Ghid IT

MINISTERUL FINANELOR PUBLICE
UNITATEA CENTRALA DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN
GHID PRACTIC MISIUNEA DE AUDIT INTERN PRIVIND ACTIVITATEA IT
AVIZAT GHITA MARCEL Sef serviciu pentru Strategie si Metodologie Generala ELABORAT CONSTANTIN VASILE NICOLAE Auditor superior Ghidul practic privind realizarea unei misiuni de audit intern pentru activitatea Serviciului Juridic, constituie un model pentru desfasurarea misiunilor in baza Legii nr. 672/2002 privind auditul public intern si a Normelor generale pentru exercitarea auditului public intern aprobate prin OMFP nr. 38/2003, cu modificarile si completarile ulterioare. Asteptam sugestiile dumneavoastra pe adresa UCAAPI sau pe e-mail: marcel.ghita@mfinante.gv.ro sau cornelia.nicolau@mfinante.gv.ro
BUCURESTI 2006
CUVANT INAINTE
Ghidul de audit intern privind activitatea IT reprezinta un model practic de desfasurare a unei misiuni, prin parcurgerea in detaliu, a fiecarui pas, intr-o maniera didactica. Ghidul poate fi utilizat de entitatile din sectorul public si in acelasi timp va reprezenta suportul pentru realizarea propriului ghid practic specific entitatii. Elaborarea ghidului are la baza prevederile art. 8 lit. c) din Legea nr. 672/2002 privind auditul public intern, referitoare la dezvoltarea si implementarea unor proceduri si metodologii uniforme, bazate pe standardele internationale. In conformitate cu prevederile punctului 4, Partea I din Normele generale de exercitare a auditului public intern, aprobate prin OMF nr. 38/2003 (Manualul de audit intern), misiunea de audit intern are drept scop evaluarea sistemelor de management si control intern ale entitatii, urmarind transparenta si conformitatea cu cadrul normativ. Realizarea ghidului practic presupune parcurgerea procedurilor si documentelor specifice structurate pe cele patru etape prezentate prin normele generale. - In etapa de pregatire a misiunii de audit intern au fost elaborate documentele prevazute de normele generale si s-au adus clarificari, in special, cu privire la modul concret de dezvoltare a procedurii de Analiza riscurilor, succesiunea documentelor, structura acestora si modul de completare, nivelul de apreciere si impartire al riscurilor in mari, medii si mici, clasarea si ierarhizarea acestora in vederea finalizarii procedurii pe baza careia se va concentra munca pe teren si a Programului interventiei a fata locului. - In etapa de interventie la fata locului s-au realizat testarea pe teren a operatiilor auditabile, pe baza Programului interventiei a fata locului, prin utilizarea diferitelor tehnici de esantionare, liste de verificare, teste, foi de lucru, interviuri si note de relatii, elemente care s-au constituit in probe de audit si au stat la baza intocmirii FIAP-urilor si FCRI- urilor, care vor fi incluse in raport. - In etapa de elaborare a Raportului de audit intern s-a urmarit structurarea acestuia pe Tematica in detaliu a misiunii de audit obtinuta in procedura de Analiza riscurilor si transferarea FIAP-urilor si FCRI- urilor intr-o maniera standardizata pentru a putea fi utilizat de factorii de management. - In etapa de urmarire a recomandarilor in afara documentelor stabilite de normele generale sunt propuse unele modele de documente pentru evaluarea interna si externa a activitatii de audit intern.
Procedura P01: Iniierea auditului
ENTITATEA PUBLIC Compartimentul Audit Intern Nr. 25 din 08.01.2006
ORDIN DE SERVICIU
In conformitate cu prevederile Legii nr. 672/2002 privind auditul public intern, a O.M.F.P. nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea activitii de audit intern, a Ordinului managerului general nr. 1024/2003 prin care s-au aprobat Normele proprii de exercitare a auditului intern n cadrul entitii publice i a Planului de audit intern pentru anul 2006, se va efectua misiunea de audit intern la Direcia Tehnologia Informaiei n perioada 25.01.2006 17.04.2006. Scopul misiunii de audit este de a da asigurri asupra activitii IT de la nivelul entitii publice i a conformitii cu cadrul legislativ i normativ aplicabil, fiind structurate pe urmtoarele domenii auditabile: Plan strategic; Organizarea i funcionarea Departamentului IT; Implementarea sistemului IT; Securitatea IT. Menionm c se va efectua un audit de conformitate al modului de organizare a activitii de tehnologia informaiei din entitatea public . Echipa de auditori interni este format din urmtorii: 1. Popescu Sorin; 2. Radu George.
Coordonator Compartimentul de Audit Intern, Dumitru Daniel
Procedura - P02: Iniierea auditului
ENTITATEA PUBLIC Compartimentul Audit Intern DECLARAIA DE INDEPENDEN Nume i prenume: Popescu Sorin Misiunea de audit: Tehnologia Informatiei Data: 10.01.2006
Incompatibiliti n legtur cu entitatea/structura auditat Da Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel? Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit? Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat? Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European? Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat? Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv? Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental? Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat? Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat? Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a X lucra i a face rapoartele de audit impariale, notificai coordonatorul Compartimentului Audit Public Intern de urgen? Auditor, Coordonatorul Compartimentului Audit Intern, Popescu Sorin Dumitru Daniel
1 Incompatibiliti personale: Nu.
Nu X X X X X X X X X X -
2. Pot fi eliminate incompatibilitile: Nu este cazul. Dac da, explicai cum anume: Nu este cazul. Data: 10.01.2006 Semntura: Dumitru Daniel
Procedura - P02: Iniierea auditului
ENTITATEA PUBLIC Compartimentul Audit Intern DECLARAIA DE INDEPENDEN Nume i prenume: Radu George Misiunea de audit: Tehnologia Informatiei Data: 10.01.2006
Incompatibiliti n legtur cu entitatea/structura auditat Da Ai avut/avei vreo relaie oficial, financiar sau personal cu cineva care ar putea s v limiteze msura n care putei s v interesai, s descoperii sau s constatai slbiciuni de audit n orice fel? Avei idei preconcepute fa de persoane, grupuri, organizaii sau obiective care ar putea s v influeneze n misiunea de audit? Ai avut/avei funcii sau ai fost/suntei implicat() n ultimii 3 ani ntr-un alt mod n activitatea entitii/structurii ce va fi auditat? Avei responsabiliti n derularea programelor i proiectelor finanate integral sau parial de Uniunea European? Ai fost implicat n elaborarea i implementarea sistemelor de control ale entitii/structurii ce urmeaz a fi auditat? Suntei so/soie, rud sau afin pn la gradul al patrulea inclusiv cu conductorul entitii/structurii ce va fi auditat sau cu membrii organului de conducere colectiv? Avei vreo legtur politic, social care ar rezulta dintr-o fost angajare sau primirea de redevene de la vreun grup anume, sau organizaie sau nivel guvernamental? Ai aprobat nainte facturi, ordine de plat i alte instrumente de plat pentru entitatea/structura ce va fi auditat? Ai inut anterior contabilitatea la entitatea/structura ce va fi auditat? Avei vreun interes direct sau unul de fond financiar indirect la entitatea/structura ce va fi auditat? Dac n timpul misiunii de audit, apare orice incompatibilitate personal, extern sau organizaional care ar putea s v afecteze abilitatea dvs. de a lucra i a face rapoartele de audit impariale, notificai coordonatorul Compartimentului Audit Public Intern de urgen? Auditor, Coordonatorul Compartimentului Audit Intern, Radu George Dumitru Daniel
1. Incompatibiliti personale: Nu. 2. Pot fi eliminate incompatibilitile: Nu este cazul. Dac da, explicai cum anume: Nu este cazul. Data: 10.01.2006 Semntura: Dumitru Daniel
Nu X X X X X X X X X X -
Procedura P03: Iniierea Auditului
ENTITATEA PUBLIC Compartimentul Audit Intern Nr. 29 din 10.01.2006 NOTIFICAREA PRIVIND DECLANAREA MISIUNII DE AUDIT INTERN
Ctre: De la:
Direcia Tehnologia Informaiei Coordonatorul Compartimentului Audit Intern
Referitor la misiunea de audit intern Modul de organizare a activitii de tehnologia informaiei din entitatea public Stimate domnule Ptrulescu tefan, n conformitate cu Planul de audit intern pe anul 2006, urmeaz ca n perioada 25.01.2006 17.04.2006 s efectum o misiune de audit intern cu tema Tehnologia informaiei. V vom contacta ulterior pentru a stabili de comun acord edina de deschidere n vederea discutrii diverselor aspecte ale misiunii de audit, cuprinznd: - prezentarea auditorilor; - prezentarea principalelor obiective ale misiunii de audit intern; - programul interveniei la faa locului; - scopul misiunii de audit intern; - alte aspecte. Pentru o mai bun nelegere a activitii dumneavoastr, v rugm sa ne punei la dispoziie urmtoarea documentaie necesar privind activitatea de tehnologie a informaiei: legile i reglementrile ce se aplica activitilor dumneavoastr, organigrama direciei dumneavoastr, Regulamentul de organizare i funcionare, fiele posturilor, procedurile scrise care descriu sarcinile ce trebuie realizate pe linia organizrii activitii, un exemplar al rapoartelor de activitate, notelor, misiunilor de audit anterioare care se refer la aceasta tem. Dac avei unele ntrebri privind desfurarea misiunii, v rugm s-l contactai pe domnul Popescu Sorin - auditor, coordonatorul misiunii sau pe eful structurii de audit intern. Cu stim, Data: 10.01.2006 Coordonatorul Compartimentului Audit Intern Dumitru Daniel
Procedura P04: Colectarea i prelucrarea informaiilor
ENTITATEA PUBLIC Compartimentul Audit Intern COLECTAREA INFORMAIILOR Misiunea de audit: Tehnologia Informaiei Perioada auditat: 01.01- 31.12.2005 ntocmit: Popescu Sorin / Radu George Avizat: Dumitru Daniel
Data: 10.01.2006 Data: 10.01.2006
COLECTAREA INFORMAIILOR DIRECIA TEHNOLOGIA DA NU Observaii INFORMAIEI Identificarea legilor i regulamentelor X aplicabile structurii auditate Obinerea organigramei X Obinerea Regulamentului de organizare i X funcionare Obinerea fielor posturilor X Obinerea procedurilor scrise X Exist doar parial Identificarea personalului responsabil X Anterior nu au fost realizate Obinerea exemplarului de Raport de audit misiuni de audit intern asupra X intern anterior tehnologiei informaiei la nivelul entitii publice
Procedura P05 : Analiza riscurilor

ENTITATEA PUBLIC Compartimentul Audit Intern LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2005- 31.12.2005 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel
Data: 20.01.2006 Data: 20.01.2006
Nr. crt.
I. Plan strategic
DOMENIUL
OBIECTE AUDITABILE
1. Politicile entitii publice n domeniul IT 2. Modalitatea de elaborare a planului strategic i a planurilor anuale 3. Subsistemele informatice pentru funciile principale 4. Integrarea subsistemelor informatice 5. Stabilirea responsabililor cu elaborarea si actualizarea planului 6. Aprobarea planului 7. Organizarea departamentului IT 8. Stabilirea responsabilitilor prin fiele posturilor 9. Calificarea i pregtirea salariailor 10. Pregtirea profesional continu 11. Sistemul de evaluare a personalului 12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor 13. Gradul de realizare a subsistemelor informatice stabilite prin plan 14. Existena controalelor generale la nivelul subsistemelor IT 15. Funcionalitatea subsistemelor n reea 16. Situaia licenelor pentru programele de calculator 17. Asigurarea integrrii subsistemelor componente 18. Elaborarea manualelor de utilizare i a manualelor de operare 19. Instruirea utilizatorilor subsistemelor IT 20. Politica de securitate IT
OBS.
II.
Organizarea i funcionarea departamentului IT
III.
Implementarea sistemului IT
IV.
Securitatea IT
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE
21. Monitorizarea implementrii politicii de securitate IT 22. Evaluarea controalelor fizice n domeniul IT 23. Sigurana accesului la reea i a comunicrii datelor n reea 24. Programe antivirus 25. Recuperarea datelor n caz de dezastru 26. Sistemul de arhivare
OBS.
Nota: Lista centralizatoare a obiectelor auditabile reprezint primul document care se elaboreaz n cadrul procedurii Analiza riscurilor i cuprinde, pentru acest studiu de caz, 26 de obiecte auditabile, structurate pe 4 obiective, care vor fi analizate pe parcursul derulrii misiunii de audit intern.
Procedura - P05 : Analiza riscurilor ENTITATEA PUBLIC Compartimentul Audit Intern IDENTIFICAREA RISCURILOR Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2005- 31.12.2005 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel Nr. DOMENIUL crt I. Plan strategic OBIECTE AUDITABILE 1. Politicile entitii publice n domeniul IT 2. Modalitatea de elaborare a planului strategic i a planurilor anuale 3. Subsistemele informatice pentru funciile principale Data: 20.01.2006 Data: 20.01.2006 RISCURI SEMNIFICATIVE 1. Inexistena unei atitudini favorabile n privina informatizrii activitii entitii publice 2. Fundamentarea insuficient a planului 3. Necorelarea planurilor anuale 4. Lipsa prioritizrii activitilor 5. Neacoperirea domeniilor de activitate ale entitii publice cu subsisteme informatice 6. Necorelarea termenelor previzionate de realizare a subsistemelor 7. Nedefinirea responsabilitilor 8. Insuficienta previzionare a resurselor 9. Incompatibilitatea subsistemelor informatice 10. Nedesemnarea responsabilului cu elaborarea planului 11. Nestabilirea persoanei responsabile cu actualizarea planului 12. Planul nu este aprobat 13. Planul nu este aprobat de persoanele competente 14. Coordonarea neadecvat a planurilor 15. Departamentului IT nu este subordonat unui nivel managerial corespunztor 16. Inexistena i/sau neaprobarea organigramei 17. Neformalizarea procedurilor specifice activitilor desfurate 18. Existena unui numr mare de posturi de conducere deinute cu delegaie 19. Numr mare de posturi de execuie neocupate 20. Personal de execuie neadecvat OBS.
4. Integrarea subsistemelor informatice 5. Stabilirea responsabililor cu elaborarea si actualizarea planului 6. Aprobarea planului II. Organizarea i funcionarea departamentului IT 7. Organizarea departamentului IT
Nr. crt
DOMENIUL
OBIECTE AUDITABILE
RISCURI SEMNIFICATIVE 21. Dotare cu hard i soft inadecvat pentru desfurarea activitilor specifice 22. Inexistena unui sistem de control managerial la nivelul departamentului 23. Neefectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului 24. Neactualizarea fielor posturilor 25. Nerespectarea principiului segregrii sarcinilor de serviciu 26. Necuprinderea atribuiilor stabilite prin ROF n fiele posturilor 27. Calificarea necorespunztoare/insuficient a personalului 28. Inexistena planurilor de pregtire profesional continu 29. Neaprobarea planurilor de pregtire profesional ontinu 30. Nerealizarea activitilor previzionate prin planurile de pregtire profesional continu 31. Inexistena unui sistem de evaluare anual a salariailor 32. Nerealizarea evalurii pe parcursul anului a salariailor departamentului 33. Evaluarea formal a personalului 34. Inexistena unei politici unitare privind gestionarea riscurilor 35. Inexistena unui responsabil privind gestionarea riscurilor 36. Nedesemnarea unei persoane responsabil cu elaborarea i monitorizarea Registrului riscurilor 37. Neactualizarea sistematic a Registrului riscurilor 38. Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic 39. Nealocarea corespunztoare a resurselor necesare realizrii subsistemelor informatice 40. Evoluii tehnologice cu implicaii asupra ndeplinirii planului 41. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice 42. Implicaiile evoluiilor tehnologice n domeniul IT 43. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice 44. Inexistena unei politici de transmitere a datelor n reea
OBS.
8. Stabilirea responsabilitilor prin fiele posturilor 9. Calificarea i pregtirea salariailor 10. Pregtirea profesional continu
11. Sistemul de evaluare a personalului
12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor
III.
13. Gradul de realizare a subsistemelor informatice stabilite prin plan
14. Complementaritatea subsistemelor informatice 15. Funcionalitatea subsistemelor n reea
Nr. crt
DOMENIUL
OBIECTE AUDITABILE 16. Situaia licenelor pentru programele de calculator 17. Asigurarea integrrii subsistemelor componente 18. Elaborarea manualelor de utilizare i a manualelor de operare 19. Instruirea utilizatorilor subsistemelor IT
RISCURI SEMNIFICATIVE 45. Implicaiile evoluiilor tehnologice n domeniul IT 46. Limitri bugetare n privina achiziionrii licenelor 47. Disfuncionaliti n procesul de achiziionare al licenelor 48. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice 49. Evoluii tehnologice cu implicaii asupra integrrii subsistemelor 50. Neconcordane n integrarea subsistemelor 51. Inexistena/Insuficiena manualelor de utilizare i a manualelor de operare 52. Lipsa unor componente i existena unor elemente neclarificate n coninutul manualelor 53. Inexistena unui program de instruire al utilizatorilor 54. Neefectuarea instruirii sistematice a utilizatorilor subsistemelor IT 55. Inexistena politicii de securitate 56. Neaplicarea politicii de securitatea n mod consecvent 57. Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT 58. Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare 59. Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic 60. Lipsa procedurilor privind implementarea controalelor fizice n domeniul IT 61. Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice 62. Lipsa unor proceduri pentru realizarea controalelor fizice 63. Neefectuarea controalelor fizice conform procedurilor 64. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea 65. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea 66. Neefectuarea monitorizrii sistematice 67. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor 68. Lipsa procedurilor privind implementarea programelor antivirus
OBS.
IV.
Securitatea IT
20. Politica de securitate IT 21. Monitorizarea implementrii politicii de securitate IT
22. Evaluarea controalelor fizice n domeniul IT
23. Sigurana accesului la reea i a comunicrii datelor n reea
24. Programe antivirus
Nr. crt
DOMENIUL
OBIECTE AUDITABILE
RISCURI SEMNIFICATIVE 69. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus 70. Neefectuarea monitorizrii sistematice 71. Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor 72. Lipsa procedurilor privind recuperarea datelor n caz de dezastru 73. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru 74. Neefectuarea monitorizrii sistematice 75. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor 76. Lipsa procedurilor privind arhivarea datelor 77. Nedesemnarea responsabilitii pentru arhivarea datelor 78. Neefectuarea evalurii periodice a activitii de arhivare
OBS.
25. Recuperarea datelor n caz de dezastru
26. Sistemul de arhivare
Nota: Identificarea riscurilor este al doilea document care se elaboreaz n cadrul procedurii Analiza riscurilor i presupune asocierea riscurilor semnificative la operaiilor stabilite n Lista centralizatoare a obiectelor auditabile. De regul, se asociaz unul sau mai multe riscuri posibile, determinate de auditorii interni pe baza informaiilor colectate dar si din riscurile practice reieite din propria experien. n situaia n care la operaiile auditabile se ataeaz mai multe riscuri analiza acestora se va putea realiza pentru fiecare risc n parte sau pe total operaie/obiect auditabil. n acest studiu de caz, au fost identificate 26 de operaii auditabile, prezentate n Lista centralizatoare a obiectelor auditabile, crora le-au fost ataate 78 riscuri, aa cum rezult din documentul Identificarea riscurilor.
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Compartimentul Audit Intern
CHESTIONAR DE CONTROL INTERN

Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2005 01.05.2006 ntocmit: Popescu Sorin / Radu George Avizat: Dumitru Daniel ACTIVITATEA DE AUDIT Obiectivul I. PLAN STRATEGIC 1.1 Procedurile privind planul strategic Activitile ntreprinse concur la realizarea planului strategic? 1.2 Definirea responsabilitatilor n mod oficial n politicile entitii publice sunt definite clar obiectivele i care sunt msurile necesare ce trebuiesc implementate? - Exist structuri manageriale care s administreze i s monitorizeze atingerea acestor obiective? Este desemnat un grup de lucru responsabil pentru actualizarea planului? 1.3 Acoperirea prin plan a tuturor domeniilor entitii publice Entitatea public a elaborat un plan strategic ? Exist strategii elaborate de fiecare departament i susin aceste strategii planul?
Data: 25.01.2006 Data: 25.01.2006 DA NU OBS.
X X X X X X Departamentele nfiinate dup elaborarea planului strategic nu sunt luate n calcul prin planul strategic
Au fost corelate prin plan termenele de realizare a subsistemelor IT? 1.4 Existena unui sistem IT prevzut pentru fiecare activitate principal - Planul strategic IT acoper toate procesele care se desfoar n cadrul entitii publice? 1.4 Aprobarea planului de managementul general A fost planul aprobat de managementul general? Este personalul de conducere al departamentelor implicat n aprobarea planului? 1.5 Verificarea n mod periodic a stadiul de implementare a planului - Exist procedur de verificare a stadiului de realizare al planului? 1.6 Actualizarea planului - Este planul actualizat periodic?
X Planul trebuie actualizat potrivit schimbrilor legislative aprute
X X X S-a constatat necesitatea actualizrii planului i n timpul anului n curs
X 1.7 Alocarea resurselor necesare pentru realizarea obiectivelor stabilite prin plan - Sunt identificate resursele necesare pentru fiecare element al planului
ACTIVITATEA DE AUDIT strategic ? - Exist resursele necesare? 1.8 Documentarea i fundamentarea planului strategic - Este planul documentat i fundamentat? Obiectivul II. MANAGEMENT I ORGANIZARE IT 2.1 Organizarea departamentului IT - Exist o organigram oficial aprobat de management? - Sunt toate posturile de conducere ocupate? - Sunt toate posturile de execuie ocupate? - Se iau msuri de ocupare a posturilor vacante? 2.2 Definirea responsabilitilor salariailor n fiele posturilor - Exist fie ale posturilor pentru ntregul personal care s defineasc n mod clar sfera obligaiilor? Cuprind fiele posturilor atribuiile i responsabilitile ce le revin salariailor n activitatea de zi cu zi? 2.3 Exist o separare a sarcinilor de serviciu? Exist o separare a sarcinilor pentru funciile de: Proiectare a sistemelor? Testare a sistemelor? Implementare a sistemelor? Sisteme de operare curente? 2.4 Asigurarea pregtirii profesionale continue a salariailor - Exist planuri de pregtire profesional continu? - Salariaii participa la cursuri de perfecionare? Pregtirea profesionala a salariailor se realizeaz conform atribuiilor i responsabilitilor stabilite prin fia postului? 2.5 Managementul riscului - Exist un proces fo rmalizat de management al riscului? - Au fost riscurile identificate i evaluate? - S-au adoptat msuri adecvate de gestionare a riscurilor majore? - Este Registrul riscurilor inut la zi? Obiectivul III. IMPLEMENTAREA SISTEMULUI IT 3.1 Gradul de realizare al subsistemelor IT stabilite prin plan - Exist un sistem procedurat de realizare a subsistemelor IT? - Subsistemele IT au fost realizate la termenele stabilite? 3.2 Asigurarea integrrii subsistemelor IT - Specificaiile privind cerinele sistemului IT in cont de subsistemele existente i de necesitatea de a le integra? - Exist un administrator de sistem care s asigure dezvoltarea, ntreinerea i integrarea sistemelor? - Se efectueaz testarea implementrii tuturor subsistemelor IT noi? 3.3 Existena controalelor generale de sistem la nivelul subsistemelor IT - Exist un control adecvat din punct de vedere temporal al nregistrrilor? - Sunt tranzaciile autorizate n mod explicit prin mijloace manuale sau electronice? - Sunt funciunile de introducere de date i de autorizare restricionate i separate? - Introducerea parametrilor i a altor date permanente ce urmeaz a fi procesate este controlat n mod strict? - n etapa de introducere, este validat caracterul complet i corect al datelor?
DA
NU
OBS.
X X X X X X X X
X X X X X X X X X X X X X X X X X X X X X
ACTIVITATEA DE AUDIT Exist proceduri clare pentru elemente de date respinse la introducere? Exist orare clare pentru introducerea datelor i sunt acestea respectate? Avei un sistem pentru detectarea posibilelor nregistrri duble? Exist o planificare a procesrii i este aceasta neleas de utilizatori i personalul operativ? Sunt toate datele, inclusiv cele transferate din alte sisteme, supuse validrii n timpul prelucrrii? Programele furnizeaz confirmri cu privire la finalizarea cu succes a procesrii sau exist proceduri de recuperare i de reintroducere n cazul opririlor anormale?
DA
NU X X
OBS.
X X X Programele nu furnizeaz n toate cazurile confirmri cu privire la finalizarea cu succes a procesrii
Se confirm prelucrarea integral a procesrilor? Exist proceduri pentru gestionarea nregistrrilor respinse de programele de aplicaii? - Exist personal responsabil de gestionarea rezultatelor, de verificarea i de asigurarea caracterului complet i acceptabil al acestora? - Cnd nregistrrile sunt trecute dintr-un subsistem IT n altul, sunt cele introduse n al doilea armonizate cu cele produse de primul? - Atunci cnd nregistrrile sunt respinse la transferarea ntre sisteme, pot ele fi identificate i cercetate? - Sunt utilizatorii responsabili de introducerea, modificarea sau tergerea nregistrrilor n cadrul sistemului? - n cazul existenei unor rapoarte privind pista de audit sunt acestea complete iar rapoartele indic dac i cnd sunt oprite mecanismele de urmrire? - Sunt fiierele salvate n back up la intervale regulate n timpul prelucrrii pentru a permite recuperarea operaiunilor? - Sunt efectuate verificri periodice ale integritii bazelor de date i se rein copii de siguran ale bazelor de date de la o verificare la alta? - Instruciunile operatorilor i utilizatorilor specific n mod clar procedurile de urmat n cazul unei deficiene a aplicaiei n timpul prelucrrii? 3.4 Funcionalitatea subsistemelor IT n reea - Sunt pstrate statistici cu privire la funcionare i performan? - Sunt statisticile analizate n mod regulat pentru a identifica problemele de funcionare? - Exist procese prin care s se asigure remedierea deficienelor de funcionare? 3.5 Situaia licenelor pentru aplicaii - Exist licene pentru toate copiile programelor nelaborate n cadrul entitii publice? - Exist un proces pentru evaluarea regulat a necesarului de licene? 3.6 Instruirea utilizatorilor este asigurat? - Exist manuale de utilizare? - Instruirea utilizatorilor se realizeaz conform unor programe bine stabilite? - Este utilizat o gam larg de metode de instruire, inclusiv practic? Obiectivul IV. SECURITATEA IT 4.1 Exist o politic de securitate IT? Exist documente de politic privind securitatea informaiei?
X X X X X X X X X X X X X Nu exist rapoarte privind pista de audit
X X X X X
ACTIVITATEA DE AUDIT Este politica de securitate IT aprobat de conducerea superioar? Exist persoane responsabile cu monitorizarea respectrii politicii? Politica definete securitatea informaiei i principiile de securitate care trebuie urmate de ctre personal? Securitatea informaiei impune: - Realizarea unei analize de risc n mod regulat - Desemnarea unui responsabil cu instalarea computerelor i/sau sistemelor - Ca personalul s fie contient cu privire la sigurana informaiei - Respectarea licenelor pentru programe, i a obligaiilor legale, reglementare i contractuale - Raportarea nclcrii politicii de securitate i a deficienelor securitii - Protejarea informaiei n termenii cerinelor acestora de confidenialitate, integritate i disponibilitate? Politica de securitate interzice: - utilizarea informaiilor i sistemelor organizaiei fr autorizaie i pentru scopuri care nu au legtur cu munca - afirmaiile cu conotaii obscene, discriminatorii sau abuzive, care pot fi ilegale (ex prin utilizarea e-mail sau Internet) - descrcarea unor materiale ilegale (ex cu coninut obscen sau discriminatoriu) - scoaterea informaiei sau echipamentelor din sediu fr autorizare - utilizarea neautorizat a informaiei, infrastucturii sau echipamentelor - copierea neautorizat a informaiei/programelor - compromiterea parolelor (ex prin notarea lor pe documente lsate pe birou sau divulgarea lor ctre alte persoane) - utilizarea informaiilor prin care pot fi identificate persoane n scopuri de afaceri i fr autorizare expres - discutarea informaiilor legate de afaceri n locuri publice - falsificarea probelor n cazul unui incident Politica de securitate a informaiei specific faptul c utilizatorii sunt obligai: - s nchid mijloacele sau documentaia important cnd nu sunt utilizate (adic se respect politica mesei de lucru curate) - s ias din sistem atunci cnd un terminal urmeaz s fie lsat nesupravegheat (ex n timpul unor ntlniri, a pauzei de mas, sau pe timpul nopii)? Politica de securitate a informaiei este: - comunicat ntregului personal i prilor externe cu acces la informaiile i sistemele ntreprinderii - revizuit periodic conform unui proces de revizuire definit - complectat prin asimilarea modificrilor aprute? Politica de securitate a informaiei specific faptul c aciuni disciplinare pot fi luate mpotriva persoanelor care ncalc prevederile sale? 4.2 Este stabilit rspunderea pentru monitorizarea implementrii politicii? Exist o persoan din conducerea superioar cu responsabilitate general pentru securitatea informaiei? Exist un grup de lucru de nivel nalt, comitet sau organism echivalent nsrcinat cu coordonarea activitii de securitate a informaiei n ntreaga organizaie? Grupul se ntlnete n mod regulat (ex de trei ori sau de mai multe ori pe an) i elaboreaz rapoarte cuprinznd aciunile stabilite n cadrul ntlnirii?
DA X X X
NU
OBS.
ACTIVITATEA DE AUDIT
Din grupul de lucru la nivel nalt fac parte: - persoane din conducere superioar (adic un director al consiliului sau al unui organism echivalent) - unul sau mai muli responsabili de activiti (adic persoane nsrcinate cu diferite arii funcionale) - eful securitii informaiei sau echivalent - reprezentani ai altor funcii interesate (ex. audit intern, asigurri, personal, securitate fizic) - seful IT, sau echivalent? Grupul de lucru de nivel nalt este responsabil pentru: - luarea n considerare a intereselor privind securitatea informaiei pentru toate prile organizaiei - asigurarea tratrii intereselor privind securitatea informaiei ntr-o manier coerent i consecvent - aprobarea politicilor i standardelor / procedurilor de securitate a informaiei - monitorizarea performanelor securitii informaiei i a expunerii organizaiei la ameninri la adresa securitii informaiei - aprobarea i stabilirea prioritilor activitii de mbuntire a securitii informaiei - asigurarea cuprinderii securitii informaiei n procesul de planificare a informaiei la nivel de organizaie - coordonarea implementrii instrumentelor de control aferente securitii informaiei n noile sisteme i servicii - accentuarea importanei securitii informaiei n cadrul organizaiei? 4.3 Exist instrumente de contro fizice aplicate mediului IT? Este proiectarea instalaiei susinut de standarde/proceduri documentate, care necesit: - ca modul de concepere s in cont de cerinele activitii utilizatorilor i s fie consecvent cu alte sisteme utilizate de organizaie - ca sistemul s fie conceput n aa fel nct s suporte situaii previzibile n utilizarea sistemului IT de ctre organizaie? Sunt mediile de lucru curente separate de activitatea de testare a dezvoltrii i recepiei prin depozitarea utilitilor sistemului departe de mediul curent atunci cnd nu sunt n uz, i prin utilizarea unor camere pentru calculatoare, procesoare, domenii i partiii separate? Este accesul fizic restricionat la sistemele de calculatoare restricionat personalului autorizat prin: - Instalarea de ncuietori acionate cu carduri sau echivalent - ncuierea uilor/ferestrelor atunci cnd mediul este eliberat - Instalarea de alarme mpotriva efraciei - Asigurarea purtrii de ctre toate persoanele a unor mijloace vizibile de identificare - Angajarea de personal de paz ? n cadrul sistemului, este: - restricionat accesul fizic la telefoane /fax i echipamentele utilizate pentru tiprire - mijloacele i documentaia de importan critic sunt n siguran atunci cnd nu sunt n uz (ex. ca parte a politicii mesei de lucru curat) - sistemele de detectare a accesului neautorizat instalat pe uile exterioare i pe ferestrele accesibile sunt verificate periodic - calculatoarele portabile i componentele lor (ex. PC-uri, chip-uri de
DA
NU
OBS.
ACTIVITATEA DE AUDIT memorie) sunt protejate mpotriva furtului (ex. prin marcarea permanent a echipamentelor vulnerabile sau fixarea calculatoarelor pe mese sau pe standurile de echipamente). - vizitatorii sistemului: - au acces numai pentru scopuri clare i autorizate - sunt monitorizai prin nregistrarea orei sosirii i a plecrii - sunt supravegheai permanent - sunt instruii cu privire la cerinele de siguran ale zonei, detaliindu-se procedurile de urgen i li se atrage atenia c orice timp de nregistrare (ex. filmare sau fotografiere) este interzis. - Sunt echipamentele i facilitile critice protejate prin situarea lor n afara zonelor de acces public i prin pstrarea confidenialitii detaliilor cu privire la acestea? - Este accesul fizic n camerele care adpostesc echipamente i faciliti critice protejate prin: - definirea i ntrirea perimetrului de securitate fizic - pstrarea camerelor sub supraveghere continu - poziionarea echipamentelor (ex. PC-uri) astfel nct informaiile critice s nu poat fi observate - Autorizaiile pentru acces fizic la instalaii sunt: - emise n conformitate cu standardele /procedurile documentate - revizuite periodic pentru a se asigura accesul la acestea numai a persoanelor potrivite - revocate imediat ce nu mai sunt necesare? 4.4 Comunicaiile de date n format electronic sunt sigure? - Exist o strategie pentru utilizarea continuu eficient, eficace i sigur a facilitilor reelei? - Este responsabilitatea pentru administrarea reelei definit clar? - Sunt utilizatorii reelei instruii cu privire la utilizarea reelei i securitatea acesteia? - Administratorii de reea primesc instruire adecvat i potrivit cu privire la sigurana i controlul reelei? - Sunt informaiile privind standardele tehnice i configurarea facilitilor reelei documentate n mod clar? - Este activitatea n reea monitorizat pentru a se asigura c securitatea transferului de date nu a fost afectat? - Sunt prevederile de service pentru reea complet documentate, susinute, monitorizate i acceptate de toate prile? - Exist proceduri pentru aprobarea i instalarea conexiunilor la reea? - Pot doar utilizatorii autorizai s efectueze conexiuni la reea i exist proceduri pentru verificarea conexiunilor neautorizate? - Este utilizarea reelei monitorizat pentru a verifica conexiunile neautorizate la reea i echipamentele care funcioneaz (sau sunt utilizate) n mod incorect? - Este codificarea utilizat pentru a preveni accesul neautorizat la datele transmise prin reea? - Sunt reelele proiectate i construite pentru a mri la maximum eficiena traficului de date? - Exist aranjamente pentru ntreinerea i asigurarea componentelor fizice, infrastructurii de comunicaii, programelor de administrare a reelei i a pierderii cu consecine importante? - Sunt programele de administrare a reelei i fiierele de date de pe fiecare server de date i echipament al reelei salvate pentru siguran n mod regulat i copii ale acestora pstrate n locuri sigure?
DA
NU
OBS.
X X X X X X X X X X X X X X
ACTIVITATEA DE AUDIT Exist metode de recuperare i de continuare a activitii n eventualitatea defectrii a liniilor i nodurilor de reea? Este accesul fizic la domeniile critice ale reelei (ex. centrele de operare a reelei, camerele echipamentelor, camerele de echipamente, firewalls) restricionat numai la personalul autorizat. Terii, cum ar fi furnizorii sau inginerii de service ar trebui supravegheai atunci cnd au acces la echipamentele de comunicaii. Sunt zonele critice, cum ar fi centrele de operare a reelei i camerele care adpostesc echipamente importante ale reelei (inclusiv cele aflate la distan), protejate mpotriva: - Riscurilor naturale, cum ar fi incendiul i inundaiile - Penelor de curent (ex. prin utilizarea unor surse de curent permanente i a acumulatorilor) - Accesului neautorizat (ex. prin instalarea de ncuietori la ui i a jaluzelelor la ferestre). Sunt cablurile de comunicaii protejate prin intermediul: ascunderii sistemului, tevilor, puncte de inspecie/nchidere ncuiate, alimentare i rutare alternative, evitarea rutelor prin spaii accesibile publicului? Exist proceduri implementate pentru monitorizarea i cercetarea ncercrilor de acces neautorizat? Performana sistemelor este monitorizat comparativ cu obiectivele agreate prin revizuirea utilizrii curente n orele normale i de vrf utiliznd programe de monitorizare automat prin revizuirea jurnalelor de activitate ale sistemului, n mod regulat prin investigarea obstacolelor/ suprancrcrii. Exist activiti de planificare a capacitii efectuate pentru a permite asigurarea unei capaciti suplimentare nainte de apariia obstacolelor / suprancrcrii Este disponibilitatea sistemului (adic timp de rspuns i de funcionare) msurat din punctul de vedere al utilizatorilor activitii, spre exemplu prin monitorizarea performanei staiilor de lucru. Este monitorizarea efectuat periodic, inclusiv: scanarea sistemelor gazd pentru punctele vulnerabile cunoscute, cum ar fi prin utilizarea instrumentelor automate (de exemplu programe: Nessus, Pingware) dac utilitile /comenzile puternice au fost dezactivate pe sistemele gazd corelate (ex. prin utilizarea unui sniffer) - verificarea existenei unor configurri de reele wireless neautorizate. Sunt utilizate mecanismele de detectare a accesului neautorizat, inclusiv: -detectarea caracteristicilor atacurilor cunoscute (ex. refuzul serviciului sau suprancrcarea sistemelor buffer ) un proces pentru efectuarea regulat a actualizrii programelor de detectarea a intruziunilor, pentru incorporarea noilor caracteristici sau a caracteristicilor actualizate. furnizarea de alerte atunci cnd este detectat o activitate suspect, susinut de procese documentate pentru rspuns la intruziunile suspectate - protejarea mecanismelor de detectare a intruziunilor mpotriva atacurilor, cum ar fi izolarea pe un sistem separat. Sunt rapoartele de utilizare de la furnizorii de servicii (ex. facturi) verificate pentru a descoperi orice utilizare neobinuit a sistemelor. Sunt rezultatele activitilor de monitorizare revizuite de conducerea
DA X
NU
OBS.
X X
X X
X X
ACTIVITATEA DE AUDIT IT i prezentate conducerii utilizatorului cruia i sunt furnizate serviciile. - Exist jurnale de nregistrare a activitilor pentru identificarea modificrilor neautorizate? - Sunt nregistrate toate evenimentele cheie n cadrul reelei? - Conducerea IT autorizeaz nregistrarea activitilor i revizuirea procesului care urmeaz a fi aplicat (ex. frecvena revizuirilor i rspunderea pentru efectuarea acestora). - Sunt nregistrrile active tot timpul i protejate de suprascriere intenionat sau accidental? Mecanismele trebuie s fie stabilite astfel nct atunci cnd nregistrrile privind evenimentele devin sisteme depline acestea nu sunt oprite din lips de spaiu pe disc i nregistrarea va continua cu minim oprire sau chiar fr. - nregistrrile evenimentelor conin detalii ale: timpilor de pornire /oprire pentru sisteme i procese cheie, nregistrarea cu succes a utilizatorilor autorizai n sistem i ncercrile euate de nregistrare, situaii de eroare i de excepie, acces sau schimbri ale fiierelor i programelor, acces la capacitile privilegiate. - Exist informaii suficiente nregistrate pentru a identifica: Nume de utilizator individuale, programe speciale i informaii accesate data/ora accesrii, cile de acces (inclusiv calculatoare/porturi de la care a fost obinut accesul), modele de acces pentru a permite urmrirea tranzaciilor sau activitatea unui anumit utilizator schimbarea parametrilor de nregistrare n sistem - Sunt nregistrrile pstrate destul timp pentru a respecta cerinele legale/ale organismelor de reglementare i pentru a fi revizuite periodic. Revizuirea nregistrrilor va fi: susinut de proceduri /standarde documentate, fundamentat pe o evaluare avizat a impactului unor evenimente individuale asupra activitii efectuat cu instrumente automate. 4.5 Exist un program antivirus? - Exist standarde /proceduri documentate pentru protecie mpotriva viruilor care s specifice: - modul de configurare a programului antivirus - mecanismele de actualizare a programului antivirus - proces pentru gestionarea atacurilor cu virus - Este programul de protecie mpotriva viruilor configurat pentru a: scana memoria calculatoarelor, fiierele executabile (inclusiv fiierele macro de pe programul desktop), fiierele protejate (ex. fiierele comprimate i cele protejate de parole) i mediile de nmagazinare amovibile scana traficul de date (intrare/ieire) inclusiv e-mail i descrcarea de fiiere de pe Internet) fi activ permanent emite o alert atunci cnd este suspectat un virus dezinfecta, terge sau pune n carantin viruii identificai asigura c nu pot fi dezactivate caracteristicile de protecie mpotriva viruilor i nu poate fi redus funcionalitatea principal. - Se efectueaz verificri regulate pentru a asigura c: Programul de protecie mpotriva viruilor nu a fost dezafectat Configurarea programului de protecie mpotriva viruilor este corect
DA
NU
OBS.
X X
-
DA
NU
OBS.
Au fost aplicate efectiv toate actualizrile.
Sunt utilizatorii: - avertizai cu privire la pericolul reprezentat de virui - atenionai rapid cu privire la noi riscuri de virusare (ex. prin e-mail) - ndrumai s raporteze atacuri suspectate sau reale ale unor virui ctre un singur punct de contact i asisten - permanent susinui de experi tehnici i specialiti 4.6 Planul de recuperare a datelor n caz de dezastru - A fost efectuat o cercetare i o evaluare cu privire la impactul riscurilor asupra activitii? - A fost pregtit i aprobat de conducere un plan de recuperare n caz de dezastru ? - Au fost pregtite planuri pentru situaii neprevzute, cum ar fi defeciuni de importan redus? - Au fost planurile documentate i transmise personalului cheie ? - A fost responsabilitatea privind recuperarea n caz de dezastru delegat unei echipe i rolurile membrilor acesteia nregistrate? - Este planul de recuperare n caz de dezastru verificat periodic, reevaluat i actualizat n lumina noilor schimbrilor intervenite n evaluarea riscurilor? - Au fost stabilite faciliti de recuperare n caz de dezastru i sunt acestea verificate periodic pentru a se asigura eficiena, caracterul operaional i curent al acestora? - Sunt procedurile de recuperare luate n considerare n specificaiile tehnice ale unei noi aplicaii pentru calculator i pentru a proteja sistemele n dezvoltare? - Sunt msurile de salvare a informaiilor eseniale i a programelor luate destul de frecvent pentru a ndeplini cerinele activitii? - Msurile de realizare a copiilor de siguran permit programelor i informaiilor s fie restaurate in perioada de timp critic pentru aplicaie (adic n punctul dup care vor fi suferite pierderi inacceptabile). - Sunt copiile de siguran protejate mpotriva pierderii, deteriorrii i accesului neautorizat prin: stocarea lor n seifuri ignifuge, aflate n locaie, pentru a permite restaurarea rapid a informaiilor ; susinerea lor prin copii pstrate n alte locaii pentru a permite restaurarea sistemului prin utilizarea unor faciliti alternative n caz de dezastru; restricionarea accesului numai la personalul autorizat? 4.7 Este arhivarea efectuat ntr-un mod sigur? - Exist politici /standarde pentru arhivarea datelor din sistemul de procesare n timp real? - Sunt datele arhivate pstrate ntr-un loc de stocare sigur? - Sunt mediile de arhivare revizuite periodic pentru a stabili dac acestea pot fi nc citite. - Exist evidene cu privire la datele care sunt pstrate n arhive?
X X X X X X X
X X X
X X X X
Procedura - P05: Analiza riscurilor
ENTITATEA PUBLIC Serviciul Audit Intern
STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORA I APRECIEREA NIVELURILOR RISCURILOR
Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2005- 31.12.2005 ntocmit: Popescu Sorin/Radu George Avizat: Ionescu Mircea
Data: 20.01.2006 Data: 20.01.2006
Factori de risc (Fi) Aprecierea controlului intern F1 Aprecierea cantitativ F2 Aprecierea calitativ F3
Ponderea factorilor de risc (Pi)

P1 50%
Nivelul de apreciere al riscului (Ni) N1

Exist proceduri i se aplic
N2
Exist proceduri, sunt cunoscute, dar nu se aplic Impact financiar mediu
N3
Nu exist proceduri
P2 30%
Impact financiar sczut Vulnerabilitate mic
Impact financiar ridicat
P3 20%
Vulnerabilitate medie
Vulnerabilitate mare
Not: Prin acest document se stabilesc, n funcie de importana i greutatea factorilor de risc, ponderile i nivelurile de apreciere ale riscurilor. Cei trei factori de risc sunt stabilii prin normele generale i sunt acoperitori pentru entitate, ns dac se dorete evidenierea i altor factori de risc, cu nivelurile de apreciere corespunztoare, trebuie s se aib n vedere ca suma ponderilor factorilor de risc s rmn 100.
Procedura - P05 : Analiza riscurilor ENTITATEA PUBLIC Compartimentul Audit Intern STABILIREA NIVELULUI RISCULUI I A PUNCTAJULUI TOTAL AL RISCULUI Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2005 01.01.2006 ntocmit: Popescu Sorin / Radu George Avizat: Dumitru Daniel Nr. crt. DOMENIUL OBIECTE AUDITABILE RISCURI SEMNIFICATIVE
Data: 20.01.2006 Data: 20.01.2006 Criterii de analiza a riscurilor Aprecierea controlului intern (F1) P1 N1 50% Aprecierea cantitativ (F2) P2 N2 30%
0,3 3
Punctaj total
Aprecierea calitativ (F3) P3 N3 20%

0,2 2 2,3
I.
Plan strategic
1. Politicile entitii publice n domeniul IT 2. Modalitatea de elaborare a planului strategic i a planurilor anuale 3. Subsistemele informatice pentru funciile principale
4. Integrarea subsistemelor informatice 5. Stabilirea responsabililor cu elaborarea si actualizarea planului 6. Aprobarea planului
Inexistena unei atitudini favorabile n privina informatizrii activitii entitii publice Fundamentarea insuficient a planului Necorelarea planurilor anuale Lipsa prioritizrii activitilor Neacoperirea domeniilor de activitate ale entitii publice cu subsisteme informatice Necorelarea termenelor previzionate de realizare a subsistemelor Nedefinirea responsabilitilor Insuficienta previzionare a resurselor Incompatibilitatea subsistemelor informatice Nedesemnarea responsabilului cu elaborarea planului Nestabilirea persoanei responsabile cu actualizarea planului Planul nu este aprobat
0,5
0,5 0,5 0.5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5
2 2 2 3 2 2 2 1 2 2 3
0,3 0,3 0.3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3
2 2 2 3 2 3 2 2 3 2 2
0,2 0,2 0.2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2
3 2 2 2 3 1 2 2 3 2 3
2,2 2,0 2,0 2,8 2,2 2,1 2,0 1,5 2,5 2,0 2,7
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE
RISCURI SEMNIFICATIVE
Criterii de analiza a riscurilor Aprecierea controlului intern (F1) P1 N1 50% Aprecierea cantitativ (F2) P2 N2 30%
0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 3 3 2 3 2 3 1 2 2 2 3
Punctaj total

0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 2 2 2 2 3 1 2 3 2 2 2 2,8 1,8 2,0 2,8 2,2 2,1 2,3 2.2 2,0 2,0 1,8
II.
Organizarea i 7. Organizarea departamentului funcionarea IT departamentului IT
8. Stabilirea responsabilitilor prin fiele posturilor
9. Calificarea i pregtirea salariailor 10. Pregtirea profesional continu
Planul nu este aprobat de persoanele competente Coordonarea neadecvat a planurilor Departamentului IT nu este subordonat unui nivel managerial corespunztor Inexistena i/sau neaprobarea organigramei Neformalizarea procedurilor specifice activitilor desfurate Existena unui numr mare de posturi de conducere deinute cu delegaie Numr mare de posturi de execuie neocupate Personal de execuie neadecvat Dotare cu hard i soft inadecvat pentru desfurarea activitilor specifice Inexistena unui sistem de control managerial la nivelul departamentului Neefectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului Neactualizarea fielor posturilor Nerespectarea principiului segregrii sarcinilor de serviciu Necuprinderea atribuiilor stabilite prin ROF n fiele posturilor Calificarea necorespunztoare/insuficient a personalului Inexistena planurilor de pregtire profesional continu
0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5
3 1 2 3 2 2 3 2 2 2 1
0,5 0,5 0,5 0,5 0,5
1 1 1 1 2
0,3 0,3 0,3 0,3 0,3
1 3 2 2 2
0,2 0,2 0,2 0,2 0,2
2 2 1 1 1
1,2 1,5 1,3 1,3 1,8
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE
0,3 0,3 0,3 0,3 0,3 0,3 0,3 0,3 2 2 2 1 2 2 3 2
Punctaj total

0,2 0,2 0,2 0,2 0,2 0,2 0,2 0,2 2 1 2 2 1 2 2 2 2,0 2,3 1,5 1,2 1,3 2,0 2,3 2,0
11. Sistemul de evaluare a personalului
12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor
III.
13. Gradul de realizare a subsistemelor informatice stabilite prin plan
Neaprobarea planurilor de pregtire profesional continu Nerealizarea activitilor previzionate prin planurile de pregtire profesional continu Inexistena unui sistem de evaluare anual a salariailor Nerealizarea evalurii pe parcursul anului a salariailor departamentului Evaluarea formal a personalului Inexistena unei politici unitare privind gestionarea riscurilor Inexistena unui responsabil privind gestionarea riscurilor Nedesemnarea unei persoane responsabil cu elaborarea i monitorizarea Registrului riscurilor Neactualizarea sistematic a Registrului riscurilor Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic Nealocarea corespunztoare a resurselor necesare realizrii subsistemelor informatice Evoluii tehnologice cu implicaii asupra ndeplinirii planului Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice Implicaiile evoluiilor tehnologice n domeniul IT
0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5
2 3 1 1 1 2 2 2
0,5 0,5 0,5
3 2 3
0,3 0,3 0,3
2 2 3
0,2 0,2 0,2
1 2 1
2,3 2,0 2,6
0,5 0,5
2 3
0,3 0,3
2 1
0,2 0,2
1 1
1,8 2,0
0,5
0,3
0,2
2,0
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE
0,3 1
Punctaj total

0.2 3 1,9
14. Existena controalelor generale la nivelul subsistemelor IT 15. Funcionalitatea subsistemelor n reea 16. Situaia licenelor pentru programele de calculator 17. Asigurarea integrrii subsistemelor componente
18. Elaborarea manualelor de utilizare i a manualelor de operare
Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice Inexistena unei politici de transmitere a datelor n reea Implicaiile evoluiilor tehnologice n domeniul IT Limitri bugetare n privina achiziionrii licenelor Disfuncionaliti n procesul de achiziionare al licenelor Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice Evoluii tehnologice cu implicaii asupra integrrii subsistemelor Neconcordane n integrarea subsistemelor Inexistena/Insuficiena manualelor de utilizare i a manualelor de operare Lipsa unor componente i existena unor elemente neclarificate n coninutul manualelor Inexistena unui program de instruire al utilizatorilor Neefectuarea instruirii sistematice a utilizatorilor subsistemelor IT Inexistena politicii de securitate
0,5
0,5 0,5 0,5 0,5 0,5
1 1 3 3 1
0,3 0,3 0,3 0,3 0,3
2 2 3 2 2
0,2 0,2 0,2 0,2 0,2
1 2 1 1 1
1,3 1,5 2,6 2,3 1,3
0,5 0,5 0,5
1 1 2
0,3 0,3 0,3
3 2 1
0,2 0,2 0,2
1 3 1
1,6 1,7 1,5
0,5
0,3
0,2
1,5
19. Instruirea utilizatorilor subsistemelor IT
0,5 0,5
2 2
0,3 0,3
3 2
0,2 0,2
3 1
2,5 1,8
IV. Securitatea IT
20. Politica de securitate IT
0,5
0,3
0,2
2,3
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE
0,3 0,3 2 3
Punctaj total

0,2 0,2 3 2 2,2 2,5
21. Monitorizarea implementrii politicii de securitate IT
22. Evaluarea controalelor fizice n domeniul IT
Neaplicarea politicii de securitatea n mod consecvent Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic Lipsa procedurilor privind implementarea controalelor fizice n domeniul IT Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice Lipsa unor proceduri pentru realizarea controalelor fizice Neefectuarea controalelor fizice conform procedurilor Lipsa procedurilor privind sigurana accesului utilizatorilor n reea Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea Neefectuarea monitorizrii sistematice Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor Lipsa procedurilor privind implementarea programelor antivirus
0,5 0,5
2 3
0,5 0,5
2 2
0,3 0,3
2 1
0,2 0,2
2 3
2,0 1,9
0,5 0,5 0,5 0,5 0,5 0,5
2 3 2 3 2 2
0,3 0,3 0,3 0,3 0,3 0,3
2 2 3 3 2 2
0,2 0,2 0,2 0,2 0,2 0,2
2 2 3 1 1 2
2,0 2,5 2,5 2,6 1,8 2,0
0,5 0,5
3 2
0,3 0,3
1 3
0,2 0,2
3 2
2,4 2,3
0,5
0,3
0,2
2,7
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE
0,3 2
Punctaj total

