p05 (4) Stabilirea Nivelului Riscului Si A Puctajului Total Al Riscului

PROCEDURA P 05
Misiunea de audit: Modul de organizare a activitatii de IT
Ediia: I
Revizia: 0
Pag.......
ntocmit: Elena Durdun
La data de:
Perioada auditata:
Aprobat de Sef BAPI

la data de:
SC IOR SA
BIROUL AUDIT
PUBLIC INTERN
Analiza riscurilor
anul 2010
STABILIREA NIVELULUI RISCULUI SI A PUNCTAJULUI TOTAL AL RISCULUI
Nr.
crt.
Obiective
Planul
strategic
Obiecte auditabile
1. Politicile entitii
publice n domeniul
IT
Riscuri semnificative
Inexistena unei atitudini favorabile n privina
informatizrii activitii entitii publice
Criterii de analiza a riscurilor

Aprecierea
Aprecierea
Aprecierea
controlului
cantitativa
calitativa
intern(F1)
(F2)
(F3)
Punctaj
total
P1
50%
Ni
P2
30%
Ni
P3
20%
Ni
0.5
0.3
0.2
17.8
1.7
0.5
0.5
3
2
0.3
0.3
1
1
0.2
0.2
3
2
2.4
1.7
2.Pregtirea
profesional a
personalului implicat
n utilizarea
sistemului
informatic
5. Neinstruirea sistematic a utilizatorilor sistemului

informatic;
6. Neinformarea periodic sau ori de cte ori este
necesar asupra modificrilor survenite n sistemul
informatic;
0.5
0.3
0.2
5.8
1.5
0.5
0.3
0.2
2.0
3.Procesarea datelor
n cadrul sistemului
informatic
7. Utilizarea unor proceduri automate neautorizate;

8. Utilizarea unor proceduri automate incorecte;
0.5
0.5
1
1
0.3
0.3
1
1
0.2
0.2
1
2
3.5
1.0
1.2
4.Sistemul de
prevenire/detectare a
accesrilor i
modificrilor
neautorizate ale
bazelor de date
(parole, programe
antivirus .a.)
9. Acces neautorizat la informaiile financiar-contabile

din baza de date;
10.Nerespectarea calendarului privind modificarea
periodica a parolelor de acces;
11.Nedesemnarea personalului pentru verificarea i
modificarea periodic a parolelor de acces.
0.5
0.3
0.2
2.2
1.9
0.5
0.3
0.2
2.7
0.5
0.3
0.2
1.7
6.3
n
Pt N i Pi
i 1
unde:
Pt
= punctajul total;
Ni
= nivelul riscurilor pentru fiecare criteriu utilizat;

Pi
= ponderea criteriilor de risc

Pentru continuarea analizei, grupeaz riscurile n urmtoarele trei categorii:
Riscuri mici
Riscuri medii
Riscuri mari
1,0 - 1,7
1,8 - 2,2
2,3 - 3,0
Nr.
DOMENIUL
OBIECTE AUDITABILE
RISCURI SEMNIFICATIVE
crt.
I.
II.
Plan strategic
1. Politicile entitii publice n

domeniul IT
2. Modalitatea de elaborare a
planului strategic i a planurilor
anuale
3. Subsistemele informatice
pentru funciile principale
4. Integrarea subsistemelor
informatice
5. Stabilirea responsabililor cu
elaborarea si actualizarea
planului
6. Aprobarea planului
Organizarea i
funcionarea
departamentului
IT
7. Organizarea departamentului
IT
Inexistena unei atitudini favorabile n

privina informatizrii activitii entitii
publice
Fundamentarea insuficient a planului
Necorelarea planurilor anuale
Lipsa prioritizrii activitilor
Neacoperirea domeniilor de activitate ale
entitii publice cu subsisteme informatice
Necorelarea termenelor previzionate de
realizare a subsistemelor
Nedefinirea responsabilitilor
Insuficienta previzionare a resurselor
Incompatibilitatea subsistemelor
informatice
Nedesemnarea responsabilului cu
elaborarea planului
Nestabilirea persoanei responsabile cu
actualizarea planului
Planul nu este aprobat
Planul nu este aprobat de persoanele
competente
Coordonarea neadecvat a planurilor
Departamentului IT nu este subordonat
unui nivel managerial corespunztor
Inexistena i/sau neaprobarea
organigramei
Neformalizarea procedurilor specifice
activitilor desfurate
Existena unui numr mare de posturi de
conducere deinute cu delegaie

