AUDITUL SI CONTROLUL SISTEMELOR INFORMATICE

De cate tipuri este cerificarea?

o certificarea Certified Information Security Manager (CISM ) - vizeaz

managementul securitii informaiilor i este deinut de ctre mai mult de
22.500 de profesioniti;
o certificarea Certified in the Governance of Enterprise IT (CGEIT) vizeaz
desemnarea i promovarea de profesioniti care doresc s fie recunoscui pentru
experiena lor n guvernarea IT, fiind acreditai n prezent peste 5.600 astfel de
profesioniti;
o certificarea Certified in Risk and Information Systems Control (CRISC)
vizeaz identificarea i gestionarea riscurilor pe care le presupune dezvoltarea,
implementarea i meninerea controlului sistemelor informaionale;

exist

aproximativ 16.800 de profesioniti care dein aceast certificare.

Care sunt principalele objective ale programelor UE?

a)

accelerarea

implementrii

structurilor

de

baz

ale

Societii

Informaionale;
b) informatizarea administraiilor publice i interconectarea cu administraiile
publice din statele membre ale Uniunii Europene, pe o infrastructur comun;
c) servicii pentru clieni i oportuniti pentru perfecionarea administraiei;
d) asigurarea securitii reelelor informaionale i a aplicaiilor software.

Care sunt documentele cu character strategic elaborate de ministerul

comunicatiilor si societati international?

Strategia

Guvernului

Romniei

pentru

dezvoltarea

sectorului

tehnologiei informaiei;
o

Strategia Guvernului Romniei de stimulare i susinere a dezvoltrii

sectorului de comunicaii n perioada 2002-2012;

Economia bazat pe cunoatere;

Strategia de Dezvoltare Durabil a Romniei ORIZONT 2025;

Strategia Naional de Export

Corelnd domeniile Societii Informaionale din Uniunea European cu cele

existente n Romnia, au fost identificate urmtoarele arii de interes:

eGovernment (e-guvernare);

Internet&Broadband (Internet i Band larg);

Telecommunications&IT Security (Telecomunicaii i Securitate

IT);

eEducation (e-educaie); eInclusion (e-incluziune social);

eCommerce (Comer electronic);

eHealth (e-sntate); e-Business (servicii electronice pentru

afaceri);

Work, Employment&Skills (Fora de munc).

Care sunt ariile de interes

care sunt rezultatele pe care le urmareste

guvernanta IT existente in Romania?

3. Guvernarea IT

Liniile definitorii ale celei de-a doua perspective de analiz, anume

elementele de natur tehnic i practic de importan esenial, pornesc de la
premisa c investiiile n domeniul IT, n medii aflate ntr-o schimbare extrem de
rapid, nu se mai rezum exclusiv la implementarea tehnologiei ca atare, obiectivul
unor astfel de investiii fiind acela de a asigura obinerea de valoare din schimbrile

induse

activitatea

propriu-zis

(afacerea)

din

schimbrile

de

natur

organizaional facilitate de IT. n acest sens, se constat c exist o nelegere din

ce n ce mai larg acceptat a faptului c informaia constituie un bun strategic al
afacerii iar IT a devenit un factor cu o contribuie important la succesul acesteia.
O definiie bazat pe bune practici a guvernrii IT, ca parte a guvernrii
corporaiei

(ntreprinderii)

se

poate

formula

astfel:

guvernarea

IT

este

responsabilitatea managementului executiv i a comitetelor de direcie i const n

actul de asumare a conducerii, precum i n procese i structuri organizaionale
care asigur c funcia IT a entitii susine i extinde strategiile i obiectivele
acesteia.
n mod concret, definiia prezentat situeaz guvernarea IT ca o component
integral a guvernrii ntreprinderii (afacerii) i nu ca pe o disciplin izolat.
n ceea ce privete livrabilele n plan practic, guvernarea IT urmrete dou
categorii de rezultate: livrarea de valoare pentru afacere i atenuarea (anihilarea)
riscurilor IT. n acest sens, guvernarea IT se focalizeaz pe cinci zone principale:
alinierea strategic, livrarea de valoare, managementul riscurilor, managementul
resurselor, msurarea performanei.
Guvernarea IT funcioneaz ca un proces continuu, ca o parte integrant a
guvernrii ntreprinderii i se focalizeaz pe obiectivele strategice.
. Stadiul actual privind cadrul de auditare a sistemelor informatice
pe plan internaional i intern