0,2 2 2,0
Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus Neefectuarea monitorizrii sistematice Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor Lipsa procedurilor privind recuperarea datelor n caz de dezastru Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru Neefectuarea monitorizrii sistematice Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor Lipsa procedurilor privind arhivarea datelor Nedesemnarea responsabilitii pentru arhivarea datelor Neefectuarea evalurii periodice a activitii de arhivare
0,5
0,5 0,5
2 2
0,3 0,3
2 3
0,2 0,2
1 3
1,8 2,5
0,5 0,5
2 2
0,3 0,3
2 3
0,2 0,2
2 1
2,0 2,1
0,5 0,5
3 3
0,3 0,3
1 2
0,2 0,2
2 1
2,2 2,3
0,5 0,5 0,5
1 1 1
0,3 0,3 0,3
2 2 1
0,2 0,2 0,2
2 3 3
1,5 1,7 1,4
NOTA:
Elaborarea documentului Stabilirea nivelului riscului i a punctajului total al riscului comport dou etape: n prima faz se realizeaz evaluarea nivelelor riscurilor asociate operaiilor auditabile, iar n a doua faz se determin punctajul total pe baza formulei din Normele metodologice privind auditul intern, respectiv:
n
T= Pi x Ni
i=1
Unde: T = punctaj total; Pi = ponderea riscului pentru fiecare criteriu; Ni = nivelul riscurilor pentru fiecare criteriu utilizat; Evaluarea riscurilor asociate operaiilor auditabile pe baza informaiilor n posesia crora a intrat auditorul intern, pn n acest moment, din documentele primite de la entitate i din rapoarte anterioare, dar i din expertiza personal n domeniu i este o evaluare cu un oarecare grad de subiectivitate. Din aceste motive se recomand ca auditorii interni s aib n vedere posibilitatea mbuntirii acestei lucrri pe durata misiunii de audit i n special n etapa Interveniei la faa locului, funcie de informaiile, documentele i probele de audit pe care le realizeaz.Procedura Analiza riscurilor se consider a fi un document viu care poate fi actualizat permanent pe parcursul desfurrii misiunii de audit intern.
Procedura - P05 : Analiza riscurilor
ENTITATEA PUBLIC Compartimentul Audit Intern CLASAREA OPERAIILOR N FUNCIE DE ANALIZA RISCULUI Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2005 31.12.2005 ntocmit: Popescu Sorin / Radu George Avizat: Dumitru Daniel Nr. crt. I. DOMENIUL Plan strategic OBIECTE AUDITABILE 1. Politicile entitii publice n domeniul IT 2. Modalitatea de elaborare a planului strategic i a planurilor anuale 3. Subsistemele informatice pentru funciile principale RISCURI SEMNIFICATIVE 1. Inexistena unei atitudini favorabile n privina informatizrii activitii entitii publice 2. Fundamentarea insuficient a planului 3. Necorelarea planurilor anuale 4. Lipsa prioritizrii activitilor 5. Neacoperirea domeniilor de activitate ale entitii publice cu subsisteme informatice 6. Necorelarea termenelor previzionate de realizare a subsistemelor 7. Nedefinirea responsabilitilor 8. Insuficienta previzionare a resurselor 9. Incompatibilitatea subsistemelor informatice 10. Nedesemnarea responsabilului cu elaborarea planului 11. Nestabilirea persoanei responsabile cu actualizarea planului 12. Planul nu este aprobat 13. Planul nu este aprobat de persoanele competente 14. Coordonarea neadecvat a planurilor 15. Departamentului IT nu este subordonat unui nivel managerial corespunztor 16. Inexistena i/sau neaprobarea organigramei
Data: 20.01.2006 Data: 20.01.2006

PUNCTAJ TOTAL CLASARE OBS.
2,3 2,2 2,0 2,0 2,8 2,2 2,1 2,0 1,5 2,5 2,0 2,7 2,8 1,8 2,0 2,8
Mare Mediu Mediu Mediu Mare Mediu Mediu Mediu Mic Mare Mediu Mare Mare Mediu Mediu Mare
4. Integrarea subsistemelor informatice 5. Stabilirea responsabililor cu elaborarea si actualizarea planului 6. Aprobarea planului II. Gestionarea i organizarea depart. IT 7. Organizarea departamentului IT
Nu
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE
RISCURI SEMNIFICATIVE 17. Neformalizarea procedurilor specifice activitilor desfurate 18. Existena unui numr mare de posturi de conducere deinute cu delegaie 19. Numr mare de posturi de execuie neocupate 20. Personal de execuie neadecvat 21. Dotare cu hard i soft inadecvat pentru desfurarea activitilor specifice 22. Inexistena unui sistem de control managerial la nivelul departamentului 23. Neefectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului 24. Neactualizarea fielor posturilor 25. Nerespectarea principiului segregrii sarcinilor de serviciu 26. Necuprinderea atribuiilor stabilite prin ROF n fiele posturilor 27. Calificarea necorespunztoare/insuficient a personalului 28. Inexistena planurilor de pregtire profesional continu 29. Neaprobarea planurilor de pregtire profesional continu 30. Nerealizarea activitilor previzionate prin planurile de pregtire profesional continu 31. Inexistena unui sistem de evaluare anual a salariailor 32. Nerealizarea evalurii pe parcursul anului a salariailor departamentului 33. Evaluarea formal a personalului 34. Inexistena unei politici unitare privind gestionarea riscurilor 35. Inexistena unui responsabil privind gestionarea riscurilor 36. Nedesemnarea unei persoane responsabil cu elaborarea i monitorizarea Registrului riscurilor 37. Neactualizarea sistematic a Registrului riscurilor 38. Lips de coordonare a aplicaiilor ce ruleaz n sistemul informatic
PUNCTAJ TOTAL
CLASARE
OBS.
2,2 2,1 2,3 2.2 2,0 2,0 1,8 1,2 1,5 1,3 1,3 1,8 2,0 2,3 1,5 1,2 1,3 2,0 2,3 2,0 2,3 2,0
Mediu Mediu Mare Mediu Mediu Mediu Mediu Mic Mic Mic Mic Mediu Mediu Mare Mic Mic Mic Mediu Mare Mediu Mare Mediu Nu Nu Nu Nu Nu Nu Nu
8. Stabilirea responsabilitilor prin fiele posturilor 9. Calificarea i pregtirea salariailor 10. Pregtirea profesional continu 11. Sistemul de evaluare a personalului 12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor
III.
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE 13. Gradul de realizare a subsistemelor informatice stabilite prin plan
RISCURI SEMNIFICATIVE 39. Nealocarea corespunztoare a resurselor necesare realizrii subsistemelor informatice 40. Evoluii tehnologice cu implicaii asupra ndeplinirii planului 41. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice 42. Implicaiile evoluiilor tehnologice n domeniul IT 43. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice 44. Inexistena unei politici de transmitere a datelor n reea 45. Implicaiile evoluiilor tehnologice n domeniul IT 46. Limitri bugetare n privina achiziionrii licenelor 47. Disfuncionaliti n procesul de achiziionare al licenelor 48. Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice 49. Evoluii tehnologice cu implicaii asupra integrrii subsistemelor 50. Neconcordane n integrarea subsistemelor 51. Inexistena/Insuficiena manualelor de utilizare i a manualelor de operare 52. Lipsa unor componente i existena unor elemente neclarificate n coninutul manualelor 53. Inexistena unui program de instruire al utilizatorilor 54. Neefectuarea instruirii sistematice a utilizatorilor subsistemelor IT 55. Inexistena politicii de securitate 56. Neaplicarea politicii de securitatea n mod consecvent 57. Inexistena unui responsabil desemnat cu monitorizarea implementrii politicii de securitate IT 58. Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare 59. Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic
PUNCTAJ TOTAL
CLASARE
OBS.
2,6 1,8 2,0 2,0 1,9 1,3 1,5 2,6 2,3 1,3 1,6 1,7 1,5 1,5 2,5 1,8 2,3 2,2 2,5 2,0 1,9
Mare Mediu Mediu Mediu Mediu Mic Mic Mare Mare Mic Mic Mic Mic Mic Mare Mediu Mare Mediu Mare Mediu Mediu Nu Nu Nu Nu Nu Nu Nu
14. Existena controalelor generale la nivelul subsistemelor IT 15. Funcionalitatea subsistemelor n reea 16. Situaia licenelor pentru programele de calculator 17. Asigurarea integrrii subsistemelor componente
18. Elaborarea manualelor de utilizare i a manualelor de operare 19. Instruirea utilizatorilor subsistemelor IT IV. Securitatea IT 20. Politica de securitate IT 21. Monitorizarea implementrii politicii de securitate IT
Nr. crt.
DOMENIUL
OBIECTE AUDITABILE 22. Evaluarea controalelor fizice n domeniul IT
RISCURI SEMNIFICATIVE 60. Lipsa procedurilor privind implementarea controalelor fizice n domeniul IT 61. Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice 62. Lipsa unor proceduri pentru realizarea controalelor fizice 63. Neefectuarea controalelor fizice conform procedurilor 64. Lipsa procedurilor privind sigurana accesului utilizatorilor n reea 65. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea 66. Neefectuarea monitorizrii sistematice 67. Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor 68. Lipsa procedurilor privind implementarea programelor antivirus 69. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus 70. Neefectuarea monitorizrii sistematice 71. Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor 72. Lipsa procedurilor privind recuperarea datelor n caz de dezastru 73. Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru 74. Neefectuarea monitorizrii sistematice 75. Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor 76. Lipsa procedurilor privind arhivarea datelor 77. Nedesemnarea responsabilitii pentru arhivarea datelor 78. Neefectuarea evalurii periodice a activitii de arhivare
PUNCTAJ TOTAL
CLASARE
OBS.
2,0 2,5 2,5 2,6 1,8 2,0 2,4 2,3 2,7 2,0 1,8 2,5 2,0 2,1 2,2 2,3 1,5 1,7 1,4
Mediu Mare Mare Mare Mediu Mediu Mare Mare Mare Mediu Mediu Mare Mediu Mediu Mediu Mare Mic Mic Mic Nu Nu Nu
Nota: Pentru continuarea analizei, auditorii interni au mprit cele 78 de riscuri structurate pe cele 26 de obiecte auditabile, din documentul Stabilirea nivelului riscului i a punctajului total, innd cont i de resursele alocate misiunii (numr de persoane, timpul aferent .a.), astfel: Riscuri mici 1,0 - 1,7 Riscuri medii 1,8 - 2,2 Riscuri mari 2,3 - 3,0 Pentru moment, riscurile mici vor fi ignorate, iar riscurile semnificative (mari i medii) vor intra n faza de ierarhizare, ocazie cu care se va elabora documentul Tabelul puncte tari i puncte slabe.
Procedura - P05 : Analiza riscurilor ENTITATEA PUBLIC Compartimentul Audit Intern TABELUL PUNCTE TARI I PUNCTE SLABE Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2005 31.12.2005 ntocmit: Popescu Sorin / Radu George Avizat: Dumitru Daniel
Data: 20.01.2006 Data: 20.01.2006
Nr. crt.
Domeniul
Obiecte auditabile
Riscuri semnificative
T/S
Consecinele funcionrii/ nefuncionrii controlului intern
I.
Plan strategic
1. Politicile entitii publice n domeniul IT 2. Modalitatea de elaborare a planului strategic i a planurilor anuale 3. Subsistemele informatice pentru funciile principale
Inexistena unei atitudini favorabile n privina informatizrii activitii entitii publice Fundamentarea insuficient a planului Necorelarea planurilor anuale Lipsa prioritizrii activitilor Neacoperirea domeniilor de activitate ale entitii publice cu subsisteme informatice Necorelarea termenelor previzionate de realizare a subsistemelor Nedefinirea responsabilitilor Insuficienta previzionare a resurselor Nedesemnarea responsabilului cu elaborarea planului Nestabilirea persoanei responsabile cu actualizarea planului
S S S S S S S S S
Grad de ncredere al auditorului n controlul intern Sczut Mediu Sczut Mediu Sczut Mediu Sczut Sczut Mediu
OBS.
5. Stabilirea responsabililor cu elaborarea si actualizarea planului
T S S S S T S S
Exist sistem de control intern eficient
Ridicat Sczut Mediu Sczut Mediu
NU
6. Aprobarea planului
II.
Gestionarea i organizarea depart. IT
7. Organizarea departamentului IT
Planul nu este aprobat Planul nu este aprobat de persoanele competente Coordonarea neadecvat a planurilor Departamentului IT nu este subordonat unui nivel managerial corespunztor Inexistena i/sau neaprobarea organigramei Neformalizarea procedurilor specifice activitilor desfurate Existena unui numr mare de posturi de conducere deinute cu delegaie
Ridicat Sczut Sczut
NU
Nr. crt.
Domeniul
Obiecte auditabile
T/S
Numr mare de posturi de execuie neocupate Personal de execuie neadecvat Dotare cu hard i soft inadecvat pentru desfurarea activitilor specifice Inexistena unui sistem de control managerial la nivelul departamentului Neefectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului 10. Pregtirea Inexistena planurilor de pregtire profesional profesional continu continu Neaprobarea planurilor de pregtire profesional continu Nerealizarea activitilor previzionate prin planurile de pregtire profesional continu 12. Sistemul de Inexistena unei politici unitare privind gestionarea gestionare a riscurilor riscurilor conducerea Registrului Inexistena unui responsabil privind gestionarea riscurilor riscurilor Nedesemnarea unei persoane responsabil cu elaborarea i monitorizarea Registrului riscurilor Neactualizarea sistematic a Registrului riscurilor 13. Gradul de realizare Lips de coordonare a aplicaiilor ce ruleaz n a subsistemelor sistemul informatic informatice stabilite Nealocarea corespunztoare a resurselor necesare prin plan realizrii subsistemelor informatice Evoluii tehnologice cu implicaii asupra ndeplinirii planului
S S T S S S S S S S S S S S S
Grad de ncredere al auditorului n controlul intern Mediu Sczut Ridicat Mediu Sczut Mediu Sczut Mediu Sczut Sczut Sczut Mediu Sczut Sczut Mediu
OBS.
NU
III.
Nr. crt.
Domeniul
Obiecte auditabile
T/S
IV.
Securitatea IT
Modificarea cadrului legal i procedural ce reglementeaz activitile pentru care se realizeaz subsistemele informatice 14. Existena Implicaiile evoluiilor tehnologice n domeniul IT controalelor generale la Modificarea cadrului legal i procedural ce nivelul subsistemelor reglementeaz activitile pentru care se realizeaz IT subsistemele informatice 16. Situaia licenelor Limitri bugetare n privina achiziionrii pentru programele de licenelor calculator Disfuncionaliti n procesul de achiziionare al licenelor 19. Instruirea Inexistena unui program de instruire al utilizatorilor utilizatorilor subsistemelor IT Neefectuarea instruirii sistematice a utilizatorilor subsistemelor IT 20. Politica de Inexistena politicii de securitate securitate IT Neaplicarea politicii de securitatea n mod consecvent 21. Monitorizarea Inexistena unui responsabil desemnat cu implementrii politicii monitorizarea implementrii politicii de securitate de securitate IT IT Nentocmirea i netransmiterea sistematic a rapoartelor de monitorizare Inexistena unui sistem de clasificare i protejare adecvat a informaiilor confideniale existente n format electronic 22. Evaluarea Lipsa procedurilor privind implementarea controalelor fizice n controalelor fizice n domeniul IT domeniul IT Nedesemnarea responsabilitii pentru monitorizarea controalelor fizice
S S S S S T S S S S S T S T Exist sistem de control intern eficient Exist sistem de control intern eficient Exist sistem de control intern eficient
Grad de ncredere al auditorului n controlul intern Sczut Sczut Sczut Sczut Mediu Ridicat Mediu Sczut Sczut Mediu Sczut Ridicat Sczut Ridicat
OBS.
NU
NU
NU
Nr. crt.
Domeniul
Obiecte auditabile
T/S
Lipsa unor proceduri pentru realizarea controalelor fizice Neefectuarea controalelor fizice conform procedurilor Lipsa procedurilor privind sigurana accesului utilizatorilor n reea Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind sigurana accesului utilizatorilor n reea Neefectuarea monitorizrii sistematice Neimplementarea msurilor privind sigurana accesului utilizatorilor n reea conform procedurilor Lipsa procedurilor privind implementarea programelor antivirus Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind implementarea programelor antivirus Neefectuarea monitorizrii sistematice Neluarea msurilor necesare privind implementarea programelor antivirus conform procedurilor Lipsa procedurilor privind recuperarea datelor n caz de dezastru Inexistena responsabilului desemnat cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru Neefectuarea monitorizrii sistematice Neluarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor
S S S S T S S S S S S S S S Exist sistem de control intern eficient
Grad de ncredere al auditorului n controlul intern Mediu Sczut Sczut Sczut Ridicat Mediu Sczut Sczut Sczut Mediu Sczut Sczut Sczut Sczut
OBS.
NU
Nota: n faza de ierarhizare se elaboreaz documentul Tabelul puncte tari i puncte slabe, prin transferarea operaiilor auditabile cu riscuri semnificative (mari i medii) din documentul Clasarea operaiilor n funcie de analiza riscului care cuprinde un numr de 18 obiecte auditabile i 60 de riscuri asociate acestora. Ierarhizarea obiectelor auditabile const n evaluarea funcionalitii sistemelor de control intern, care limiteaz efectele riscurilor i care dau posibilitatea auditorilor interni s aprecieze acele obiecte auditabile ca fiind puncte tari, celelalte riscuri pentru care nu exist activiti de control sau acestea sunt nefuncionale vor fi n continuare considerate puncte slabe. Astfel, n urma analizei au rezultat 7 riscuri asociate obiectelor auditabile care au fost evaluate ca fiind puncte tari i vor fi eliminate, pentru moment, din auditare. Pornind de la documentul Tabelul puncte tari i puncte slabe se va elabora documentul Tematica n detaliu a misiunii de audit n care vor fi preluate numai operaiile considerate ca fiind puncte slabe , ocazie cu care vor fi renumerotate.
Procedura - P05 : Analiza riscurilor
ENTITATEA PUBLIC Compartimentul Audit Intern TEMATICA IN DETALIU A OPERAIILOR AUDITABILE Misiunea de audit: Tehnologia informaiei Perioada auditat: 01.01.2005- 31.12.2005 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel
Nr. crt. DOMENIUL
Data: 20.01.2006 Data: 20.01.2006

Nr. paragraf din Raportul de audit intern
OBIECTE AUDITABILE
I.
Plan strategic
II.
Organizarea i funcionarea departamentului IT Implementarea sistemului IT
III.
IV.
Securitatea IT
1. Politicile entitii publice n domeniul IT 2. Modalitatea de elaborare a planului strategic i a planurilor anuale 3. Subsistemele informatice pentru funciile principale 4. Stabilirea responsabililor cu elaborarea si actualizarea planului 5. Aprobarea planului 6. Organizarea departamentului IT 7. Pregtirea profesional continu 8. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor 9. Gradul de realizare a subsistemelor informatice stabilite prin plan 10. Existena controalelor generale la nivelul subsistemelor IT 11. Situaia licenelor pentru programele de calculator 12. Instruirea utilizatorilor subsistemelor IT 13. Politica de securitate IT 14. Monitorizarea implementrii politicii de securitate IT 15. Evaluarea controalelor fizice n domeniul IT 16. Sigurana accesului la reea i a comunicrii datelor n reea 17. Programe antivirus 18. Recuperarea datelor n caz de dezastru
Nota:
Procedura Analiza riscurilor a nceput cu elaborarea documentului Lista centralizatoare a obiectelor auditabile, care a cuprins 26 de operaii/obiecte auditabile, i s-a finalizat cu Tematica n detaliu a misiunii de audit, n care au fost selectate numai 18 de obiecte auditabile. n continuare, cele 18 de operaii/obiecte auditabile, vor fi avute n vedere n activitatea de auditare, deoarece reprezint riscuri semnificative pentru domeniul auditat i vor fi supuse diferitelor testri, stabilite pe baza Programului interveniei la faa locului, care se vor materializa n F.I.A.P.-uri i F.C.R.I.-uri, acolo unde este cazul, i n final vor fi transferate i comentate n Raportul de audit intern, n ordinea din Tematica n detaliu a misiunii de audit. Menionm,totui, c procedura Analiza riscurilor trebuie s rmn un document viu care n funcie de constatrile rezultate n Etapa de intervenie la faa locului s fie actualizat ori de cte ori se impune.
Procedura P06: Elaborarea programului de audit intern ENTITATEA PUBLIC Serviciul Audit Intern PROGRAMUL DE AUDIT INTERN
Misiunea de audit: Audit IT Perioada auditat: 01.01.2005- 31.12.2005 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel Data: 27.03.2006 Data: 27.03.2006
DURATA (H) 376 152 2 2 2 30 16 40 32 8 4 4 11. Redactarea Minutei edinei de deschidere. 4
PERSOANELE IMPLICATE LOCUL DESF.
ETAPELE DOMENIUL ACTIVITI MISIUNII Tema general: Tehnologia Informatiei 1. PREGTIREA 1. Intocmirea i procesarea Ordinului de serviciu MISIUNII DE 2. Intocmirea si validarea Declaraiei de independen AUDIT 3. Pregtirea i transmiterea Notificrii privind declanarea misiunii de audit intern ctre prile interesate 4. Colectarea i prelucrarea informaiilor 5. Elaborarea Chestionarului de control intern 6. ntocmirea Listelor de verificare 7. Analiza riscurilor 8. ntocmirea Programului de audit intern 9.Intocmirea Programului preliminar al interveniei la faa locului 10. Organizarea edinei de deschidere cu Direcia IT.
Popescu Sorin Popescu Sorin Radu George Popescu Sorin Popescu Sorin/ Radu George Popescu Sorin/ Radu George Popescu Sorin Popescu Sorin Radu George Radu George Radu George
SAI SAI SAI SAI AUDITAT SAI SAI SAI SAI SAI SAI SAI AUDITAT
ETAPELE MISIUNII
DOMENIUL
ACTIVITI 12. Organizarea edinei de inchidere cu Direcia IT. 13. Redactarea Minutei edinei de inchidere.
DURATA (H) 4 4 140 38 16 2 8 4 8 32
PERSOANELE IMPLICATE
LOCUL DESF.
Radu George Radu George
SAI AUDITAT AUDITAT
II.INTERVEN IA LA FAA LOCULUI
OBIECTIVUL 1. Plan strategic
1.1. Efectuarea testrilor, detaliate Programul interveniei la faa locului 1.2. Discutarea constatrilor cu conducatorul departamentului IT 1.3. Elaborarea F.I.A.P. urilor 1.4. Colectarea dovezilor 1.5. Revizuirea documentelor de lucru din punct de vedere al coninutului i al formei i ntocmirea Notei centralizatoare a documentelor de lucru 2.1. Efectuarea testrilor, detaliate Programul interveniei la faa locului 2.2. Discutarea constatrilor cu conducatorul departamentului IT 2.3. Elaborarea F.I.A.P. - urilor 2.4. Colectarea dovezilor 2.5. Revizuirea documentelor de lucru din punct de vedere al coninutului i al formei i ntocmirea Notei centralizatoare a documentelor de lucru 3.1. Efectuarea testrilor, detaliate Programul interveniei la faa locului 3.2. Discutarea constatrilor cu conducatorul departamentului IT 3.3. Elaborarea F.I.A.P. - urilor 3.4. Colectarea dovezilor 3.5. Revizuirea documentelor de lucru din punct de vedere al coninutului i al formei i ntocmirea Notei centralizatoare a documentelor de lucru
Popescu Sorin Popescu Sorin Popescu Sorin Radu George Radu George
AUDITAT SAI SAI AUDITAT AUDITAT
OBIECTIVUL 2. Organizarea i funcionarea departamentului IT
16 2 4 2 8 28 16 2 4 4 2
Popescu Sorin Popescu Sorin Popescu Sorin Radu George Radu George Popescu Sorin Popescu Sorin Popescu Sorin Radu George Radu George
OBIECTIVUL 3. Implementarea sistemului IT
ETAPELE MISIUNII
DOMENIUL OBIECTIVUL 4. Securitatea IT
ACTIVITI 4.1. Efectuarea testrilor, detaliate Programul interveniei la faa locului 4.2. Discutarea constatrilor cu eful de serviciu 4.3. Elaborarea F.I.A.P. - urilor 4.4. Colectarea dovezilor 4.5. Revizuirea documentelor de lucru din punct de vedere al coninutului i al formei i ntocmirea Notei centralizatoare a documentelor de lucru
DURATA (H) 42 8 2 8 16 8 80 40 4
PERSOANELE IMPLICATE
LOCUL DESF.
Popescu Sorin Popescu Sorin Popescu Sorin Radu George Radu George
III. RAPORTUL DE AUDIT INTERN 14. Redactarea si revizuirea proiectului de Raport de audit intern 15. Transmiterea proiectului de Raport de audit intern la auditat i solicitarea rspunsului asupra coninutului n 15 zile 16. Organizarea Reuniunii de conciliere, dac este cazul 17. Includerea n Raportul de audit intern a aspectelor sesizate de structura auditata si reinute de auditori, finalizarea si intocmirea sintezei raportului 18. Obinerea avizarii Raportului de audit intern aprobat de conducerea instituiei 19. Transmiterea recomandrilor aprobate ctre auditat IV. URMRIREA RECOMANDRILOR 20. Intocmirea fisei de urmarire a recomandarilor
Popescu Sorin Radu George
SAI SAI AUDITAT SAI SAI AUDITAT SAI
8 16 8 4 4 4
Radu George Popescu Sorin Radu George Radu George Popescu Sorin
Auditorii,
Supervizorul,
Dumitru Daniel
Procedura - P06: Elaborarea programului de audit intern ENTITATEA PUBLIC Serviciul Audit Intern PROGRAMUL INTERVENIEI LA FAA LOCULUI
Misiunea de audit: Tehnologia Informatiei Perioada auditat: 01.01.2005- 31.12.2005 ntocmit:Popescu Sorin/Radu George Avizat: Dumitru Daniel
Data: 27.03.2006 Data: 27.03.2006
Obiectivul I. Plan strategic

Nr. crt. 1. 2. OBIECTE AUDITABILE Politicile entitii publice n domeniul IT Modalitatea de elaborare a planului strategic i a planurilor anuale Subsistemele IT pentru funciile principale TIPUL TESTRII - Analiza politicii entitii publice n domeniul IT - Verificarea elaborrii i aprobarea planului strategic i a planurilor anuale; - Analiza corelrii planurilor strategice cu planurile anuale - Examinarea faptului dac subsistemele IT acoper n totalitate nevoile pentru funciile principale - Analizarea acoperirii cu subsisteme IT a nevoilor funciilor principale nou-create - Analizarea corelrii ntre termenele de realizare a subsistemelor IT - Examinarea definirii clare a responsabilitilor Locul DIT Durata (h) 8 Nr. test Nr. lista verificare LV 1 Auditori Popescu Sorin
DIT
LV 1
Radu George
3.
DIT
T 1.7
LV 1
Radu George
4.
Stabilirea responsabililor cu elaborarea si actualizarea planului
DIT
LV 1
Radu George

5. Aprobarea planului - Examinarea conformitatii planului cu politicile entitatii publice in domeniul IT -Analizarea organigramei depart. IT - Analizarea managementului resurselor umane la nivelul Departamentului IT - Analizarea planurilor de pregatire profesionala continua - Verificarea existenei unui sistem de verificare a cunotinelor dobndite dup efectuarea cursurilor - Analizarea realizrii pregtirii profesionale a salariailor conform atribuiilor i responsabilitilor stabilite prin fia postului - Analizarea sistemului de evaluare a riscurilor - Verificarea existena i actualizarea Registrului riscurilor - Verificarea realizrii la termenele stabilite a subsistemelor IT; - Analizai activitatea de monitorizare a implementrii subsistemelor IT - Evaluarea controlului datelor introduse n aplicaii; - Evaluarea controlului pe parcursul procesrii datelor; - Evaluarea controlului datelor rezultate n urma procesrii; - Analizai validarea datelor transferate DIT 8 LV 1 Radu George
Obiectivul II. Organizarea i funcionarea departamentului IT

