Sunteți pe pagina 1din 293

2012

AUDITUL SISTEMELOR INFORMATICE - MANUAL -

Pag. 1 / 214

Pag. 2 / 214

CUPRINS

Introducere............................................................................................................................................ 7 Capitolul 1. Contextul de desfurare a auditului IT pe plan intern i internaional .................................................................................................................................... 12 1.1 Contextul socio-economic. Strategii i politici pentru societatea informaional ........ 12 1.1.1 Situaia n cadrul Uniunii Europene ...................................................................................13 1.1.2 Stadiul Societii Informaionale n Romnia .................................................................15 1.2 Guvernarea IT ............................................................................................................................................. 16 1.3 Cadrul legislativ i de reglementare n domeniul IT .................................................................. 17 1.4 Stadiul actual privind cadrul de auditare a sistemelor informatice pe plan internaional i intern ....................................................................................................................................... 18 1.4.1 Cadrul de auditare INTOSAI...................................................................................................19 1.4.2 Liniile de aciune ale EUROSAI IT Working Group ....................................................23 1.4.3 Abordarea auditului sistemelor informatice n cadrul Curii de Conturi a Romniei ......................................................................................................................................................24 Capitolul 2. Standarde de audit IT ................................................................................... 28

2.1 Instituii, standarde i linii directoare ............................................................................................. 28 2.2 Cadrul de auditare INTOSAI ................................................................................................................. 29 2.2.1 StandardeIe ISSAI i INTOSAI GOV 9100 ..........................................................................29 2.2.2 ISSAI 3000 - Anexa 5 Auditul Performanei i Tehnologia Informaiei .............30 2.2.3 Liniile directoare ISSAI 5310.................................................................................................31 2.3 Standardele internaionale de audit ISA ......................................................................................... 32 2.4 Actul Sarbanes - Oxley ............................................................................................................................. 32 2.5 Standardele IIA........................................................................................................................................... 33 2.6 COSO ................................................................................................................................................................ 34 2.7 Schimbri ale standardelor de audit IT n viziunea EUROSAI - ITWG ............................... 34 2.8 Cadrul de lucru COBIT ............................................................................................................................. 38 2.8.1 ISACA, ITGI i cadrul de lucru COBIT .................................................................................38 2.8.2 Orientarea COBIT pe domenii i procese ..........................................................................39 2.8.3 Modele de maturitate COBIT .................................................................................................39 2.8.4 Msurarea performanelor.....................................................................................................40 2.8.5 Zonele de interes pentru guvernarea IT ...........................................................................40 2.8.6 Liniile Directoare pentru Auditare asociate Cadrului de lucru COBIT ..................41 2.8.7 Criteriile COBIT pentru informaie .....................................................................................42 2.8.8 Resursele IT..................................................................................................................................42 2.8.9 Domeniile COBIT ........................................................................................................................43 2.8.10 Controalele asociate proceselor ...........................................................................................44 2.8.11 Cerinele obiectivelor de control .........................................................................................45 2.8.12 Controalele IT i controalele economice ...........................................................................46 2.8.13 Controale generale IT i controale de aplicaii ...............................................................46
Pag. 3 / 214

2.8.14 2.8.15 2.8.16 2.8.17 2.8.18

Orientarea spre evaluare (msurtori)............................................................................. 47 Model generic de maturitate ................................................................................................. 47 Msurarea performanei......................................................................................................... 48 Modelul cadrului de referin COBIT ................................................................................. 48 Procese i obiective de control ............................................................................................. 49

2.9 Cadrul de lucru Val IT .............................................................................................................................. 60 2.9.1 Obiectivul i necesitatea cadrului de lucru Val IT ......................................................... 61 2.9.2 Aspecte legate de Investiiile IT din perspectiva cadrului Val IT ............................ 62 2.9.3 nelegerea conceptului de valoare n sensul cadrului de lucru Val IT ............. 62 2.9.4 Beneficii obinute prin utilizarea cadrului de lucru Val IT ........................................ 63 2.9.5 Concepte Val IT i principiile cadrului de lucru Val IT ................................................ 63 2.9.6 Domeniile cadrului de lucru Val IT ..................................................................................... 64 2.9.7 Business Case (BC)...................................................................................................................... 66 2.9.8 Procesele VAL IT ........................................................................................................................ 68 2.9.9 Liniile directoare Val IT ........................................................................................................... 70 2.10 Cadrul de lucru Risk IT ....................................................................................................................... 71 2.10.1 Principiile cadrului de lucru Risk IT ................................................................................... 71 2.10.2 Documentaia aferent cadrului de lucru Risk IT ......................................................... 72 2.10.3 Domenii, procese i activiti ................................................................................................ 73 2.11 Standardul ISO/CEI 27001 - Sisteme de management al securitii informaiei ..... 75 2.11.1 Abordare bazat pe proces .................................................................................................... 76 2.11.2 Obiective de control .................................................................................................................. 77 Capitolul 3. Riscuri IT ........................................................................................................... 80

3.1 Componentele eseniale ale domeniului guvernare de risc ..................................................... 80 3.1.1 Scenarii de evaluare a riscurilor .......................................................................................... 81 3.1.2 Fluxul de activiti pentru analiza riscurilor .................................................................. 82 3.1.3 Indicatori de risc ........................................................................................................................ 82 3.2 Probleme de audit asociate cu utilizarea sistemelor IT / IS ................................................... 83 3.2.1 Responsabilitatea ...................................................................................................................... 84 3.2.2 Vulnerabilitatea la modificri ............................................................................................... 84 3.2.3 Uurina la copiere .................................................................................................................... 85 3.2.4 Uurina accesului de la distan ......................................................................................... 85 3.2.5 Procesare invizibil .................................................................................................................. 85 3.2.6 Existena unui parcurs al auditului .................................................................................... 86 3.2.7 Date distribuite ........................................................................................................................... 86 3.2.8 ncrederea n prestatorii de servicii IT ............................................................................. 86 3.2.9 Utilizarea nregistrrilor furnizate de calculator ca prob de audit ...................... 86 3.3 Probleme cu impact semnificativ asupra riscului de audit ..................................................... 87 3.4 Model de management al riscurilor IT ............................................................................................. 88 3.5 Riscurile generate de existena mediului informatizat ............................................................. 91 3.5.1 Dependena de IT ...................................................................................................................... 91 3.5.2 Resurse i cunotine IT .......................................................................................................... 92 3.5.3 ncrederea n IT .......................................................................................................................... 93 3.5.4 Schimbri n domeniul sistemelor IT / IS ........................................................................ 94 3.5.5 Externalizarea serviciilor IT .................................................................................................. 95 3.5.6 Focalizarea pe afacere ............................................................................................................. 97
Pag. 4 / 214

3.5.7 3.5.8 3.5.9 3.5.10

Securitatea informaiei ............................................................................................................98 Protecia fizic a sistemelor IT ...........................................................................................100 Operarea sistemelor IT ..........................................................................................................101 Dezvoltri efectuate de utilizatorii finali ........................................................................102

3.6 Riscuri asociate furnizrii serviciilor IT ....................................................................................... 104 3.6.1 Managementul de vrf ...........................................................................................................104 3.6.2 Strategii i politici ....................................................................................................................108 3.6.3 Operare ........................................................................................................................................110 3.6.4 Managementul resurselor ....................................................................................................114 3.6.5 Factori externi ...........................................................................................................................116 3.6.6 Interaciunea cu utilizatorii .................................................................................................118 3.6.7 Consecine ale utilizrii serviciilor IT asupra cetenilor, mediului de afaceri i sectorului public .....................................................................................................................................120 Capitolul 4. Proceduri de audit IT ................................................................................. 126

4.1 Auditul sistemelor informatice ......................................................................................................... 126 4.1.1 Domeniul de aplicare ..............................................................................................................127 4.1.2 Documente de referin (reglementri) aplicabile n domeniul auditului IS/IT .........................................................................................................................................128 4.1.3 Obiective generale i obiective specifice ale auditului IT/IS ..................................129 4.1.4 Criterii de evaluare generice ...............................................................................................130 4.1.5 Determinarea naturii i volumului procedurilor de audit .......................................130 4.1.6 Revizuirea controalelor IT n cadrul misiunilor de audit financiar ......................131 4.2 Etapele auditului sistemelor informatice .................................................................................... 131 4.2.1 Planificarea auditului .............................................................................................................132 4.2.2 Efectuarea auditului ................................................................................................................139 4.2.3 Elaborarea raportului de audit i valorificarea constatrilor consemnate .......143 4.2.4 Revizuirea auditului sistemelor informatice .................................................................144 4.3 Evaluarea sistemelor informatice financiar-contabile .......................................................... 145 4.3.1 Informaii de fond privind sistemele IT / IS ale entitii auditate ........................147 4.3.2 Controale IT generale .............................................................................................................148 4.3.3 Evaluarea aplicaiei i evaluarea riscurilor ...................................................................150 4.4 Cadrul procedural pentru evaluarea sistemelor informatice ............................................. 158 4.4.1 Informaii de fond privind sistemele IT ale entitii auditate ................................159 PROCEDURA A1 - Privire general asupra entitii auditate ................................................159 PROCEDURA A2 - Principalele probleme IT rezultate din activitile anterioare de audit .........................................................................................................................................................159 PROCEDURA A3 - Dezvoltri informatice planificate ..............................................................159 PROCEDURA A4 - Configuraia hardware (echipamente), software (programe informatice) i personalul IT .............................................................................................................159 PROCEDURA A5 - Cerine pentru specialitii n auditul sistemului informatic .............160 PROCEDURA A6 - Activitatea necesar pentru evaluarea sistemelor ...............................160 PROCEDURA A7 - Contacte cheie .....................................................................................................160 4.4.2 Evaluarea mediului de control IT Controale generale IT ......................................160 PROCEDURA B1 - Managementul sistemului informatic ........................................................161 PROCEDURA B2 - Separarea atribuiilor ......................................................................................164 PROCEDURA B3 - Securitatea fizic i controalele de mediu................................................166 PROCEDURA B4 - Securitatea informaiei i a sistemelor......................................................167
Pag. 5 / 214