Abordarea auditului sistemelor informatice este analizat din trei perspective:

a) prin prisma contextului de ar: manualul include o analiz critic a
abordrii de tip "context de ar", cu detalieri pe coordonatele naturale ale
specificului naional, respectiv mediul (fizic, social, economic) i infrastructurile (de
pia, politice, legislative etc.);

b) prin prisma abordrii bazate pe serviciile publice, cu detalierea unor

servicii importante pentru economie i societate i care prezint elemente certe de
progres n materie de e-guvernare (educaie, sntate, taxe i impozite etc.),
detalierea incluznd att aspectele tehnologice, ct i beneficiile nregistrate de
serviciile respective;
c) abordarea bazat pe cadre comune (cum ar fi, de exemplu, un cadru
comun de interoperabilitate; similar se pot avea n vedere i cadre comune pentru
procese i capabiliti funcionale).
Principala constatare este prezena unei serii de procese emergente de
schimbare a modelului auditului extern generat de extinderea semnificativ a
tehnologiei i comunicrii informaiei (TCI) care, pe de o parte devine obiect al
auditului, iar pe de alt parte devine instrument obligatoriu pentru auditori. O a
doua constatare este aceea c evoluia pus n eviden n prezentul manual
reflect necesitatea unui salt natural, calitativ superior ctre abordrile dirijate de
infrastructurile specifice tehnologiilor informaiei i comunicaiilor (ITC) i de
aplicaiile i sistemele aferente.
De un real interes sunt i notele caracteristice ale acestei evoluii:
- focalizarea pe impactul de transformare pe care ICT l are asupra auditului
extern;
- extinderea conceptului de audit al guvernrii tehnologiei informaiei ctre
conceptul de audit al sistemelor de tip e-guvernare, dictat de generalizarea
guvernrii electronice.
Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu
precdere la nivelul unor organizaii internaionale care au un rol deosebit de
important n unificarea abordrilor, prin standardizarea soluiilor, promovarea celor
mai bune practici, politici, coduri de conduit i norme.

Care sunt institutiile international cu functii determinante in normalizarea auditului

in general si auditului IT in particular?

INTOSAI (International Organization of Supreme Audit Institutions);

IAASB (International Audit and Assurance Standard Board) - Consiliul

pentru Standarde Internaionale de Audit i Asigurare, nfiinat pentru a
dezvolta i emite standarde i declaraii privind auditul, asigurarea i
serviciile

conexe

Internaionale

numele

Contabililor

Consiliului
IFAC

IFAC

din

cadrul

(International

Federaiei

Federation

of

Accountants);

IIA (The Institute of Internal Auditors) - Institutul Auditorilor Interni;

COSO

(Committee

of

Sponsoring

Organizations

of

the

Treadway

Commission);

ISACA (Information Systems Audit and Control Association).

Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional

INTOSAI i, implicit, la grupurile regionale ale acesteia. Cadrul de reglementare al
SAI se armonizeaz cu prevederile cadrului INTOSAI dar conine i prevederi
specifice, potrivit principiului independenei promovat de INTOSAI.
Cadrul de auditare INTOSAI

Cea mai important constatare care se degaj din investigarea documentelor

de referin n domeniul auditului IT (publicate de INTOSAI, EUROSAI sau pe siteurile web ale SAI-urilor) este aceea c, n prezent, la nivel internaional exist o
preocupare continu pentru dezvoltarea unui cadru metodologic i procedural
coerent care s se impun ca standard de auditare a sistemelor informatice,
ncepnd cu aplicaiile individualizate i ajungnd la sisteme pe scar larg, de tip
e-guvernare i servicii electronice. Experienele actuale se bazeaz, n general, pe
standarde i linii directoare i, n cazul unor SAI-uri cu un nivel mai sczut de
dezvoltare, pe utilizri ad-hoc ale unor tehnologii tradiionale care rspund ns
numai parial problemelor ridicate de desfurarea unui audit IT.

Cu toate c la nivelul SAI-urilor auditul sistemelor informatice se face, n

general, ntr-o manier unidimensional, fiind focalizat numai pe faete particulare
ale sistemelor respective, la nivelul INTOSAI se promoveaz n prezent abordarea
auditului IT / IS ca proces integrat, particularitile domeniului antrennd deopotriv
elemente specifice auditului financiar, auditului organizaional, auditului tehnologiei
informaiei i comunicaiilor, auditului performanei i auditului conformitii.
Aceste faete ale procesului trebuie s coexiste ntr-o arhitectur coerent,
bazat pe sinergie, modelul de auditare fiind diferit de cel clasic, ntruct fiecare tip
de audit nu se desfoar independent, ci se reflect sub forma unor secvene de
proceduri, combinate n cadrul unor fluxuri eterogene, orientate ctre obiectivul
general al auditului i nu ctre obiectivul individual al fiecrui tip de audit. Cu att
mai mult, modelul devine mai complicat n condiiile unor sisteme interoperabile.
n plan practic, aceast abordarea constituie o abordare sistemic integrat i
propune un model nou de auditare bazat pe evaluarea riscurilor i un cadru
metodologic i procedural asociat pentru audit extern.
Subliniem c, pe plan internaional exist un interes crescut pentru
inventarierea bunelor practici n domeniu i asigurarea convergenei acestora nr-o
manier standardizat.
n acest sens, la nivelul INTOSAI este adoptat ca reprezentativ arhitectura
de auditare ISACA i recomandat n consecin. Aceasta se constituie ca un
ansamblu ierarhizat de elemente de ghidare care include urmtoarele niveluri i
componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT, care sunt
considerate ca fiind "cele mai bune practici" n materie. Ansamblul acestor
componente este bazat pe un model general de controale i tehnici de control
destinat unui mediu informatizat.
1. Obiectul auditului
Auditarea se poate focaliza pe unul sau pe mai multe dintre cele patru tipuri
de obiecte generice: program (colecie de proiecte), proiect, sistem informatic sau
resurse informatice. Cele trei nivele de controale asociate obiectelor generice sunt:

