control i dac acestea au limitat
riscul i-l menin n limite
acceptabile.
Reevaluarea sarcinilor stabilite
fiecrui
post
din
cadrul
departamentului
Redefinirea acestora pe posturi n
funcie de caracteristicile i
cerinele acestora
Stabilirea de sarcini fiecrui post n
funcie de nivelul postului i natura
acestuia
Revizuirea atribuiilor din cadrul
ROF-ului i redefinirea n mod
adecvat a acestora
Revizuirea relaiilor funcionale n
cadrul i n afara departamentului i
redefinirea adecvat a acestora
31.12.2009
eful
IT
Depart.
31.03.2010
eful
IT
Depart.
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
289
14.
15.
16.
17.
Implementarea unei aplicaii care s

monitorizeze alocarea i utilizarea
resurselor n funcie de gradul de
complexitate al operaiilor efectuate.
Urmrirea n permanen a echilibrului
ntre necesitile IT i resursele alocate
acestor scopuri.
Protejarea mediile sau locaiile de stocare
mpotriva deteriorrii sau accesului
neautorizat.
Realizarea corect i la intervale de timp
stabilite n funcie de specificul fiecrei
componente, numai de ctre personal
autorizat n acest sens, a procedurilor de
mentenan a echipamentelor.
Constituirea n cadrul departamentului IT a
unui colectiv specializat n raportarea i
rezolvarea operativ a problemelor de
ordin tehnic (Help Desk), care s asigure i
acordarea suportului tehnic de specialitate
ctre utilizatori, fie prin linii telefonice
dedicate, fie prin e-mail sau deplasri ale
echipelor specializate.
Elaborarea
i
implementarea
unor
programe care s automatizeze pe ct
posibil verificrile efectuate asupra
operaiilor informatice.
Constituirea unor echipe pentru efectuarea
de verificri anti-virus la nivelul tuturor
staiilor de lucru din cadrul entitii
publice, configurarea corecta n cazurile n
care aceste programe au fost dezactivate,
stabilirea de responsabiliti n cazul n
care acestea sunt dezactivate i produc
disfuncii n cadrul organizaiei.
Analiza tuturor aplicaiilor i programelor

ncepute i nefinalizate, identificarea
resurselor financiare necesare pentru
finalizarea acestora, stabilirea de termene
de finalizare i urmrirea respectrii
acestora. Noile aplicaii i programe vor fi
aprobate i achiziionate numai dac sunt
compatibile cu cele deja implementate sau
aflate n faza de implementare i numai
dac exista resursele necesare aprobate
prin buget.
Identificarea riscurilor care guverneaz

toate
subsistemele
IT,
stabilirea
controalelor interne care ar trebui s existe
pentru ca acestea s funcioneze corect,
urmrirea controalelor interne care exist
Conceperea i implementarea unei