PROCEDURA B5 - Continuitatea sistemelor ................................................................................ 176 PROCEDURA B6 - Externalizarea serviciilor IT.......................................................................... 180 PROCEDURA B7 - Managementul schimbrii i al dezvoltrii de sistem ......................... 180 PROCEDURA B8 - Auditul intern IT ................................................................................................ 184 4.4.3 Analiza controalelor aplicaiei i evaluarea riscurilor asociate............................. 185 PROCEDURA CA1 - nelegerea sistemului informatic financiar - contabil ..................... 186 PROCEDURA CA2 - Posibilitatea de efectuare a auditului ..................................................... 187 PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT) ............ 187 PROCEDURA CA4 Determinarea rspunderii.......................................................................... 189 PROCEDURA CA5 Evaluarea documentaiei aplicaiei ........................................................ 190 PROCEDURA CA6 Evaluarea securitii aplicaiei ................................................................. 190 PROCEDURA CA7 Evaluarea controalelor privind introducerea datelor ..................... 190 PROCEDURA CA8 Evaluarea controalelor privind transmisia de date.......................... 192 PROCEDURA CA9 Evaluarea controalelor prelucrrii ......................................................... 193 PROCEDURA CA10 Evaluarea controalelor privind datele de ieire .............................. 193 PROCEDURA CA11 Evaluarea controalelor privind fiierele de date permanente .. 194 PROCEDURA CA12 - Evaluarea conformitii aplicaiilor cu legislaia n vigoare ....... 195 PROCEDURA CA13 - Efectuarea testelor de audit ..................................................................... 196 Capitolul 5. Liste de verificare, machete i chestionare ........................................199

Glosar de termeni ...........................................................................................................................201 Referine bibliografice ..................................................................................................................207 Anexa 1 - Legislaia pentru Societatea Informaional .....................................................213

Pag. 6 / 214

Introducere
Evoluia societii informaionale ctre societatea bazat pe cunoatere, proces care presupune transformarea progresiv a ntregii economii ntr-o economie digital, implic schimbri majore i n abordarea auditului extern, cu un dublu impact: att n ceea ce privete managementul auditului i rolul auditorului, ct i n ceea ce privete planul arhitectural, metodologic i procedural asociat. Aceste schimbri, care determin o nou tratare a auditului, pun n eviden necesitatea crerii unui nou cadru de lucru pentru ciclul de via al procesului de auditare, apt s rspund la noile cerine calitative ale domeniilor i ale obiectivelor auditrii: auditarea se va focaliza preponderent pe managementul i livrarea serviciilor informatice, care presupun prezena dominant a fluxurilor de documente electronice, precum i asupra procedurilor de tratare asociate specifice. Din acest motiv, cea mai mare parte a procedurilor clasice de auditare vor fi nlocuite cu proceduri capabile s asigure auditarea n contextul digital care se extinde rapid n prezent. n scopul adecvrii la noul context, modificrile de coninut ale ciclului de via al auditului impun reingineria arhitecturilor de auditare i a cadrului metodologic i procedural clasic conducnd la crearea unui nou model al auditului. Auditul clasic i va schimba abordarea i coninutul i se va baza pe tehnologiile informaiei i comunicaiilor prin adoptarea unor concepte i metode avansate: audit online, audit continuu, e-audit. Noul model al auditului se va focaliza ctre soluii integrate ale diferitelor tipuri de audit: auditul financiar, auditul performanei, auditul IT / IS1, auditul organizaional i auditul de conformitate, astfel de audituri urmnd a se desfura n cadrul aceleiai misiuni, n diverse combinaii, n funcie de obiectivele i complexitatea misiunii. n ceea ce privete maniera i modalitile de lucru, auditorul va trebui s fie pre gtit pentru lucrul n colaborare, precum i pentru adoptarea unor noi stiluri de munc: auditare la distan, orientarea pe auditarea documentelor electronice, utilizarea unui suport instrumental bazat pe sau asistat de calculator. Factorii care influeneaz n mod deosebit noul model al auditului sunt o consecin a ansamblului de schimbri radicale pe care trecerea la economia digital le va antrena, i chiar le antreneaz deja, n ceea ce privete securitatea informaiei i a sistemelor, protecia da telor cu caracter personal, accesul la baze de date cu coninut informaional sensibil, expuse atacurilor externe prin reeaua Internet. De asemenea, cerinele privind asigurarea continuitii sistemelor, precum i a managementului schimbrii i al dezvoltrii impun elaborarea unui cadru metodologic i procedural de auditare adecvat. Manualul de fa ofer, ntr-o abordare nou, din perspectiva direciilor de dezvoltare incluse n Planul de lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI ITWG2, un set de bune practici cu o utilitate deosebit pentru auditorii publici externi din cadrul Curii de Conturi a Romniei (CCR) care desfoar misiuni / aciuni de audit / control la instituii publice, avnd n vedere extinderea problematicii acoperite de sistemele informatice financiar-contabile i de gestiune ale organizaiilor. Din aceast perspectiv, prezentarea este orientat, pe de o parte, pe descrierea celor mai noi concepte, metode, tehnici i proceduri aferente contextului general al auditului sistemelor informatice, precum i, pe de alt parte, pe problematica auditului sistemelor informatice financiar-contabile.

1 2

Auditul IT / IS - auditul arhitecturilor i infrastructurilor IT / auditul sistemelor, aplicaiilor i serviciilor informatice EUROSAI ITWG EUROSAI IT Working Group
Pag. 7 / 214

Obiectivul principal al manualului este de a furniza auditorilor publici externi informaii consistente despre controalele aferente mediului informatizat i despre probleme specifice i cerine asociate, pentru a facilita planificarea i efectuarea auditului, precum i integrarea proce durilor proprii ale auditului IT n contextul misiunilor de audit n care auditorii publici externi sunt implicai. Intruct manualul s-a concentrat preponderent pe aspectele strict necesare nelegerii conceptelor, standardelor, metodologiilor i procedurilor asociate auditului IT fr de care un auditor nu poate aborda corect acest domeniu i care au ocupat un spaiu relativ mare de expunere, implementarea practic a metodologiei de audit n medii informatizate va fi detaliat ntr-un ghid asociat acestui manual i va descrie concret, n succesiune logic, etapele, activitile, procesele, tehnicile i documentele specifice acestui tip de audit, pentru ntreg fluxul aferent misiunii de audit, astfel nct cele dou documente s constituie un suport util pentru auditorii publici externi implicai n misiuni de audit IT, inclusiv pentru aciunile de control / audit financiar sau de audit al performanei . Manualul prezint n detaliu controalele specifice mediului informatizat pe care auditorii trebuie s le ia n considerare atunci cnd evalueaz integritatea, confidenialitatea i disponibilitatea informaiilor care provin din sistemul informatic financiar-contabil i prezint cadrul metodologic i procedural specific domeniului auditului IT / IS aplicabil inclusiv la nivelul CCR. Manualul prezint tehnicile specifice de evaluare a controalelor IT i procedurile de audit asociate. Procedurile de audit prezentate presupun pentru auditor un nivel de experien adecvat pentru a fi aplicate la un grad ridicat de performan. Evaluarea trebuie s aib un caracter critic, s fie bazat pe experiena profesional, iar activitile s se desfoare cu un anumit nivel de scepticism, gndire critic i creativitate. Prezentarea are n vedere armonizarea metodologiilor i procedurilor de audit proprii Curii de Conturi a Romniei cu standardele de auditare i bunele practici n domeniu (INTOSAI3, ISA4, ISACA5, COBIT6, ISO270007). De asemenea, i propune extinderea experienei i armonizarea rezultatelor cooperrii internaionale cu specificul Curii de Conturi a Romniei, prin participarea la activitile desfurate n cadrul grupurilor de cercetare care funcioneaz la nivel EUROSAI. Manualul are la baz cerinele Regulamentului privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti . Abordarea problematicii este n concordan cu direciile de dezvoltare incluse n Planul de lucru pentru perioada 2011-2014 al Grupului de lucru EUROSAI IT-WG i n conformitate cu abordarea care caracterizeaz cadrul de auditare INTOSAI. De asemenea, abordarea se aliniaz cu obiectivele strategice ale CCR. n ceea ce privete tipul i coninutul aciunilor de verificare desfurate de CCR (aciuni de control, misiuni de audit financiar i misiuni de audit al performanei), n condiiile extinderii accentuate a informatizrii instituiilor publice, auditul IT / IS poate i trebuie s constituie o component a misiunilor de audit ale CCR sau se poate desfura de sine stttor, de regul prin misiuni de audit al performanei programelor, proiectelor sau aplicaiilor referitoare la sistemele informatice. Avnd n vedere dinamica specific rapid a tehnologiilor informaiei i comunicaiilor (TIC), care antreneaz evoluii semnificative n abordarea auditului extern, n realizarea manualului s-a pornit de la evaluarea stadiului actual al cunoaterii n domeniu i valorificarea experienelor capitalizate la nivelul instituiilor supreme de audit. Acest demers s-a concretizat n urmtoarele:

International Organization of Supreme Audit Institutions International Standards for Audit 5 Information Systems Audit and Control Association 6 Control Objectives for Information and Related Technology 7 ISO/IEC 27000: familie de standarde de securitate a informaiei ISO
3 4

Pag. 8 / 214

1. Realizarea unei documentri exhaustive privind problematica specific a domeniului auditului IT / IS, focalizate pe studii i analize comparative conforme cu metodologiile orientate pe ciclul de via al sistemelor. Analiza tehnicilor i metodelor de auditare specifice sistemelor informatice, prin prisma standardelor i bunelor practici existente pe plan internaional. 2. Includerea n cadrul documentrii a unor studii i analize privind cadrul conceptual, arhitecturile de referin, metodele i tehnicile specifice, precum i a particularitilor care induc schimbri radicale n desfurarea misiunilor de audit n condiiile unui mediu informatizat. 3. Includerea n manual a aspectelor i cerinelor principale care decurg din documentele celei de a 7-a ntlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 2122 februarie 2011, la care a participat i Curtea de Conturi a Romniei. Concluzia principal pus n eviden de lucrrile ntlnirii se refer la noile abordri din domeniul auditului IT / IS privind revizuirea standardelor de audit IT din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate de abordrile i reglementrile instituiilor supreme de audit. In acest cadru, INTOSAI a ntreprins aciuni orientate pe asigurarea convergenei standardelor de audit proprii cu standardele internaionale de referin IFAC, IIA8, ISACA. Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru auditurile desfurate de SAI-uri. Asociaia profesional The IIA i Comitetul de Standarde Profesionale al INTOSAI au agreat, n luna decembrie 2010, un Memorandum de nelegere (MOU), care documenteaz alinierea obiectivelor strategice ale organizaiei, recunoate standardele globale ale fiecrei pri i definete un proces de colaborare i cooperare continu ntre pri. Un element de importan major al MOU citat este acordul reciproc c standardele specifice fiecrei organizaii (seturile de standarde ISSAI i, respectiv, IIA) sunt recunoscute la nivel global. 4. Examinarea impactului pe care generalizarea utilizrii serviciilor informatice l are n plan practic; analiza rezultatelor i abordrilor raportate pe plan intern i internaional de ctre instituii supreme de audit (ECA, GAO SUA, NAO UK, CNAO China9, The Office of Auditor General of Canada, Accounts Chamber of the Russian Federation, The Nederlands Court of Audit Olanda, Tribunal de Cuentas Spania, Bundesrechnungshof Germania), precum i de ctre instituiile supreme de audit din Australia, Japonia, Brazilia, India, Norvegia, Suedia, Ungaria10, Polonia, Estonia sau de ctre instituii cu tradiie n auditul extern (e.g., KPMG, Gartner Group). 5. Examinarea unor aspecte care comport riscuri majore pentru desfurarea i implementarea auditului ntr-un mediu informatizat:

actualizarea cadrului legislativ, extinderea lucrului cu documente electronice, crearea cadrului de interoperabilitate a instituiilor administraiei publice din Romnia i integrarea n sistemul administraiilor publice europene, pregtirea auditorilor pentru acest demers, reproiectarea managementului auditului, asigurarea calitii auditului, asigurarea suportului instrumental i metodologic pentru auditare.