nivelul strategic: eficiena cu care este organizat, planificat, condus i

controlat desfurarea programelor;

nivelul operaional: derularea proiectelor

nivelul aplicaiilor: utilizarea unor sisteme informatice sau a unor resurse

informatice existente sau nou create.

2. Tipuri de audit
Clasificrile standard recunosc urmtoarele tipuri generale de audit:

audit financiar - o auditarea investiiilor i a cheltuielilor, a contabilitii

fondurilor, a organizrii controlului intern i a raportrii eficienei
cheltuielilor;

audit IT - o auditarea guvernrii IT;

auditul performanei - o evaluarea sistemelor de control al calitii,

evaluarea eficienei i eficacitii, a eficienei procesului decizional, a
calitii serviciilor, a politicilor de personal, a aptitudinilor i cunotinelor
personalului.

3. Perspectiva temporal
n concordan cu practicile internaionale acceptate la nivelul instituiilor de
control financiar, se pot defini trei cadre de timp pentru desfurarea misiunilor de
audit IT:

pre-implementare: controlul pe perioada procesului de luare a deciziilor

privind politica, privind bugetul sau alte zone de control financiar;

concurent: controlul aspectelor adiionale privind execuia bugetar care

pot s apar pe parcursul realizrii programelor i proiectelor;

post-implementare: aprobarea rapoartelor privind execuia bugetar i

privind efectele (rezultatele) programelor i proiectelor.

Viziunea tridimensional permite definirea unui spaiu de control n care

fiecrui obiect de control i corespunde un tip de audit i o perspectiv temporal,
rezultnd o varietate de combinaii care genereaz seturi de metode de audit
asociate.

Metodele de audit pentru nivelele strategic, operaional i de aplicaie se pot

mapa (suprapune) pe cadrul de lucru COBIT.
Clasificarea tipurilor de audit n categorii separate are rolul de a contribui la o
clarificare conceptual. n practic, auditul programelor i proiectelor combin n
mod tipic abordri ale auditului financiar, auditului IT/IS i auditului performanei.
Aceast tendin de evoluie, confirmat i de experiena altor instituii
supreme de audit, a fost promovat n cadrul misiunilor de audit ale Curii de
Conturi a Romniei desfurate n domeniul sistemelor e-guvernare i al serviciilor
electronice asociate.

Auditul tuturor aspectelor relevante ale programelor i proiectelor nu este

posibil prin aplicarea metodelor clasice. Sunt necesare noi metode, iar
noile metode trebuie s acopere subiecte, cum ar fi:

calitatea

sistemelor

financiar-contabile

ale

organizaiilor

care

sunt

responsabile cu organizarea i derularea programelor din domeniul IT/IS

sau e-guvernare;

conformitatea

proiectelor

cu

standarde

funcionale

referitoare

la

managementul investiiilor;

conformitatea cu standarde pentru implementarea i utilizarea tehnologiei

informaiei (COBIT);

existena sistemelor de control al calitii certificate pentru fiecare stadiu

al realizrii proiectului.

n acest sens, grupul de lucru EUROSAI IT WG i-a propus s se

focalizeze pe urmtoarele linii de aciune principale, pe care le reinem ca
fiind relevante i pentru situaia i evoluiile n planul auditrii din

Romnia:
a) auditarea furnizrii de servicii de tip e-guvernare, e-licitaie, e-

administraie i altele;
b) auditarea investiiilor guvernamentale n resurse hardware, software i
umane relative la promovarea i utilizarea eficient a tehnologiilor

informaiei;
c) dezvoltarea capabilitii instituiilor supreme de audit de a-i atinge
obiectivele strategice prin utilizarea n mod adecvat a tehnologiilor

informaiei (de exemplu, relativ la managementul intern: realizarea de

auditri cu efecte mult mai eficiente i dezvoltarea abilitilor necesare ale
personalului).