aplicaii care va monitoriza alocarea
resurselor financiare pentru fiecare
activitate desfurat i care va
genera rapoarte cu privire la
utilizarea acestora.
Analiza comparativ a resurselor
consumate
pentru
realizarea
activitilor, n raport cu cele
aprobate
Examinarea locaiilor de stocare a
informaiilor i urmrirea dac
exist condiii adecvate de stocare.
Crearea de aplicaii care s
prentmpine accesul neautorizat la
programe i aplicaii.
Realizarea
procedurilor
de
mentenan la intervalele de timp
planificate
Numirea comisiei cu atribuii n
raportarea operativ a problemelor
tehnice
Stabilirea
atribuiilor
comisiei
numite.
Conceperea i implementarea unei
aplicaii care s monitorizeze
operaiile efectuate n cadrul
programelor i aplicaiilor derulate
n cadrul entitii.
Numirea unui responsabil cu
examinarea staiilor de lucru
virusate.
Examinarea fiecrei staii de lucru
i devirusarea acestora
Configurarea programelor antivirus pe fiecare staie de lucru pe
baz de licen.
Stabilirea rspunderilor n sarcina
utilizatorilor n cazul n care
programele
antivirus
sunt
dezactivate, iar aplicaiile sau
informaiile coninute de acestea
sufer denaturri.
Identificarea tuturor aplicaiilor i
programelor din cadrul entitii
ncepute i neimplementate.
Identificarea resurselor financiare
pentru implementarea lor i
aprobarea acestora.
Stabilirea
de
grafice
de
implementare
i
urmrirea
implementrii acestora.
Examinarea noilor programe i
aplicaii de achiziionat.
Achiziionarea acestora numai dac
sunt compatibile cu cele existente
i
contribuie
la
integrarea
informaiilor
Identificarea riscurilor aferente
subsistemelor IT
Evaluarea instrumentelor de control
existente i urmrirea dac acestea
asigur un nivel acceptat al
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.-03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
290
18.
19
20
21
22
23
i
funcioneaz,
identificarea
i
implementarea de instrumente de control
pentru controalele interne care nu sunt
Implementarea procedurilor operaionale
de lucru cu elemente care s asigure
actualizarea n timp util a situaiilor
privind reelele IT; Tratarea securitii
reelelor ca pe un proces continuu, astfel
nct schimbrile n cadrul utilizatorilor,
echipamentelor sau aplicaiilor s se
realizeze evitnd expunerile la riscuri;
riscurilor
Stabilirea instrumentelor de control
de implementat astfel nct s
asigure funcionalitatea acestora
Revizuirea procedurilor de lucru
Elaborarea unei proceduri de lucru
cu privire la tratarea securitii
reelelor.
Securizarea tuturor aplicaiilor i
programelor cu privire la accesul la
acestea, inclusiv la informaiile
coninute.
Prioritizarea aplicaiilor informatice, n

funcie de importana acestora, n vederea
alocrii corespunztoare a msurilor de
securitate i tratarea securitii reelelor ca
pe un proces continuu. Implementarea unui
sistem de management al vulnerabilitilor,
care s identifice vulnerabilitile i
greelile de configurare i s dispun
msurile
operative
de
soluionare.
Rapoartele ntocmite n urma identificrii
i soluionrii vulnerabilitilor reelelor s
fie corelate i aduse la cunotina
conducerii organizaiei.
Introducerea de instrumente de control
adecvate astfel incit orice acces la
echipamentele sau datele si informaiile
organizaiei sa fie limitat, sau in cazurile in
care acesta este permis sa fie supravegheat
in totalitate.
Elaborarea unei proceduri de lucru

cu
privire
la
tratarea
vulnerabilitilor.
Responsabilizarea unei persoane cu
privire la tratarea vulnerabilitilor.
Analiza
periodic
a
vulnerabilitilor i elaborarea de
rapoarte
Informarea conducerii cu privire la
vulnerabilitile identificate i
propunerea de soluii de remediere
Schimbarea sistematic a parolelor de

acces de ctre utilizatorii sistemului
informatic, precum i stabilirea unei
persoane care s aib n responsabilitate
atribuii i competene de verificare a
schimbrii periodice a parolelor de acces.
Organizarea datelor n baze de date,
respectiv un fiier format din nregistrri,
care conin cmpuri i operaii de cutare,
sortare sau recombinare. Pentru aceasta
este necesar realizarea urmtoarelor:
definirea, structurarea, ordonarea i
gruparea datelor n colecii de date
omogene; stabilirea legturilor ntre date,
ntre elementele unei colecii de date i
ntre coleciile de date, dup o ierarhie bine
precizat, precum i memorarea datelor pe
un suport informaional prelucrabil ntr-un
sistem de calcul.
Inventarierea tuturor staiilor de lucru
pentru a stabili situaia real privind
utilizarea programelor fr licen i
dezinstalarea
tuturor
programelor
neliceniate din pachetul Microsoft Office.
Totodat, s-a recomandat i realizarea unei
analize complexe n urma creia
Examinarea tuturor echipamentelor