IIA - The Institute of Internal Auditors cadrul CNAO (Chinese National Audit Office) funcioneaz Academia de Audit din Nanjing, care a organizat n anul 2004 manifestarea tiinific internaional The II-nd International Seminar on IT Audit, la care a participat i CCR. 10 In cadrul Instituiei Supreme de Audit din Ungaria funcioneaz un institut de cercetare tiinific n do meniul auditului.
8 9In

Pag. 9 / 214

Au fost luate n considerare, de asemenea, elemente de interes primordial privind atribuiile CCR, ca premise pentru orientarea studiului: n mod natural, obiectivele strategiilor, politicilor i program elor privind Societatea Informaional se transpun n cerine i obiective de urmrit n cadrul auditrii sistemelor n cauz: sisteme informatice sau servicii electronice publice, dezvoltate i implementate la nivel de organizaie sau n cadrul sistemului e-guvernare. Modelul de audit n medii informatizate trebuie s ia n considerare, de asemenea, urmtoarele aspecte: - aplicarea metodelor, tehnicilor i instrumentelor de auditare bazate pe / asistate de calculator; - managementul auditului pe durata ciclului de via al auditului; - proiectarea fluxurilor i a procedurilor de auditare specifice pentru ntregul ciclu de via al auditului; - proiectarea i standardizarea documentelor de lucru: machete, chestionare, liste de verificare; - elaborarea instruciunilor metodologice i a ghidurilor tematice de bun practic pentru misiunile de audit IT.

Structura documentului
Documentul este structurat dup cum urmeaz: un capitol introductiv, cinci capitole de fond, un glosar de termeni, o list de referine bibliografice semnificative (care au constituit sursa principal de documentare) i anexe. n Capitolul 1 este prezentat contextul actual de desfurare a auditului IT, pe plan intern i internaional, cu referire la mediul socio-economic i la guvernarea IT. Pentru conturarea contextului internaional i intern, se face o trecere n revist a strategiilor i programelor privind Societatea Informaional i este prezentat o descriere de ansamblu, sintetic a problemelor specifice asociate . Acest capitol conine, de asemenea, o evaluare a cadrului legislativ i de reglementare n domeniul Tehnologiilor Informaiei i Comunicaiilor (TIC) pe plan intern i internaional, precum i o evaluare a stadiului actual privind cadrul legislativ i de reglementare referitor la auditul sistemelor informatice pe plan intern i internaional. Sunt prezentate, ca abordri de referin, cadrul de auditare INTOSAI i liniile de aciune ale EUROSAI-ITWG. n raport cu constatrile acestor evaluri, sunt prezentate abordarea auditului IT n cadrul CCR i cadrul de implementare specific. Capitolul 2 este dedicat standardelor de audit IT / IS. Sunt prezentate aspectele principale privind standardele de audit IT, din perspectiva evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate de abordrile i reglementrile instituiilor supreme de audit i puse n eviden de lucrrile celei de a 7-a ntlniri a EUROSAI IT Working Group (ITWG), care a avut loc la Istanbul, n perioada 2122 februarie 2011. Tot n Capitolul 2, sunt prezentate cele mai relevante instituii, reglementri i standarde n domeniul auditului IT, sunt prezentate standardele INTOSAI care fac referire expres la auditul n medii informatizate: Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector, ISSAI 3000 - Implementarea liniilor directoare pentru auditul performanei - Anexa 5 (Auditul Performanei i Tehnologia Informaiei) i liniile directoare ISSAI 5310 - Metodologia de revizuire a sistemului de securitate a Informaiilor. n acest context, se face i o trecere n revist a componentelor cadrului de lucru COBIT 5, care integreaz cadrul de lucru COBIT, cadrul de lucru Val IT i cadrul de lucru Risk IT, din perspectiva schimbrii de abordare recomandat la ntlnirea de la Istanbul a grupului de lucru EUROSAI ITWG. Pentru completitudine, n ceea ce privete auditul securitii sistemelor informatice n manual a fost inclus o prezentare a standardului internaional ISO/CEI 27001, care constituie un referenial pentru evaluarea tehnicilor de securitate implementate n sistemele de management al securitii informaiei i este, de asemenea, agreat de INTOSAI.
Pag. 10 / 214

n Capitolul 3 este prezentat problematica asociat riscurilor generate de implementarea i utilizarea sistemelor informatice, precum i impactul semnificativ al acestor sisteme att asupra afacerii, ct i asupra riscului de audit. Din aceast perspectiv sunt detaliate urmtoarele subiecte: modelul de management al riscurilor, cadrul de lucru Risk IT, riscurile generate de existena mediului informatizat (dependena de IT, de resurse i cunotine IT, ncrederea n IT, schimbri n domeniul sistemelor IT / IS, externalizarea serviciilor IT, focalizarea pe afacere, securitatea informaiei, protecia fizic a sistemelor IT, operarea sistemelor IT, dezvoltri efectuate de utilizatori finali), precum i riscurile asociate furnizrii serviciilor IT. Prezentarea procedurilor de audit IT este detaliat n Capitolul 4. Sunt abordate urmtoarele subiecte: 1) problematica general caracteristic a auditului IT (domeniul de aplicare, documente de referin (reglementri) aplicabile n domeniul auditului IS / IT, obiective generale i obiective specifice ale auditului IT / IS, criterii de evaluare generice, determinarea naturii i volumului procedurilor de audit, revizuirea controalelor IT n cadrul misiunilor de audit financiar; 2) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului, raportarea i revizuirea), evaluarea sistemelor informatice financiar-contabile; 3) cadrul procedural pentru evaluarea sistemului informatic (obinerea informaiilor de fond privind sistemele IT ale entitii auditate (Procedurile A1 A7), evaluarea controalelor generale IT (Procedurile B1 B8), evaluarea controalelor de aplicaie (Procedurile CA1 CA13); 4) evaluarea riscurilor asociate implementrii i utilizrii sistemului informatic; 5) elaborarea raportului de audit i valorificarea constatrilor consemnate n raport. n Capitolul 5 se face o prezentare general a documentelor de lucru specifice auditului IT / IS. Acestea vor fi prezentate pe larg n ghidul asociat acestui manual.

Pag. 11 / 214

Capitolul 1. Contextul de desfurare a auditului IT pe plan intern i internaional


n acest capitol este prezentat o scurt descriere a contextului de desfurare a auditului IT, ca urmare a extinderii tehnologiei informaiei n toate domeniile. Prezentarea subiectului se face dintr-o dubl perspectiv: (a) Transformarea contextului socio-economic: procesele de trecere la economia i societatea bazate pe cunoatere, precum i alte procese conexe i / sau convergente, cu impact asupra domeniului auditrii; (b) Evoluiile raportate n contextul tehnic i tehnologic: guvernarea IT i asigurarea IT, cu impact direct i decisiv asupra metodelor i tehnicilor specifice de audit intern i extern.

1.1

Contextul socio-economic. Strategii i politici pentru societatea informaional

Tehnologiile informaiei i comunicaiilor (ICT11) constituie i vor continua s reprezinte un factor motor major al modernizrii n economie i n societate. Conform unui raport al Uniunii Europene 12, la nivelul anului 2010, sectorul afacerilor din cadrul UE aloca mai mult de 20% din volumul investiiilor pentru domeniul ICT, un volum de 60% din serviciile publice de baz sunt actualmente disponibile n manier complet online, iar mai mult de jumtate dintre cetenii UE folosesc Internetul n mod constant. Cadrul strategic european, respectiv Iniiativa i201013, a avut un numr de trei obiective majore: (1) stabilirea unui spaiu al informaiei european, respectiv a unei piee unice reale pentru economia digital, care s permit exploatarea deplin a potenialului economiilor anterioare diverse i distincte, cu factori de scal neuniformi caracteristice pieei de consum europene de cca 500 milioane de consumatori; (2) intensificarea inovrii i investiiilor n cercetarea din domeniul ICT, impus de faptul c ICT constituie motorul principal al economiei, i (3) promovarea incluziunii sociale, a serviciilor publice i a calitii vieii, respectiv extinderea valorilor europene de incluziune social i calitate a vieii ctre societatea informaional. Potrivit evalurilor din raportul citat, Europa se situeaz printre lideri n ceea ce privete dezvoltarea economiei digitale. Piaa (segmentul tehnologic) de band larg european, dispunnd de 90 milioane de linii, are mai muli abonai dect oricare alt regiune economic, iar jumtate dintre cetenii europeni utilizeaz Internetul n mod regulat. Cu toate acestea, trebuie avut n vedere c, pe de o parte, diferenele dintre statele membre sunt semnificative, iar, pe de alt parte, instituiile europene au nivele de investiii sub cele ale altor regiuni industrializate, fiind confruntate i cu o competiie accentuat din partea Chinei i Indiei. Din aceste motive, cadrul de politici furnizat de programul i2010 a fost necesar i i-a dovedit utilitatea mai mult dect oricnd, n aceast perioad. Dezvoltarea accentuat a ICT i exploatarea coninutului digital n domeniile de interes public cum ar fi sntatea, incluziunea, motenirea cultural, sectorul de informaii publice, nvmntul, administraia public sau eficiena energetic presupun i reclam politici mult mai proactive. Obstacolele majore
Acronimul folosit n lucrare este cel uzual din literatura de specialitate internaional (ICT - Information and Communication Technologies) 12 The Information and Communications Technologies (ICT) Policy Support Programme (ICT PSP) , http://ec.europa.eu/ict-psp 13 Vezi http://ec.europa.eu/information_society/eeurope/i2010
11

Pag. 12 / 214

pentru o utilizare mai bun i pe o scar mai larg a ICT n astfel d e domenii includ, ntre altele, lipsa (indisponibilitatea) serviciilor bazate pe ICT, lipsa de interoperabilitate a soluiilor pe ansamblul statelor membre, precum i fragmentarea de pia a spaiului de informaie i a soluiilor bazate pe ICT. Din acest motiv, pe lng strategia general, UE a pus n oper i o serie de programe dedicate (cum ar fi programul ICT PSP) care susin depirea obstacolelor menionate i concur la realizarea unei societi informaionale pentru toi, i, implicit, la realizarea obiectivelor strategiei i2010. O direcie de aciune important n acest sens o reprezint dezvoltarea de piee pentru soluii inovative bazate pe ICT i pentru coninut digital, n principal n domenii de interes public. Contextul european nou creat, bazat pe ICT, trebuie s constituie un mediu sigur de lucru pentru administraia public european i din statele membre, precum i pentru informarea cetenilor i a mediului de afaceri. Din acest motiv, o cerin de o importan vital pentru Romnia este aceea de a asigura auditarea sistemelor informatice ale tuturor instituiilor publice , care vor furniza informaii pentru platforma european e-guvernare n concordan cu obiectivele, standardele de jure sau de facto i cu bunele practici ale instituiilor supreme de audit i ale instituiilor profesionale recunoscute14, pentru a asigura punerea la dispoziie a unor informaii de ncredere, n timp real, conforme cu criteriile impuse informaiei.