6. 7. Organizarea departamentului IT Pregatirea profesionala continua DIT 16 T 2.5 LV 2 Popescu Sorin
DIT
10
LV 2
Popescu Sorin
8.
Sistemul de gestionare a riscurilor conducerea Registrului riscurilor
DIT
10
LV 2
Popescu Sorin
Obiectivul III. Implementarea sistemului IT

9. Gradul de realizare a subsistemelor informatice stabilite prin plan Existena controalelor generale la nivelul subsistemelor IT DIT DIT 4 8 T 3.6. LV 3 LV 3 Popescu Sorin Popescu Sorin
10.

din alte aplicaii; - Evaluarea controalelor care verific nregistrrile duble; - Verificarea autorizrii electronice i/sau manuale a tranzaciilor; - Analizarea efectuarea tranzaciilor numai de la computere definite n prealabil; - Verificarea situaia licenelor deinute att pentru sistemul de operare Windows - Verificarea situaia licenelor deinute att pentru pachetul de programe Microsoft Office - Verificarea existena controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene - Verificarea existenei i respectrii programelor de instruirea a utilizatorilor subsistemelor IT - Verificarea existena politicii de securitate IT - Verificarea actualizarea politicii de securitate IT - Analizarea ntocmirea i transmiterea sistematic a rapoartelor de monitorizare - Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate.
11.
Situaia licenelor pentru programele de calculator
DIT
T 3.8.
LV 3
Popescu Sorin
12.
Instruirea utilizatorilor subsistemelor IT
DIT
LV 3
Popescu Sorin
Obiectivul IV. Securitatea IT

13. Politica de securitate IT DIT DIT 6 6 LV 4 LV 4 Radu George Radu George
14. 15.
Monitorizarea implementrii politicii de securitate IT Evaluarea controalelor fizice n domeniul IT
DIT
T 4.7.
LV 4
Radu George

16. Sigurana accesului la reea i a comunicrii datelor n reea - Verificarea alocrii numelui de utilizator i parolei aferente pentru accesul la reea - Monitorizarea conectrii la reea conform listei de logg-are - Verificarea implementrii programelor anti-virus conform procedurilor - Monitorizarea sistematic a funcionalitii programelor anti-virus - Verificarea sistemului de actualizare a programelor anti-virus - Verificarea elaborrii planului de recuperare a datelor n caz de dezastru - Verificarea desemnrii responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru - Verificarea efecturii monitorizrii sistematice
DIT
T 4.8.
LV 4
Radu George
17.
Programe antivirus
DIT
16
T 4.9.
LV 4
Radu George
18.
Recuperarea datelor n caz de dezastru
DIT
16
LV 4
Radu George
Auditorii,
Supervizorul,
Dumitru Daniel
ENTITATEA PUBLICA Serviciul Audit Intern MINUTA EDINEI DE DESCHIDERE Misiunea de audit: Tehnologia informatiei Perioada auditat: 01.01.-31.12.2005 ntocmit: Popescu sorin/Radu George Avizat: Dumitru Daniel A. Lista participanilor:
Numele Funcia Direcia/ Serviciul Nr. telefon E-mail Semntura
Data: Data:
Dumitru Daniel Popescu Sorin Radu George Patrulescu George Voiculescu Alin Boerescu Ilie Teodorescu Rodica Eleodor Darius Iordache Camelia Paun Elena Badea Stefan
Coordonator Auditor Auditor Conducator Sef Sef Sef Sef Sef Sef Sef
CAPI SAPI SAPI DIT STDAM SCD SEE SAPP SRC SSD SAT
B. Stenograma edinei n cadrul edinei de deschidere s-a procedat la: - Prezentarea echipei de auditori care urmeaz s efectueze misiunea de audit intern; - Prezentarea funciei de audit intern de ctre auditori, n special a obiectivelor generale ale auditului intern, semnificaia auditului intern. - Prezentarea Programului interveniei la faa locului, obiectivele auditabile care se intenioneaz a fi realizate, dup analizele de risc efectuate. A fost cerut prerea auditailor cu privire la aceste obiective, unde s-au fcut remarci c acestea n general reprezint zone cu risc, dar s-au fcut i unele comentarii cu privire la complexitatea activitii Directiei IT Juridic; resursele umane insuficiente i neatractivitatea nivelului salariului pentru atragerea unor specialiti; fluctuatia mare a personalului implicat in activitatea IT. - Stabilirea persoanelor pe care auditorii le pot contacta n vederea colectrii informaiilor, efecturii de teste asupra muncii lor i pentru a lua interviuri. De asemenea, a fost stabilit programul ntlnirilor i timpul necesar pentru realizarea acestor proceduri.
Stabilirea condiiilor minime pe care auditatul trebuie s le asigure n vederea realizrii misiunii de audit (spaiu de lucru, calculatoare, posibilitate de editare etc.) - Convenirea unor aspecte procedurale, respectiv eventualitatea unor edine intermediare n cursul auditului, informarea sistematic asupra constatrilor. - Stabilirea Reuniunii de nchidere, inclusiv a participanilor. - Stabilirea modalitii de redactare a Raportului de audit intern (cnd, cum i cui va fi distribuit). Recomandrile formulate, ca urmare a eventualelor disfuncionaliti constatate, vor fi discutate i analizate cu structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea recomandrilor.
-
LISTA DE VERIFICARE NR. 1 Obiectivul I. PLAN STRATEGIC Nr. crt. 1.1. ACTIVITATEA DE AUDIT Examinarea procedurilor privind planul strategic 1.1.1. Verificarea gradului de acoperire cu activiti care concura la realizarea planului strategic: - Activiti identificate - Proceduri aferente activitilor - Aprobarea procedurilor de ctre persoanele competente; - Stabilirea modelelor de formulare specifice; - Precizarea modalitilor de complectare a modelelor; - Oferirea unor exemple n acest sens; - Actualizarea sistematic a procedurilor; 1.1.2. nglobarea activitilor de control intern n punctele cheie ale procesului; 1.1.3. Respectarea principiul dublei semnturi; 1.1.4. Stabilirea responsabilitilor persoanelor implicate n activitatea implementrii sistemului IT; 1.1.5. Modalitatea arhivrii documentelor. Compararea atribuiilor privind planul strategic cuprinse n proceduri cu cele din fiele posturilor i evaluarea completitudinii prelurii acestora Examinarea cunoaterii procedurilor privind planul strategic de ctre responsabilii cu realizarea acestei activiti Aprecierea calitii procedurilor de ctre personalul de execuie responsabil cu planul strategic a. consider procedurile corespunztoare? b. constatat disfuncionaliti n timpul aplicrii practice? c. exist propuneri de perfecionare a procedurilor Politica entitii publice n domeniul IT a. Analizai politica entitii publice n domeniul IT i stabilii dac asigur atingerea obiectivelor entitii publice b. Verificai dac politica entitii publice n domeniul IT se reflect n planul strategic i n planurile anuale DA NU OBS.
Interviu nr. 1.5.
1.2. 1.3. 1.4.
1.5.
Nr. crt.
ACTIVITATEA DE AUDIT c. Examinai dac managerii, cu responsabiliti n monitorizarea implementrii politicii IT, au fost consultai la elaborarea planului strategic d. Analizai activitatea de actualizare a planului strategic Elaborarea planului strategic i a planurilor anuale a. Analizai sistemul de fundamentare a planului strategic b. Analizai corelarea planului strategic cu planurile anuale c. Evaluai existena unui sistem de prioritizare al activitilor cuprinse n plan d. Verificai elaborarea i aprobarea planului strategic i a planurilor anuale Subsistemele IT pentru funciile principale a. Analizai sistemul de elaborare a subsistemelor IT pentru funciile principale. b. Existena programului pentru instruirea utilizatorilor subsistemului IT c. Examinai dac subsistemele IT acoper n totalitate nevoile pentru funciile principale ale entitii publice d. Analizai dac nevoile de subsisteme IT pentru funciile principale nou-create au fost acoperite. e. Verificai dac departamentele nfiinate ca urmare a funciilor principale nou-create au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme IT proprii activitii lor f. Analizai existena corelrii ntre termenele de realizare a subsistemelor. g. Analizai procedurile pe baza crora se realizeaz subsistemele IT i stabilii dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime. h. Stabilii dac exist studii de fezabilitate pentru subsistemele IT planificate. Stabilirea responsabililor cu elaborarea i actualizarea planului a. Verificai documentele oficiale prin care au fost desemnate persoanele responsabile cu elaborarea i actualizarea planului. b. Examinai dac responsabilitile sunt clar definite
DA
NU
OBS.
Not de relaii nr. 1.5.
1.6.
Interviu nr. 1.6.
1.7.
Interviu nr. 1.7.
X X X
Test nr. 1.7. Foaie de lucru nr. 1.7. List de control nr. 1.7.
X X
X X X
FIAP nr. 1.7.
1.8.
Interviu
Nr. crt.
ACTIVITATEA DE AUDIT c. Verificai dac persoanele nominalizate au fost ncunotinate i aciunile ntreprinse pentru ndeplinirea acestor sarcini de serviciu. d. Analizai dac fia postului pentru persoanele responsabile au fost actualizate, cuprinznd noile sarcini primite. e. Analizai procedurile utilizate pentru elaborarea i actualizarea planului f. Identificai deciziile luate n vederea elaborrii i actualizrii planului i analizai dac aceste sunt n conformitate cu procedurile existente la nivelul entitii publice g. Examinai instrumentele utilizate pentru estimarea resurselor i termenelor necesare pentru realizarea planului utilizate n faza de elaborare a planului h. Verificai dac prin elaborarea planului au fost stabilite praguri bugetare pentru activitile ce trebuiesc realizate i procedurile ce vor fi aplicate n cazul n care aceste praguri bugetare sunt depite
DA X X -
NU
OBS.
nr. 1.8.
1.9.
Aprobarea planului a. Verificai dac planul este aprobat de persoanele competente b. Analizai dac planul aprobat este n conformitate cu politicile entitii publice n domeniul IT c. Analizai mpreun cu factorii responsabili de realizarea subsistemelor IT pentru funciile principale din cadrul entitii publice dac exist departamente importante pentru care nu s-au realizat subsisteme IT
Interviu nr. 1.9.
Data: 01.04.2005 Auditor intern, Radu George Supervizor, Dumitru Daniel

INTERVIU nr. 1.5. privind politica entitii publice n domeniul IT adresat domnului Ptrulescu George, conductor Departament IT
Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005

Nr. crt.
ntrebri
Da
Nu
Obs.
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11.
Exist o politic a entitii publice n domeniul IT? Este aceasta aprobat de managementul entitii publice? Politica definete principalele domenii de interes n domeniul IT? Politia IT este susinut prin planul strategic? Este politica IT actualizat periodic? Politica IT asigur ndeplinirea obiectivelor generale ale entitii publice? Politica IT stabilete stadiul actual, modalitile de realizare i stadiul viitor de dezvoltare al sistemului IT? Este politicii IT adus la cunotiina salariailor implicai n implemnatrea acesteia? Salariaii cu responsabiliti n acest sens au luat msurile necesare pentru implementarea politicii IT? Utilizatorii sistemului IT cunosc i aplic prevederile politicii IT aplicabile departamentului n care i desfoar activitatea? Avei cunotiin de existena unor cazuri de nclcare a politicii IT? Dac da prezentai msurile luate la nivelul entitii publice.
X X X X X X X X X X X
Data: 03.04.2005 Intervievat, Ptrulescu George Auditor, Radu George Supervizor, Dumitru Daniel
NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s nu se elaboreze FIAP.
Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.
ENTITATEA PUBLIC Serviciul Audit Public Intern NOT DE RELAII nr. 1. 5. privind elaborarea politicii entitii publice adresat domnului Ptrulescu George, conductor Departament IT
ntrebarea nr. 1: A fost elaborat politica entitii publice n domeniul IT? Rspuns nr. 1: n calitate de conductor la departamentului IT am participat la elaborarea politicii IT . Menionez c politica IT a fost formalizat i aprobat de ctre managementul entitii publice. ntrebarea nr. 2: Politica IT definete principalele domenii de interes n domeniul IT i este susinut prin planul strategic? Rspuns nr. 2: Politica IT a fost formulat pe baza sistemului IT existent i prevede cerinele ce trebuiesc ndeplinite de acesta pe termen mediu i lung, fiind enunate principiile generale pentru atingerea acestora. Politica IT i planul strategic au fost corelate, prin plan prezentndu-se modul de ndeplinire a dezideratelor formulate prin politica IT. ntrebarea nr. 3: Politica IT a fost adus la cunotina salariailor? Rspuns nr. 3: Annual salariaii entitii publice complecteaz i semneaz o declaraie pe propria rspundere prin care i asum cunoaterea i respectarea politicilor IT n activitatea desfurat. De asemenea, menionez c politica IT este publicat pe site-ul organizaiei, fiind o informaie de interes public. ntrebarea nr. 4: Avei cunotin de existena unor cazuri de nclcare a politicii IT? Dac da, putei s ne prezentai msurile luate la nivelul entitii publice? Rspuns nr. 4: Pn n prezent nu au fost constatate cazuri de nclcare a prevederilor politicii IT. ntrebarea nr. 5: Politica IT este actualizat periodic? Rspuns nr. 5: Pn n prezent politica IT nu a fost actualizat. Aceasta a fost elaborat cu 2 ani n urm, i este nc de actualitate.
ntrebarea nr. 6: Cum se va realiza actualizarea politicii IT? Rspuns nr. 6: Politica IT a fost elaborat la cererea managementului entitii publice i va fi actualizat, probabil, tot la cererea managementului. ntrebarea nr. 7: Exist o procedur de actualizare a politicii IT? Rspuns nr. 7: Nu. ntrebarea nr. 8: Mai avei ceva de adugat? Rspuns nr. 8: Nu.
Intervievat, Ptrulescu George
Auditor, Radu George
Supervizor, Dumitru Daniel
Nota: Nu se va elabora FIAP, dar aspectele constatate vor fi menionate n raportul de audit intern
ENTITATEA PUBLIC Serviciul Audit Public Intern INTERVIU privind planul strategic nr. 1.6. adresat domnului Ptrulescu George, conductor Departament IT Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005
Nr. crt. Da Nu Observaii
ntrebri
1. 2. 3.
Exist un sistem de fundamentare a planului strategic? Planul strategic este corelat cu planurile anuale? Exist un sistem de prioritizare al activitilor cuprinse n plan? Este sistem de prioritizare al activitilor cuprinse n plan actualizat periodic? Planul strategic i planurile anuale sunt elaborate conform procedurilor formalizate?
X X X Planul strategic este defalcat n planurile anuale. Da, prin planul strategic aprobat se urmrete atingerea obiectivelor strategice stabilite prin politicile entitii publice n domeniul IT.
4. 5.
X X Entitatea public a elaborat i aprobat un set de proceduri menite s formalizeze activitatea de elaborare a planului strategic i a planurilor anuale
Data: 03.04.2005 Intervievat, Ptrulescu George NOTA: Auditor, Radu George Supervizor, Dumitru Daniel
Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s nu se elaboreze FIAP. Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern. ENTITATEA PUBLIC Serviciul Audit Public Intern NOT DE RELAII nr. 1.6. privind elaborarea planului strategic i a planurilor anuale adresat, domnului Ptrulescu George, conductor Departament IT
ntrebarea nr. 1: Au fost elaborate planuri strategice i planuri anuale? Rspuns nr. 1: Planul strategic a fost elaborat pentru o perioad de 5 ani n urm cu doi ani. Planul strategic iniial este defalcat n planuri anuale pentru a se asigura coordonarea implementrii subsistemelor IT. ntrebarea nr. 2: Elaborarea acestor planuri s-a realizat ntr-un cadru formalizat? Rspuns nr. 2: Prin decizia managerului general a fost numit o comisie format din conductorii principalelor departamente din cadrul entitii publice avnd responsabilitatea elaborrii planului strategic i a planurilor anuale. n calitate de conductor al departamentului IT fac parte din aceast comisie. ntrebarea nr. 3: Exist un sistem de fundamentare a planului strategic? Rspuns nr. 3: Fundamentarea planului strategic s-a realizat pe baza analizei nevoilor de informatizare formulate de ctre departamentele ce asigur realizarea funciilor principale ale entitii publice, pornindu-se de la sistemul IT existent i urmrindu-se realizarea msurilor necesare n vederea atingerii parametrilor stabilii prin politica IT. ntrebarea nr. 4: Exist un sistem de prioritizare al activitilor cuprinse n plan? Rspuns nr. 4: Da. Implementarea subsistemelor IT se va realiza conform planificrii pornind de la importana acestora pentru entitatea public i inndu-se cont de resursele de care dispune organizaia. ntrebarea nr. 5: Mai avei ceva de adugat? Rspuns nr. 5: Nu.
Intervievat, Ptrulescu George
Nota: Nu se va elabora FIAP, dar aspectele constatate vor fi menionate n raportul de audit intern .
ENTITATEA PUBLIC Serviciul Audit Public Intern INTERVIU nr. 1.7. privind subsistemele IT pentru funciile principale adresat domnului Ptrulescu George, conductor Departament IT
Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005

Nr. crt. Da Nu Obs.
1. 2. 3. 4.
5.
6. 7. 8.
ntrebri Planul strategic prevede elaborarea de subsisteme IT pentru funciile principale? Au fost elaborate subsisteme IT pentru toate funciile principale Procesul de elaborare a subsistemelor IT pentru funciile principale este procedurat? Au fost elaborate subsisteme IT pentru funcii principale aprute la solicitarea Comisiei Europene sau ca urmare a schimbrilor legislative aprute n Romnia? A fost reanalizat periodic (trimestrial, anual) o analiz a nevoilor de susbsisteme IT la nivelul funciilor principale nou-create? Sunt corelate termenelor de realizare a subsistemelor IT? Au fost realizate subsistemele IT la termenele prevzute? Au fost previzonate resursele necesare pentru elaborarea subsistemelor IT?
X X X Procesul de elaborare a subsistemelor IT este nc n derulare. Da, prin planul strategic au fost stabilite termene de realizare a subsistemelor IT. Resursele umane de care dispunem sunt implicate n elaborarea subsistemelor IT prevzute prin planul strategic defalcat n planuri anuale. Pn n prezent planul strategic iniial nu a fost modificat. Realizarea acestei analize nu este n sfera de competene a conductorului departamentului IT Da, prin planul strategic. X X S-au nregistrat ntrzieri n realizarea subsistemelor IT Departamentul IT asigur resursele umane necesare pentru elaborarea subsistemelor IT.
X X
Data: 03.04.2005 Intervievat, Ptrulescu George NOTA:
Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s se elaboreze FIAP.
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Intern TEST NR. 1.7. Misiunea de audit: Audit IT Perioada auditat: 01.01.2005- 31.12.2005 Obiectul testului: Subsistemele IT pentru funciile principale. Obiectivele testului - Subsistemele IT pentru funcii principale aprute la recomandarea Comisiei Europene i sau ca urmare a schimbrilor legislative aprute n Romnia. - Nerespectarea termenelor de implementare al subsistemelor IT. Descrierea testului Populaia statistic a fost constituit din cele trei de funcii principale nou-create la nivelul entitii publice ]n baza recomandrilor Comisiei Europene, identificate ca urmare a analizei modificrilor operate n organigram la data elaborrii planului strategic. Eantionul pentru realizarea testrii situaiei subsistemelor IT pentru funciile principale a fost constituit din totalul populaiei statistice, respectiv 100%. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 1, poz. 1.7, i anume: - Examinai dac subsistemele IT acoper n totalitate nevoile pentru funciile principale ale entitii publice - Analizai dac nevoile de subsisteme IT pentru funciile principale nou-create au fost acoperite - Verificai dac departamentele nfiinate ca urmare a funciilor principale noucreate au fost solicitate s-i exprime cerinele specifice privind realizarea unor subsisteme IT proprii activitii lor - Analizai procedurile pe baza crora se realizeaz subsistemele IT i stabilii dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime Testarea s-a concretizat n elaborarea Listei de control nr. 1 privind analiza subsistemelor IT pentru funciile principale nou-create.
Constatri Din analiza Listei de control rezultate s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate, ca urmare a schimbrilor legislative aprute pentru care nu s-au realizat aplicaii informatice specifice, respectiv Autoritatea de Management a Fondurilor Structurale, Autoritatea de Management a Fondurilor de Coeziune, Autoritatea competent pentru acreditarea ageniilor de plat. n acelai timp, exist i o structur nou nfiinat Autoritatea de Management a Fondurilor de Coeziune care a notificat departamentul IT, dar implementarea nu s-a realizat n termen. Concluzii n acest caz se va elabora FIAP.
FOAIE DE LUCRU nr. 1.7. Obiectivul nr. 1: PLAN STRATEGIC
Obiectul nr. 1.7. : Subsistemele IT pentru funciile principale
Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 8 funcii principale nou-create; - eantionul va fi de 37,5%, respectiv 8 x 37,5% = 3 funcii principale; - eantionul se va constitui din: o Autoritatea de Management a Fondurilor Structurale o Autoritatea de Management a Fondurilor de Coeziune o Autoritatea competent pentru acreditarea ageniilor de plat conform celor prezentate n Lista de control anexat la Testul nr. 1.1.: - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test. Data: 08.04.2005
Lista control nr. 1. 7. privind Analiza subsistemelor IT pentru funciile principale nou-create Nr. crt.
Elemente Testate Examinai dac Analizai dac nevoile Verificai dac departamentele subsistemele IT acoper de subsisteme IT nfiinate ca urmare a funciilor n totalitate nevoile pentru funciile principale nou-create au fost pentru funciile principale nou-create solicitate s-i exprime cerinele principale ale entitii au fost acoperite specifice privind realizarea unor publice subsisteme IT proprii activitii lor FIAP FIAP FIAP Analizai procedurile pe baza crora se realizeaz subsistemele IT i stabilii dac acestea sunt suficiente pentru implementarea acestor subsisteme n condiii optime X
1.
2.
3.
Eantion Autoritatea de Management a Fondurilor Structurale Autoritatea de Management a Fondurilor de Coeziune Autoritatea competent pentru acreditarea ageniilor de plat
FIAP
FIAP
FIAP
FIAP
FIAP
Data: 01.04.2005 Auditor,
Supervizor,
Radu George
Dumitru Daniel
Procedura - P08: Colectarea dovezilor
ENTITATEA PUBLIC Serviciul Audit Public Intern
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 1.7.
Misiunea de audit: Audit IT. Perioada auditat: 01.01.2005 01.01.2006 PROBLEMA Existena unor departamente care nu dispun de subsisteme IT specifice activitilor care se desfoar n cadrul entitii publice. CONSTATARE - Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou nfiinate care au fost solicitate s-i exprime nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu sau realizat conform planificrii. CAUZE - Inexistena la nivelul entitii publice a unor proceduri complete de elaborare a strategiei IT care s permit actualizarea sistematica, functie de schimbrile legislative; - Insuficiena personalului de specialitate. CONSECINE - Domenii importante de activitate ale entitii publice pentru care nu s-a realizat implementarea subsistemelor IT necesare pentru desfurarea activitii au randamente sczute, ceea ce afecteaz ansamblul entitii publice; - Sarcinile pentru posturile vacante au fost redistribuite ntre salariaii existeni n cadrul Direciei IT.
RECOMANDRI - Elaborarea unei proceduri scrise i formalizate pentru actualizarea strategia IT la nivelul entitii publice pentru departamentele nou-create; - Stabilirea responsabilitii pentru actualizarea strategiei IT; - Preocupare pentru angajarea personalului de specialitate i ocuparea posturilor vacante; - Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor; - Inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuiesc incluse n strategia IT.
ntocmit, Radu George
Supervizat, Dumitru Daniel
Pentru conformitate, Eleodor Darius
ENTITATEA PUBLIC Serviciul Audit Public Intern INTERVIU nr. 1.8. Privind stabilirea responsabililor cu elaborarea i actualizarea planului adresat domnului Ptrulescu George, conductor Departament IT Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005
Nr. crt. Da Nu Observaii
ntrebri
1. 2. 3. 4. 5. 6.
Exist documente oficiale prin care au fost desemnate persoanele responsabile cu elaborarea i actualizarea planului? Sunt responsabilitile clar definite n documentele oficiale? Exist nominalizate n mod oficial persoanele responsabile? Persoanele responsabile au fost ncunotinate? Fiele posturilor au fost actualizate pentru a reflecta noile responsabiliti primite? Persoanele nominalizate i-au ndeplinit sarcinile privind elaborarea i actualizarea planului strategic i a planurilor anuale?
X X X X X X
NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s nu se elaboreze FIAP. Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.
ENTITATEA PUBLIC Serviciul Audit Public Intern INTERVIU nr. 1.9. Privind aprobarea planului strategic adresat domnului Ptrulescu George, conductor Departament IT Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005
Nr. crt. ntrebri Planul strategic este aprobat de persoanele competente? Planul aprobat este fundamentat n mod corespunztor? Planul strategic este n conformitate cu politicile entitii publice n domeniul IT? Procedurile pe baza crora se realizeaz subsistemele IT sunt suficiente pentru implementarea acestor subsisteme n condiii optime? Exist studii de fezabilitate pentru subsistemele IT planificate? Da X X X Planul strategic a fost fundamentat conform procedurilor entitii publice. Da, prin planul strategic aprobat se urmrete atingerea obiectivelor strategice stabilite prin politicile entitii publice n domeniul IT. Entitatea public a elaborat i aprobat un set de proceduri menite s formalizeze implementarea acestor subsisteme n condiii optime. Totui, cadrul procedural trebuie mbuntit continuu pe msur ce organizaia soluioneaz i trebuie s reglementeze probleme noi, neplanificate, cu care se confrunt n asigurarea funcionrii n bune condiii a subsistemelor IT. Nu Observaii
1. 2. 3.
4.
5.
NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s nu se elaboreze FIAP. Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.
LISTA DE VERIFICARE NR. 2 Obiectivul II. ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT
Nr. crt. 2.1.
ACTIVITATEA DE AUDIT Examinarea procedurilor privind organizarea i funcionarea departamentului IT: Verificarea gradului de acoperire prin procedur a activitilor privind organizarea i funcionarea departamentului IT: a. Elaborarea i aprobarea procedurilor de ctre persoanele competente; b. Aplicarea procedurilor n activitatea desfurat; c. Evaluarea i actualizarea sistematic a procedurilor; d. Conformitatea procedurilor cu cadrul legal n vigoare; e. Stabilirea responsabilitilor persoanelor componente pe linia existenei unui cadru procedural adecvat la nivelul departamentului IT; Compararea atribuiilor cuprinse n fiele posturilor cu cele din proceduri i evaluarea completitudinii prelurii acestora Examinarea cunoaterii procedurilor de ctre responsabilii cu realizarea activitii Aprecierea calitii procedurilor de ctre responsabilii acestora: a. Consider procedurile corespunztoare? b. Constatat disfuncionaliti n timpul aplicrii practice? c. Exist propuneri de perfecionare a procedurilor d. Modul de soluionare a propunerilor de perfecionare a procedurilor Organizarea departamentului IT a. Verificarea existenei organigramei departamentului IT
DA -
NU -
OBS.
2.2. 2.3. 2.4.
X -
2.5.
Nr. crt.
ACTIVITATEA DE AUDIT b. Verificarea aprobrii organigramei de ctre persoanele competente c. Analizarea organigramei departamentului IT: - Numr total de posturi de conducere; - Numr posturi de conducere ocupate cu delegaie; - Numr total de posturi de execuie; - Numr posturi de execuie neocupate d. Evaluai demersurile realizate de departamentul IT pentru ocuparea posturilor de conducere e. Analizai consecinele funcionrii departamentului IT prin delegarea persoanelor de conducere f. Evaluai preocuparea conducerii pentru ocuparea posturilor de execuie g. Existena unui plan de implementare a msurilor necesare menite s asigure buna desfurare a activitii n cazul existenei unui numr mare de posturi vacante h. Analizai dotarea departamentului cu echipamente hard i soft adecvate pentru desfurarea activitilor specifice, astfel: - Numr suficient de calculatoare dotate corespunztor - Numr suficient de servere - Numr suficient de echipamente auxiliare (imprimante, xerox-uri, scanere, conexiuni la intranet/Internet) - Programe IT adecvate i. Verificai existena unui responsabil cu efectuarea monitorizrii modului de realizare a obiectivelor generale i specifice ale departamentului Stabilirea responsabilitilor prin fiele posturilor a. Verificai actualizarea fielor posturilor b. Verificai cuprinderea atribuiilor stabilite prin ROF n fiele posturilor Analizai calificarea i pregtirea salariailor Analizai pregtirea profesional continu a salariailor a. Existena planurilor de pregtire profesional continu b. Verificai efectuarea sistematic a analizei ndeplinirii planului c. Existena altor forme de pregtire profesional
DA X X
NU -
OBS.
X X X X X X X
List control nr. 2.5. Test nr. 2.5.
X X
FIAP nr. 2.5.
2.6.
2.7. 2.8.
Nr. crt.
DA
NU X
OBS.
d. Existena unui sistem de verificare a cunotinelor dobndite dup efectuarea cursurilor e. Analizai dac pregtirea profesional a salariailor este realizat conform atribuiilor i responsabilitilor stabilite prin fia postului. f. Verificai dac pregtirea profesional a salariailor asigur atingerea obiectivelor organizaiei g. Verificai existena unui sistem de indicatori de performan pentru evaluarea gradului de pregtire profesional 2.9. Examinai sistemul de evaluare a personalului a. Verificai existena unui sistem de evaluare anual a salariailor b. Analizai realizarea evalurii pe parcursul anului a salariailor c. Verificai evaluarea formal a personalului 2.10 Examinarea sistemului de gestionare a riscurilor . generale a. Verificai existena unei politici unitare privind gestionarea riscurilor b. Verificai existena unui sistem de evaluare a riscurilor c. Identificai desemnarea unui responsabil privind gestionarea riscurilor la nivelul departamentului IT d. Verificai existena Registrului riscurilor la nivelul Direciei IT e. Analizai actualizarea sistematic a Registrului riscurilor f. Verificai dac riscurile majore prezentate n Registrul riscurilor elaborat la nivelul Direciei IT se regsesc n Registrul riscurilor elaborat la nivelul ntregii entiti publice Data: 01.04.2005 Auditor intern, Popescu Sorin
X X X -
Interviu nr. 2.8. FIAP nr. 2.8.
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Public Intern
TEST NR. 2.5. Misiunea de audit: Audit IT Perioada auditat: 01.01.2005- 31.12.2005 Obiectul testului Organizarea i funcionarea departamentului IT. Obiectivele testului - Corelaia dintre numrul de posturi de conducere ocupate i cele deinute cu delegaie. Descrierea testului Departamentul IT din cadrul entitii publice are 7 servicii funcionale. Eantionul va fi constituit din ntreaga populaie, deci 100%, deoarece exist un numr rezonabil de servicii. Testarea a constat n examinarea la nivelul departamentului IT a urmtoarelor elemente stabilite prin Lista de verificare nr. 2, poz. 2.5, i anume: Analiza organigramei departamentului IT: - Numr total de posturi de conducere - Numr posturi de conducere ocupate cu delegaie - Numr total de posturi de execuie - Numr posturi de execuie neocupate. Evaluai demersurile realizate de departamentul IT pentru ocuparea posturilor de conducere: - Numr de examene organizate pentru ocuparea posturilor; - Numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea examenelor. Analizai consecinele funcionrii departamentului IT prin delegarea personalului de conducere - Numr de sesizri ale departamentelor beneficiare ale serviciilor IT; - Numr de subsisteme IT neimplementate la termenele planificate.
Analizai preocuparea conducerii pentru ocuparea posturilor de execuie; - Numr de examene organizate pentru ocuparea posturilor - Numr de solicitri ctre compartimentul de Resurse Umane pentru organizarea examenelor. Existena unui plan de implementare a msurilor necesare menite s asigure buna desfurare a activitii n cazul existenei unui numr mare de posturi vacante. Testarea s-a concretizat n elaborarea Listei de control nr. 2.1. privind organizarea i funcionarea departamentului IT. Constatri Din analiza modului de acoperire a necesarului de resurse umane la nivelul departamentului IT s-a constatat c, datorit numrului mare de posturi vacante existent i utilizarea sistemului de delegare a personalului special pentru exercitarea funciilor de conducere, salariaii trebuie s-i ndeplineasc sarcinile de serviciu ce le revin ca urmare a delegrii, dar i sarcinile curente de serviciu, fapt ce afecteaz calitatea ndeplinirii acestor atribuii De asemenea, s-a constatat c nu este organizat i nu a fost inut la zi Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern care au fost prevzute pentru limitarea riscurilor. Concluzii n acest caz se va elabora FIAP.
Auditor intern, Popescu Sorin
Lista control nr. 2.5. privind Organizarea i funcionarea departamentului IT