i aplicaiilor
Identificarea celor care nu prezint
un sistem adecvat de accesare
Stabilirea unui sistem de parole n
vederea limitrii accesului
Stabilirea accesului la informaii pe
nivele de autorizare, n funcie de
nivelul i cerinele posturilor.
Responsabilizarea unei persoane
care s urmreasc schimbarea
periodic a parolelor.
Urmrirea schimbrii periodice a
parolelor.
Revizuirea bazelor de date
constituite
Organizarea informaiilor n cadrul
acestora n mod adecvat, respectiv:
- definirea datelor coninute;
- structurarea datelor n funcie de
importan;
- ordonarea i gruparea datelor
- stabilirea legturilor ntre date i
informaii;
- stabilirea nivelurilor de acces la
date i informaii
- organizarea sistemului de
securitate, protecie i acces la
datele i informaiile stocate.
Identificarea staiilor de lucru
Examinarea
aplicaiilor
i
programelor utilizate de fiecare
staie de lucru i stabilirea celor
care sunt utilizate fr a exista
licene.
Dezinstalarea tuturor programelor
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
31.03.2010
eful
IT
Depart.
31.12.2009
eful
IT
Depart.
291
managementul entitii publice s decid

asupra
oportunitii
schimbrii
programelor existente i achiziionarea
unui numr adecvat de licene Microsoft
Office.
24
Realizarea unui proces de reenginering la

nivelul sistemului IT din cadrul entitii
publice, astfel nct salariaii s poat
accesa subsistemele IT de care au nevoie
utiliznd un singur nume de utilizator i o
singur parol;
utilizate fr licene.
Instalarea de programe i aplicaii
adecvate pentru care exist licene.
Analiza eficienei i eficacitii
aplicaiilor
utilizate
i
a
oportunitii schimbrii acestora cu
unele cu caliti i performane
ridicate.
Realizarea
procesului
de
reenginering
la
nivelul
departamentului IT i asigurarea c
salariaii pot accesa subsistemele IT
utiliznd un singur nume i o
singur parol de acces.
31.03.2010
eful
IT
Depart.
292
PROGRAMUL DE ASIGURARE I MBUNTIRE A CALITII

eful structurii de audit intern trebuie s elaboreze un Program de asigurare i mbuntire
a calitii activitii de audit, adic respectarea normelor metodologice, a Codului privind conduita
etica a auditorului intern, a Standardelor i a bunei practici internaionale de ctre toi auditorii
interni.
Prin Programul de asigurare i mbuntire a calitii se realizeaz o evaluare prin adoptarea
unui proces permanent de supraveghere a eficacitii globale a programului de calitate.
Evaluarea const n supervizarea realizrii misiunii de audit intern, prin efectuarea de
controale permanente de ctre eful structurii de audit intern, prin care acesta examineaz
eficacitatea normelor de audit intern i dac procedurile de asigurare a calitii misiunii de audit
sunt aplicate n mod corespunztor garantnd calitatea Raportului de audit intern.
Supervizarea va permite depistarea deficienelor n anumite etape din derularea misiunii i va
permite iniierea de activiti de mbuntire a viitoarelor misiuni de audit intern i asigurarea
perfecionrii profesionale a auditorilor.
Evaluarea se realizeaz dup fiecare misiune de audit intern. Este formalizat prin ntocmirea
Fiei de evaluare a misiunii de audit intern.
EVALUAREA INTERN
Procedura P19:
PROGRAMUL DE ASIGURARE A CALITII
Entitatea Public
FIA DE EVALUARE A MISIUNII DE AUDIT INTERN

Bugetul de timp efectiv: 264 ore
n etapa de pregtire a misiunii, auditorul a identificat
riscurile i controalele prevzute pentru procesele legate de
obiectivele de audit i a estimat corespunztor riscurile
activitii
Programele de audit au fost elaborate n vederea ndeplinirii
obiectivelor misiunii n cadrul bugetului de timp alocat
Obiectivul auditului, scopul, procedurile i bugetul au fost
reanalizate n mod constant pentru a asigura o eficient
folosire a resurselor de audit
A existat o bun comunicare ntre auditor i auditat i ntre
Data: 28.09.2009
Data: 28.09.2009
Bugetul de timp planificat: 260
1 2
3 4 5 Observaii
X
A fost necesar s se
lucreze peste orele
de program
X
X
X
293
Bugetul de timp efectiv: 264 ore