1.1.1 Situaia n cadrul Uniunii Europene


Pentru a crea premisele favorabile trecerii la Societatea Informaional, Uniunea European a elaborat nc din anul 1993 o serie de decizii strategice i programe specifice. Cel mai reprezentativ document strategic este eEurope O Societate Informaional pentru toi, adoptat n anul 1999, prin care se propune accelerarea implementrii tehnologiilor digitale n Europa i asigurarea competenelor necesare pentru utilizarea acestora pe scar larg. Aceast iniiativ, continuat cu programul eEurope+, are un rol central n agenda rennoirii economico-sociale pe care i-o propune Uniunea European, constituind un element cheie pentru procesul de tranziie la noua economie bazat pe cunoatere, precum i la o economie bazat pe servicii publice electronice integrate ntr-un mediu implementat pe o infrastructur informaional sigur, avnd ca perspectiv anul 2010. Politica Uniunii Europene n domeniul societii informaionale are urmtoarele componente principale: politica n domeniul telecomunicaiilor, sprijinul pentru dezvoltarea tehnologiilor informaiei i comunicaiilor, contribuia la crearea condiiilor necesare asigurrii competitivitii industriei comunitare, dezvoltarea reelelor transeuropene (TEN) n sectoarele: transport, energie i telecomunicaii. De interes pentru obiectivele manualului de fa sunt i alte documente i aciuni care au marcat evoluiile n domeniu, inclusiv n ceea ce privete situaia din Romnia. 1. Romnia s-a aliniat la programul comunitar Interchange of Data between Administrations (IDA), ale crui linii de aciune pun accentul pe: - Implementarea sistemelor de tip e-guvernare; - Definirea de politici europene cu privire la informaia digital; - Realizarea unui portal european pentru informaii i servicii; - Trasarea liniilor directoare de organizare i cutare a informaiilor publice din UE, referitoare la cadrul legislativ i de reglementare; - Realizarea de cercetri de pia pentru servicii electronice destinate IMM-urilor; - Promovarea schimbului de experien cu privire la cele mai bune practici de servicii electronice pe plan internaional.
14

ISACA, COBIT, ITWGI etc.


Pag. 13 / 214

2. Dezvoltat n paralel cu programul IDA, programul eTEN, finalizat la sfritul anului 2006, a avut ca obiectiv principal dezvoltarea de servicii electronice la dimensiune trans-European: eGovernment, eHealth, eInclusion, eLearning, servicii pentru ntreprinderi mici i mijlocii, servicii pentru asigurarea securitii i ncrederii n reelele i sistemele informatice. 3. Programul IDABC (Interoperable Delivery of European eGovernment Services to public Administration, Business and Citizens), stabilit prin Decizia nr. 2004/387/CE a Parlamentului European i a Consiliului din 21 aprilie 2004, a fost iniiat pentru a exploata avantajele oferit e de ITC n ceea ce privete livrarea serviciilor publice transfrontaliere pentru ceteni i mediul de afaceri pe teritoriul Europei, pentru a crete eficiena i colaborarea ntre administraiile publice europene. Pe baza celor mai avansate tehnologii al e informaiei i comunicaiilor, au fost dezvoltate soluii i servicii comune i a fost creat o platform pentru schimbul de bune practici ntre administraiile europene n scopul modernizrii sectorului public european. Interoperabilitatea n cadrul platformei pan-europene eGovernment este conceput pe baza colaborrii administraiilor publice din cele 27 de state membre i instituiile UE, ceea ce implic existena unui cadru de lucru bazat pe principii i reguli comune, precum i agrearea unor interfee i standarde deschise pentru interoperabilitate ntre sisteme, aplicaii, procese de afaceri i actorii care produc sau utilizeaz servicii eGovernment. Aceast abordare, orientat pe reea, implic un efort mare pentru definirea regulilor colaborrii, coordonrii proceselor, formatelor i specificaiilor, precum i a instanelor care acioneaz ca intermediari ntre sisteme. Activitile din cadrul programului IDABC nu se limiteaz numai la a produce linii directoare, ele acioneaz n sensul planificrii i implementrii infrastructurilor care susin interoperabilitatea, n condiiile n care administraiile europene funcioneaz n mod diferit, iar existena unor proceduri administrative diferite genereaz obstacole reale. Soluia degajat, respectiv crearea unui portal european contribuie la nlturarea barierelor prin utilizarea unui singur punct de intrare a informaiilor i prin utilizarea serviciilor online indiferent de loc sau or. 4. Cadrul politic strategic al Comisiei Europene pentru Societatea Informaional pn n anul 2010 a fost trasat prin programul i2010. n cadrul Conferinei eGovernment "Transforming Public Services", care a avut loc la Manchester n luna noiembrie 2005, a fost aprobat o declaraie care fixeaz repere i obiective pentru serviciile publice electronice. Astfel, n perioada 2006-2010 statele membre i-au concentrat eforturile pe crearea condiiilor optime privind livrarea serviciilor electronice cu un impact mare asupra utilizatorilor, una dintre inte constituind-o serviciile de achiziii publice. 5. Comisia European a lansat, n luna martie 2010, Strategia European pn n anul 2020 pentru ieirea din criz i pregtirea economiei UE pentru provocrile noii decade. Una dintre cele apte iniiative incluse n aceast strategie, The Digital Agenda for Europe, stabilete rolul cheie pe care l va juca ICT n Europa pentru atingerea obiectivelor generale propuse pentru anul 2020. Sectorul ICT este direct responsabil pentru asigurarea a 5% din produsul brut european, cu o pia de 660 miliarde EURO anual, dar contribuia sa la creterea productivitii (20% direct din sectorul ICT i 30% din investiiile ICT), prin marele su potenial, este major. Ca stat membru, Romnia trebuie s devin un participant activ la aciunile i programele europene. n aceste condiii, Curtea de Conturi a Romniei trebuie s devin un factor de impulsionare prin auditurile desfurate n domeniul IT pentru administraia public, att prin recomandrile formulate ct i prin ndeplinirea rolului metodologic al auditului.

Pag. 14 / 214

1.1.2 Stadiul Societii Informaionale n Romnia


Integrarea planurilor i programelor asociate ITC din Romnia cu planurile de aciuni pentru Societatea Informaional adoptate la nivel european (i2010, eTen, IDA), precum i cu programele desfurate n continuarea acestora, a constituit un pas important pentru accelerarea implementrii structurilor de baz ale societii informaionale n Romnia. Principalele obiective care decurg din planurile de aciuni ale UE, n scopul asigurrii interconectrii cu administraiile europene, sunt: a) Accelerarea implementrii structurilor de baz ale Societii Informaionale; b) Informatizarea administraiilor publice i interconectarea cu administraiile publice din statele membre ale Uniunii Europene, pe o infrastructur comun; c) Servicii pentru clieni i oportuniti pentru perfecionarea administraiei; d) Asigurarea securitii reelelor informaionale i a aplicaiilor software.

n acest context, prin Legea nr. 436 / 2006 a fost ratificat Memorandumul de nelegere ntre Romnia i

Comisia European privind participarea Romniei la programul comunitar pentru asigurarea interoperabilitii serviciilor pan-europene de e-guvernare pentru administraiile publice, mediul de afaceri i ceteni (IDABC), semnat la Bucureti la 20 martie 2006, i s-a trecut la operarea, prin intermediul Ministerului Comunicaiilor i Societii Informaionale, a unei puni (gateway) naionale care permite instituiilor din Romnia accesul la sistemele europene conectate n reea. In Romnia, premisele de extindere a contextului digital au fost create prin nfiinarea Sistemului Electronic Naional (SEN), ca sistem informatic de utilitate public, n scopul asigurrii accesului la informaii publice i furnizrii de servicii publice ctre persoane fizice i juridice15. Ministerul Comunicaiilor i Societii Informaionale, ca autoritate de specialitate a administraiei publice centrale n domeniul comunicaiilor i tehnologiei informaiei a elaborat o serie de documente cu caracter strategic precum: Strategia Guvernului Romniei de stimulare i susinere a dezvoltrii sectorului de comunicaii n perioada 2002-2012; Economia bazat pe cunoatere; Strategia Guvernului Romniei pentru dezvoltarea sectorului tehnologiei informaiei; Strategia de Dezvoltare Durabil a Romniei ORIZONT 2025; Strategia Naional de Export. Promovarea i aplicarea Strategiei de Dezvoltare Durabil a Romniei ORIZONT - 2025 va avea ca rezultat asigurarea accesului rapid i ieftin la Internet, dezvoltarea unor sisteme inteligente de transport, continuarea procesului de securizare a reelelor, combaterea fraudelor n domeniul tehnologiei informaiei i comunicaiilor, precum i promovarea cardurilor inteligente. Se urmrete ca pn n anul 2025 fiecare cetean s aib acces la serviciile de comunicaii. Documentele strategice la nivel naional urmresc consolidarea i aplicarea n Romnia a politicilor d e coeziune social i economic i a celor de dezvoltare regional , cu adaptarea corespunztoare a acestora la politicile europene i la strategia adoptat la Lisabona16. n acest cadru, Programul Operaional Sectorial Creterea competitivitii economice (POS CCE) lansat n anul 200617, rspunde, pe de o parte, primei prioriti a Planului Naional de Dezvoltare 2007 - 2013:

Titlul II din Legea nr. 161 din 19 aprilie 2003 privind transparena n administrarea informaiilor i serviciilor publice prin mijloace electronice 16 The fourth European Ministerial e-Government Conference in Lisbon, 20 September 2007
15

Pag. 15 / 214

Creterea competitivitii economice i dezvoltarea economiei bazate pe cunoatere i, pe de alt parte, celei de-a doua prioriti a Cadrului Strategic Naional de Referin, respectiv Creterea competitivitii economice pe termen lung, contribuind n acelai timp i la implementarea tuturor celorlalte prioriti ale Cadrului Strategic Naional de Referin. Domeniile majore de intervenie care fac obiectul programului POS CCE sunt:

Susinerea utilizrii tehnologiei informaiei Dezvoltarea i creterea eficienei serviciilor publice electronice Dezvoltarea e-economiei

Corelnd domeniile Societii Informaionale din Uniunea European cu cele existente n Romnia, au fost identificate urmtoarele arii de interes: eGovernment (e-guvernare); Internet&Broadband (Internet i Band larg); Telecommunications&IT Security (Telecomunicaii i Securitate IT); eEducation (e-educaie); eInclusion (e-incluziune social); eCommerce (Comer electronic); eHealth (e-sntate); e-Business (servicii electronice pentru afaceri); Work, Employment&Skills (Fora de munc). Ca membru al UE, dezvoltarea Romniei urmrete convergena cu politicile comunitare, att n termeni reali ct i ca valori absolute.