7. Standardele internaionale de audit ISA

Standardele Internaionale de Audit ISA sunt elaborate, aprobate i emise

de IAASB. Experii INTOSAI particip n prezent la dezvoltarea standardelor
ISA, care, n conformitate cu abordarea dual a INTOSAI, sunt o parte
integrat a liniilor directoare de audit financiar INTOSAI. Subcomisia de
audit financiar din cadrul PSC elaboreaz Notele Practice, cu scopul de a
oferi orientri relevante cu privire la aplicarea standardului ISA n auditul
situaiilor financiare ale entitilor din sectorul public, n plus fa de ceea
ce este prevzut n prezent n ISA. Standardul ISA i notele practice
aferente constituie mpreun o linie directoare pentru audit financiar.
Acest lucru a fost aprobat de ctre INCOSAI n 2007, cnd Congresul a
aprobat documentul cadru n cazul n care se prevede c: "O linie
directoare INTOSAI privind auditul financiar va consta ntr-un standard ISA
emis de IAASB, mpreun cu o not practic elaborat de INTOSAI
subliniind, de asemenea, modificrile, care trebuie s fie luate n
considerare de auditul public.

Care sunt institutiile cu rol de normalizare privind auditul ?

7. Standardele internaionale de audit ISA

Standardele Internaionale de Audit ISA sunt elaborate, aprobate i emise de

IAASB. Experii INTOSAI particip n prezent la dezvoltarea standardelor ISA, care, n
conformitate cu abordarea dual a INTOSAI, sunt o parte integrat a liniilor
directoare de audit financiar INTOSAI. Subcomisia de audit financiar din cadrul PSC
elaboreaz Notele Practice, cu scopul de a oferi orientri relevante cu privire la
aplicarea standardului ISA n auditul situaiilor financiare ale entitilor din sectorul

public, n plus fa de ceea ce este prevzut n prezent n ISA. Standardul ISA i

notele practice aferente constituie mpreun o linie directoare pentru audit financiar.
Acest lucru a fost aprobat de ctre INCOSAI n 2007, cnd Congresul a aprobat
documentul cadru n cazul n care se prevede c: "O linie directoare INTOSAI privind
auditul financiar va consta ntr-un standard ISA emis de IAASB, mpreun cu o not
practic elaborat de INTOSAI subliniind, de asemenea, modificrile, care trebuie
s fie luate n considerare de auditul public.
In ceea ce privete standardele internaionale de audit ISA i declaraiile de practic
IASP,

Care sunt componentele de auditare ISACA ?

Componentele arhitecturii de auditare ISACA sunt:

Standarde - Definesc cerinele obligatorii pentru auditarea i raportarea

auditrii sistemelor informatice.

Ghiduri de aplicare - Furnizeaz ghiduri practice pentru aplicarea

standardelor de auditare a sistemelor informatice.

Proceduri - Furnizeaz exemple de proceduri pe care un auditor de sisteme

informatice ar trebui s le urmeze (le-ar putea utiliza) n cadrul unui
angajament de audit.

Cel de-al patrulea element al ansamblului menionat, resursele COBIT,

funcioneaz ca o surs de ghidare pentru "cele mai bune practici" n
materie.

Unul dintre obiectivele asociaiei ISACA este acela de a avansa (de a dezvolta
i disemina) standarde global aplicabile pentru atingerea viziunii proprii n materie
de auditare IT/IS.
ISACA a elaborat, dezvolt i ntreine un set cuprinztor de linii directoare
(ghiduri) pentru audit i asigurare IT, dintre care menionm (selectiv):

Utilizarea tehnicilor de audit asistat de calculator;

Concepte de materialitate pentru auditarea sistemelor informatice;

Efectele extinderii/generalizrii controalelor pentru sistemele informatice;

Utilizarea evalurii riscurilor n planificarea auditului;

Revizuirea sistemelor de aplicaie;

Guvernarea IT

Care sunt liniile directoare (ghiduri) pentru audit si asigurare IT?

Liniile directoare sunt structurate pe urmtoarele categorii de probleme:

GTAG PG-15: Securitatea informaiei

GTAG PG-14: Auditul aplicaiilor dezvoltate de utilizatori

GTAG PG-13: Prevenirea i detectarea fraudei ntr-un mediu informatizat

GTAG PG-12: Auditul proiectelor IT

GTAG PG-11: Elaborarea Planului de Audit IT

GTAG PG-10: Managementul continuitii

PG GTAG-9: Managementul identitii i al accesului

PG GTAG-8: Auditarea controalelor de aplicaie

PG GTAG-7: Externalizarea tehnologiei informaiei

PG GTAG-6: Managementul i auditul vulnerabilitilor IT

GTAG PG-5: Managementul i auditul riscurilor privind confidenialitatea

PG GTAG-4: Managementul auditului IT

PG GTAG-3: Audit continuu: Implicaii pentru asigurare, monitorizare i

evaluare a riscurilor

PG GTAG-2: Controale privind managementul schimbrii

PG GTAG-1: Controale IT

Care este definitia cadrului de lucru COBIT?

Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru
de referin pentru auditurile desfurate de SAI-uri.