Nr. crt Elemente
testate
Analizarea organigramei departamentului Evaluai demersurile Analizai consecinele IT realizate de departamentul funcionrii departamentului IT pentru ocuparea IT cu persoane de conducere posturilor cu delegaie Nr. total Nr. Nr. total Nr. Nr. de posturi de posturi de posturi posturi de examene conducere cond. de execuie organizate ocupate execuie neocup. pentru cu ocuparea delegaie posturilor
3 1 12 4 FIAP
Existena preouprii pentru ocuparea posturilor de execuie
Eantion
Nr. de Nr. de sesizri solicitri ale depart. ctre beneficiare ale compart. de serviciilor IT RU pentru org. ex.
X
Nr. de Nr. de subsistem examene e IT organizate neimpl. la pentru timp ocuparea posturilor
Existena unui plan de implementare a msurilor necesare menite s asigure buna desf. a act. n Nr. de cazul existenei solicitri unui numr mare ctre de posturi de compart. conducere i/sau de RU execuie vacante pentru org. ex.
1.
2.
3.
4.
5.
Serviciul de tehnored. i dezvoltare aplicaii multimedia Serviciul comunicaii date Serviciul exploatarea echip. Serviciul analiza, proiectare i programare Serviciul retele calculatoare
FIAP
FIAP
FIAP
FIAP
FIAP
10
FIAP
FIAP
FIAP
14
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
FIAP
Nr. crt
Elemente
testate
Analizarea organigramei departamentului Evaluai demersurile Analizai consecinele IT realizate de departamentul funcionrii departamentului IT pentru ocuparea IT cu persoane de conducere posturilor cu delegaie Nr. total Nr. Nr. total Nr. Nr. de posturi de posturi de posturi posturi de examene conducere cond. de execuie organizate ocupate execuie neocup. pentru cu ocuparea delegaie posturilor
1 0 11 6 FIAP
Existena preouprii pentru ocuparea posturilor de execuie
Eantion
Nr. de Nr. de sesizri solicitri ale depart. ctre beneficiare ale compart. de serviciilor IT RU pentru org. ex.
FIAP X
Nr. de Nr. de subsistem examene e IT organizate neimpl. la pentru timp ocuparea posturilor
X X
Existena unui plan de implementare a msurilor necesare menite s asigure buna desf. a act. n Nr. de cazul existenei solicitri unui numr mare ctre de posturi de compart. conducere i/sau de RU execuie vacante pentru org. ex.
X FIAP
6.
Serviciul sintez dezvoltare 7. Serviciul asisten tehnic
10
FIAP
FIAP
FIAP
FIAP

ENTITATEA PUBLIC Serviciul Audit Public Intern
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 2.5. Misiunea de audit: Audit IT Perioada auditat: PROBLEMA Existena unui numr mare de posturi de execuie vacante i a unui numr mare de posturi de conducere deinute cu delegaie. CONSTATARE Din analiza stadiului implementrii subsistemelor IT specifice s-a constatat c datorit numrului mare de posturi vacante existente i utilizrii sistemului de delegare a personalului specializat pentru exercitarea funciilor de conducere, acetia trebuie s-i ndeplineasc sarcinile de serviciu ce le revin ca urmare a delegrii, dar i sarcinile curente de serviciu, ceea ce afecteaz ndeplinirea atribuiilor de serviciu i calitatea acestora. CAUZE - Lipsa unei strategii la nivelul entitii publice pentru ocuparea posturilor vacante i mai ales a celor de conducere; - Inexistena unor proceduri pentru suplinirea posturilor vacante i pentru delegarea funciilor de conducere. CONSECINE - Activitatea din cadrul unor departamente nu se desfoar la parametrii stabilii. Din analiza acestei situaii n cadrul entitii publice se constat frecvent ntrzieri n implementarea diferitelor aplicaii, nerealizarea testrilor finale la termenele planificate, netransmiterea rapoartelor periodice de monitorizare. - Din practic se demonstreaz c persoanele cu delegaie nu au ntotdeauna acelai nivel de implicare pentru soluionarea problemelor care apar comparativ cu titularii posturilor. RECOMANDRI - Elaborarea procedurilor scrise i formalizate pentru suplinirea posturilor vacante i delegarea funciilor de conducere precum i stabilirea responsabililor pentru elaborarea i actualizarea acestor proceduri; - Realizarea unui program de pregtire profesional a persoanelor delegate pe funcii de conducere la nivelul entitii publice. ntocmit, Popescu Sorin Supervizat, Dumitru Daniel Pentru conformitate, Ptrulescu George
ENTITATEA PUBLIC Serviciul Audit Intern INTERVIU nr. 2.8. privind Pregtirea profesional continu a salariailor adresat domnului Ptrulescu George, conductor Departament IT Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005 Nr. crt. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. ntrebri
Ai semnat fia postului pentru acest an? Pregtirea profesional continu este o activitate cuprins n fia postului dumneavoastr? Avei aprobat un plan de pregtire profesional continu? Verificai efectuarea sistematic a analizei ndeplinirii planului? Exist alte forme de pregtire profesional a salariailor? Exist un sistem de verificare a cunotinelor dobndite ca urmare a cursurilor efectuate? Pregtirea profesional a salariailor este n concordan cu atribuiile i responsabilitile stabilite prin fia postului? Pregtirea profesional a salariailor asigur atingerea obiectivelor organizaiei? Avei manuale de utilizare? Exist indicatori de performan pe baza crora s se poat evalua gradul de pregtire profesional al salariailor coroborat cu nivelul de realizare a obiectivelor strategice ale entitii?
Da X X
Nu
Obs.
X X X X X X X X
Data: 03.04.2005 Intervievat, Ptrulescu George
Auditor, Popescu Sorin
NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s se elaboreze FIAP. De asemenea, informaiile primite n cadrul interviului vor fi utilizate i la elaborarea Raportului de audit intern.

ENTITATEA PUBLIC
Serviciul Audit Public Intern FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 2.8. Misiunea de audit: Audit IT Perioada auditat: PROBLEMA Inexistena unui sistem de pregtire profesional continu a salariailor departamentului IT. CONSTATARE Din analiz s-a constatat c aproximativ 20% dintre angajaii care au acces la sistemul IT implementat au fost angajai n cadrul entitii publice n ultimele 3 luni i nu au primit o pregtire profesional adecvat privind modul de utilizare a acestuia. Din totalul personalului angajat s-a constatat c doar utilizatorii iniiali au primit instruire n acest sens. De asemenea, instruciunile de utilizare pentru sistemul IT nu sunt prezentate ntr-un format adecvat, respectiv nu exist manuale de utilizare, n documentaia pus la dispoziia departamentului. Astfel, majoritatea angajailor nu au instruciuni clare cu privire la modul de operare a sistemului, ceea ce duce la comiterea de erori. CAUZE Inexistena planului de pregtire profesional continu; Nedesemnarea unui responsabil cu planul de pregtire profesional continu; Neasigurarea instruirii adecvate a utilizatorilor; Inexistena procedurilor scrise i formalizate cu pregtirea profesional continu. CONSECINE - Dei pn n prezent nu au aprut erori cu grave implicaii financiare, totui exist pericolul apariiei unor probleme/disfuncionaliti datorate pregtirii profesionale a salariailor. RECOMANDRI - Elaborarea unui sistem de pregtire profesional continu a salariailor; - Elaborarea procedurilor scrise i formalizate pentru pregtirea profesional continu; - Stabilirea unor responsabiliti cu elaborarea procedurilor i actualizarea acestora; - Coroborarea atribuiilor i responsabilitilor stabilite prin proceduri cu fiele posturilor; - Analiza planului de pregtire profesional continu i al gradului de realizare al acestuia n vederea elaborrii planului pentru anul viitor; Stabilirea responsabilitilor cu monitorizarea acestora, o atenie deosebit fiind pentru utilizatorii noi care trebuie s primeasc instruire special pentru toate subsistemele IT pe care le vor utiliza, conform unui program bine stabilit. ntocmit, Supervizat, Pentru conformitate,
Popescu Sorin
Dumitru Daniel
Ptrulescu George
ENTITATEA PUBLIC Serviciul Audit Intern INTERVIU nr. 2.10. privind sistemul de gestionare a riscurilor adresat domnului Ptrulescu George, conductor Direcia IT Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005 Nr. crt. 1. 2. 3. ntrebri
Exist o politic de management al riscului? Exist preocupri pentru managementul riscurilor n cadrul departamentului IT? S-au organizat cursuri cu ntreg personalul pentru activitatea de gestionare a riscurilor n conformitate cu metodologia de organizare a sistemului de control intern conform prevederilor OMFP nr. 946/2005 privind Codul controlului intern? Au fost identificate riscurile la nivelul departamentului IT? Exist un sistem de evaluare a riscurilor? Au fost prevzute msuri de rspuns n cazul apariiei riscurilor? Exist un sistem de monitorizare i raportare periodic a riscurilor asociate activitii Direcia IT? Avei elaborat i actualizat Registrul riscurilor? Este desemnat un responsabil cu gestionarea riscurilor la nivelul departamentului IT?
Da X X
Nu
Obs.
4. 5. 6. 7. 8. 9.
X X X X X X
Data: 03.04.2005 Intervievat, Ptrulescu George
Auditor, Popescu Sorin
NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s se elaboreze FIAP. Informaiile primite n cadrul interviului vor fi utilizate i la elaborarea Raportului de audit intern.
Procedura - P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Intern
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 2.10. Misiunea de audit: Audit IT Perioada auditat: PROBLEMA Inexistena unui sistem de identificare, evaluare i management al riscurilor la nivelul entitii publice. CONSTATARE Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern asociate pentru limitarea riscurilor. CAUZE - Inexistena procedurilor scrise i formalizate pentru realizarea Registrului riscurilor; - Neacordarea ateniei cuvenite managementului riscurilor de ctre personalul entitii publice. CONSECINE - Producerea unor evenimente nedorite pentru care entitatea public nu este pregtit s acioneze; - Exist pericolul de a nu identifica riscuri majore i de a nu fi asociate controale interne adecvate pentru reducerea efectului riscurilor la un nivel acceptabil pentru entitatea public. RECOMANDRI - Stabilirea unei strategii de gestionare a riscurilor la nivelul entitii publice; - Stabilirea responsabililor pentru elaborarea i actualizarea sistematic a procedurilor privind ntocmirea Registrului riscurilor; - Coroborarea atribuiilor i responsabilitilor din proceduri cu cele din fia postului referitor la gestionarea riscurilor; - Organizarea i inerea la zi a Registrului riscurilor cuprinznd msurile de control intern care sunt luate pentru limitarea acestora; - Monitorizarea sistematic, la cererea managerului responsabil cu probleme administrative, a modului de respectare n activitatea zilnic a procedurilor scrise i formalizate menite s asigure gestionare a riscului;
- Instruirea personalului pentru complectarea Registrului Riscurilor de ctre responsabilul cu inerea acestuia; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor.
ntocmit, Popescu Sorin
Pentru conformitate, Ptrulescu George
LISTA DE VERIFICARE NR. 3
Obiectivul III. IMPLEMENTAREA SISTEMULUI IT Nr. crt. ACTIVITATEA DE AUDIT DA NU OBS.
3.1. Examinarea procedurilor privind implementarea sistemului IT 3.1.1. Verificarea gradului de acoperire a activitilor privind implementarea sistemului IT: - Aprobarea procedurilor de ctre persoanele competente; - Stabilirea modelelor de formulare specifice; - Precizarea modalitilor de complectare a modelelor; - Oferirea unor exemple n acest sens; - Actualizarea sistematic a procedurilor; - Conformitatea procedurilor cu politica IT; 3.1.2. nglobarea activitilor de control intern n punctele cheie ale procesului; 3.1.3. Respectarea principiul dublei semnturi; 3.1.4. Stabilirea responsabilitilor persoanelor implicate n activitatea implementrii sistemului IT; 3.1.5. Asigurarea transpunerii prelucrrilor ntr-un sistem informatizat, respectiv realizarea codificrii modelelor de formulare i informaiile activitilor, algoritmi de prelucrare .a. 3.1.6.Modalitatea arhivrii documentelor. 3.2. Compararea atribuiilor privind implementarea sistemului IT cuprinse n proceduri cu cele din fiele posturilor i evaluarea completitudinii prelurii acestora 3.3. Examinarea cunoaterii procedurilor privind implementarea sistemului IT de ctre responsabilii cu realizarea acestei activiti 3.4. Aprecierea calitii procedurilor de ctre personalul de execuie responsabil cu implementarea sistemului IT: a. consider procedurile corespunztoare? b. constatat disfuncionaliti n timpul aplicrii practice? c. exist propuneri de perfecionare a procedurilor
Nr. crt.
DA X X
NU -
OBS.
d. modul de soluionare a propunerilor de perfecionare a procedurilor 3.5. Gradul de realizare al subsistemelor IT stabilite prin plan a. Examinai existena unui sistem procedurat de realizare a subsistemelor IT b. Verificai dac realizarea subsistemelor IT a fost planificat c. Verificai dac au fost stabilite persoanele responsabile d. Verificai dac subsistemele IT au fost realizate la termenele stabilite e. Examinai modul de alocare a resurselor necesare realizrii subsistemelor IT f. Analizai activitatea de monitorizare a implementrii subsistemelor IT 3.6. Verificai existena controalelor generale de sistem la nivelul subsistemelor IT: a. Controlul datelor introduse n aplicaii; b. Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer). c. Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complecte d. Validarea datelor transferate din alte aplicaii e. Controalelor care verific nregistrrile duble; f. Autorizarea electronic i/sau manual a tranzaciilor g. Efectuarea tranzaciilor numai de la computere definite n prealabil h. Pstrarea integral a nregistrrilor astfel nct s se poat urmri tranzaciile efectuate din faza de iniiere pn la finalizarea lor; i. Modul de raportare a schimbrilor operate la nivelul datelor salvate; j. nelegerea controalelor implementate de ctre utilizatori. 3.7. Funcionalitatea subsistemelor IT n reea - Verificai existena protocoalelor de transmitere a
X X
X X X X X X X X X X X X X Test nr. 3.6. Foaie de lucru nr. 3.6. List de control nr. 3.6. FIAP nr. 3.6.
Nr. crt.
DA
NU
OBS.
datelor n reea - Verificai dac subsistemele IT realizate respect cerinele stabilite prin politica, procedurile i studiile de fezabilitate ntocmite 3.8. Situaia licenelor pentru programele de calculator a. Verificai situaia licenelor deinute att pentru sistemul de operare Windows b. Verificai situaia licenelor deinute att pentru pachetul de programe Microsoft Office c. Verificai dac entitatea public a achiziionat licene pentru programele utilizate d. Identificai eventualele limitri bugetare n privina achiziionrii licenelor e. Analizai eventualele disfuncionaliti aprute n procesul de achiziionare a licenelor f. Verificai existena soft-urilor neliceniate instalate de utilizatori g. Verificai desemnarea responsabilitilor privind achiziionarea licenelor pentru programele de calculator h. Verificai existena controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene 3.9. Asigurarea integrrii subsistemelor componente a. Stabilirea prin proceduri a necesitii integrrii subsistemelor IT b. Verificai desemnarea responsabilitilor privind realizarea i monitorizarea integrrii subsistemelor IT c. Modificrile cadrului legal au influenat integrarea subsistemelor IT d. Evoluiile tehnologice au influenat integrarea subsistemelor IT e. Analizai eventualele disfuncionaliti aprute privind integrarea subsistemelor IT f. Analizai modul de soluionare a neconcordanelor aprute n integrarea subsistemelor 3.10 Elaborarea manualelor de utilizare i a manualelor de
X X Test nr. 3.8. Foaie de lucru nr. 3.8. List de control nr. 3.8. FIAP nr. 3.8.
Nr. crt.
DA
NU
OBS.
operare - Verificai suficiena numrului de manuale de utilizare i de operare - Analizai comprehensivitatea manualelor de utilizare i de operare i dac acestea corespund nevoilor utilizatorilor - Examinai existena unui sistem de actualizare sistematic a manualelor - Analizai dac manualele de utilizare i de operare sunt actualizate 3.11 Instruirea utilizatorilor sistemelor IT a. Elaborarea sistematic a programelor de pregtire profesional b. Verificai existena i aprobarea programelor de instruire a utilizatorilor subsistemelor IT c. Examinai concordana programelor de pregtire cu politica i procedurile IT ale entitii publice d. Desemnarea responsabilitilor cu implementarea programelor de pregtire profesional e. Analizai instruirea utilizrilor subsistemelor IT conform programelor elaborate. Data: 01.04.2005 Auditor intern, Popescu Sorin
X -
ENTITATEA PUBLIC Serviciul Audit Intern INTERVIU nr. 3.5. privind Gradul de realizare al subsistemelor IT stabilite prin planul strategic
adresat domnului Eleodor Darius, ef Serviciul analiza, proiectare i programare Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005 Nr. crt. 1. 2. 3. 4. 5. 6. 7. ntrebri Exist un sistem procedurat de realizare a subsistemelor IT Sistemele implementate au fost stabilite prin planul strategic i planurile anuale? Exist persoane responsabile de implementarea subsistemelor IT? Subsistemele IT au fost realizate la termenele stabilite? Exist resurse alocate pentru realizarea subsistemelor IT? Avei o procedur pentru monitorizarea implementrii subsistemelor IT? n toate cazurile n care persoanele responsabile au primit alte sarcini de serviciu au fost desemnate alte persoane care s monitorizeze implementarea subsistemelor IT? Nu mai avei ceva de adugat? Da X X X X X X X X FIAP nr. 3.5. FIAP nr. 3.5. FIAP nr. 3.5. FIAP nr. 3.5. FIAP nr. 3.5. Nu Observaii
8.
Data: 03.04.2005 Intervievat, Eleodor Darius Auditor, Popescu Sorin Supervizor, Dumitru Daniel
NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s se elaboreze FIAP. Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 3.5. Misiunea de audit: Audit IT Perioada auditat: PROBLEMA Subsistemele IT nu au fost realizate la termenele stabilite. CONSTATARE Echipa de auditori, analiznd implementarea subsistemelor IT, potrivit planului anual ntocmit i aprobat, a constatat c termenele stabilite nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care beneficiaz deja de programe performante. CAUZE - Inexistena unei proceduri de monitorizare a implementrii subsistemelor IT care fac dificil monitorizarea activitilor de ctre managementul general; - Persoane implicate iniial n aceste activiti au primit alte responsabiliti i nu au fost desemnate ali salariai pentru nlocuirea acestora. CONSECINE - Nerealizarea subsistemelor IT conform termenelor stabilite, ceea ce ngreuiaz realizarea sarcinilor de serviciu n domenii cheie de activitate ale entitii publice; - Posibilitatea afectrii gradului de realizare a obiectivelor entitii publice. RECOMANDRI - Elaborarea procedurilor scrise i formalizate pentru monitorizarea implementrii subsistemelor IT - Desemnarea responsabilitii cu realizarea i actualizarea procedurilor; - Efectuarea unor inspecii pentru stabilirea stadiului n care se afl implementarea subsistemelor IT specifice pe departamente; ntocmit, Popescu Sorin Supervizat, Dumitru Daniel Pentru conformitate, Eleodor Darius
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Serviciul Audit Intern
TEST NR. 3. 6.
Misiunea de audit: Audit IT Perioada auditat: 01.01.2005- 31.12.2005 Obiectul testului Existena controalelor generale la nivelul subsistemelor IT Obiectivele testului - Verificarea existenei subsistemelor IT Descrierea testului Populaia statistic este reprezentat 15 subsisteme IT ce reprezint numrul total al subsistemelor IT funcionale la nivelul entitii publice. Eantionarea va fi reprezentat de 5 elemente din ntreaga populaie, deci 30%, pentru c este un numr rezonabil de subsisteme. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 3, poz. 3.6, i anume: - Controlul datelor introduse n aplicaii; - Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer). - Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complecte - Validarea datelor transferate din alte aplicaii - Controalelor care verific nregistrrile duble; - Autorizarea electronic i/sau manual a tranzaciilor - Efectuarea tranzaciilor numai de la computere definite n prealabil - Pstrarea integral a nregistrrilor astfel nct s se poat urmri tranzaciile efectuate din faza de iniiere pn la finalizarea lor; - nelegerea controalelor implementate de ctre utilizatori. Testarea s-a concretizat n elaborarea Listei de control nr. 3.6. privind existena controalelor generale la nivelul subsistemelor IT. Constatri Din analiza Listei de control nr. 3.6., s-a constat inexistena urmtoarelor controale generale: - Controlul datelor introduse n aplicaii; unor controale generale implementate la nivelul
- Controlul datelor rezultate n urma procesrii astfel nct s se asigure c aceste date sunt complete; - Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer); - Validarea datelor transferate din alte aplicaii; - Efectuarea tranzaciilor numai de la computere definite n prealabil. Concluzii n acest caz se va elabora FIAP nr. 3.6. Data: 01.04.2005
FOAIE DE LUCRU nr. 3.6.
Obiectul nr. 3: Implementarea sistemului IT Obiectivul: Verificarea existenei unor controale generale implementate la nivelul subsistemelor IT Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 15 subsisteme IT; - eantionul va fi de 30%, respectiv 15 x 30% = 5 subsisteme IT; - eantionul se va constitui din: o Subsistemul IT pentru gestiunea resurselor umane o Subsistemul IT pentru operaiuni financiare o Subsistemul IT pentru activitatea contabil o Subsistemul IT pentru activitatea juridic o Subsistemul IT de coordonare a relaiilor bugetare cu Uniunea European conform celor prezentate n Lista de control nr. 3.2..: - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test. Data: 08.04.2005 Auditor intern, Popescu Sorin Supervizor, Dumitru Daniel
Lista control nr. 3.6. privind Existena controalelor generale la nivelul subsistemelor IT
Nr. Crt.
Elemente testate
Eantion
Controlul pe Controlul datelor Validarea datelor Controale Autorizarea Controlul parcursul rezultate n urma transferate din care verific electronic i/sau datelor manual a introduse procesrii datelor procesrii, astfel alte aplicaii nregistrrile i rapoartele nct s se duble tranzaciilor n aplicaii produse n caz de asigure c aceste nerealizarea procesrii (ntreruperi, transfer) date sunt complecte
Efectuarea tranzaciilor numai de la computere definite n prealabil
Pstrarea integral a nelegerea nregistrrilor astfel controalelor nct s se poat implementate de urmri tranzaciile ctre utilizatori efectuate din faza de iniiere pn la finalizarea lor
1. 2. 3. 4. 5.
Subsistemul IT pentru gestiunea resurselor umane Subsistemul IT pentru operaiuni financiare Subsistemul IT pentru activitatea contabil
FIAP
X X
FIAP
X X FIAP
FIAP
X X FIAP
FIAP
FIAP FIAP FIAP
X
X X X
X
X X X
FIAP
FIAP FIAP X
X
X X X
X
X X X
Subsistemul IT pentru activitatea juridic FIAP Subsistemul IT de coordonare a relaiilor bugetare cu Uniunea European
FIAP
ENTITATEA PUBLIC Compartimentul Audit Intern
Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 01.01.2006 PROBLEMA:Inexistena controalelor generale implementate la nivelul subsistemelor IT. CONSTATARE Din evaluare, auditorii interni au constatat c nu exist un sistem de controale generale care vor fi avute n vedere n procesul de proiectare, realizare, testare i implementare al tuturor subsistemelor IT ce ruleaz pe echipamentele entitii publice, astfel: - Controlul datelor introduse n aplicaii; - Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer); - Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complecte; - Validarea datelor transferate din alte aplicaii; - Efectuarea tranzaciilor numai de la computere definite n prealabil. CAUZE Inexistena procedurilor scrise i formalizate; - Neimplementarea controalelor generale. CONSECINE Inexistena unui set de controale generale, armonizat pentru toate subsistemele IT, poate s conduc la nedetectarea modificrilor neautorizate aduse datelor procesate i astfel apare probabilitatea ca date eronate s fie introduse, prelucrate i stocate n sistemul IT. RECOMANDRI - Realizarea unui sistem de implementare al controalelor generale; - Implementarea controalelor generale la nivelul tuturor subsistemelor IT pentru asigurarea unui grad de siguran sporit al integritii datelor electronice;
- Stabilirea unui responsabil cu elaborarea sistemului de controale generale i cu actualizarea periodic a acestuia; - Coroborarea atribuiilor stabilite cu fiele postului; - Informarea echipei de auditori cu privire la controalele generale implementate.
ntocmit, Popescu Sorin
Pentru conformitate, Ptrulescu George
FOAIE DE LUCRU NR. 3.8.
Obiectul nr. 3: Situaia licenelor pentru programele de calculator Obiectivul : Verificarea achiziionrii de licene pentru programele utilizate de ctre entitatea public
Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista de inventariere a calculatoarelor personale din entitatea public ncepnd de la poziia 0 i va cuprinde computerele cu numerele de inventar: 50, 100, 150, 200, 250 - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test. Data: 08.04.2005 Auditor intern, Popescu Sorin Supervizor, Dumitru Daniel
ENTITATEA PUBLIC Compartimentul Audit Intern FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 3.8. Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 01.01.2006 PROBLEMA Utilizarea n cadrul entitii publice a unor programe software fr licen. CONSTATARE - Din analiz s-a constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. - Practic salariaii au instalat programe utiliznd CD-uri pirat. - La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene . CAUZE - Inexistena unor proceduri scrise i formalizate - Entitatea public a achiziionat licene pentru pachetul de programe Lotus. Salariaii entitii publice au observat c dei programele Lotus le permit realizarea sarcinilor de serviciu, totui programele cuprinse n pachetul Microsoft Office sunt mai fiabile, mai flexibile, i permit realizarea unui numr mai mare de operaiuni. - De asemenea aceast situaie a fost generat i de primirea de la alte entiti publice de fiiere electronice create cu programele din pachetul Microsoft Office. CONSECINE - Entitatea public fiind pasibil de amenzi pentru utilizarea unor programe fr licent; - Soft-urile neliceniate instalate de utilizatori pot conine virui, troieni sau alte programe ce ar putea afecta n mod grav subsistemele IT la care au acces aceti utilizatori, sau chiar sistemul IT n ansamblul su.
RECOMANDRI - Elaborarea procedurilor pentru elaborarea programelor informatice pentru alertarea administratorilor de sistem; - Stabilirea unui responsabil cu elaborarea procedurilor i actualizarea lor; - Coroborarea atribuiilor din proceduri cu fiele posturilor; - Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen - Dezinstalarea tuturor programelor din pachetul Microsoft Office instalate ilegal; - Elaborarea unui angajament prin care toi salariaii entitii publice s-i asume ntreaga responsabilitate asupra urmrilor utilizrii de soft-uri pirat; - Realizarea unei analize complexe cost/calitate n urma creia managementul entitii publice s decid dac este necesar achiziionarea unui numr adecvat de licene Microsoft Office. ntocmit, Popescu Sorin Supervizat, Dumitru Daniel Pentru conformitate, Ptrulescu George
Lista control nr. 3.8. privind Situaia licenelor pentru programele de calculator Elemente Testate Eantion Computer nregistrat cu numr de inventar 50 Computer nregistrat cu numr de inventar 100 Computer nregistrat cu numr de inventar 150 Computer nregistrat cu numr de inventar 200 Computer nregistrat cu numr de inventar 250 Auditor intern, Popescu Sorin
Verificarea situaiei licenelor deinute att pentru sistemul de operare Windows NT Verificarea situaiei licenelor Verificarea existenei softVerificarea existenei controalelor de sistem ce deinute att pentru pachetul urilor neliceniate instalate de alerteaz administratorul n cazul utilizrii de de programe Microsoft Office utilizatori soft-uri pentru care nu s-au achiziionat licene
X X X X X
X FIAP FIAP X X
X X X X X
FIAP FIAP FIAP FIAP FIAP
ENTITATEA PUBLIC Compartimentul Audit Intern FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 3.8. Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 01.01.2006 PROBLEMA Utilizarea n cadrul entitii publice a unor programe software fr licen. CONSTATARE - Din analiz s-a constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. - Practic salariaii au instalat programe utiliznd CD-uri pirat. - La nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem ce alerteaz administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene . CAUZE - Inexistena unor proceduri scrise i formalizate - Entitatea public a achiziionat licene pentru pachetul de programe Lotus. Salariaii entitii publice au observat c dei programele Lotus le permit realizarea sarcinilor de serviciu, totui programele cuprinse n pachetul Microsoft Office sunt mai fiabile, mai flexibile, i permit realizarea unui numr mai mare de operaiuni. - De asemenea aceast situaie a fost generat i de primirea de la alte entiti publice de fiiere electronice create cu programele din pachetul Microsoft Office. CONSECINE - Entitatea public fiind pasibil de amenzi pentru utilizarea unor programe fr licent; - Soft-urile neliceniate instalate de utilizatori pot conine virui, troieni sau alte programe ce ar putea afecta n mod grav subsistemele IT la care au acces aceti utilizatori, sau chiar sistemul IT n ansamblul su.
RECOMANDRI - Elaborarea procedurilor pentru elaborarea programelor informatice pentru alertarea administratorilor de sistem; - Stabilirea unui responsabil cu elaborarea procedurilor i actualizarea lor; - Coroborarea atribuiilor din proceduri cu fiele posturilor; - Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen - Dezinstalarea tuturor programelor din pachetul Microsoft Office instalate ilegal; - Elaborarea unui angajament prin care toi salariaii entitii publice s-i asume ntreaga responsabilitate asupra urmrilor utilizrii de soft-uri pirat; - Realizarea unei analize complexe cost/calitate n urma creia managementul entitii publice s decid dac este necesar achiziionarea unui numr adecvat de licene Microsoft Office. ntocmit, Popescu Sorin Supervizat, Dumitru Daniel Pentru conformitate, Ptrulescu George
ENTITATEA PUBLIC Serviciul Audit Intern NOT DE RELAII NR. 3.11. privind respectarea cadrului normativ referitor la instruirea utilzatorilor sistemului IT adresat domnului Ptrulescu George, conductor Direcia IT
ntrebarea nr. 1: Au fost ntocmite programe de instruire a utilizatorilor subsistemelor IT? Rspuns nr. 1: n cadrul Departamentului IT au fost elaborate programe de instruire pentru utilizatorii fiecrui sub-sistem pus n funciune. Practic, o parte din utilizatori cunosc subsistemul IT nainte de a fi dat n funcionare, fiind implicai n realizarea subsistemului nc din fazele incipiente (studiu de fezabilitate, testare) ei fiind cei mai n msur s exprime o prere pertinent, pe baza experienei acumulate, asupra cerinelor practice ce trebuiesc ndeplinite de programele informatice. Sunt organizate seminarii pentru prezentarea aplicaiilor utilizatorilor. ntrebarea nr. 2: Sunt identificate nevoile de pregtire profesional a utilizatorilor? Rspuns nr. 2: Pe baza obiectivelor ce trebuiesc ndeplinite de programele informatice i a documentaiei tehnice elaborate, echipa ce a realizat aplicaia stabilete n faza postimplementare cerinele specifice de pregtire profesional a utilizatorilor. Aceste cerine sunt luate n consideraie n etapa de elaborare a documentaiei-suport de curs. ntrebarea nr. 3: Sunt testate cunotinele utilizatorilor acumulate n timpul seminariilor de prezentare a aplicaiei realizate? Rspuns nr. 3: Nu. ntrebarea nr. 4: Sunt participanii la seminarii invitai s-i exprime opinia asupra utilitii cunotinelor profesionale prezentate? Rspuns nr. 4: Nu. ntrebarea nr. 5: Mai avei ceva de adugat? Rspuns nr. 5: Nu.
Nota : Pe baza Notei de relaii nr. 3.4. nu se va elabora FIAP, dar aspectele negative constatate vor fi menionate n Raportul de audit intern.
LISTA DE VERIFICARE NR. 4 Obiectivul IV. SECURITATEA IT
Nr. crt. 4.1.
ACTIVITATEA DE AUDIT Examinarea procedurilor privind securitatea IT 4.1.1. Verificarea gradului de acoperire prin proceduri a activitilor realizate a. Aprobarea procedurilor de ctre persoanele competente; b. Stabilirea modelelor de formulare specifice; a. Precizarea modalitilor de complectare a modelelor; d. Oferirea unor exemple n acest sens; e. Actualizarea sistematic a procedurilor; f. Conformitatea procedurilor cu politica IT; 4.1.2.nglobarea activitilor de control intern n punctele cheie ale procesului; 4.1.3. Respectarea principiul dublei semnturi; 4.1.4. Stabilirea responsabilitilor persoanelor implicate n activitatea de securitate IT; 4.1.5. Asigurarea transpunerii prelucrrilor ntr-un sistem informatizat, respectiv realizarea codificrii modelelor de formulare i informaiile activitilor, algoritmi de prelucrare .a. 4.1.6. Modalitatea arhivrii documentelor. Compararea atribuiilor cuprinse n proceduri cu cele din fiele posturilor Examinarea cunoaterii procedurilor de ctre responsabilii cu realizarea acestei activiti Aprecierea calitii procedurilor de ctre personalul de execuie: a) consider procedurile corespunztoare? b) constatat disfuncionaliti n timpul aplicrii practice? c) exist propuneri de perfecionare a procedurilor d) modul de soluionare a propunerilor de perfecionare a procedurilor
DA
NU
OBS.
X X
4.2. 4.3. 4.3.
4.5.
Politica de securitate IT
Verificai existena politicii de securitate IT
Nr. crt. 4.6.
ACTIVITATEA DE AUDIT Verificai actualizarea politicii de securitate IT Monitorizarea implementrii politicii de securitate IT Verificai desemnarea unui responsabil cu monitorizarea implementrii politicii de securitate IT Analizai ntocmirea i transmiterea sistematic a rapoartelor de monitorizare Evaluarea controalelor fizice n domeniul IT a. Verificai efectuarea controalelor fizice conform procedurilor b. Verificai existena surselor alternative de energie electric c. Verificai realizarea sistematic a serviciilor de mentenan d. Verificai restricionarea accesul la servere-le IT numai al persoanelor autorizate, innd cont de pericolul deteriorrii acestor echipamentelor IT sau al datelor critice pe care le proceseaz; e. Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate, astfel: - camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii; - senzori de micare; - sistem de alarm n caz de incendiu; - sistem de stingere a incendiilor; - echipamente de aer condiionat; - ui neinflamabile echipate cu ncuietori adecvate. Sigurana accesului la reea i a comunicrii datelor n reea Verificarea alocrii numelui de utilizator i parolei aferente pentru accesul la reea Monitorizarea conectrii la reea conform listei de logg-are Analizai dac a fost elaborat documentaia tehnic adecvat privind conectarea la Internet. Verificai dac aceast documentaie este adecvat i actualizat sistematic. Determinai dac manualele de utilizare a reelei au n vedere asigurarea securitii comunicrii datelor n reea. Analizai aciunile ntreprinse n cazurile n care este ameninat integritatea i eficacitatea transmiterii datelor n reea. Analizai rapoartele de monitorizare a traficului datelor n reea. Programele anti-virus Verificai implementarea programelor anti-virus conform procedurilor: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - programul anti-virus s verifice staia de lucru la pornire; - programul anti-virus s monitorizeze toate programele i aplicaiile active, mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic);
DA X X X X -
NU
OBS.
Interviu nr. 4.5.
4.7.
Test nr. 4.7.
X X X X X X X X X X X X X X -
List de control nr. 4.7.
4.8.
Test nr. 4.8. Foaie de lucru nr. 4.8. List de control nr. 4.8. FIAP nr. 4.8.
4.9.
Test nr. 4.9. Foaie de lucru nr.