1.2

Guvernarea IT

Liniile definitorii ale celei de-a doua perspective de analiz, anume elementele de natur tehnic i practic de importan esenial, pornesc de la premisa c investiiile n domeniul IT, n medii aflate ntr -o schimbare extrem de rapid, nu se mai rezum exclusiv la implementarea tehnologiei ca atare, obiectivul unor astfel de investiii fiind acela de a asigura obinerea de valoare din schimbrile induse n activitatea propriu-zis (afacerea) i din schimbrile de natur organizaional facilitate de IT. n acest sens, se constat c exist o nelegere din ce n ce mai larg acceptat a faptului c informaia constituie un bun strategic al afacerii iar IT a devenit un factor cu o contribuie important la succesul acesteia. O definiie bazat pe bune practici a guvernrii IT, ca parte a guvernrii corporaiei (ntreprinderii) se poate formula astfel: guvernarea IT este responsabilitatea managementului executiv i a comitetelor de direcie i const n actul de asumare a conducerii, precum i n procese i structuri organizaionale care asigur c funcia IT a entitii susine i extinde strategiile i obiectivele acesteia18. n mod concret, definiia prezentat situeaz guvernarea IT ca o component integral a guvernrii ntreprinderii (afacerii) i nu ca pe o disciplin izolat. n ceea ce privete livrabilele n plan practic, guvernarea IT urmrete dou categorii de rezultate: livrarea de valoare pentru afacere i atenuarea (anihilarea) riscurilor IT. n acest sens, guvernarea IT se focalizeaz pe cinci zone principale: alinierea strategic, livrarea de valoare, managementul riscurilor, managementul resurselor, msurarea performanei. Guvernarea IT funcioneaz ca un proces continuu, ca o parte integrant a guvernrii ntreprinderii i se focalizeaz pe obiectivele strategice. Cadrul de lucru COBIT19, pentru guvernare IT, constituie un cadru de lucru cu potenial ridicat de auditare intern i extern, larg acceptat pe plan internaional, inclusiv de INTOSAI i de organismele UE i are deopotriv valene de suport pentru managementul entitii i de cadru de auditare a guvernrii IT.
POS CCE - unul dintre cele apte programe operaionale sectoriale care constituie instrumente pentru realizarea prioritilor trasate prin Cadrul Strategic Naional de Referin (CSNR) i prin Planul Naional de Dezvoltare (PND) pentru perioada 2007 2013 18 Unlocking Value. An executive Primer on the Critical Role of IT Governance, 2008, www.itgi.org 19 Vezi www.itgi.org
17

Pag. 16 / 214

1.3

Cadrul legislativ i de reglementare n domeniul IT

Cadrul legislativ i de reglementare n domeniul IT la nivel internaional prescrie msuri care nu sunt ntotdeauna similare i difer n funcie de regiunea socio-cultural, sociologic, precum i de factorii tehnici i tehnologici care stau la baza problemelor pe care le trateaz. Dei aceste reglementri joac un rol important n modernizarea sistemului de conformitate IT / IS20, ele devin dificil de generalizat n contextul globalizrii. Globalizarea aduce noi provocri pentru informaie, care este expus unor cerine multiple de reglementare generate de diversitatea situa iilor i a surselor din care provine aceast informaie. Unele dintre ele decurg din contextul istoric, altele din din amica schimbrii pieei, tehnologiei sau legislaiei, iar magnitudinea riscurilor nu poate fi anticipat pentru fiecare caz n parte. Legislaia care reglementeaz domeniul ICT pe plan internaional, prezint o serie de trsturi comune, referitoare la problematica general, cadrul legislativ incluznd o serie de acte normative privind: securitatea reelelor, semntura electronic, comerul electronic, achiziiile publice prin licitaii electronice, ncasarea prin mijloace electronice a impozitelor i taxelor locale, avizarea instrumentelor de plat cu acces la distan (de tipul aplicaiilor Internet-banking, home-banking sau mobile-banking), protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date. Aceste acte normative sau reglementri, dup caz, constituie refereniale n auditul IT, n ceea ce privete conformitatea cu legislaia, avnd n vedere c domeniul auditului este, n acest caz, domeniu l IT. In ceea ce privete legislaia din Romnia, aceasta este armonizat cu legislaia european, ca efect al calitii de stat membru, desfurnd aciuni de anvergur impuse prin, i convergente cu directivele Parlamentului European21 referitoare la stabilirea unui cadru comunitar privind aspectele eseniale ale serviciilor societii informaionale. Dezvoltarea portalului e-guvernare n cadrul Sistemului Electronic National (SEN), conceput ca punct de acces unic la serviciile i informaiile instituiilor administraiei centrale i locale, a oferit suportul pentru lansarea i extinderea livrrii de servicii electronice ctre administraie, mediul de afaceri i ceteni i asigur c toate procedurile i formalitile cu privire la accesul la o activitate de servicii vor putea fi ndeplinite cu uurin, de la distan, i prin mijloace e lectronice, indiferent de statul membru de origine al furnizorului de servicii. Operaionalizarea punctului de contact unic (PCU) electronic n cadrul portalului e-guvernare impune obligativitatea auditrii tuturor serviciilor electronice care vor fi furnizate prin intermediul procedurilor electronice, pentru a oferi asigurarea cu privire la performana acestor servicii n contextul operrii pe platforma pan-european. Realizarea unui cadru de lucru pentru interoperabilitatea administraiilor din statele membre reprezint un demers dificil, condiionat i generat de diversitatea tipurilor de organizare a administraiilor publice, de numrul mare al prilor implicate, de varietatea cadrului legislativ, de condiiile economice diferite, de nivelul tehnologic diferit. Romnia s-a aliniat n anul 1995 la primul program comunitar, IDA (Interchange of Data between Administrations) prin care s-au creat premisele dezvoltrii unei infrastructuri comune care s constituie suportul pentru un cadru de interoperabilitate european. Programul comunitar eTEN, la care Romnia de asemenea a participat, a fost lansat n scopul extinderii serviciilor electronice (e-services) la dimensiune trans-european i a avut ca obiectiv prioritar promovarea serviciilor de interes public pe o platform comun care s creeze oricrui cetean, agent

20 21

IS Information Systems Anexa 1


Pag. 17 / 214

economic sau administraie, oportunitatea de a profita de beneficiile societii informa ionale la nivel european. Programul IDABC (Interoperable Delivery of pan-European eGovernment services to public Administrations, Businesses and Citizens)22 reunete eforturile administraiilor publice din cele 27 state membre pentru a susine dezvoltarea unor noi servicii electronice (emergente) care s susin implementarea eficient a politicilor UE i dezvoltarea pieei interne. Aprobarea Strategiei naionale "e-Romnia" (HG nr. 195/2010) a creat premisele constituirii sistemului informaional global al Romniei, prin interconectarea instituiilor statului printr-o reea de fibr optic de mare vitez, preconizndu-se ca ntr-un interval de doi ani s fie incluse n aceast platform toate instituiile statului. e-Romnia constituie o o strategie asumat de Guvernul Romniei, care i -a propus realizarea a 300 de servicii electronice operaionale pn la sfritul anului 2011, precum i interconectarea i informatizarea complet a tuturor instituiilor publice, astfel nct accesul la serviciile publice s fie direct i nelimitat. Dintre cele mai semnificative componente prevzute n hotrrea de guvern, menionm: e-Cetean, e-Sntate, e-Educaie, e-Justiie, e-IMM, e-Asociere, e-Turism, e-Funcionari publici, e-Mediu, e-Cultur, e-Transport, e-Statistic. Semnalm, ca fiind de interes major pentru CCR, c n lipsa unui cadru standard de interoperabilitate i a unei arhitecturi coerente, formulate ntr-o viziune sistemic, strategia eRomnia este supus unui risc major de eec. Misiunile de audit subsecvente ale CCR trebuie s aib n vedere factorii de risc care decurg din: finanrile substaniale, probabilitatea mare de duplicare a aplicaiilor i sistemelor, timpul de implementare a proiectelor, maniera de administrare a proiectelor i de implementare a soluiilor, stabilirea politicilor de migrare pentru proiectele eterogene existente.

1.4

Stadiul actual privind cadrul de auditare a sistemelor informatice pe plan internaional i intern

Abordarea auditului sistemelor informatice este analizat din trei perspective: a) prin prisma contextului de ar: manualul include o analiz critic a abordrii de tip "context de ar", cu detalieri pe coordonatele naturale ale specificului naional, respectiv mediul (fizic, social, economic) i infrastructurile (de pia, politice, legislative etc.); b) prin prisma abordrii bazate pe serviciile publice, cu detalierea unor servicii importante pentru economie i societate i care prezint elemente certe de progres n materie de e-guvernare (educaie, sntate, taxe i impozite etc.), detalierea incluznd att aspectele tehnologice, ct i beneficiile nregistrate de serviciile respective; c) abordarea bazat pe cadre comune (cum ar fi, de exemplu, un cadru comun de interoperabilitate; similar se pot avea n vedere i cadre comune pentru procese i capabiliti funcionale). Principala constatare este prezena unei serii de procese emergente de schimbare a modelului auditului extern generat de extinderea semnificativ a tehnologiei i comunicrii informaiei (TCI) care, pe de o parte devine obiect al auditului, iar pe de alt parte devine instrument obligatoriu pentru auditori. O a doua constatare este aceea c evoluia pus n eviden n prezentul manual reflect
22

http://europa.eu.int/idabc
Pag. 18 / 214

necesitatea unui salt natural, calitativ superior ctre abordrile dirijate de infrastructurile specifice tehnologiilor informaiei i comunicaiilor (ITC) i de aplicaiile i sistemele aferente. De un real interes sunt i notele caracteristice ale acestei evoluii: - focalizarea pe impactul de transformare pe care ICT l are asupra auditului extern; - extinderea conceptului de audit al guvernrii tehnologiei informaiei ctre conceptul de audit al sistemelor de tip e-guvernare, dictat de generalizarea guvernrii electronice. Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu precdere la nivelul unor organizaii internaionale care au un rol deosebit de important n unificarea abordrilor, prin standardizarea soluiilor, promovarea celor mai bune practici, politici, coduri de conduit i norme. Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB ( International Audit and Assurance Standard Board)23 din cadrul Federaiei Internaionale a Contabililor IFAC (International Federation of Accountants)24, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO (Committee of Sponsoring Organizations of the Treadway Commission), ISACA (Information Systems Audit and Control Association). Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI. O constatare important n ceea ce privete legislaia care reglementeaz activitatea instituiilor supreme de audit, rezultat n urma investigrii site-urilor web publicate de aceste instituii pe Internet, este faptul c aceasta nu conine prevederi explicite privind auditul IT. Cu toate acestea, majoritatea SAI (cu excepia celor din ri mai puin avansate n domeniu), desfoar misiuni de audit IT n cadrul unor structuri specializate. Aceast constatare a rezultat dintr-o analiz statistic asupra informaiilor furnizate de 45 de SAI selectate pe baza criteriului grad de maturitate a auditului IT reflectat n prezentarea domeniului auditului IT. Cadrul de reglementare este armonizat cu cadrul INTOSAI.