auditor i conducerea structurii de audit intern;
A existat o bun comunicare ntre auditor i conducerea
structurii de audit intern
Au fost luate n considerare perspectivele i nevoile audiailor
n procesul de audit
Au fost atinse obiectivele de audit ntr-o manier eficient i
la timp
Auditaii au avut posibilitatea s revad constatrile i
recomandrile cnd au fost identificate problemele
Normele de audit intern, au fost respectate
Constatrile de audit demonstreaz analize profunde i
concluzii, respectiv sunt formulate recomandri practice
pentru probleme identificate
Comunicrile scrise au fost clare, concise, obiective i corecte
Exist probe de audit care s susin concluziile auditorului
Procedurile de audit utilizate au avut ca rezultat dovezi
suficiente, competente, relevante i folositoare
Documentele au fost completate n mod corespunztor i n
conformitate cu normele de audit intern
Bugetul de timp a fost respectat
Nivel de productivitate personal al auditorului intern.
Bugetul de timp planificat: 260

1 2
3 4 5 Observaii
X
X
X
X
X
X
X
X
X
X
X
X
EVALUAREA EXTERN
Evaluarea misiunii de audit intern mai poate fi realizat i de conducerea structurii auditate creia i
se nainteaz un chestionar de evaluare prin care i se solicit s prezinte o apreciere asupra desfurrii
misiunii de audit i a modului de implicare al auditorilor interni pe parcursul misiunii.
Evaluarea misiunii de audit intern de ctre structura auditat este formalizat prin Fia de evaluare a
misiunii de audit intern ntocmit de ctre structura auditat.
294
Procedura P19:
PROGRAMUL DE ASIGURARE A CALITII
Entitatea public
FIA DE EVALUARE A MISIUNII DE AUDIT INTERN
DE CTRE STRUCTURA AUDITAT
Nr.
crt.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Obiectiv auditat
Data: 28.09.2009
Data: 28.09.2009
Note
1
2
4
X
Obs.
Obiectivele de audit au fost comunicate clar la

nceputul misiunii
Au fost furnizate suficiente informaii privind
X
misiunea de efectuat
Misiunea a contribuit la obinerea de rezultate sau la
X
mbuntirea unora deja existente
Misiunea a beneficiat de direcii clare i precise
X
privind modul de desfurare
Obiectivele de audit stabilite au fost n concordanta
X
cu activitile desfurate
Constatrile au fost prezentate ntr-o maniera logic,
X
structurat, dinamic i interesant
S-a rspuns n toate cazurile la ntrebrile legate de
X
misiunea de audit, iar rspunsurile au condus la
obinerea de concluzii relevante
Misiunea a fost desfurat adecvat, intervenia la
X
fata locului a privit doar obiectivele stabilite i
comunicate
A existat un feed-back pe tot parcursul misiunii, iar
acesta a fost util n gsirea de soluii la probleme
X
Cum evaluai n general misiunea de audit
X
Considerai ca obiectivele de audit stabilite au privit
X
activitile cu riscuri majore
In desfurarea misiunii de audit au fost prezentate
X
constatrile i recomandrile cnd au fost identificate
probleme
A existat o buna comunicare intre auditor i auditat
X
Auditorii au avut un comportament adecvat i
X
profesional
Ce v-a plcut cel mai mult pe timpul misiunii de audit descriei cel puin 3 aspecte care vau plcut cel mai mult
claritatea recomandrilor
conduita auditorilor interni
calitatea discuiilor
295
16.
17.
Ce v-a plcut cel mai puin pe timpul misiunii de audit descriei cel puin 3 aspecte care vau plcut cel mai puin
ntlnirile pe parcursul misiunii au fost limitate, nu ntotdeauna din vina auditatului.
Ce obiective de audit considerai c nu au fost atinse n totalitate din cele comunicate
Nu sunt comentarii.
18.
Ce obiective de audit considerai c ar fi necesar a fi cuprinse n programul viitor de audit