4.9.
Nr. crt. -
ACTIVITATEA DE AUDIT programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nouaprui Monitorizarea sistematic a funcionalitii programelor anti-virus Verificai sistemul de actualizare a programelor anti-virus
DA
NU X
OBS.
List de control nr. 4.9. FIAP nr. 4.9.
X X X X X X X X X X X X X X X X -
4.10.
4.11.
Recuperarea datelor n caz de dezastru Elaborarea planului de recuperare a datelor n caz de dezastru. a. Aprobarea planului de recuperare a datelor n caz de dezastru. b. Desemnarea echipei de implementare a planului i a responsabilitilor adecvate membrilor echipei c. Comunicarea planului personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru. d. Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii e. Cuprinderea tuturor domeniilor de aciune importante ale entitii publice n structura planului. f. Identificarea principalele procese i aplicaii IT ce trebuiesc recuperate g. Analizarea implementrii cerinelor specifice privind recuperarea datelor n caz de dezastru la nivelul sistemului IT. Verificai desemnarea responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru Verificai efectuarea monitorizrii sistematice Verificai luarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor a. Verificai dac datele stocate pentru a fi recuperate n caz de dezastru sunt actualizate sistematic. b. Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat Sistemul de arhivare Verificarea modului de arhivare a datelor Verificai evaluarea periodic a activitii de arhivare
Interviu nr. 4.10.
FIAP nr. 4.10.
Data: 01.04.2005 Auditor intern, Radu George Supervizor, Dumitru Daniel
ENTITATEA PUBLIC Serviciul Audit Intern INTERVIU nr. 4.5. privind Politica de securitate IT adresat domnului Ptrulescu George, Director Direcia IT Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005 Nr. crt. 1. 2. 3. 4. 5. 6. 7. ntrebri Exist o politic de securitate IT? Exist preocupri pentru securitatea IT? Politica de securitate IT este actualizat? Este desemnat un responsabil cu monitorizarea implementrii politicii de securitate IT? Este desemnat un responsabil cu gestionarea riscurilor la nivelul departamentului IT? Au fost ntocmite i transmise sistematic rapoarte de monitorizare? Mai avei ceva de adugat? Auditori, Da X X X X X X X Intervievat, . Nu Obs.
Data: 03.04.2005
NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s nu se elaboreze FIAP. Informaiile primite n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.
Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC
Serviciul Audit Intern TEST NR. 4.7. Misiunea de audit: Audit IT Perioada auditat: 01.01.2005- 31.12.2005 Obiectul testului : Securitatea IT. Obiectivele testului: Verificai efectuarea controalelor fizice conform procedurilor Descrierea testului Populaia statistic a fost constituit din cele 15 direcii generale ale unitii identificate ca urmare a analizei organigramei entitii publice. Eantionul a fost constituit prin selectarea aleatoare a Direciei IT precum i a Departamentului Financiar Contabil i a Departamentului Resurse Umane unde sunt localizate servere ce deservesc necesitile lor specifice, respectiv 20% din totalul populaiei. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.7, litera e), i anume: Verificai dotarea camerelor n care se afl servere-le cu echipamente adecvate, astfel: - camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii; - senzori de micare; - sistem de alarm n caz de incendiu; - sistem de stingere a incendiilor; - echipamente de aer condiionat; - ui neinflamabile echipate cu ncuietori adecvate. Testarea s-a concretizat n elaborarea Listei de control nr. 1 privind Efectuarea controalelor fizice. Constatri Din analiza Listei de control rezultate, s-au constatat mai multe disfuncionaliti:
- accesul necontrolat la toate cele trei locaii selectate (Centrul IT, Departamentului Financiar Contabil, Departamentul Resurse Umane) att al persoanelor din cadrul altor departamente ct i alte persoane din afara entitii publice;
- dei au fost instalate camere de supraveghere acestea nu sunt permanent monitorizate; - deseori, camerele n care sunt localizate serverele sunt lsate descuiate i nesupravegheate, dei sunt echipate cu ncuietori adecvate; Din analiza, am constatat c nu exist obligativitatea prezentrii unei autorizaii scrise pentru a scoate echipamente IT din cldirea entitii publice. Considerm c aceast situaie trebuie urgent remediat pentru a se evita furtul echipamentelor IT. Concluzii n acest caz nu se va elabora FIAP.
Data: 01.04.2005 Auditor intern, Supervizor,
Lista control nr. 4.7. privind efectuarea controalelor fizice conform procedurilor Elemente Testate Sistemul de controale fizice Implementat la nivelul camerelor n care se afl servere Camere de supraveghere care Senzori de Sistem de Sistem de Echipamente Ui neinflamabile acoper zona de intrare n camera micare alarm n caz stingere a de aer echipate cu serverului monitorizate permanent de incendiu incendiilor condiionat ncuietori adecvate de serviciul ce asigur paza cldirii X X X X X NU X X X X X NU NU NU
X
Eantion Direcia IT Departamentul Financiar Contabil Departamentul Resurse Umane
NU
Nota : Echipa de auditori a constatat c nu au fost instalate nici camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii precum i nici senzori de micare la nivelul Departamentul Resurse Umane. n prezenta List de control auditorii au punctat lipsa acestor controale cu meniunea Nu deoarece situaia a fost remediat n timpul misiunii de audit i nu s-a mai ntocmit FIAP, dar aspectele negative constatate vor fi menionate n Raportul de audit intern.
Procedura P08: Colectarea dovezilor
ENTITATEA PUBLIC Serviciul Audit Public Intern TEST NR. 4.8. Misiunea de audit: Audit IT Perioada auditat: 01.01.2005- 31.12.2005 Obiectul testului: Securitatea IT. Obiectivele testului: Sigurana accesului la reea i a comunicrii datelor n reea Descrierea testului Populaia statistic a fost constituit din cele 250 de calculatoare existente la nivelul entitii publice, conform Listei de inventariere a calculatoarelor personale. Eantionul pentru realizarea testrii siguranei accesului la reea a fost stabilit pe baza unui procent de 2%, din totalul populaiei statistice, respectiv 5 calculatoare personale, conform Foii de lucru nr. 4.2. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.8, i anume: - Verificai modul de alocare a numelui de utilizator i parolei aferente pentru accesul la reea ; - Monitorizarea conectrii la reea conform listei de logg-are. Testarea s-a concretizat n elaborarea Listei de control nr. 4.2. privind Accesul i comunicarea datelor n reea. Constatri Din analiza Listei de control nr. 4.2. rezultate, s-a constatat c: a. majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. b. datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-
le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT. c. practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului. d. n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate. Concluzii n acest caz se va elabora FIAP nr. 4.8.
Data: 01.04.2005 Auditor intern, Georgescu Ion Supervizor, Ionescu Mircea
FOAIE DE LUCRU NR. 4.8. Obiectul 4.: Securitatea IT Obiectivul : Sigurana accesului la reea i a comunicrii datelor n reea
Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se conecteaz la reeaua entitii publice la poziiile: 35, 85, 135, 185, 235 - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test.
Data: 08.04.2005 Auditor, Radu George Supervizor, Dumitru Daniel
Lista control nr. 4.8. privind Accesul i comunicarea datelor n reea Elemente Testate Eantion Computer aflat la poziia 35 Computer aflat la poziia 85 Computer aflat la poziia 135 Computer aflat la poziia 185 Computer aflat la poziia 235 Verificai modul de alocare aMonitorizarea conectrii la reea numelui de utilizator i paroleiconform listei de logg-are aferente pentru accesul la reea FIAP X FIAP FIAP X X X X X X
ENTITATEA PUBLIC Compartimentul Audit Intern
Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 01.01.2006 PROBLEMA Neutilizarea unui singur nume de utilizator i unei singure parole pentru accesul la sistemul IT. CONSTATARE Din evaluare s-a constatat c majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT care folosesc nume de utilizator i parole diferite. Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. CAUZE - Inexistena unor proceduri adecvate de conectare a utilizatorilor la reea; - Lips corelrii dintre atribuiile de serviciu i fiele de post ale salariailor. CONSECINE - Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT. - Practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului. - n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate.
RECOMANDRI - Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol; - Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT - Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii publice prin care s specifice aciunile ntreprinse; - Instruirea adecvat a salariailor ce utilizeaz sistemul IT; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor.
Procedura P08: Colectarea dovezilor
ENTITATEA PUBLIC Serviciul Audit Public Intern TEST NR. 4.9. Misiunea de audit: Audit IT Perioada auditat: 01.01.2005- 31.12.2005 Obiectul testului: Securitatea IT. Obiectivele testului: Programele anti-virus Descrierea testului Populaia statistic testat a fost constituit din totalul calculatoarelor personale utilizate la nivelul entitii publice, adic 250 de computere. Eantionul pentru realizarea testrii programelor anti-virus a fost stabilit pe baza unui procent de 2%, din totalul populaiei de 250 de calculatoare, respectiv 5 calculatoare personale, conform Foii de lucru nr. 4.9. Testarea a constat n examinarea urmtoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.9, i anume: Verificarea implementarea programelor anti-virus conform procedurilor: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - programul anti-virus s verifice staia de lucru la pornire; - programul anti-virus s monitorizeze toate programele i aplicaiile active, mesajele primite i s verifice automat actualizrile la intervale regulate (zilnic); - programul anti-virus s se actualizeze n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui. Monitorizarea sistematic a funcionalitii programelor anti-virus; Verificai sistemul de actualizare a programelor anti-virus.
Constatri O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). Echipa de auditori a verificat 5 de staii de lucru, selectate din cadrul tuturor departamentelor.
Din analiza Listei de control nr. 4.9. rezultate, s-a constatat c: n cazul a 2 calculatoare din cadrul entitii publice configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul antivirus are un efect negativ asupra performanei sistemului; Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. Concluzii n acest caz se va elabora FIAP.
Data: 01.04.2005 Auditor intern, Supervizor,
FOAIE DE LUCRU NR. 4.9. Obiectul 4. : SECURITATEA IT Obiectivul : Programele anti-virus
Testarea se va realiza pe un eantion care a fost constituit astfel: - populaia total este de 250 calculatoare personale; - eantionul va fi de 2%, respectiv 250 x 2% = 5 calculatoare personale; - pasul de selecie va fi 250 : 5 = 50; - eantionul se va constitui din calculatoarele existente n Lista IP-urilor calculatoarelor ce se conecteaz la reeaua entitii publice la poziiile: 11, 61, 111, 161, 211 conform celor prezentate n Lista de control anexat la Testul nr. 4.9.: - eantionul constituit va fi verificat integral; - n urma verificrii se va ntocmi un test. Data: 08.04.2005 Auditor, Radu George Supervizor, Dumitru Daniel
Lista control nr. 4.9. privind Programele anti-virus

Monitorizarea sistematic a funcionalitii Instalarea unui program Programul anti-virus s Programul anti-virus Programul anti-virus se anti-virus adecvat verific staia de lucru la monitorizeaz toate actualizeaz n reea, programelor antivirus necesitilor utilizatorilor pornire programele i aplicaiile astfel nct s protejeze staiilor de lucru active, mesajele primite eficient datele electronice i verific automat mpotriva viruilor nouEantion actualizrile la intervale aprui regulate (zilnic) Computer X X X X X aflat la poziia 11 Computer X X X X X aflat la poziia 61 Computer FIAP FIAP FIAP FIAP FIAP aflat la poziia 111 Computer FIAP FIAP FIAP FIAP FIAP aflat la poziia 161 Computer NU X X X X aflat la poziia 211 Elemente Testate Verificarea implementarea programelor anti-virus conform procedurilor Verificarea sistemului de actualizare a programelor anti-virus
X X FIAP
FIAP
X
ENTITATEA PUBLIC Serviciul Audit Intern FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 4.9. Misiunea de audit: Audit IT Perioada auditat: PROBLEMA Neaplicarea n mod unitar a politicii de securitate IT a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. CONSTATARE O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). Echipa de auditori a verificat 15 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele: - n 5 departamente din cadrul entitii publice configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea email-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; - Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. CAUZE - Inexistena unei proceduri pentru aplicarea n mod unitar a politicii de securitate IT; - Lipsa procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus. CONSECINE - Prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea utilizatorilor din cadrul departamentelor. - Existena viruilor ridic numeroase semne de ntrebare n privina exactitii datelor stocate n sistemul IT.
RECOMANDRI - Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus; - Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor; - Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin proceduri; - Monitorizarea aplicrii n mod unitar a politicii de securitate IT; - Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice;