Aprecierea
controlului
intern (F1)
P1
N1
50%
0,5
2
Aprecierea
cantitativ
(F2)
P2
N2
30%
0,3
3
Punctaj
total
Aprecierea
calitativ
(F3)
P3
N3
20%
0,2
2
2,3
0,5
0,5
0.5
0,5
2
2
2
3
0,3
0,3
0.3
0,3
2
2
2
3
0,2
0,2
0.2
0,2
3
2
2
2
2,2
2,0
2,0
2,8
0,5
0,3
0,2
2,2
0,5
0,5
0,5
2
2
1
0,3
0,3
0,3
3
2
2
0,2
0,2
0,2
1
2
2
2,1
2,0
1,5
0,5
0,3
0,2
2,5
0,5
0,3
0,2
2,0
0,5
0,5
3
3
0,3
0,3
2
3
0,2
0,2
3
2
2,7
2,8
0,5
0,5
1
2
0,3
0,3
3
2
0,2
0,2
2
2
1,8
2,0
0,5
0,3
0,2
2,8
0,5
0,3
0,2
2,2
0,5
0,3
0,2
2,1
Nr.
DOMENIUL
OBIECTE AUDITABILE
crt.
8. Stabilirea responsabilitilor
prin fiele posturilor
9. Calificarea i pregtirea
salariailor
10. Pregtirea profesional
continu
11. Sistemul de evaluare a

personalului
Numr mare de posturi de execuie

neocupate
Personal de execuie neadecvat
Dotare cu hard i soft inadecvat pentru
desfurarea activitilor specifice
Inexistena unui sistem de control
managerial la nivelul departamentului
Neefectuarea monitorizrii modului de
realizare a obiectivelor generale i
specifice ale departamentului
Neactualizarea fielor posturilor
Nerespectarea principiului segregrii
sarcinilor de serviciu
Necuprinderea atribuiilor stabilite prin
ROF n fiele posturilor
Calificarea necorespunztoare/insuficient
a personalului
Inexistena planurilor de pregtire
profesional continu
Neaprobarea planurilor de pregtire
profesional continu
Nerealizarea activitilor previzionate prin
planurile de pregtire profesional
continu
Inexistena unui sistem de evaluare anual
a salariailor
Nerealizarea evalurii pe parcursul anului
a salariailor departamentului
Evaluarea formal a personalului

Aprecierea
controlului
intern (F1)
P1
N1
50%
0,5
3
Aprecierea
cantitativ
(F2)
P2
N2
30%
0,3
1
Punctaj
total
Aprecierea
calitativ
(F3)
P3
N3
20%
0,2
2
2,3
0,5
0,5
2
2
0,3
0,3
2
2
0,2
0,2
3
2
2.2
2,0
0,5
0,3
0,2
2,0
0,5
0,3
0,2
1,8
0,5
0,5
1
1
0,3
0,3
1
3
0,2
0,2
2
2
1,2
1,5
0,5
0,3
0,2
1,3
0,5
0,3
0,2
1,3
0,5
0,3
0,2
1,8
0,5
0,3
0,2
2,0
0,5
0,3
0,2
2,3
0,5
0,3
0,2
1,5
0,5
0,3
0,2
1,2
0,5
0,3
0,2
1,3
Nr.
DOMENIUL
OBIECTE AUDITABILE
crt.
III.
12. Sistemul de gestionare a

riscurilor conducerea
Registrului riscurilor
Implementarea
sistemului IT
13. Gradul de realizare a

subsistemelor informatice
stabilite prin plan
14. Existena controalelor

generale la nivelul subsistemelor
IT
15. Funcionalitatea
subsistemelor n reea
16. Situaia licenelor pentru
programele de calculator
Inexistena unei politici unitare privind

gestionarea riscurilor
Inexistena unui responsabil privind
gestionarea riscurilor
Nedesemnarea unei persoane responsabil
cu elaborarea i monitorizarea Registrului
riscurilor
Neactualizarea sistematic a Registrului
riscurilor
Lips de coordonare a aplicaiilor ce
ruleaz n sistemul informatic
Nealocarea corespunztoare a resurselor
necesare realizrii subsistemelor
informatice
Evoluii tehnologice cu implicaii asupra
ndeplinirii planului
Modificarea cadrului legal i procedural ce
reglementeaz activitile pentru care se
realizeaz subsistemele informatice
Implicaiile evoluiilor tehnologice n
domeniul IT
Inexistena unei politici de transmitere a
datelor n reea
Implicaiile evoluiilor tehnologice n
domeniul IT
Limitri bugetare n privina achiziionrii
licenelor