Calitatea procedurilor privind achiziiile publice elaborate n urma recomandrilor.
19.
Alte comentarii
Tabelele de mai sus vor fi completate innd cont de urmtorul sistem de punctaj:
1 pentru nesatisfctor;
2 pentru slab;
3 pentru satisfctor;
4 pentru bine;
5 pentru foarte bine.
Not: n practic se va urmri ca pentru orice notare sub 3 s se solicite explicaii scrise.
Evaluarea extern a funcionalitii activitii de audit intern se realizeaz i de U.C.A.A.P.I. i
organul ierarhic superior pentru structurile din subordine prin verificarea respectrii normelor metodologice
generale i specifice, a Standardelor de audit intern, a bunei practici recunoscute n domeniu i a Codului
etic al profesiei.
Activitatea de evaluare extern a activitii de audit intern, n Romnia, conform cadrului normativ
general, se realizeaz o dat la 5 ani, ocazie cu care, n funcie de necesiti, se iniiaz msuri corective n
colaborare cu conductorul entitii evaluate n cauz.
Documentele de evaluare intern i extern se arhiveaz n Dosarul permanent, Seciunea Supervizarea.
n sperana c prezentul ghid practic va constitui pentru cei interesai un

suport pentru realizarea misiunilor de audit intern la un nivel corespunztor bunei
practici recunoscut n domeniu, ateptm aprecierile i eventual sugestiile
dumneavoastr, de care vom ncerca s inem cont cu ocazia elaborrii viitoarelor
lucrri.
296

Ghid IT Ed II

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ghid IT Ed II

Încărcat de

Drepturi de autor:

Formate disponibile

MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN

Ghidul de audit intern privind auditarea activitii IT reprezint un model practic de

ef Serviciu Audit Intern,

Incompatibiliti n legtur cu entitatea/structura auditat

1. Incompatibiliti personale: Cu aproximativ 2 ani n urma am a lucrat la compartimentul

Semntura: Dumitru Daniel

Incompatibiliti n legtur cu entitatea/structura auditat

NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN

Departamentul Tehnologia Informaiei

Referitor la misiunea de audit intern Activitatea IT

procedurile scrise care descriu activitile ce se desfoar n cadrul

ef Serviciu Audit Intern,

COLECTAREA I PRELUCRAREA INFORMAIILOR

Identificarea legilor i regulamentelor aplicabile

Obinerea fielor postului pentru personalul

ROF-ul nu este actualizat n

Procedurile de lucru sunt

Anterior nu au fost realizate

Nu exist stabilit un circuit

Obinerea listei privind fiecare post IT i numele

Procedura PO4 : COLECTAREA I PRELUCRAREA INFORMAIILOR

Cunoaterea contextului socio-economic de funcionare a departamentului IT

Care sunt atribuiile generale ale compartimentului?

Atribuiile generale sunt acoperite n totalitate de sarcinile

Care este nivelul de calificare al personalului?

Tot personalul are calificare IT?

Exist un sistem de motivare al salariailor?

sunt stabilite separat.

Salariaii dein competene

Sunt meninute anual la

Relaiile de autoritate sunt definite i aplicate la nivelul

Care sunt relaiile ierarhice?

n cadrul compartimentului care sunt relaiile ierarhice?

Mai exist i alte funcii de conducere?

Exist un circuit al documentelor n cadrul departamentului?

Structura organizatoric rspunde necesitilor activitilor

tatul de funcii corespunde posturilor existente?

Posturile de lucru asigur flexibilitate n realizarea

Structura organizatoric corespunde

Nivelurile de conducere sunt reduse?

Funciile compartimentelor sunt definite clar i concis n

Datele sunt preluate din

Care sunt reformele la nivelul departamentului?

Exist a procedur de lucru prin care sunt stabilite sau

Programul de pregtire are la baz necesitile rezultate din

LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE

1.1.1. Strategia IT definete necesitile i prioritile

1.3. Obiectivele IT ndeplinesc

2.1.3. Atribuiile stabilite asigur realizarea activitilor necesare implementrii

3.5. Utilizarea echipamentelor

4.2. Disponibilitatea datelor

4.3. Asigurarea funcionrii

3.3.7. Soluionarea problemelor presupune parcurgerea etapelor: iniierea,

4.4.3. Introducerea instrumentelor de control fizic

4.5.1. Mecanismele de securitate configurate i implementate asigur securitatea

4.6. Gestionarea parolelor

4.6.1. Utilizatorii au parole de acces individuale

4.7. Securitatea logic

4.7.1. Asigurarea securitii funcionrii programelor i aplicaiilor

5.1. Proiectarea i elaborarea

5.1.1. Proiectarea programului informatic

5.2. Testarea i implementarea