1.4.1 Cadrul de auditare INTOSAI


Cea mai important constatare care se degaj din investigarea documentelor de referin n domeniul auditului IT (publicate de INTOSAI, EUROSAI sau pe site-urile web ale SAI-urilor) este aceea c, n prezent, la nivel internaional exist o preocupare continu pentru dezvoltarea unui cadru metodologic i procedural coerent care s se impun ca standard de auditare a sistemelor informatice , ncepnd cu aplicaiile individualizate i ajungnd la sisteme pe scar larg, de tip e-guvernare i servicii electronice. Experienele actuale se bazeaz, n general, pe standarde i linii directoare i, n cazul unor SAI-uri cu un nivel mai sczut de dezvoltare, pe utilizri ad-hoc ale unor tehnologii tradiionale care rspund ns numai parial problemelor ridicate de desfurarea unui audit IT. Cu toate c la nivelul SAI-urilor auditul sistemelor informatice se face, n general, ntr-o manier unidimensional, fiind focalizat numai pe faete particulare ale sistemelor respective, la nivelul I NTOSAI se promoveaz n prezent abordarea auditului IT / IS ca proces integrat, particularitile domeniului
IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul, asigurarea i serviciile conexe n numele Consiliului IFAC 24 IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod formal n cadrul Congresului internaio nal al contabililor, de la Munchen din 1977.
23

Pag. 19 / 214

antrennd deopotriv elemente specifice auditului financiar, auditului organizaional, auditului tehnologiei informaiei i comunicaiilor, auditului performanei i auditului conformitii. Aceste faete ale procesului trebuie s coexiste ntr-o arhitectur coerent, bazat pe sinergie, modelul de auditare fiind diferit de cel clasic, ntruct fiecare tip de audit nu se desfoar independent, ci se reflect sub forma unor secvene de proceduri, combinate n cadrul unor fluxuri eterogene, orientate ctre obiectivul general al auditului i nu ctre obiectivul individual al fiecrui tip de audit. Cu att mai mult, modelul devine mai complicat n condiiile unor sisteme interoperabile. n plan practic, aceast abordarea constituie o abordare sistemic integrat i propune un model nou de auditare bazat pe evaluarea riscurilor i un cadru metodologic i procedural asociat pentru audit extern. Subliniem c, pe plan internaional exist un interes crescut pentru inventarierea bunelor practici n domeniu i asigurarea convergenei acestora nr-o manier standardizat. n acest sens, la nivelul INTOSAI este adoptat ca reprezentativ a rhitectura de auditare ISACA25 i recomandat n consecin. Aceasta se constituie ca un ansamblu ierarhizat de elemente de ghidare care include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT, care sunt considerate ca fiind "cele mai bune practici" n materie. Ansamblul acestor componente este bazat pe un model general de controale i tehnici de control destinat unui mediu informatizat. Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector (pag 35) face trimitere expres la cadrul de lucru i la documentaiile pentru audit IT / IS furnizate de ISACA, ITGI (COBIT) i INTOSAI IT Audit Committee. Pe ansamblu, se poate aprecia c se nregistreaz schimbri semnificative n coninutul i stilul activitii de auditare a instituiilor publice, ca rezultat al impactului i efectelor pe care tehnologia informaiei le genereaz att n ceea ce privete restructurarea domeniului auditat (reingineria sistemelor informaionale i/sau a sistemelor informatice), ct i n ceea ce privete abordarea propriu-zis a auditului (reingineria arhitecturilor de auditare, a cadrului metodologic i procedural, schimbarea stilului de auditare). n contextul actual, implementarea arhitecturilor de auditare bazate pe IT / IS reprezint un proiect complex, care genereaz i o serie de efecte secundare favorabile, importante chiar, n contextul extinderii utilizrii IT n domeniul administraiei publice. Evoluia ctre e-guvernare va crea premisele evoluiei ctre implementarea arhitecturilor de audit online, obiectiv important n abordarea sistemic a domeniului auditului. Implementarea arhitecturilor de auditare bazate pe IT are un impact deosebit att asupra organizrii i monitorizrii activitii de audit, ct i asupra entitilor auditate, cele mai semnificative efecte fiind: (a) furnizarea informaiei n timp real; (b) depistarea la timp a erorilor prin posibilitatea corelrii rapide a informaiilor; (c) obinerea unor informaii mai bogate i mai relevante, prin investigaii automatizate, precum i (d) optimizarea procedurilor de audit. n vederea creterii capacitii instituionale, un accent deosebit se pune pe evaluarea permanent a acti vitilor specifice din cadrul SAI-urilor pe baza unei metodologii unitare. n acest sens, au fost dezvoltate dou proiecte foarte utile: ITSA (IT SelfAssessment) i ITASA (IT Audit SelfAssessment)26. Se remarc n mod deosebit preocuparea pentru instruirea continu a auditorilor n contextul noilor evoluii, n cadrul unor programe internaionale iniiate i coordonate de INTOSAI (INTOSAI Development Initiative - IDI)) i puse n aplicare la nivelul grupurilor regionale. Prin perfecionarea metodelor de comunicare cu instituiile i autoritile publice, precum i prin asigurarea flexibilitii accesului la informaii i servicii electronice, devin oportune proiectarea i implementarea unei arhitecturi de audit concepute n perspectiva integrrii n sisteme e-guvernare. n acest context, la nivelul
25 26

ISACA Information Systems Audit and Control Association Vezi Planurile de lucru EUROSAI-ITWG 2008-2011 i 2011 - 2014
Pag. 20 / 214

grupului regional EUROSAI-ITWG este n curs de consolidare un cadru de auditare pentru sisteme e-guvernare elaborat prin proiectul Auditing e-Government27, iniiat de INTOSAI -WGITA28, proiect coordonat de ctre Office of the Auditor General din Norvegia i avnd ca membri instituii supreme de audit din Anglia, SUA, Canada, India i Suedia. La acest proiect au fost luate n considerare experienele tuturor instituiilor supreme de audit care au desfurat audituri n domeniul e-guvernare. Constatrile respective au fost colectate ntr-o baz de date pe website-ul INTOSAI i au constituit sugestii pentru realizarea proiectului. CCR a participat la colectarea i capitalizarea experienelor valoroase obinute la nivelul instituiilor supreme de audit, pe site-ul web www.intosaiit.org fiind incluse rezultatele unor misiuni de audit IT desfurate de Serviciul auditul sistemelor informatice din cadrul Curii de Conturi a Romniei: 1) Performance audit of the services of accessing and processing the online administrative forms, available in the National Electronic System of Romania. Infrastructures and IT Services, (2006), www.intosaiit.org 2) The information system of Ministry of Public Finances for economic agents reports regarding their budgetary obligations, management of reimbursements and payment facilities grants. (2006), www.intosaiit.org 3) The performance audit of the implementation and usage of the Computer Assisted Education System (CAES, 2004), www.intosaiit.org In viziunea INTOSAI29, cadrul conceptual de auditare are trei dimensiuni: obiectul auditului, tipurile generale de audit i perspectiva temporal. 1. Obiectul auditului. Auditarea se poate focaliza pe unul sau pe mai multe dintre cele patru tipuri de obiecte generice: program (colecie de proiecte), proiect, sistem informatic sau resurse informatice. Cele trei nivele de controale asociate obiectelor generice sunt: nivelul strategic: eficiena cu care este organizat, planificat, condus i controlat desfurarea programelor; nivelul operaional: derularea proiectelor nivelul aplicaiilor: utilizarea unor sisteme informatice sau a unor resurse informatice existente sau nou create. 2. Tipuri de audit. Clasificrile standard recunosc urmtoarele tipuri generale de audit:

audit financiar o auditarea investiiilor i a cheltuielilor, a contabilitii fondurilor, a organizrii controlului intern i a raportrii eficienei cheltuielilor; audit IT o auditarea guvernrii IT auditul performanei o evaluarea sistemelor de control al calitii, evaluarea eficienei i eficacitii, a eficienei procesului decizional, a calitii serviciilor, a politicilor de personal, a aptitudinilor i cunotinelor personalului.

3. Perspectiva temporal. n concordan cu practicile internaionale acceptate la nivelul instituiilor de control financiar, se pot defini trei cadre de timp pentru desfurarea misiunilor de audit IT: pre-implementare: controlul pe perioada procesului de luare a deciziilor privind politica, privind bugetul sau alte zone de control financiar;
www.eurosai.org WGITA - Working Group for IT Audit 29 Prezentat n proiectul Auditing e-Government
27 28

Pag. 21 / 214

concurent: controlul aspectelor adiionale privind execuia bugetar care pot s apar pe parcursul realizrii programelor i proiectelor; post-implementare: aprobarea rapoartelor privind execuia bugetar i privind efectele (rezultatele) programelor i proiectelor.