COBIT a fost aliniat i armonizat cu standarde detaliate i bune practici IT:

COSO, ISO 270001, ITIL2, Sarbanes-Oxley Act, BASEL II i acioneaz ca un integrator
al acestor standarde, sintetiznd obiectivele principale sub un singur cadru de
referin general acceptat.
n condiiile trecerii la cadul de lucru COBIT 5, se va extinde referenialul
pentru auditare i la standardele enumerate mai sus, noua arhitectur asigurnd
convergena cu acestea.
COBIT este un cadru de lucru dezvoltat iniial de ctre Information Systems
Audit and Control Foundation (ISACF) i publicat n anul 1996. Aceast prim
versiune a fost urmat de o a doua ediie, extins la nivelul documentelor surs i al
componentelor, inclusiv prin adugarea unui set de instrumente de implementare,
care a fost publicat n anul 1998.
Obiectivele de control elaborate de ctre ISACF (ISACA) au fost proiectate ca
un instrument pentru auditori, n timp ce cadrul de lucru COBIT este un rezultat al
evoluiei ctre un instrument pentru management i guvernare IT. Din acest motiv,
COBIT a fost suplimentat cu o serie de elemente care permit decizii de
implementare i mbuntire a proceselor IT: indicatori cheie de scop, indicatori
cheie de performan, factori de succes critici, modele de maturitate.
Necesitatea de a avea asigurri cu privire la valoarea tehnologiei informaiei,
managementul riscurilor asociate acestor tehnologii, precum i cerinele sporite
pentru controlul asupra informaiilor sunt con-siderate ca un element-cheie al
guvernrii organizaiilor i companiilor. Managementul valorii, mana-gementul
riscurilor i controlul constituie nucleul guvernrii IT.
COBIT (acronim de la Control Objectives for Information and related
Technology) ofer un set de bune practici prin intermediul unui cadru de referin
bazat pe domenii i procese, prezentnd activitile de o manier logic, uor de
gestionat. Setul de bune practici prezente n COBIT se concentreaz n special pe
controlul proceselor din cadrul organizaiei, oferind bune practici care vor ajuta la
1 Set de standarde privind securitatea informaiilor.
2 IT Infrastructure Library

optimizarea inves-tiiilor IT, vor asigura livrarea serviciilor i vor furniza un

referenial pe baza cruia se va judeca atunci cnd lucrurile nu merg bine. n acest
context, COBIT constituie un instrument deosebit de util i pentru auditori.
Misiunea COBIT const n cercetarea, dezvoltarea, publicarea i promovarea
unui cadru de referin pentru guvernarea IT, autorizat, actualizat, acceptat la nivel
internaional pentru a fi adoptat de ctre organizaii i utilizat n activitatea
cotidian a managerilor, profesionitilor IT i auditorilor, avnd n vedere impactul
semnificativ pe care informaiile il pot avea asupra succesului organizaiilor.
Orientarea spre partea economic a COBIT const n legtura dintre
obiectivele afacerii i obiectivele IT, furnizarea de metrici/indicatori i de modele de
maturitate

pentru a cuantifica realizarea acestora,

precum i identificarea

responsabilitilor legate de afacere i a responsabililor de procese IT.

Care sunt principalele caracteristici ale cadrului COBIT?

Cadrul

de

referin

COBIT

fost

creat

avnd

ca

principale

caracteristici:
1. Concentrarea pe componenta economic;
2. Orientarea pe procese;
3. Bazat pe controale;
4. Conducerea prin indicatori.

Care sunt criteriile COBIT pentru informative?

n concluzie, COBIT ofer un cadru de referin care asigur c:
Tehnologiile sunt aliniate cu afacerea;
Tehnologiile uureaz procesele economice i maximizeaz beneficiile;
Resursele sunt utilizate cu responsabilitate;

 Riscurile IT sunt gestionate n mod corespunztor.

Care sunt resursele IT indentificate in COBIT?

E. Criteriile COBIT pentru informaie
Pentru a satisface obiectivele afacerii, informaia trebuie s se conformeze
anumitor criterii de control pe care COBIT le evideniaz sub forma de cerine ale
afacerii pentru informaie. Pe baza cerinelor generale de calitate, de ncredere i de
securitate, au fost definite apte criterii distincte pentru informaii, dup cum
urmeaz:

Eficacitatea: impune ca informaiile s fie relevante i pertinente pentru

procesul economic, precum i s fie livrate ntr-un timp util i de o manier
corect, coerent i uor de utilizat.

Eficiena: se refer la furnizarea de informaii prin utilizarea optima a

resurselor (raportndu-ne la productivitate i economicitate).

Confidenialitatea:

se

refer

la

protejarea

informaiilor

sensibile

impotriva divulgrii neautorizate.

Integritatea: se refer la acurateea i exhaustivitatea informaiilor,

precum i la valabilitatea acestora, n conformitate cu valorile i
asteptrile organizaiei.

Disponibilitatea: impune ca informaiile s fie disponibile atunci cnd

procesul economic o cere, la momentul actual sau n viitor. De asemenea,
se refer la protejarea resurselor necesare i a capacitilor asociate.