INTERVIU nr. 4.10.
privind recuperarea datelor n caz de dezastru adresat domnului Bloiu Gheorghe, ef Serviciul Asisten Tehnic Misiunea de audit: Audit IT Perioada auditat: 01.01.2005 - 31.12.2005
Nr. crt. ntrebri Da Nu Obs.
1.
Elaborarea planului de recuperare a datelor n caz de dezastru. a. Aprobarea planului de recuperare a datelor n caz de dezastru. b. Desemnarea echipei de implementare a planului i a responsabilitilor adecvate membrilor echipei c. Comunicarea planului personalului cu responsabiliti n punerea n aplicare a acestuia n caz de dezastru. d. Analizai dac planul de recuperare a datelor a fost testat i modificat periodic n baza rezultatelor obinute n urma testrii e. Cuprinderea tuturor domeniilor de aciune importante ale entitii publice n structura planului. f. Identificarea principalele procese i aplicaii IT ce trebuiesc recuperate g. Analizarea implementrii cerinelor specifice privind recuperarea datelor n caz de dezastru la nivelul sistemului IT. Desemnarea responsabililor cu monitorizarea implementrii procedurilor privind recuperarea datelor n caz de dezastru Luarea msurilor necesare privind recuperarea datelor n caz de dezastru conform procedurilor a. Verificai dac datele stocate pentru a fi recuperate n caz de dezastru sunt actualizate sistematic. b. Stabilii dac locaia n care sunt stocate datele pentru a fi recuperate n caz de dezastru este adecvat
X X X X X X X X X X X X FIAP nr. 4.10. FIAP nr. 4.10. FIAP nr. 4.10.
2. 3.
Data: 03.04.2005
Auditori,
Intervievat,
NOTA: Pe baza rspunsurilor la interviu i a documentelor transmise s-a hotrt ca pentru acest obiectiv s se elaboreze FIAP nr. 4.4. Informaiile primite prin documentele transmise n cadrul interviului vor fi utilizate la elaborarea Raportului de audit intern.
FI DE IDENTIFICARE I ANALIZ A PROBLEMEI NR. 4.10. Misiunea de audit: Audit IT Perioada auditat: PROBLEMA Nerecuperarea datelor n cazul producerii unui eventual dezastru. CONSTATARE Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii publice, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare. Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate. CAUZE - Inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru; - Neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru. CONSECINE - Incapacitatea de recuperare complet a datelor n caz de dezastru, conform cerinelor planificate; - ntr-o situaia producerii unui dezastru activitile stabilite prin planul de recuperare a datelor se pot dovedi insuficiente pentru atingerea obiectivelor stabilite.
RECOMANDRI - Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile;
- Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes. - Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; - Monitorizarea sistematic de ctre management a modului n care sunt aplicate procedurilor privind recuperarea datelor n caz de dezastru.
Pentru conformitate, Badea tefan
Procedura P11: edina de nchidere
ENTITATEA PUBLIC
Compartimentul Audit Intern MINUTA EDINEI DE NCHIDERE Misiunea de audit: Tehnologia Informaiei Perioada auditat: 01.01.2005-01.01.2006 ntocmit: Popescu Sorin/Radu George Avizat: Dumitru Daniel
Lista participanilor:
Data: 15.03.2006 Data: 15.03.2006 Nr. telefon
Numele
Dumitru Daniel Popescu Sorin Radu George Ptrulescu George Voiculescu Alin Boerescu Ilie Teodorescu Rodica Eleodor Darius Iordache Camelia Pun Elena Badea tefan
Funcia
Coordonat or Auditor Auditor Conductor ef ef ef ef ef ef ef
Direcia/ Serviciul
CAPI SAPI SAPI DIT STDAM SCD SEE SAPP SRC SSD SAT
E-mail
Semntura
Stenograma edinei: Prezentarea obiectivelor auditate si constatrilor pentru fiecare obiect auditat; a fost discutat fiecare deficien n parte, au fost analizate cauzele care au contribuit la realizarea disfunctionalitii, au fost prezentate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor constatate. In cadrul Sedintei de inchidere structura auditata si-a insusit in totalitate constatarile si recomandarile formulate de echipa de auditori. In consecinta, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregatit pentru aprobare si transmitere structurii auditate. Raportul de audit intern va fi insotit de o SINTEZA care va contine concluziile echipei de auditori interni cu prezentarea principalelor recomandari si opinia generala a acesteia. Structura auditata se angajeaza sa completeze Planul de actiune si calendarul implementarii recomandarilor, cu termenele de realizare si persoanele responsabile cu implementare acestora, pe care il vor discuta cu echipa de auditori.
ENTITATEA PUBLICA Compartimentul Audit Intern
PROIECT
RAPORT DE AUDIT INTERN
STRUCTURA AUDITAT: DIRECIA TEHNOLOGIA INFORMAIEI
MISIUNEA DE AUDIT INTERN PRIVIND SISTEMUL INFORMATIC
BUCURESTI 2006
I. INTRODUCERE Echipa de auditare a fost formata din :
Popescu Sorin - auditor superior, cooordonator al misiunii; Radu George - auditor superior. Auditorii fac parte din Compartimentul de Audit Intern al entitatii publice. Ordinul de efectuare a misiunii de audit - Ordinul de serviciu nr. 25/08.01.2006 aprobat de conductorul entitii publice. Baza legal a aciunii de auditare: - Planul de audit intern pentru anul 2006, aprobat de conducerea instituiei; - Legea nr. 672/2002 privind auditul public intern, cu modificarile si completarile ulterioare; - OMFP nr. 38/15.01.2003 prin care se aproba Normele metodologice de aplicare a Legii nr. 672/2002, cu modificarile si completarile ulterioare; - Ordinul prin care se aproba Normele proprii de exercitare a auditului intern n cadrul entitatii publice. Durata aciunii de auditare 25.01.2006 17.04.2006. Perioada supus auditrii 01.01.2005 31.12.2005 Scopul misiunii de audit intern este acela de evaluare a activitii IT de la nivelul entitatii publice, in ceea ce priveste respectarea conditiilor de legalitate, economicitate, eficacitate, de a adauga valoare prin formularea recomandarilor, iar in cazul identificarii unor probleme/iregulariti, de corectare a acestora. Obiectivele misiunii de audit intern:
Planul strategic;
Organizarea i funcionarea Departamentului IT; Implementarea sistemului IT; Securitatea IT. Tipul de auditare Echipa de auditori interni a efectuat un audit de conformitate/regularitate privind respectarea principiilor, regulilor metodologice si procedurale in ceea ce priveste activitatea IT de la nivelul entitii publice. Principalele tehnici si instrumente de audit utilizate: interviul pentru lmurirea de aspecte legate de organizarea i desfurarea activitilor; testarea pentru urmairea detectarii erorilor sau a iregularitatilor; eantionarea pentru analiza ntocmirii documentelor i efectuarea plilor; observarea fizic n vederea formrii unei preri proprii privind modul de ntocmire i emitere a documentelor; liste de verificare pentru a stabili condiiile pe care trebuie s le ndeplineasc fiecare domeniu auditabil; liste de control; chestionare; FIAP-uri intocmite pentru fiecare disfunctionalitate constatata; Documente i materiale examinate n cadrul Direciei IT - verificarea la faa locului a vizat urmtoarele materiale i documente:
Politica entitii publice n domeniul IT; Planul strategic i planurile anuale privind sistemul IT ntocmite i aprobate; Organigrama entitii publice; Regulamentul de Organizare i Funcionare si fisele posturilor; legislatia in vigoare privind activitatea IT; manuale de utilizare i manuale de operare; planul de recuperare n caz de dezastru; procedurile aplicabile activitii IT; alte documente.
Materialele ntocmite pe timpul auditrii au fost urmtoarele: teste si foi de lucru privind descrierea activitilor auditate; fie de identificare si analiz a problemelor constatate (FIAP); liste de verificare pe obiective (LV); documente de lucru; tabel Puncte tari i puncte slabe, Tematica in detaliu; Programul de audit, Programul interveniei la faa locului; Chestionarul de control intern; raport de audit, minutele edinelor de deschidere, nchidere etc. Departamentul IT este organizat ca direcie general n cadrul entitii publice avnd un numr de 7 servicii de specialitate. Organizarea i funcionarea serviciului au fost conforme organigramei i Regulamentului de organizare i funcionare. Pentru toi salariaii sunt ntocmite fiele posturilor prin care sunt stabilite relaiile ierarhice de subordonare i sarcinile de serviciu. Activiti desfurate n cadrul Departamentului IT: tehnoredactare i dezvoltare aplicaii multimedia; comunicaii date n format electronic; analiza, proiectare i programare a sistemului IT; administrare retele calculatoare; asisten tehnic a utilizatorilor. II. CONSTATRI SI RECOMANDARI Evaluarea respectarii conditiilor de conformitate si regularitate a activitii de tehnologie a informaiei la nivelul entitii publice a pornint de la elaborarea planului strategic, defalcarea acestuia n planuri anuale, organizarea i funcionarea departamentului IT, implementarea sistemului informatic si securitatea datelor din acest sistem i s-a materializat in elaborarea listelor de verificare, testelor bazate pe esantionare, verificarilor prin listele de control, observari fizice pe teren, interviurilor care au condus la solicitarea unor note de relatii, prin care s-au identificat o serie de probleme si defcienelor care au fost inscrise in formularele de constatare (FIAP-uri). Analiza activitatii de achizitii publice a impus evaluarea cadrului procedural existent care sta la baza organizarii si functionarii sistemului. In continuare, prezentam principalele constatari, consecintele care s-au produs sau care ar putea sa apara in perioada imediat urmatoare, precum si recomandarile formulate in vederea
corectarii disfunctionalitatilor semnalate sau ale celor care pot sa survina urmare acestora, diminuarii riscurilor existente si imbunatatirii sistemelor de management si control intern al activitatilor auditate cu scopul facilitarii atingerii obiectivelor prestabilite. 1. Plan strategic
1.1. Procedurile specifice care reglementeaza activitatea de achizitii publice Pentru realizarea obiectivelor trebuie sa se asigure un echilibru intre sarcini, competente (autoritate decizionala conferita prin delegare) si responsabilitati (obligatia de a realiza obiectivele) si sa se defineasca proceduri. Procedurile reprezinta pasii ce trebuie urmati si cuprind algoritmul pentru realizarea sarcinilor, exercitarea competentelor, existenta activitatilor de control in punctele cheie si angajarea responsabilitatilor. Pe baza procedurilor, se monitorizeaza existenta si functionalitatea controlului intern, ceea ce ne va da posibilitatea sa constatam daca: este integrat in sistemul de management al fiecarei componente structurale a entitatii publice; intra in grija personalului de la toate nivelurile; ofera o asigurare rezonabila atingerii obiectivelor, incepand cu cele individuale si terminand cu cele generale. In practica, exist dou categorii de proceduri: - procedurile generale date de cadrul normativ, respectiv de legi, norme metodologice, precizri/instruciuni, elaborate de ctre entitatea public, in vederea organizarii aplicrii unor reglementri de rang superior, aprobate de ctre conductorul entitii publice sau chiar de ctre Guvern; - proceduri specifice pentru fiecare activitate a entitatii publice sub forma metodologiilor de lucru, care trebuie s fie: scrise si formalizate pe suport de hartie si/sau electronic, care sa contina pe fluxurile operatiilor, activitati de control, responsabilitati, modele de documente cu exemplificari respectiv formalizate, cunotinele individuale i colective care trebuie stocate i puse n ordinea care sa corespunda scopurilor entitii publice si aprobate de management; simple i specifice, pentru ca executanii s le poata utiliza cu respectarea cadrului normativ, pentru fiecare domeniu al entitii publice; completate si actualizate n mod permanent, n funcie de evoluia reglementrilor si practicii n materie; aduse la cunotina executanilor pentru a putea fi discutate, insusite si aplicabile in mod uniform. Echipa de auditori interni, din analiza a constatat ca in cadrul Departamentului IT atribuirea responsabilitatilor, separarea sarcinilor si delegarea autoritatilor nu sunt stabilite prin proceduri scrise si formalizate, care inca nu sunt elaborate, dar pasii care trebuie parcursi si algoritmurile de calcul sunt cunoscute de catre salariati si se regasesc in ROF si in fisele posturilor. Totusi, fisele posturilor desi exista si sunt semnate, sunt prea generale, fara specificarea, pentru fiecare post, a atributiilor ce le revin, in conformitate cu cadrul normativ. Persoanele implicate in realizarea actvitii IT sunt informate despre sarcinile care le revin, dar nu sunt familiarizati cu desfasurarea activitatii pe baza de proceduri specifice fiecarei activitati.
Din aceste considerente, pe parcursul evaluarii, nu au fost testate procedurile de lucru pentru desfasurarea activitatilor specifice privind activitatea IT, desi au fost cuprinse in listele de verificate realizate pe obiectivele misiunii de audit intern, ci au fost urmarite operatiile si activitatile auditabile. In baza acestor observatii, se regaseste ca o recomandare generala la toate obiectivele misiunii de audit intern, necesitatea elaborarii procedurilor scrise si formalizate. 1.2. Politica entitii publice n domeniul IT
Auditorii interni au analizat att politica entitii publice n domeniul IT ct i dac aceasta asigur atingerea obiectivelor entitii publice. n acest sens a fost examinat modul n care politica entitii publice n domeniul IT se reflect n planul strategic i n planurile anuale, fr a fi constatate deficiene majore. 1.3. Elaborarea planului strategic i a planurilor anuale
Activitatea de auditare privind activitatea IT a analizat planificarea realizrii sistemului IT prin planuri strategice i planuri anuale. In acest sens, s-au inventariat documentele oficiale prin care au fost desemnate persoanele responsabile cu elaborarea i actualizarea planului, examinndu-se dac responsabilitile sunt clar definite. Evaluarea activitii de elaborarea a planului strategic a fost efectuat pe baza analizei sistemului de fundamentare al acestuia i a sistemului de prioritizare al activitilor cuprinse n plan, fr a fi constatate aspecte negative. 1.4. Subsistemele IT pentru funciile principale
A fost verificat modul de elaborare a subsistemelor IT pentru funciile principale ale entitii publice, corelarea termenelor de realizare a subsistemelor precum i ntocmirea i realizarea programului de instruire a utilizatorilor fiecrui subsistem n parte. Echipa de auditori a constatat existena unor departamente care nu dispun de subsisteme IT specifice activitilor care se desfoar n cadrul entitii publice. Astfel, din analiz a rezultat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou nfiinate care au fost solicitate s-i exprime nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu s-au realizat conform planificrii. Aceast situaie se datoreaz pe de o parte inexistenei la nivelul entitii publice a unor proceduri complete de elaborare a strategiei IT care s permit actualizarea sistematica, functie de schimbrile legislative iar pe de alt parte insuficienei personalului de specialitate. Echipa de auditori consider c domenii importante de activitate ale entitii publice pentru care nu s-a realizat implementarea subsistemelor IT necesare pentru desfurarea activitii au randamente sczute, ceea ce afecteaz ansamblul entitii publice. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: - Elaborarea unei proceduri scrise i formalizate pentru actualizarea strategia IT la nivelul entitii publice pentru departamentele nou-create; - Stabilirea responsabilitii pentru actualizarea strategiei IT; - Preocupare pentru angajarea personalului de specialitate i ocuparea posturilor vacante;
- Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor; - Inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuiesc incluse n strategia IT. 2. Organizarea i funcionarea departamentului IT
2.1. Organizarea departamentului IT Conform ogranigramei aprobate la nivelul conducerii entitii publice, departamentul este constituit din apte servicii de specialitate, astfel: Serviciul de tehnoredactare i dezvoltare aplicaii multimedia Serviciul comunicaii date Serviciul exploatarea echipamentelor Serviciul analiza, proiectare i programare Serviciul retele calculatoare Serviciul sintez dezvoltare Serviciul asisten tehnic. Echipa de auditori interni a analizat att numr total de posturi de conducere i numrul de posturi de conducere ocupate cu delegaie, ct i numr total de posturi de execuie i numrul de posturi de execuie vacante. Din analiza a rezultat ca i deficien existena unui numr mare de posturi de execuie vacante i a unui numr mare de posturi de conducere deinute cu delegaie. S-a constatat c datorit numrului mare de posturi vacante existente i utilizrii sistemului de delegare a personalului specializat pentru exercitarea funciilor de conducere, acetia trebuie s-i ndeplineasc sarcinile de serviciu ce le revin ca urmare a delegrii, dar i sarcinile curente de serviciu, ceea ce afecteaz ndeplinirea atribuiilor de serviciu i calitatea acestora. Aceast sitauie a fost creat ca urmare a inexistenei att a unei strategii la nivelul entitii publice pentru ocuparea posturilor vacante i mai ales a celor de conducere ct i a unor proceduri pentru suplinirea posturilor vacante i pentru delegarea funciilor de conducere. Astfel, activitatea din cadrul unor departamente nu se desfoar la parametrii stabilii, constatndu-se frecvent ntrzieri n implementarea diferitelor aplicaii, nerealizarea testrilor finale la termenele planificate, precum i netransmiterea rapoartelor periodice de monitorizare. Din practic se demonstreaz c persoanele cu delegaie nu au ntotdeauna acelai nivel de implicare pentru soluionarea problemelor care apar comparativ cu titularii posturilor. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: - Elaborarea procedurilor scrise i formalizate pentru suplinirea posturilor vacante i delegarea funciilor de conducere precum i stabilirea responsabililor pentru elaborarea i actualizarea acestor proceduri; - Realizarea unui program de pregtire profesional a persoanelor delegate pe funcii de conducere la nivelul entitii publice. identificate 2.2. Analizarea pregtirii profesionale continue a salariailor
Echipa de auditori interni a analizat realizarea pregtirii profesionale a salariailor conform atribuiilor i responsabilitilor stabilite prin fia postului, existena unui sistem de indicatori de
performan pentru evaluarea gradului de pregtire profesional a acestora precum i existena planului de pregtire profesional continu. Din analiz s-a constatat inexistena unui sistem de pregtire profesional continu a salariailor departamentului IT. Astfel, aproximativ 20% dintre angajaii care au acces la sistemul IT implementat au fost angajai n cadrul entitii publice n ultimele 3 luni i nu au primit o pregtire profesional adecvat privind modul de utilizare a acestuia. Din totalul personalului angajat s-a constatat c doar utilizatorii iniiali au primit instruire n acest sens. De asemenea, instruciunile de utilizare pentru sistemul IT nu sunt prezentate ntr-un format adecvat, respectiv nu exist manuale de utilizare, n documentaia pus la dispoziia departamentului. Astfel, majoritatea angajailor nu au instruciuni clare cu privire la modul de operare a sistemului, ceea ce duce la comiterea de erori. Aceast situaie se datoreaz inexistenei unui plan de pregtire profesional continu i a procedurilor scrise i formalizate cu pregtirea profesional continu. Dei pn n prezent nu au aprut erori cu grave implicaii financiare, totui exist pericolul apariiei unor probleme/disfuncionaliti datorate pregtirii profesionale a salariailor. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: Elaborarea unui sistem de pregtire profesional continu a salariailor; Elaborarea procedurilor scrise i formalizate pentru pregtirea profesional continu; Stabilirea unor responsabiliti cu elaborarea procedurilor i actualizarea acestora; Coroborarea atribuiilor i responsabilitilor stabilite prin proceduri cu fiele posturilor; Analiza planului de pregtire profesional continu i al gradului de realizare al acestuia n vederea elaborrii planului pentru anul viitor; Stabilirea responsabilitilor cu monitorizarea acestora, o atenie deosebit fiind pentru utilizatorii noi care trebuie s primeasc instruire special pentru toate subsistemele IT pe care le vor utiliza, conform unui program bine stabilit. 2.3. Examinarea sistemului de gestionare a riscurilor generale
Echipa de auditori interni a verificat existena unei politici unitare privind gestionarea riscurilor, constatnd inexistena unui sistem de identificare, evaluare i management al riscurilor la nivelul entitii publice. Din analiz a reieit c nu exist preocupri pentru gestionarea riscurilor din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern asociate pentru limitarea riscurilor. De asemenea, s-a evideniat neacordarea ateniei cuvenite managementului riscurilor de ctre personalul entitii publice, fapt ce ar putea avea drept consecin producerea unor evenimente nedorite pentru care entitatea public nu este pregtit s acioneze. Mai mult, exist pericolul de a nu fi identificate riscuri majore i de a nu fi asociate controale interne adecvate pentru reducerea efectului riscurilor la un nivel acceptabil pentru entitatea public. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: - Stabilirea unei strategii de gestionare a riscurilor la nivelul entitii publice; - Stabilirea responsabililor pentru elaborarea i actualizarea sistematic a procedurilor privind ntocmirea Registrului riscurilor; - Coroborarea atribuiilor i responsabilitilor din proceduri cu cele din fia postului referitor la gestionarea riscurilor;
- Organizarea i inerea la zi a Registrului riscurilor cuprinznd msurile de control intern care sunt luate pentru limitarea acestora; - Monitorizarea sistematic, la cererea managerului responsabil cu probleme administrative, a modului de respectare n activitatea zilnic a procedurilor scrise i formalizate menite s asigure gestionare a riscului; - Instruirea personalului pentru complectarea Registrului Riscurilor de ctre responsabilul cu inerea acestuia; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor. 3. Implementarea sistemului IT
3.1. Gradul de realizare al subsistemelor IT stabilite prin plan Echipa de auditori a constatat c subsistemele IT nu au fost realizate la termenele stabilite. Din analiza modului de implementare a subsistemelor IT, potrivit planului anual ntocmit i aprobat, s-a constatat c termenele stabilite nu sunt respectate, iar departamentele ce ar trebui s utilizeze deja noile aplicaii IT ntmpin deficiene n transmiterea datelor n format electronic celorlalte departamente care beneficiaz deja de programe performante. Persoane implicate iniial n aceste activiti au primit alte responsabiliti i nu au fost desemnate ali salariai pentru nlocuirea acestora, iar inexistena unei proceduri de monitorizare a implementrii subsistemelor IT face dificil monitorizarea activitilor de ctre managementul general; Deficienele constatate au dus la nerealizarea subsistemelor IT la termenele stabilite, ceea ce ngreuiaz realizarea sarcinilor de serviciu n domenii cheie de activitate ale entitii publice, existnd posibilitatea afectrii gradului de realizare a obiectivelor entitii publice. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: - Elaborarea procedurilor scrise i formalizate pentru monitorizarea implementrii subsistemelor IT - Desemnarea responsabilitii cu realizarea i actualizarea procedurilor; - Efectuarea unor inspecii pentru stabilirea stadiului n care se afl implementarea subsistemelor IT specifice pe departamente; 3.2. Verificai existena controalelor generale subsistemelor IT de sistem la nivelul
Echipa de auditori a analizat: Controlul datelor introduse n aplicaii, Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer), Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complecte, Validarea datelor transferate din alte aplicaii, Controalelor care verific nregistrrile duble; Autorizarea electronic i/sau manual a tranzaciilor Efectuarea tranzaciilor numai de la computere definite n prealabil Pstrarea integral a nregistrrilor astfel nct s se poat urmri tranzaciile efectuate din faza de iniiere pn la finalizarea lor; nelegerea controalelor implementate de ctre utilizatori
Din analiz s-a constatat inexistena controalelor generale implementate la nivelul subsistemelor IT. Din evaluare, a reieit c nu exist un sistem de controale generale care vor fi avute n vedere n procesul de proiectare, realizare, testare i implementare al tuturor subsistemelor IT ce ruleaz pe echipamentele entitii publice, astfel: - Controlul datelor introduse n aplicaii; - Controlul pe parcursul procesrii datelor i rapoartele produse n caz de nerealizarea procesrii (ntreruperi, transfer); - Controlul datelor rezultate n urma procesrii, astfel nct s se asigure c aceste date sunt complecte; - Validarea datelor transferate din alte aplicaii; - Efectuarea tranzaciilor numai de la computere definite n prealabil. Practic, dei sunt implementate anumite controale generale proprii fiecrui subsistem, nu exist un set unitar de controale generale implementat la nivelul programelor i aplicaiilor ce ruleaz n cadrul sistemului IT. n fapt inexistena procedurilor scrise i formalizate privind implementarea unui set unitar de controalele generale nc din faza de proiecare a programelor i/sau aplicaiilor las la latitudinea programatorilor implementare controalelor pe care acetia le consider necesare. Inexistena unui set de controale generale, armonizat pentru toate subsistemele IT, poate s conduc la nedetectarea modificrilor neautorizate aduse datelor procesate i astfel apare probabilitatea ca date eronate s fie introduse, prelucrate i stocate n sistemul IT. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: Realizarea unui sistem de implementare al controalelor generale; - Implementarea controalelor generale la nivelul tuturor subsistemelor IT pentru asigurarea unui grad de siguran sporit al integritii datelor electronice; - Stabilirea unui responsabil cu elaborarea sistemului de controale generale i cu actualizarea periodic a acestuia; - Coroborarea atribuiilor stabilite cu fiele postului; - Informarea echipei de auditori cu privire la controalele generale implementate. 3.3. Situaia licenelor pentru programele de calculator
Echipa de auditori a analizat situaia licenelor deinute att pentru sistemul de operare Windows ct i pentru pachetul de programe Microsoft Office. De asemenea, s-a urmrit identificarea eventualele limitri bugetare n privina achiziionrii licenelor, evaluarea eventualelor disfuncionaliti aprute n procesul de achiziionare a licenelor, precum i implementarea controalelor de sistem menite s alerteze administratorul n cazul utilizrii de softuri pentru care nu s-au achiziionat licene. S-a constatat utilizarea n cadrul entitii publice a unor programe software fr licen. Din analiz a reieit c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. De asemenea, la nivelul sistemului IT al entitii publice s-a constatat inexistena controalelor de sistem menite s alerteze administratorul n cazul utilizrii de soft-uri pentru care nu s-au achiziionat licene. Entitatea public a achiziionat licene pentru pachetul de programe Lotus. Salariaii entitii publice au observat c dei programele Lotus le permit realizarea sarcinilor de serviciu, totui programele cuprinse n pachetul Microsoft Office sunt mai fiabile, mai flexibile, i permit realizarea unui numr mai mare de operaiuni. De asemenea, aceast situaie a fost generat i de
primirea de la alte entiti publice de fiiere electronice create cu programele din pachetul Microsoft Office. Soft-urile neliceniate instalate de utilizatori pot conine virui, troieni sau alte programe ce ar putea afecta n mod grav subsistemele IT la care au acces aceti utilizatori, sau chiar sistemul IT n ansamblul su. Perpetuarea situaiei prezentate face entitatea public pasibil de amenzi pentru utilizarea unor programe fr licent. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: Elaborarea procedurilor pentru elaborarea programelor informatice pentru alertarea administratorilor de sistem; Stabilirea unui responsabil cu elaborarea procedurilor i actualizarea lor; Coroborarea atribuiilor din proceduri cu fiele posturilor; Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen Dezinstalarea tuturor programelor din pachetul Microsoft Office instalate ilegal; Elaborarea unui angajament prin care toi salariaii entitii publice s-i asume ntreaga responsabilitate asupra urmrilor utilizrii de soft-uri pirat; Realizarea unei analize complexe cost/calitate n urma creia managementul entitii publice s decid dac este necesar achiziionarea unui numr adecvat de licene Microsoft Office. 4. Lansarea procedurii de licitatie deschisa pentru atribuirea contractului de achizitie publica 4.1. Evaluarea controalelor fizice n domeniul IT
Pentru protecia echipamentelor IT precum i a datelor n format electronic prelucrate, transferate i/sau stocate la nivelul acestor echipamente n cadrul entitii publice au fost implementate controale fizice, astfel: camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii; senzori de micare; sistem de alarm n caz de incendiu; sistem de stingere a incendiilor; echipamente de aer condiionat; ui neinflamabile echipate cu ncuietori adecvate. Practic s-a constatat c nu au fost instalate nici camere de supraveghere care acoper zona de intrare n camera serverului monitorizate permanent de serviciul ce asigur paza cldirii precum i nici senzori de micare la nivelul Departamentul Resurse Umane. Acast situaie a fost remediat n timpul misiunii de audit.
4.2.
Sigurana accesului la reea i a comunicrii datelor n reea
n urma misiunii de audit efectuate, s-a constatat c majoritatea salariailor din cadrul entitii publice, prin natura sarcinilor de serviciu, trebuie s acceseze mai multe subsisteme IT, fapt pentru care folosesc nume de utilizator i parole diferite.
Sistemul IT este conceput astfel nct pentru accesul la fiecare subsistem IT trebuiesc folosite: nume de utilizator i parol diferite, n loc s se foloseasc acelai nume de utilizator i parol indiferent de subsistemul IT la care se conecteaz angajatul. Datorit numrului mare de parole ce trebuiesc utilizate de salariai, deseori acetia noteaz parolele pe documente lsate pe birou. Astfel salariaii cunosc parolele colegilor de serviciu, putndu-se conecta la subsistemele IT folosindu-le datele de identificare i prin urmare putnd s vizualizeze i/sau modifice date aflate n acele subsisteme IT. Practic, sistemul de parole nu mai are funcii principale de restricionare a accesului persoanelor nepotrivite ci ngreuneaz funcionarea sistemului, iar n situaia apariiei unor incidente nu se pot stabili responsabilitile adecvate. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: - Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol; - Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT - Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii publice prin care s specifice aciunile ntreprinse; - Instruirea adecvat a salariailor ce utilizeaz sistemul IT; - Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor. 4.3. Programele anti-virus
Echipa de auditori interni a verificat: - instalarea unui program anti-virus adecvat necesitilor utilizatorilor staiilor de lucru; - dac programul anti-virus verific staia de lucru la pornire; - dac programul anti-virus monitorizeaz toate programele i aplicaiile active, mesajele primite i verific automat actualizrile la intervale regulate (zilnic); - dac programul anti-virus s se actualizeaz n reea, astfel nct s protejeze eficient datele electronice mpotriva viruilor nou-aprui. De asemenea a fost analizat modul de monitorizare sistematic a funcionalitii programelor anti-virus. S-a constatat neaplicarea n mod unitar a politicii de securitate IT, fapt ce a condus la infectarea cu virui a unor staii de lucru din sistemul IT al entitii publice. O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). n urma verificrii la faa locului a unui eantion din staiile de lucru ce funcioneaz n sistemul IT al entitii publice, s-au constatat urmtoarele deficiene: n 5 departamente din cadrul entitii publice configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mail-ului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui.
Considerm c aspectele negative constatate se datoreaz lipsei procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus. Practic, prezena viruilor i a altor programe duntoare pe staiile de lucru afecteaz n mod negativ activitatea utilizatorilor din cadrul departamentelor. De asemenea, existena viruilor ridic numeroase semne de ntrebare n privina exactitii datelor stocate n sistemul IT. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului anti-virus; Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor; Coroborarea atribuiilor i responsabilitilor stabilite prin fiele posturilor cu sarcinile stabilite prin proceduri; Monitorizarea aplicrii n mod unitar a politicii de securitate IT; Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice; 4.4. Recuperarea datelor n caz de dezastru
Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii publice, crora li se va cere s pun planul n aplicare n caz de dezastru. Astfel, este posibil ca datele de rezerv s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare. Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate. Practic, inexistena unei proceduri pentru testarea Planului de recuperare a datelor n caz de dezastru face posibil neaplicarea n mod unitar a procedurilor privind recuperarea datelor n caz de dezastru. Din aceste considerente n situaia producerii unui dezastru activitile stabilite prin plan se pot dovedi insuficiente pentru atingerea obiectivelor stabilite. Pentru mbuntirea activitii desfurate i eliminarea defcienelor constatate, au fost elaborate urmtoarele recomandri: - Alocarea de roluri i responsabiliti, iar Planul a datelor n caz de dezastru trebuie comunicat tuturor persoanelor responsabile; - Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes. - Back-up-urile trebuie stocate n siguran n afara sediului. - Verificarea tuturor exemplarele de rezerv nainte de fi depozitate; Monitorizarea sistematic de ctre management a modului n care sunt aplicate procedurilor privind recuperarea datelor n caz de dezastru. III. CONCLUZII Prezentul proiect de Raport de audit intern a fost ntocmit n baza Listei centralizatoare a obiectelor auditabile, a Programului de audit i a Programuui de intervenie la faa locului, a constatrilor efectuate, n timpul colectrii i prelucrrii informaiilor, i n timpul muncii pe teren. Toate constatrile au la baza probe de audit obtinute pe baza testelor efectuate consemnate in
documentele de lucru (liste de control, foi de lucru, interviuri, note de relatii) intocmite de auditorii interni si insusite de factorii de management ai entitatii. Evaluarea are la baza discutiile care au avut loc, cu privire la recomandarile auditorilor interni, in sedina de inchidere a misiunii, apreciate de catre participanti, ca fiind realiste si fezabile. De asemenea, consideram ca rezultatele evaluarii auditorilor interni privind Activitatea IT se inscriu in parametri normali pentru aceasta perioada de implementare a functiei de tehnologia informaiei n entitile publice. n consecinta, apreciem ca prin implementarea recomandarilor echipei de audit intern acivitatea IT va cunoaste o ameliorare semnificativa. Structura auditat are obligaia s ntocmeasc Programul de aciune n vederea implementrii recomandrilor i s raporteze echipei de auditori interni, periodic, stadiul de implementare al acestora.
Data: 15.03.2006
Auditori interni, Popescu Sorin Radu George
SINTEZA RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE Misiunea de audit intern privind Activitatea IT din cadrul entitatii publice s-a desfasurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, Normelor generale privind exercitarea activitatii de audit public intern, aprobate prin OMFP nr. 38/2003 si a Normelor specifice aprobate de conducerea entitatii. Misiunea a fost cuprinsa in Planul de audit intern pe anul 2006, si a fost realizata de auditorii interni: Popescu Sorin, auditor superior si Radu George, auditor superior. II. CONCLUZII Echipa de auditori interni in baza Programului de audit intern, a testarilor si analizei efectuate evalueaza Activitatea de achizitii publice din cadrul entitatii, dupa cum urmeaza: Nr. OBIECTIVUL crt. 1. PLAN STRATEGIC 2. ORGANIZAREA I FUNCIONAREA DEPARTAMENTULUI IT 3. IMPLEMENTAREA SISTEMULUI IT 4. SECURITATEA IT APRECIERE DE IMBUNATATIT X X X
FUNCTIONAL X
CRITIC
III. CONSTATARI SI RECOMANDARI Principalele constatari si recomandari rezultate din realizarea misiunii de audit sunt:
CONSTATARE nr. 1:
Din analiz s-a constatat c n cadrul entitii publice exist structuri nou-nfiinate ca urmare a recomandrilor Comisiei Europene i a schimbrilor legislative, care nu au notificat departamentul IT n privina nevoilor lor de aplicaii informatice specifice. n acelai timp, s-au constatat i departamente nou nfiinate care au fost solicitate s-i exprime nevoile pentru realizarea subsistemelor IT specifice activitii lor, dar care nu s-au realizat conform planificrii. (FIAP nr. 1.1.)
RECOMANDARE nr. 1: - Inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuiesc incluse n strategia IT. CONSTATARE nr. 2:
Din analiz s-a constatat c nu exist preocupri pentru gestionarea riscurilor din cadrul entitii i nu a fost inut Registrul riscurilor cuprinznd riscurile poteniale i istoricul acestora, cu efectele i consecinele lor, precum i activitile de control intern asociate pentru limitarea riscurilor. RECOMANDARE nr. 2: Stabilirea unei strategii de gestionare a riscurilor la nivelul entitii publice; Organizarea i inerea la zi a Registrului riscurilor cuprinznd msurile de control intern care sunt luate pentru limitarea acestora;
CONSTATARE nr. 3: Din analiz s-a constatat c n cadrul unor departamente se folosesc programe aferente pachetului Microsoft Office fr ca pentru acestea entitatea public s fi achiziionat licene. RECOMANDARE nr. 3: Inventarierea tuturor staiilor de lucru pentru a stabili situaia real privind utilizarea programelor fr licen Dezinstalarea tuturor programelor din pachetul Microsoft Office instalate ilegal; Elaborarea unui angajament prin care toi salariaii entitii publice s-i asume ntreaga responsabilitate asupra urmrilor utilizrii de soft-uri pirat; Realizarea unei analize complexe cost/calitate n urma creia managementul entitii publice s decid dac este necesar achiziionarea unui numr adecvat de licene Microsoft Office.
CONSTATARE nr. 4: O politic adecvat de securitate IT trebuie s prevad instalarea unui program anti-virus pe toate staiile de lucru, ca acesta s verifice staia de lucru la pornire, s monitorizeze toate programele de aplicaii active, mesajele primite i s verifice automat actualizrile la intervale regulate (poate chiar zilnic). Echipa de auditori a verificat 15 de staii de lucru, selectate n mod aleator, din cadrul tuturor departamentelor i a constatat urmtoarele: n 5 departamente din cadrul entitii publice configuraia programului anti-virus a fost modificat pentru a ntrerupe monitorizarea ntregii activiti i verificarea e-mailului i, n special, a fiierelor anexate. Acest lucru s-a realizat la cererea conductorului departamentului, deoarece se considera c programul anti-virus are un efect negativ asupra performanei sistemului; Urmare acestei constatri, am verificat respectivele staii de lucru pentru a descoperi prezena viruilor i am descoperit c toate erau infectate cu virui. RECOMANDARE nr. 4: Monitorizarea aplicrii n mod unitar a politicii de securitate IT; Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice; CONSTATARE nr. 5: Echipa de auditori a constatat c dei exist un Plan de recuperare n caz de dezastru aprobat, acesta nu a fost niciodat nici testat, nici comunicat membrilor cheie ai entitii publice, crora li se va cere s pun planul n aplicare n caz de dezastru. Este posibil ca datele de rezerv
s nu fie nici disponibile, nici utilizabile conform planificrii, n cazul n care ar fi necesare pentru a realiza o recuperare. Din analiz, a rezultat c dei au fost amenajate faciliti n ateptare de recuperare a datelor n caz de dezastru, acestea nu au fost testate pentru a se garanta c sunt eficiente, funcionabile i actualizate pentru a face fa cerinelor impuse de schimbrile tehnologice implementate. RECOMANDARE nr. 5: - Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes. Recomandare generala Elaborarea procedurilor, scrise si formalizate, pentru toate activitatile care se desfasoara in cadrul Departamentului IT. De asemenea, pentru activitatile de elaborare a procedurilor sa se stabileasca responsabilii cu realizarea, monitorizarea implementarii lor si actualizarea periodica. Precizam ca in Sinteza au fost prezentate FIAP-urile reprezentative, in numar de cinci, dar Raportul de audit intern cuprinde 10 FIAP-uri.
Data: 15.03.2006 Auditori interni, Popescu Sorin Radu George Supervizat, Dumitru Daniel
ENTITATEA PUBLICA Serviciul Audit Intern