Viziunea tridimensional permite definirea unui spaiu de control n care fiecrui obiect de control i corespunde un tip de audit i o perspectiv temporal, rezultnd o varietate de combinaii care genereaz seturi de metode de audit asociate. Metodele de audit pentru nivelele strategic, operaional i de aplicaie se pot mapa (suprapune) pe cadrul de lucru COBIT. Clasificarea tipurilor de audit n categorii separate are rolul de a contribui la o clarificare conceptual. n practic, auditul programelor i proiectelor combin n mod tipic abordri ale auditului financiar, auditului IT/IS i auditului performanei. Aceast tendin de evoluie, confirmat i de experiena altor instituii supreme de audit, a fost promovat n cadrul misiunilor de audit ale Curii de Conturi a Romniei desfurate n domeniul sistemelor e-guvernare i al serviciilor electronice asociate. Auditul tuturor aspectelor relevante ale programelor i proiectelor nu este posibil prin aplicarea metodelor clasice. Sunt necesare noi metode, iar noile metode trebuie s acopere subiecte, cum ar fi:

calitatea sistemelor financiar-contabile ale organizaiilor care sunt responsabile cu organizarea i derularea programelor din domeniul IT/IS sau e-guvernare; conformitatea proiectelor cu standarde funcionale referitoare la managementul investiiilor 30; conformitatea cu standarde pentru implementarea i utilizarea tehnologiei informaiei (COBIT); existena sistemelor de control al calitii certificate pentru fiecare stadiu al realizrii proiectului.

n raport cu stadiul actual, CCR trebuie s aib n vedere impactul pe care l va avea trecerea la economia bazat pe cunoatere asupra auditului extern i modificrile calitative de substan n abordarea auditului extern pe care aceast tranziie le antreneaz, prin generalizarea implementrii i utilizrii serviciilor electronice pentru ntreaga administraie public. n consecin, aa cum s-a menionat, aceste cerine i linii de dezvoltare vor genera cerine i obiective corespunztoare i pentru auditul sistemelor IT i, n mod deosebit, pentru auditul sistemelor, serviciilor i aplicaiilor informatice care urmeaz a face obiectul misiunilor de audit ale CCR pe termen lung . n aceeai ordine de idei, se va nregistra un efect practic important i n ceea ce privete auditul financiar: pentru a putea evalua procedurile financiar-contabile care vor fi informatizate pe scar larg, auditorul financiar trebuie s aib, la rndul su, cunotine de tehnologia informaiei i va desfura, implicit, pn la un anumit nivel, i auditarea de sisteme informatice. Acest lucru este confirmat i prin experiena celor mai avansate instituii supreme de audit din lume, din care rezult implicarea pe scar larg a auditorilor financiari n testarea procedurilor informatice financiar-contabile. n funcie de nivelul de pregtire al auditorilor financiari, se pot utiliza experi IT numai pentru auditarea unor aspecte strict spe cializate i care necesit cunotine care depesc nivelul stabilit n cadrul instituiei. Instituia Suprem de Audit Extern din Marea Britanie - UK National Audit Office (NAO - UK) constituie un exemplu de referin. Curtea de Conturi a Romniei a colaborat cu experii NAO n cadrul Conveniei de Twinning i a organizat misiuni de audit pilot.

30

Standardul ISO/IEC 15288


Pag. 22 / 214

1.4.2 Liniile de aciune ale EUROSAI IT Working Group


n cadrul EUROSAI IT Working Group31 exist preocupri susinute pentru extinderea cadrului de regle mentare i definirea abordrilor optimale n cadrul instituiilor de audit europene. Grupul special de lucru, EUROSAI IT Working Group, care funcioneaz n cadrul organizaiei EUROSAI are ca sarcin pre zentarea unui punct de vedere comun asupra subiectului n discuie. Prezentm n continuare o sintez a constatrilor i propunerilor grupului EUROSAI IT WG referitoare la auditul n medii informatizate. Ipoteza de lucru este aceea a unei perspective duale, anume c, lund n considerare capacitatea de "invadare" (de ptrundere n for i de diseminare) a serviciilor electronice, se impune n mod natural ca atenia special acordat IT/IS i problematicii asociate, precum i utilizarea IT/ IS s devin o parte integral a tuturor auditrilor, precum i a funcionrii tuturor instituiilor de auditare. Acceptnd aceast ipotez, concluzia lucrrii de fa este aceea c auditarea n condiiile prezenei sistemelor informatice, i, n egal msur, auditarea sistemelor informatice ca atare reprezint nici mai mult, nici mai puin dect o auditare normal care ia act ns n mod special de problematica asociat tehnologiei informaiei. Dup aprecierea grupului de lucru EUROSAI IT WG, problema real cu care se confrunt domeniul (comunitatea profesional), inclusiv i n mod deosebit n Romnia, dup aprecierea noastr, este aceea de a induce contientizarea i de a dezvolta instrumentele corespunztoare pentru ca universul tehnologiilor informaiei i universul auditrii (n sensul clasic) s devin din ce n ce mai accesibile actorilor implicai (manageri sau auditori). n acest sens, grupul de lucru EUROSAI IT WG i-a propus s se focalizeze pe urmtoarele linii de aciune principale, pe care le reinem ca fiind relevante i pentru situaia i evoluiile n planul auditrii din Romnia: a) auditarea furnizrii de servicii de tip e-guvernare, e-licitaie, e-administraie i altele; b) auditarea investiiilor guvernamentale n resurse hardware, software i umane relative la promovarea i utilizarea eficient a tehnologiilor informaiei; c) dezvoltarea capabilitii instituiilor supreme de audit de a-i atinge obiectivele strategice prin utilizarea n mod adecvat a tehnologiilor informaiei (de exemplu, relativ la managementul intern: realizarea de auditri cu efecte mult mai eficiente i dezvoltarea abilitilor necesare ale personalului). Cei douzeci de ani de existen ai EUROSAI au nsemnat acumulri la nivelul fiecrei instituii supreme de audit, capitalizarea experienelor i diseminarea celor mai reprezentative rezultate pentru a fi valorificate de aceast comunitate profesional fiind transfo rmate n exemple de bune practici. Utilizarea EUROSAI ca spaiu de discuie pentru SAI-uri a contribuit la armonizarea i convergena abordrilor n auditul fondurilor publice, avnd aceeai int, indiferent de particularitile naionale: o bun guverna re i satisfacerea nevoilor sociale. Documente de referin recomandate de EUROSAI - ITWG pentru auditul IT / IS Documentele de referin recomandate i furnizate de EUROSAI - ITWG pe site-ul web www.eurosai.org pentru desurarea auditului IT / IS sunt urmtoarele:
31

Cobit, 4th Edition: Control Objectives, Management Guidelines, Maturity Models (2005) Security Baseline (Background document, IT Governance Institute) The Val IT Framework

EUROSAI-IT WG este accesibil la adresa www.eurosai-it.org


Pag. 23 / 214

IT Control Objectives for Sarbanes-Oxley (Background document, IT Governance Institute) ECA IT audit guidelines ECA Guidelines Data Collection

1.4.3 Abordarea auditului sistemelor informatice n cadrul Curii de Conturi a Romniei

A. Armonizarea obiectivelor strategice ale CCR cu direciile strategice promovate n cadrul EUROSAI
Strategia dezvoltrii instituionale a Curii de Conturi a Romniei pentru perioada 2010 -2014 stabilete misiunea Curii de Conturi a Romniei i obiectivele strategice pe termen lung, lund n considerare resursele existente i cele care pot fi atrase i utilizate n viitor, precum i principalele modaliti de realizare a obiectivelor n contextul evoluiei preconizate a mediului n care aceasta i desfoar activitatea. Astfel, manifestarea pregnant a revoluiei cunotinelor i multiplele mutaii produse n economie determin necesitatea abordrii acestor realiti ntr -o viziune prospectiv i pragmatic32. Strategia pune accent pe impactul pe care l are focalizarea eforturilor de continuare a reformei economice pentru a realiza economia bazat pe cunoatere, caracterizat ca o economie digital, bazat n principal pe servicii electronice. n acest context, Curtea de Conturi a Romniei a iniiat i desfoar aciuni consecvente pentru modernizarea activitii de auditare i promovarea unei imagini a instituiei n concordan cu valoarea sa real, n conformitate cu direciile strategice promovate n cadrul EUROSAI. Printre cele mai relevante aciuni, n acest sens, menionm: 1. Abordarea auditului n concordan cu evoluiile i tendinele internaionale de vrf, astfel nct Curtea de Conturi a Romniei, ca instituie suprem de audit, s funcioneze n armonie cu cerinele standardelor profesionale ale Organizaiei Internaionale a Instituiilor Supreme de Audit (INTOSAI), precum i cu Liniile Directoare Europene de implementare a acestora. Armonizarea abordrilor CCR cu tendinele strategice stabilite la nivelul INTOSAI, precum i stabilirea direciilor strategice n domeniul auditului n cadrul Curii de Conturi a Romniei s -au realizat pe baza unei documentri permanente asupra rezultatelor i abordrilor raportate pe plan intern i internaional de ctre instituii supreme de audit de prestigiu. 2. Standardizarea auditului. n viziunea CCR, prin standardizarea ntregului flux al auditului, cea mai mare parte a auditului devine riguros reglementat, fiind astfel evitate ntoarceri sau repetri ale unor proceduri de audit sau teste de control. n plus, acest cadru de lucru asigur utilizarea resursele disponibile cu eficien crescut. Elaborarea i utilizarea unui model standardizat propriu Curii de Conturi pentru misiunile de audit, pe baza cerinelor standardelor internaionale de audit acceptate: INTOSAI ( Cadrul de auditare INTOSAI), ISA (International Standards for Audit), ISACA (Information Systems Audit and Control Association) i ale cadrului de lucru COBIT (Control Objectives for Information and Related Technology), va asigura standardizarea activitilor, procedurilor i documentelor de lucru pe ntregul flux al auditului acoperind practic toate etapele specifice: formularea obiectivelor, proiectarea procedurilor de audit, selecia tehnicilor i metodelor de audit, elaborarea documentelor de lucru, formularea concluziilor, constatrilor i reco mandrilor, elaborarea raportului de audit.
32

Extras din Strategia dezvoltrii instituionale a Curii de Conturi a Romniei pentru perioada 2010 -2014
Pag. 24 / 214