Aprecierea
controlului
intern (F1)
P1
N1
50%
0,5
2
Aprecierea
cantitativ
(F2)
P2
N2
30%
0,3
2
Punctaj
total
Aprecierea
calitativ
(F3)
P3
N3
20%
0,2
2
2,0
0,5
0,3
0,2
2,3
0,5
0,3
0,2
2,0
0,5
0,3
0,2
2,3
0,5
0,3
0,2
2,0
0,5
0,3
0,2
2,6
0,5
0,3
0,2
1,8
0,5
0,3
0,2
2,0
0,5
0,3
0,2
2,0
0,5
0,3
0.2
1,9
0,5
0,3
0,2
1,3
0,5
0,3
0,2
1,5
0,5
0,3
0,2
2,6
Nr.
DOMENIUL
OBIECTE AUDITABILE
crt.
IV.
17. Asigurarea integrrii

subsistemelor componente
18. Elaborarea manualelor de

utilizare i a manualelor de
operare
19. Instruirea utilizatorilor

subsistemelor IT
Securitatea IT
20. Politica de securitate IT

21. Monitorizarea implementrii
politicii de securitate IT
Disfuncionaliti n procesul de
achiziionare al licenelor
Evoluii tehnologice cu implicaii asupra
integrrii subsistemelor
Neconcordane n integrarea subsistemelor
Inexistena/Insuficiena manualelor de
utilizare i a manualelor de operare

Aprecierea
controlului
intern (F1)
P1
N1
50%
0,5
3
Aprecierea
cantitativ
(F2)
P2
N2
30%
0,3
2
Punctaj
total
Aprecierea
calitativ
(F3)
P3
N3
20%
0,2
1
2,3
0,5
0,3
0,2
1,3
0,5
0,3
0,2
1,6
0,5
0,5
1
2
0,3
0,3
2
1
0,2
0,2
3
1
1,7
1,5
Lipsa unor componente i existena unor

elemente neclarificate n coninutul
manualelor
Inexistena unui program de instruire al
utilizatorilor
Neefectuarea instruirii sistematice a
utilizatorilor subsistemelor IT
0,5
0,3
0,2
1,5
0,5
0,3
0,2
2,5
0,5
0,3
0,2
1,8
Inexistena politicii de securitate

Neaplicarea politicii de securitatea n mod
consecvent
Inexistena unui responsabil desemnat cu
monitorizarea implementrii politicii de
securitate IT
Nentocmirea i netransmiterea sistematic
a rapoartelor de monitorizare
Inexistena unui sistem de clasificare i
protejare adecvat a informaiilor
confideniale existente n format electronic
0,5
0,5
2
2
0,3
0,3
3
2
0,2
0,2
2
3
2,3
2,2
0,5
0,3
0,2
2,5
0,5
0,3
0,2
2,0
0,5
0,3
0,2
1,9
Nr.
DOMENIUL
OBIECTE AUDITABILE
crt.
22. Evaluarea controalelor fizice Lipsa procedurilor privind implementarea

n domeniul IT
controalelor fizice n domeniul IT
Nedesemnarea responsabilitii pentru
monitorizarea controalelor fizice
Lipsa unor proceduri pentru realizarea
controalelor fizice
Neefectuarea controalelor fizice conform
procedurilor
23. Sigurana accesului la reea
Lipsa procedurilor privind sigurana
i a comunicrii datelor n reea accesului utilizatorilor n reea
Inexistena responsabilului desemnat cu
monitorizarea implementrii procedurilor
privind sigurana accesului utilizatorilor n
reea
Neefectuarea monitorizrii sistematice
Neimplementarea msurilor privind
sigurana accesului utilizatorilor n reea
conform procedurilor
24. Programe antivirus
Lipsa procedurilor privind implementarea
programelor antivirus
privind implementarea programelor
antivirus
Neluarea msurilor necesare privind
implementarea programelor antivirus
25. Recuperarea datelor n caz de Lipsa procedurilor privind recuperarea
dezastru
datelor n caz de dezastru