Conformitatea: se refer la conformitatea cu cadrul legislativ i de

reglementare, cu acordurile contractuale la care este supus procesul
economic.

Fiabilitatea:

se

refer

la

furnizarea

de

informaii

adecvate

managementului pentru a opera entitatea i pentru a-i exercita

responsabilitile de guvernare.
F. Resursele IT identificate n COBIT

Funcia IT i atinge scopurile printr-o serie bine definit de procese care

implic aptitudinile personalului i infrastructura tehnologic pentru a executa
aplicaii

automatizate

ce

deservesc

derularea

afacerii,

folosind

prghii

informaionale specifice afacerii.

Resursele IT identificate n COBIT pot fi definite dup cum urmeaz:

Aplicaiile: sunt sistemele utilizator automatizate i procedurile manuale

care prelucreaz informaiile.

Informaiile: reprezint datele, de toate tipurile, intrate, procesate i

rezultate din sistemele informaionale, indiferent de forma sub care sunt
utilizate n derularea afacerii.

Infrastructura: este format din tehnica i tehnologiile care permit

procesarea i rularea aplicaiilor (de exemplu: echipamente, hardware,
sisteme de operare, sisteme de management al bazelor de date, reele,
multimedia i ntreg mediul de tip suport n care se gsesc).

Resursele umane: reprezint ntreg personalul necesar pentru a

planifica, organiza, achiziiona, implementa, furniza, susine, monitoriza i
evalua sistemele informaionale i serviciile. Acetia pot fi angajai
permaneni ai firmei, angajai temporar pe baz de contract sau funciile
lor pot fi nchiriate de pe piaa serviciilor externalizate, dup cerine.

Care sunt domeniile COBIT?

G. Domeniile COBIT
Cadrul de lucru COBIT definete activitile legate de IT ntr-un model general
al proceselor cu patru domenii:

PO - Planificare i Organizare (Plan and Organize): direcioneaz

furnizarea soluiilor i a serviciilor;

AI - Achiziie i Implementare (Acquire and Implement): ofer

soluiile i le transmite mai departe spre a fi transformate n servicii;

DS - Furnizare i Suport (Deliver and Support): primete soluiile i

le face utilizabile pentru utilizatorii finali;

ME - Monitorizare i Evaluare (Monitor and Evaluate): supervizeaz

toate procesele pentru a fi asigurat faptul c direciile i msurile decise
sunt urmate ntocmai spre a fi ndeplinite).

D. Controale generale IT i controale de aplicaii

Controalele generale sunt incorporate n procesele i serviciile IT i includ:
dezvoltarea sistemelor, managementul schimbrii, securitatea, operarea sistemului.
Controalele incorporate n aplicaiile proceselor economice sunt cunoscute
drept controale ale aplicaiilor care includ: completitudinea, acurateea, validitatea,
autorizarea, separarea sarcinilor de serviciu.
COBIT admite c proiectarea i implementarea controalelor automatizate ale
aplicaiilor cade n ndatoririle funciei IT, n baza nevoilor/cerinelor afacerii definite
folosind

criteriile

COBIT

pentru

informaii.

Managementul

operaional

responsabilitatea asupra gestiunii controalelor aplicaiei aparin respon-sabilului de

proces (nu funciei IT).
Responsabilitatea pentru controalele aplicaiilor este o responsabilitate
comun att domeniului economic, ct i funciei IT, dar natura acestor
responsabiliti se schimb dup cum urmeaz:
a) domeniul economic este responsabil pentru:
- definirea corespunztoare a cerinelor funcionale i de control
- utilizarea serviciilor automatizate n mod adecvat
b) domeniul IT este responsabil pentru:
- automatizarea i implementarea cerinelor funcionale i de control
-

stabilirea

elementelor

controalelor aplicaiilor

de

gestiune

pentru

menine

integritatea

Lista de mai jos conine o serie recomandat de obiective de control ale

aplicaiilor

Pregtirea i autorizarea surselor de date: Asigur faptul c documentele

surs sunt pregtite de personal autorizat i calificat, folosind proceduri
anterior stabilite, demonstrnd o separare adec-vat a ndatoririlor cu
privire la generarea i aprobarea acestor documente. Erorile i omisiunile
pot fi minimizate printr-o bun proiectare a intrrilor. Detecteaz erorile i
neregulile spre a fi raportate i corectate.

Colectarea surselor de date si introducerea n sistem: Stabilete faptul c

intrrile (datele de intrare) au loc la timp, fiind fcute de ctre personal
autorizat i calificat. Corectarea i retrimiterea datelor care au intrat n
sistem n mod eronat trebuie s aib loc fr a compromite nivelurile
iniiale de autorizare privind tranzaciile (intrrile). Cnd este nevoie s se
reconstituie intrarea, trebuie reinut sursa iniial pentru o perioad
suficient de timp.