PLANUL DE ACIUNE
I CALENDARUL IMPLEMENTRII RECOMANDRILOR Recomandarea Nr. ob. 1. Elaborarea unei proceduri scrise i formalizate pentru actualizarea strategia IT la nivelul entitii publice pentru departamentele nou-create Stabilirea responsabilitii pentru actualizarea strategiei IT Preocupare pentru angajarea personalului de specialitate i ocuparea posturilor vacante Coroborarea atribuiilor prezentate prin proceduri cu cele stabilite prin fiele posturilor Inventarierea stadiului implementrii subsistemelor IT la nivelul departamentelor entitii publice i stabilirea necesitilor IT care trebuiesc incluse n strategia IT Elaborarea procedurilor scrise i formalizate pentru suplinirea posturilor vacante i delegarea funciilor de Plan de aciune Elaborarea procedurii pentru actualizarea strategia IT pentru departamentele nou-create Desemnarea persoanelor responsabile cu actualizarea strategiei IT Notificarea Departamentului Resurse Umane pentru organizarea concursurilor n vederea ocuprii posturilor vacante Analiza procedurilor i a fielor de post i actualizarea fielor Realizarea inventarierii stadiului implementrii subsistemelor IT i formularea propunerilor de modificare a strategiei IT Elaborarea procedurilor i stabilirea persoanelor responsabile cu actualizarea Calendarul implementrii 31.05.2006 Responsabil cu implementarea Eleodor Darius, Serviciul analiza, proiectare i programare Ptrulescu tefan, director Direcia Tehnologia Informaiei Ptrulescu tefan, director Direcia Tehnologia Informaiei Pun Elena, Serviciul sintez dezvoltare Pun Elena, Serviciul sintez dezvoltare
18.04.2006 18.04.2006
28.07.2006 31.05.2006
2.
01.06.2006
Pun Elena, Serviciul sintez dezvoltare
conducere precum i stabilirea responsabililor pentru elaborarea i actualizarea acestor proceduri Realizarea unui program de pregtire profesional a persoanelor delegate pe funcii de conducere la nivelul entitii publice Realizarea unei strategii de ocupare a posturilor de conducere deinute cu delegaie i a celor de execuie vacante Elaborarea unui sistem de pregtire profesional continu a salariailor i numirea unui responsabil cu realizarea acestuia Elaborarea procedurilor scrise i formalizate pentru pregtirea profesional continu Stabilirea unor responsabiliti cu elaborarea procedurilor i actualizarea acestora Coroborarea atribuiilor i responsabilitilor stabilite prin proceduri cu fiele posturilor Analiza planului de pregtire profesional continu i al gradului de realizare al acestuia n vederea elaborrii planului pentru anul viitor Stabilirea responsabilitilor cu monitorizarea pregtirii profesionale, o atenie deosebit fiind pentru utilizatorii noi care trebuie s primeasc instruire special pentru toate subsistemele IT pe care le vor utiliza, conform unui program bine stabilit
acestora Realizarea programului 02.05.2006 Ptrulescu tefan, director Direcia Tehnologia Informaiei Pun Elena, Serviciul sintez dezvoltare Pun Elena, Serviciul sintez dezvoltare Pun Elena, Serviciul sintez dezvoltare Ptrulescu tefan, director Direcia Tehnologia Informaiei Pun Elena, Serviciul sintez dezvoltare Ptrulescu tefan, director Direcia Tehnologia Informaiei Ptrulescu tefan, director Direcia Tehnologia Informaiei
Elaborarea strategiei Analizarea necesitilor de pregtire profesional Elaborarea procedurilor Stabilirea responsabilitilor Analiza procedurilor i a fielor de post i actualizarea fielor Elaborarea planului de pregtire profesional continu Stabilirea persoanelor responsabile cu monitorizarea
12.05.2006 19.05.2006
19.05.2006 04.05.2006 28.07.2006 11.06.2006
18.04.2006
Stabilirea unei strategii de gestionare a riscurilor la nivelul entitii publice Stabilirea responsabililor pentru elaborarea i actualizarea sistematic a procedurilor privind ntocmirea Registrului riscurilor Coroborarea atribuiilor i responsabilitilor din proceduri cu cele din fia postului referitor la gestionarea riscurilor Organizarea i inerea la zi a Registrului riscurilor cuprinznd msurile de control intern care sunt luate pentru limitarea acestora Monitorizarea sistematic, la cererea managerului responsabil cu probleme administrative, a modului de respectare n activitatea zilnic a procedurilor scrise i formalizate menite s asigure gestionare a riscului Instruirea personalului pentru complectarea Registrului Riscurilor de ctre responsabilul cu inerea acestuia Informarea echipei de auditori n privina stadiului elaborrii, nsuirii i monitorizrii riscurilor Elaborarea procedurilor scrise i formalizate pentru monitorizarea implementrii subsistemelor IT Efectuarea unor inspecii pentru stabilirea stadiului n care se afl implementarea subsistemelor IT specifice pe departamente.
Elaborarea strategiei Stabilirea responsabililor
14.05.2006 18.04.2006
Ptrulescu tefan, director Direcia Tehnologia Informaiei Ptrulescu tefan, director Direcia Tehnologia Informaiei Pun Elena, Serviciul sintez dezvoltare Teodorescu Rodica, Serviciul exploatarea echipamentelor Teodorescu Rodica, Serviciul exploatarea echipamentelor
Analiza procedurilor i a fielor de post i actualizarea fielor Elaborarea Registrului Riscurilor
28.07.2006
10.05.2006
Realizarea monitorizrii
Trimestrial, la solicitarea managerului
Realizarea instruirii Notificarea periodic a echipei de auditori asupra stadiului implementrii recomandrilor Elaborarea procedurilor Efectuarea inspeciilor
15.05.2006 lunar 31.05.2006 01.06.2006
3.
Teodorescu Rodica, Serviciul exploatarea echipamentelor Ptrulescu tefan, director Direcia Tehnologia Informaiei Eleodor Darius, Serviciul analiza, proiectare i programare Badea tefan, Serviciul asisten tehnic
Realizarea unui sistem de implementare al controalelor generale Implementarea controalelor generale la nivelul tuturor subsistemelor IT pentru asigurarea unui grad de siguran sporit al integritii datelor electronice; Stabilirea unui responsabil cu elaborarea sistemului de controale generale i cu actualizarea periodic a acestuia Coroborarea atribuiilor stabilite cu fiele postului Informarea echipei de auditori cu privire la controalele generale implementate
Elaborarea sistemului de controale generale Implementarea sistemului de controale generale Stabilirea responsabilului Analiza i actualizarea fielor de post
02.05.2006 31.05.2006
Eleodor Darius, Serviciul analiza, proiectare i programare Eleodor Darius, Serviciul analiza, proiectare i programare Eleodor Darius, Serviciul analiza, proiectare i programare Eleodor Darius, Serviciul analiza, proiectare i programare Ptrulescu tefan, director Direcia Tehnologia Informaiei Pun Elena, Serviciul sintez dezvoltare Pun Elena, Serviciul sintez dezvoltare Pun Elena, Serviciul sintez dezvoltare Teodorescu Rodica, Serviciul exploatarea echipamentelor Teodorescu Rodica, Serviciul exploatarea echipamentelor Ptrulescu tefan, director Direcia Tehnologia Informaiei
20.04.2006 15.05.2006 lunar 03.05.2006 20.04.2006 25.04.2006 02.05.2006 02.05.2006 20.04.2006
Notificarea periodic a echipei de auditori asupra stadiului implementrii recomandrilor Elaborarea procedurilor pentru elaborarea Elaborarea procedurilor programelor informatice pentru alertarea administratorilor de sistem Stabilirea unui responsabil cu elaborarea Stabilirea responsabilului procedurilor i actualizarea lor Coroborarea atribuiilor din proceduri cu Analiza i actualizarea fielor fiele posturilor de post Inventarierea tuturor staiilor de lucru Efectuarea inventarierii pentru a stabili situaia real privind utilizarea programelor fr licen Dezinstalarea tuturor programelor din Dezinstalarea programelor din pachetul Microsoft Office instalate ilegal pachetul Microsoft Office instalate ilegal Elaborarea unui angajament prin care toi Elaborarea angajamentului salariaii entitii publice s-i asume ntreaga responsabilitate asupra urmrilor utilizrii de soft-uri pirat
4.
Realizarea unei analize complexe cost/calitate n urma creia managementul entitii publice s decid dac este necesar achiziionarea unui numr adecvat de licene Microsoft Office Realizarea unui proces de reenginering la nivelul sistemului IT din cadrul entitii publice, astfel nct salariaii s poat accesa subsistemele IT de care au nevoie utiliznd un singur nume de utilizator i o singur parol Stabilirea unui responsabil pentru derularea acestui proces reenginering al sistemului IT Implementarea unui sistem de raportare potrivit cruia responsabilul desemnat s ntocmeasc periodic rapoarte de activitate ctre managementul general al entitii publice prin care s specifice aciunile ntreprinse pentru facilitarea accesului la subsistemele IT Instruirea adecvat a salariailor ce utilizeaz sistemul IT Elaborarea procedurilor formalizate care s prevad aciunile ce trebuiesc ntreprinse n cazul modificrii configuraiei programului antivirus Stabilirea unui responsabil pentru elaborarea i actualizarea procedurilor Coroborarea atribuiilor i responsabilitilor stabilite prin fiele
Realizarea analizei cost/calitate i comunicarea rezultatelor managementului entitii publice
15.05.2006
Ptrulescu tefan, director Direcia Tehnologia Informaiei
Realizarea procesului de reenginering la nivelul sistemului IT
08.05.2006
Badea tefan, Serviciul asisten tehnic
Stabilirea responsabilului Implementarea sistemului de raportare
20.04.2006 27.04.2006
Badea tefan, Serviciul asisten tehnic Ptrulescu tefan, director Direcia Tehnologia Informaiei
Realizarea instruirii utilizatorilor Elaborarea procedurilor
30.11.2006 02.05.2006
Ptrulescu tefan, director Direcia Tehnologia Informaiei Teodorescu Rodica, Serviciul exploatarea echipamentelor Teodorescu Rodica, Serviciul exploatarea echipamentelor Teodorescu Rodica, Serviciul exploatarea
Stabilirea responsabilului Analiza i actualizarea fielor de post
20.04.2006 25.04.2006
posturilor cu sarcinile stabilite prin proceduri Monitorizarea aplicrii n mod unitar a politicii de securitate IT Constituirea unor echipe pentru efectuarea de verificri anti-virus la nivelul tuturor staiilor de lucru din cadrul entitii publice Alocarea de roluri i responsabiliti, i comunicarea Planului de recuperare a datelor n caz de dezastru tuturor persoanelor responsabile Testarea i apoi actualizarea planului astfel nct s faciliteze recuperarea datelor cu succes Back-up-urile trebuie stocate n siguran n afara sediului Verificarea tuturor exemplarelor de rezerv nainte de fi depozitate Monitorizarea sistematic de ctre management a modului n care sunt aplicate procedurilor privind recuperarea datelor n caz de dezastru
echipamentelor Efectuarea monitorizrii Stabilirea echipelor 30.11.2006 25.04.2006 Teodorescu Rodica, Serviciul exploatarea echipamentelor Teodorescu Rodica, Serviciul exploatarea echipamentelor Voiculescu Alin, Serviciul de tehnoredactare i dezvoltare aplicaii multimedia Voiculescu Alin, Serviciul de tehnoredactare i dezvoltare aplicaii multimedia Ptrulescu tefan, director Direcia Tehnologia Informaiei Voiculescu Alin, Serviciul de tehnoredactare i dezvoltare aplicaii multimedia Ptrulescu tefan, director Direcia Tehnologia Informaiei
Alocarea rolurilor i responsabilitilor i comunicarea planului Testarea i actualizarea planului
15.05.2006
01.06.2006
Alegerea unei locaii pentru stocarea back-up-urilor Verificarea tuturor exemplarelor de rezerv Efecturea monitorizrii n mod sistematic
28.04.2006 permanent
trimestrial
Director Direcia Tehnologia Informaiei, Ptrulescu tefan

Ghid IT

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ghid IT

Încărcat de

Drepturi de autor:

Formate disponibile

MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRALA DE ARMONIZARE PENTRU AUDITUL PUBLIC INTERN

GHID PRACTIC MISIUNEA DE AUDIT INTERN PRIVIND ACTIVITATEA IT

Procedura P01: Iniierea auditului

ENTITATEA PUBLIC Compartimentul Audit Intern Nr. 25 din 08.01.2006

Coordonator Compartimentul de Audit Intern, Dumitru Daniel

Procedura - P02: Iniierea auditului

Procedura - P02: Iniierea auditului

Procedura P03: Iniierea Auditului

Direcia Tehnologia Informaiei Coordonatorul Compartimentului Audit Intern

Procedura P04: Colectarea i prelucrarea informaiilor

Data: 10.01.2006 Data: 10.01.2006

Procedura P05 : Analiza riscurilor

Data: 20.01.2006 Data: 20.01.2006

Organizarea i funcionarea departamentului IT

11. Sistemul de evaluare a personalului

12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor

13. Gradul de realizare a subsistemelor informatice stabilite prin plan

14. Complementaritatea subsistemelor informatice 15. Funcionalitatea subsistemelor n reea

20. Politica de securitate IT 21. Monitorizarea implementrii politicii de securitate IT

22. Evaluarea controalelor fizice n domeniul IT

23. Sigurana accesului la reea i a comunicrii datelor n reea

24. Programe antivirus

25. Recuperarea datelor n caz de dezastru

26. Sistemul de arhivare

Procedura P08: Colectarea dovezilor ENTITATEA PUBLIC Compartimentul Audit Intern

CHESTIONAR DE CONTROL INTERN

Data: 25.01.2006 Data: 25.01.2006 DA NU OBS.

X Planul trebuie actualizat potrivit schimbrilor legislative aprute

X X X S-a constatat necesitatea actualizrii planului i n timpul anului n curs

X X X Programele nu furnizeaz n toate cazurile confirmri cu privire la finalizarea cu succes a procesrii

X X X X X X X X X X X X X Nu exist rapoarte privind pista de audit

Au fost aplicate efectiv toate actualizrile.

Procedura - P05: Analiza riscurilor

ENTITATEA PUBLIC Serviciul Audit Intern

STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORA I APRECIEREA NIVELURILOR RISCURILOR

Data: 20.01.2006 Data: 20.01.2006

Ponderea factorilor de risc (Pi)

Nivelul de apreciere al riscului (Ni) N1

Impact financiar sczut Vulnerabilitate mic

Impact financiar ridicat

Aprecierea calitativ (F3) P3 N3 20%

Aprecierea calitativ (F3) P3 N3 20%

Organizarea i 7. Organizarea departamentului funcionarea IT departamentului IT

8. Stabilirea responsabilitilor prin fiele posturilor

9. Calificarea i pregtirea salariailor 10. Pregtirea profesional continu

0,5 0,5 0,5 0,5 0,5

0,3 0,3 0,3 0,3 0,3

0,2 0,2 0,2 0,2 0,2

1,2 1,5 1,3 1,3 1,8

Aprecierea calitativ (F3) P3 N3 20%

11. Sistemul de evaluare a personalului

12. Sistemul de gestionare a riscurilor conducerea Registrului riscurilor

13. Gradul de realizare a subsistemelor informatice stabilite prin plan

0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5

0,5 0,5 0,5

0,3 0,3 0,3

0,2 0,2 0,2

2,3 2,0 2,6

Aprecierea calitativ (F3) P3 N3 20%

18. Elaborarea manualelor de utilizare i a manualelor de operare

0,5 0,5 0,5 0,5 0,5

0,3 0,3 0,3 0,3 0,3