Aprecierea
controlului
intern (F1)
P1
N1
50%
0,5
2
Aprecierea
cantitativ
(F2)
P2
N2
30%
0,3
2
Punctaj
total
Aprecierea
calitativ
(F3)
P3
N3
20%
0,2
2
2,0
0,5
0,3
0,2
2,5
0,5
0,3
0,2
2,5
0,5
0,3
0,2
2,6
0,5
0,3
0,2
1,8
0,5
0,3
0,2
2,0
0,5
0,5
3
2
0,3
0,3
1
3
0,2
0,2
3
2
2,4
2,3
0,5
0,3
0,2
2,7
0,5
0,3
0,2
2,0
0,5
0,5
2
2
0,3
0,3
2
3
0,2
0,2
1
3
1,8
2,5
0,5
0,3
0,2
2,0
Nr.
DOMENIUL
OBIECTE AUDITABILE
crt.
26. Sistemul de arhivare

privind recuperarea datelor n caz de
dezastru
Neluarea msurilor necesare privind
recuperarea datelor n caz de dezastru
Lipsa procedurilor privind arhivarea
datelor
Nedesemnarea responsabilitii pentru
arhivarea datelor
Neefectuarea evalurii periodice a
activitii de arhivare

Aprecierea
controlului
intern (F1)
P1
N1
50%
0,5
2
Aprecierea
cantitativ
(F2)
P2
N2
30%
0,3
3
Punctaj
total
Aprecierea
calitativ
(F3)
P3
N3
20%
0,2
1
2,1
0,5
0,5
3
3
0,3
0,3
1
2
0,2
0,2
2
1
2,2
2,3
0,5
0,3
0,2
1,5
0,5
0,3
0,2
1,7
0,5
0,3
0,2
1,4
NOTA:
Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz
evaluarea nivelelor riscurilor asociate operaiilor auditabile, iar n a doua faz se determin punctajul total pe baza formulei din
Normele metodologice privind auditul intern, respectiv:
n
T= Pi x Ni
i=1
Unde:
T = punctaj total;
Pi = ponderea riscului pentru fiecare criteriu;
Ni = nivelul riscurilor pentru fiecare criteriu utilizat;

Evaluarea riscurilor asociate operaiilor auditabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest
moment, din documentele primite de la entitate i din rapoarte anterioare, dar i din expertiza personal n domeniu i este o evaluare
cu un oarecare grad de subiectivitate.
Din aceste motive se recomand ca auditorii interni s aib n vedere posibilitatea mbuntirii acestei lucrri pe durata misiunii de
audit i n special n etapa Interveniei la faa locului, funcie de informaiile, documentele i probele de audit pe care le
realizeaz.Procedura Analiza riscurilor se consider a fi un document viu care poate fi actualizat permanent pe parcursul
desfurrii misiunii de audit intern.

p05 (4) Stabilirea Nivelului Riscului Si A Puctajului Total Al Riscului

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

p05 (4) Stabilirea Nivelului Riscului Si A Puctajului Total Al Riscului

Încărcat de

Drepturi de autor:

Formate disponibile

PROCEDURA P 05

Misiunea de audit: Modul de organizare a activitatii de IT

Aprobat de Sef BAPI

STABILIREA NIVELULUI RISCULUI SI A PUNCTAJULUI TOTAL AL RISCULUI

Criterii de analiza a riscurilor

5. Neinstruirea sistematic a utilizatorilor sistemului

7. Utilizarea unor proceduri automate neautorizate;

9. Acces neautorizat la informaiile financiar-contabile

= nivelul riscurilor pentru fiecare criteriu utilizat;

= ponderea criteriilor de risc

1. Politicile entitii publice n

Inexistena unei atitudini favorabile n

Criterii de analiza a riscurilor

11. Sistemul de evaluare a

Numr mare de posturi de execuie

Criterii de analiza a riscurilor

12. Sistemul de gestionare a

13. Gradul de realizare a

14. Existena controalelor

Inexistena unei politici unitare privind

Criterii de analiza a riscurilor

17. Asigurarea integrrii

18. Elaborarea manualelor de

19. Instruirea utilizatorilor

20. Politica de securitate IT

Criterii de analiza a riscurilor

Lipsa unor componente i existena unor

Inexistena politicii de securitate

22. Evaluarea controalelor fizice Lipsa procedurilor privind implementarea

Criterii de analiza a riscurilor

26. Sistemul de arhivare

Inexistena responsabilului desemnat cu

Criterii de analiza a riscurilor

Ni = nivelul riscurilor pentru fiecare criteriu utilizat;

S-ar putea să vă placă și