Verificri privind: acurateea, completitudinea i autenticitatea: Asigur

faptul c tranzaciile sunt precise (exacte), complete i valide. Valideaz
datele introduse i le editeaz sau le trimite napoi spre a fi corectate ct
mai aproape posibil de punctul de provenien.

Integritatea i validitatea procesului: Menine integritatea i validitatea

datelor

de-a

lungul

ciclului

de

procesare.

Detectarea

tranzaciilor

compromise din punct de vedere al erorilor nu ntrerupe procesarea celor

valide.

Revizuirea

rezultatelor,

reconcilierea

tratarea

erorilor:

Stabilete

procedurile i responsabilitile asociate pentru a asigura c rezultatul

este utilizat ntr-o manier autorizat, distribuit desti-natarului potrivit i
protejat n timpul transmiterii sale, c se efectueaz: verificarea,
detectarea i corectarea exactitii rezultatului i c informaia oferit n
rezultatul procesrii este utilizat.

Autentificarea i integritatea tranzaciilor: nainte de a transmite datele

tranzaciei de la aplicaiile interne ctre funciile operaionale ale afacerii

(sau

ctre

exteriorul

ntreprinderii),

trebuie

verificate:

destinaia,

autenticitatea sursei i integritatea transmiterii sau ale transportului.

Care sunt principiile COBIT?

Care este obiectivul guvernarii- crearea valorii
Succesiunea obiectivelor COBIT
Care sunt principiile COBIT 5 ?

rezumat executiv

Informaia este o resurs de baz pentru toate organizaiile, iar din

momentul creri i pn cnd este distrus,
tehnologia joac un rol important. Tehnologia informaiilor este ntr-o
dezvoltare continu i a devenit universal la nivel
social i economic.
Drept rezultat, astzi mai mult ca niciodat, companiile i conducerile lor
caut s:
Menin informaii de cea mai bun calitate pentru a sprijini deciziile
economice.
Genereze valoare economic din investiiile IT de ex. s ating obiectivele
strategice i s realizeze beneficii prin
folosirea inovativ i eficient a IT.
Ating excelena operaional prin utilizarea eficient i cu ncredere a
tehnologiei.
Menin riscurile din domeniul IT la un nivel acceptabil.
Optimizeze costurile serviciilor IT i ale tehnologiilor.
Se conformeze legilor, reglementrilor, clauzelor contractuale i politicile
aflate n continu dezvoltare.
n ultimul deceniu, termenul guvernare a ajuns n prim planul gndirii
economice ca rspuns la exemplele ce
demonstreaz importana sa i pe de alt parte ca efect al ntmplrilor
nefericite care au avut loc la scar global.
Companiile de succes au recunoscut c directorii i consiliile directoare
trebuie s trateze IT-ul ca orice alt component
important a afacerii. Consiliile directoare i managementul - att din zona
economic ct i de la nivelul funciilor IT trebuie s colaboreze i s lucreze mpreun astfel nct IT-ul s fie inclus n
abordrile managementului i ale guvernrii.
n plus, cresc cerinele legislative i reglementrile care acoper aceste nevoi.
COBIT 5 ofer un cadru de referin cuprinztor, care asist organizaiile n
atingerea obiectivelor cu privire la
managementul i guvernarea IT. Mai simplu spus, ajut organizaiile s creeze
valoarea optim din IT realiznd un
echilibru ntre obinerea beneficiilor i optimizarea riscurilor i resurselor
folosite. COBIT 5 permite ca IT-ul s fie
gestionat i guvernat de o manier holistic n cadrul ntregii organizaii,
lund n considerare responsabilitatea complet
a zonelor economice dar i a celor funcionale din IT, innd cont de interesele
IT ale beneficiarilor interni i externi.

COBIT 5 este generic i util, indiferent de mrimea organizaiei sau tipul

acesteia: comercial, public sau nonguvernamental.

COBIT 5 este fundamentat pe cinci principii de baz (prezentate n figura 2) pentru

managementul i guvernarea IT din
cadrul organizaiei:
Principiul 1: Satisfacerea nevoilor beneficiarilorCompaniile exist cu scopul de
a crea valoare pentru beneficiarii
lor prin asigurarea unui echilibru ntre realizarea beneficiilor i optimizarea riscurilor i a
resurselor utilizate. COBIT
5 ofer toate procesele necesare precum i alte elemente practice ce sprijin crearea
valorii prin utilizarea IT. Deoarece
companiile au obiective diferite, acestea pot adapta COBIT 5 cu ajutorul succesiunii
obiectivelor, astfel nct acestea
s corespund contextului propriu, transpunnd obiectivele de nivel nalt ale
organizaiei n obiective IT precum i prin
alinierea acestora din urm cu procesele i practicile specifice.
Principiul 2: Acoperirea total a organizaeiCOBIT 5 integreaz guvernarea IT n
contextul general al guvernrii
organizaiei:
Acoper toate funciile i procesele din cadrul organizaiei. COBIT 5 nu se
concentreaz doar asupra funciei IT, ci
abordeaz informaia i tehnologiile asociate ca fiind active ce trebuie tratate ca orice
alt activ, de ctre oricine din
organizaie.
Consider c toate elementele practice ale managementului i guvernrii IT trebuie s
fie general aplicabile i
cuprinztoate pentru ntreaga organizaie, de exemplu oricine i orice - intern sau
extern- este relevant pentru
managementul i guvernarea informaiilor organizaiei i a tehnologiei asociate.
Principiul 3: Aplicarea unui cadru de referin integratorExist o multitudine de
standarde i bune practici,
fiecare dintre acestea oferind instruciuni pentru un subset de activiti IT. COBIT 5 se aliniaz la nivel
nalt cu alte
standarde i cadre de referin i poate servi ca un cadru de referin general pentru
managementul i guvernarea IT din
cadrul organizaiei.
Principiul 4: Facilitarea unei abordri holisticeManagementul i guvernarea eficient i
efectiv a IT necesit
o abordare holistic care s in cont de mai multe componente ce interacioneaz ntre ele. COBIT 5
definete un set
de catalizatori ce sprijin o implementare cuprinztoare a sistemelor pentru
managementul i guvernarea IT din cadrul
organizaiilor. Catalizatorii sunt n general definii ca fiind orice poate ajuta organizaia
n atingerea obiectivelor. Cadrul
de referin COBIT 5 definete 7 categorii de catalizatori:
Principii, politici i cadre de lucru
Procese
Structuri organizatorice
Cultura, etica i comportamentul
Informaii
Servicii, infrastructur i aplicaii

 Resurse umane, abiliti i competene

Principiul 5: Separarea guvernrii de managementCadrul de referin COBIT 5
face o distincie clar ntre
management i guvernare. Aceste dou discipline implic tipuri diferite de activiti,
necesit structuri organizatorice
diferite i servesc scopuri diferite. Punctul de vedere prezentat de COBIT 5 cu privire la
aceast difereniere esenial
este:
Guvernare
Guvernarea asigur c sunt evaluate nevoile beneficiarilor, condiiile i
opiunile, cu scopul de a identifica
obiective echilibrate, asumate i care pot fi atinse; stabilirea prioritilor i
luarea deciziilor; monitorizarea
performanei i conformitatea cu direciile i obiectivele asumate.
n majoritatea organizaiilor, guvernarea este responsabilitatea consiliului director sub
conducerea preedintelui
acestuia. n cazul organizaiilor mari, complexe, responsabilitile specifice guvernrii
pot fi delegate unor structuri
organizatorice speciale.
Management
Managementul planific, creeaz, administreaz i monitorizeaz activitile
n conformitate cu direciile
stabilite de organismul de guvernare, cu scopul de a atinge obiectivele
organizaiei.
n majoritatea organizaiilor, managementul este responsabilitatea nivelului executiv, sub conducerea
directorului
executiv (CEO).
Luate mpreun, aceste cinci principii permit organizaiei construirea unui cadru de
referin efectiv pentru management i
guvernare, cadru care va optimiza investiiile n IT i folosirea acestora n
beneficiul tuturor.

Catalizatorii guvernrii
Catalizatorii guvernrii reprezint resursele organizaionale folosite n scopul guvernrii:
cadre de referin, principii,
structuri, procese i practici. Prin intermediul acestora sau ctre acestea este condus
activitatea organizaiei i obiectivele
pot fi atinse. Catalizatorii includ de asemenea resursele - de ex. capabilitile serviciilor
(infrastructura IT, aplicaiile etc.),
resursa uman i informaiile. Lipsa resurselor sau catalizatorilor poate afecta abilitatea
organizaiei de a crea valoare.
Dat find importana catalizatorilor, COBIT 5 include o modalitate simpl de abordare a acestora (vezi
capitolul 5).

Scopul Guvernrii

Guvernarea poate fi aplicat la nivelul ntregii organizaii, la nivel de entitate

funcional, activ tangibil sau intangibil etc.
Altfel spus, este posibil s definim puncte de vedere diferite cu privire la aplicabilitatea
guvernrii n cadrul organizaiei i
este foarte important s definim scopul guvernrii. Scopul COBIT 5 l reprezint
organizaia n ansamblul su, dar esena
COBIT poate fi oricare din punctele de vedere menionate.

Roluri, activiti i relaii

Ultimul element discutat l reprezint rolurile, activitile i relaiile din cadrul guvernrii.
Se definesc persoanele
implicate n guvernare, modul de implicare, ce trebuie s fac i cum interacioneaz n
cadrul scopului oricrui sistem
de guvernare. n COBIT 5 se face o distinie clar ntre activitile guvernrii i cele ale
managementului, ntre domeniul
guvernrii i cel al managementului, precum i interfaarea dintre acestea i
juctorii