Acest model se va baza, n mod inerent, pe tehnici avansate de audit i presupune automatizarea procedurilor i utilizarea de documente electronice, evoluii care n prezent se extind considerabil. 3. Creterea calitii misiunilor de control i audit public extern, n vederea obinerii i furnizrii de informaii reale i obiective privind legalitatea, eficiena i transparena utilizrii fondurilor publice i a celor reprezentnd finanri externe, prin urmrirea respectrii disciplinei financiare, potrivit princi piilor bunei gestiuni financiare i prin eliminarea erorilor i neregularitilor i perfecionarea gestionrii banului public. 4. Desfurarea activitii de control i audit public extern n mod autonom, prin proceduri de control financiar ulterior i audit public extern prevzute n Regulamentul privind organizarea i desfurarea activitilor specifice ale Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, pe baza standardelor proprii de audit elaborate n conformitate cu standardele de audit internaionale. 5. Creterea responsabilitii entitilor verificate n utilizarea i administrarea fondurilor publice, inclusiv a fondurilor alocate Romniei de Uniunea European i de ctre alte instituii financiare internaio nale va fi determinat de asemenea ca urmare a aciunilor de control i audit desfurate de CCR. 6. Extinderea utilizrii tehnologiilor moderne de audit n scopul susinerii eficiente a rolului Curii de Conturi a Romniei n detectarea fraudelor i prevenirea corupiei: audit online, audit continuu, e-audit, audit asistat de calculator. Menionm c utilizarea tehnologiilor moderne antreneaz, de asemenea, o serie de efecte colaterale favorabile n ceea ce privete economisirea resurselor (de timp, spaiu, cheltuieli materiale cu logistica) i n prevenirea risipei de resurse aferente verificrilor, prin utilizarea unui personal cu competene de spe cialitate de nivel nalt, precum i prin standardizarea i automatizarea procedurilor bazate pe utiliz area documentelor de lucru electronice. 7. Extinderea cooperrii n cadrul EUROSAI i exploatarea beneficiilor care decurg din aceast cooperare. Pentru nscrierea auditului public extern din Romnia pe linia bunelor practici europene i internaionale i pentru consolidarea capacitii profesionale, considerm c ar fi oportun un schimb permanent de experien cu instituii supreme de audit similare. 8. Extinderea activitii i amplificarea contribuiilor CCR n cadrul grupurilor de lucru ale EUROSAI, din perspectiva noilor sale orientri strategice, care s reflecte afirmarea independenei, integritii, profesionalismului i a unei conduceri puternice i competente. Se are n vedere implicare CCR n audituri din domeniul de specialitate al Grupurilor de lucru internaionale la ale cror lucrri Curtea de Conturi a Romniei particip, n calitate de membru. Curtea de Conturi a Romniei face parte n prezent din dou grupuri de lucru din cadrul EUROSAI i particip la aciunile organizate n acest context: grupul de lucru privind Tehnologia Informaiei (EUROSAI-IT Working Group) i grupul de lucru privind auditul mediului (WGEA - Working Group of Environment Audit). 9. mbuntirea imaginii instituionale a Curii de Conturi, accentuarea percepiei publice pozitive. Promovarea unei imagini moderne a Curii de Conturi, prin participarea cu contribuii la conferine, seminarii, sesiuni de comunicri, simpozioane interne i internaionale i prezentarea unor rezultate de vrf pe subiecte de mare actualitate referitoare la abordarea auditului n cadrul Curii de Conturi a Romniei. Participarea activ la astfel de evenimente are ca rezultat subsidiar transmiterea unor idei i experiene valoroase care contribuie la contientizarea publicului, la asigurarea unei mai bune nelegeri a activitii i evoluiilor prezente i viitoare ale Curii de Conturi i la garantarea transparenei. Considerm c formularea unei arhitecturi de auditare, precum i elaborarea unui model de management al riscurilor generate de prezena i extinderea serviciilor electronice, adaptate la contextul Romniei, prin maparea standardului COBIT pe standarde de audit financiar i de securitatea informaiei (IAS, COSO,
Pag. 25 / 214

Sarbanes Oxley, Basel II, ISO seria 27000) reprezint un demers necesar, chiar imperativ, n condiiile impuse de contextul internaional. Aceast evoluie implic reingineria arhitecturilor de auditare, a cadrului metodologic i procedural de auditare, schimbarea stilului de auditare prin alinierea la standardele internaionale n domeniu.

B. Desfurarea misiunilor de audit al sistemelor informatice n cadrul CCR


Misiunile de audit desfurate de Serviciul Auditul sistemelor informatice din cadrul Departamentului XII au vizat, ca domeniu principal, Auditul performanei implementrii i utilizrii infrastructurilor IT la instituiile publice i s-au derulat n baza Programului de activitate al Curii de Conturi a Romniei. Abordarea auditului IT n cadrul Curii de Conturi a Romniei (CCR) se desfoar n concordan cu cadrul de auditare INTOSAI referitor la auditul serviciilor publice guvernamentale i cu direciile de dezvoltare incluse n Planul de lucru pentru perioada 2008-2011 al Grupului de lucru EUROSAI IT-WG. Subliniem c auditul IT se ncadreaz n obiectivele strategice ale CCR i contribuie la realizarea acestora. Auditul sistemelor informatice se desfoar n concordan cu cerinele standardelor internaionale de audit recomandate de INTOSAI / EUROSAI: 1. INTOSAI (ISSAI 3000 IMPLEMENTATION GUIDELINES FOR PERFORMANCE AUDITING, INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector, INTOSAI GOV 9130 - Guidelines for Internal Control Standards for the Public Sector Further Information on Entity Risk Management), 2. ISA International Standards for Audit, 3. ISACA - Information Systems Audit and Control Association Standards, 4. COBIT - Control Objectives for Information and Related Technology (cadrul de lucru, ghidurile de bun practic i liniile directoare de audit al sistemelor informatice elaborate de ITGI - ISACA, 5. Standardele de securitate din seria ISO 27000. n cadrul Curii de Conturi a Romniei, pentru auditul sistemelor bazate pe utilizarea tehnologiei informaiei au fost promovate urmtoarele abordri: Evaluarea sistemelor informatice n scopul furnizrii unei asigurri rezonabile privind funcionarea acestora, necesar misiunilor de audit financiar sau de audit al performanei la care este supus entitatea (de exemplu, auditurile IT desfurate n cadrul misiunilor de audit financiar pentru ISPA, SAPARD, Fondul Naional de Preaderare, n perioada 2004-2005 i pentru ANV n anul 2009); Evaluarea performanei implementrii i utilizrii programelor, proiectelor, sistemelor i aplicaiilor informatice (de exemplu, audituri ale performanei implementrii i utilizrii infrastructurilor IT desfurate la MCSI, ASSI, ANV, MEC, ANAF, CNPAS, MJ, CSM, ICCJ, ANP n perioada 2004-2010); Auditul sistemelor e-guvernare i e-administraie i al serviciilor electronice asociate acestor sisteme (de exemplu, misiunile de audit al Sistemului Electronic Naional i al ser viciilor electronice asociate - componentele e-guvernare i e-administraie, sistemul e-licitaie, serviciul electronic formulare online, serviciul electronic declaraii fiscale online, desfurate n perioada 2005-2008 la MCSI i la ASSI). n condiiile prevzute de Directiva 2006/123/CE, respectiv obligativitatea afilierii Romniei la platforma pan-european prin punctul de contact unic, devine imperativ auditarea infrastructurilor IT pentru toate instituiile publice, pentru a garanta calitatea informaiilor i a serviciilor electronice;
Pag. 26 / 214

Auditul unor soluii informatice care contribuie la prevenirea i combaterea corupiei i a evaziunii fiscale (de exemplu, Auditul performanei cadrului de interoperabilitate ntre ANAF i ceilali deintori de date referitoare la bunurile i veniturile contribuabililor n vederea recuperrii eficiente a debitelor restante i prevenirii i combaterii evaziunii fiscale, respectiv asigurarea condiiilor pentru ncasarea integral i la timp a veniturilor la bugetul de stat (2009); Cooperare n cadrul EUROSAI_IT Working Group la tema IT in auditing public revenue fraud (2007-2008), Relevance of IT in auditing public revenue fraud); n perspectiv, misiuni de audit mixte, soluii integrate ale celor trei tipuri de audit (auditul financiar, auditul performanei i auditul IT/IS), acestea urmnd a se desfura n cadrul unor misiuni comune, n funcie de obiectivele stabilite. Apreciem c astfel de misiuni ar fi deosebit de utile pentru programe sau proiecte de valori extrem de mari, foarte complexe, desfurate la nivel naional i cu impact foarte mare n plan economic i social, cum ar fi Strategia eRomania.

Abordarea general a auditului se bazeaz pe evaluarea riscurilor i pe rezultate. Auditul se poate efectua pentru ntreg ciclul de via al programelor, proiectelor, sistemelor i aplicaiilor informatice sau numai pentru anumite faze specificate n obiective.

Pag. 27 / 214

Capitolul 2. Standarde de audit IT


2.1 Instituii, standarde i linii directoare

Cele mai importante instituii internaionale, care au rol determinant n reglementarea domeniului auditului n general i al auditului IT n particular, sunt: INTOSAI (International Organization of Supreme Audit Institutions), Consiliul pentru Standarde Internaionale de Audit i Asigurare IAASB (International Audit and Assurance Standard Board)33 din cadrul Federaiei Internaionale a Contabililor IFAC (International Federation of Accountants)34, Institutul Auditorilor Interni (The Institute of Internal Auditors - IIA), COSO (Committee of Sponsoring Organizations of the Treadway Commission , ISACA (Information Systems Audit and Control). Instituiile supreme de audit (SAI) sunt afiliate la organizaia profesional INTOSAI i, implicit, la grupurile regionale ale acesteia. Cadrul de reglementare al SAI se armonizeaz cu prevederile cadrului INTOSAI dar conine i prevederi specifice, potrivit principiului independenei promovat de INTOSAI. Profesia de auditor este reglementat de mai multe surse: legislaia naional, reglementrile i standardele stabilite la nivel naional, standardele stabilite la nivel internaional, organisme profesionale, precum ACCA35. Prin legislaie se stabilesc, de regul, drepturile i ndatoririle auditorilor, p recum i condiiile de eligibilitatea pentru profesia de auditor. Misiunea Federaiei Internaionale a Contabililor (IFAC), aa cum este stabilit prin statutul su, este dezvoltarea i mbuntirea la nivel mondial a profesiei contabile pe baz de standarde armonizate, capabil s ofere servicii uniforme de o calitate ridicat n interesul public. Pentru realizarea misiunii sale, Consiliul IFAC a nfiinat Comitetul pentru Etic al IFAC, pentru a elabora i publica, sub autoritatea sa, standarde de o nalt calitate i alte materiale n sprijinul profesionitilor cont abili din ntreaga lume. Acionnd n interes public, un profesionist contabil ar trebui s respecte i s se conformeze prevederilor Codului Etic. Unele jurisdicii pot avea cerine i ndrumri care difer de acest Cod. Profesionitii contabili trebuie s cunoasc aceste diferene i s respecte cerinele i ndrumrile mai exigente, cu excepia cazului n care acestea sunt interzise n baza unei legi sau a unei reglementri. Msurile de protecie care pot elimina sau reduce la un nivel acceptabil acest gen de riscuri se mpart n dou mari categorii: msuri de protecie create de profesie, legislaie sau de reglementare i msuri de protecie aferente mediului de activitate. Msurile de protecie create de profesie, legislaie sau reglementare includ , dar nu sunt limitate la: cerine educaionale, de pregtire profesional i experien pentru accesul la profesie; cerine de dezvoltare profesional continu; reglementri de guvernare corporativ; standarde profesionale; proceduri disciplinare i de monitorizare profesional sau de reglementare; revizuirea extern a rapoartelor, evalurilor, comunicatelor sau informaiilor ntocmite de un profesionist contabil de ctre o ter parte mputernicit prin lege.

IAASB a fost nfiinat pentru a dezvolta i emite standarde i declaraii privind auditul, asigurarea i serviciile conexe n numele Consiliului IFAC 34 IFAC a fost nfiinat ca urmare a iniiativelor formulate n 1973 i aprobate n mod formal n cadrul Congresului internaional al contabililor, de la Munchen din 1977. 35 ACCA - Association of Chartered Certified Accountants Pag. 28 din 214
33

Misiunile de audit IT desfurate de CCR au urmrit asigurarea compatibilitii cu cerinele standardelor internaionale de audit acceptate (INTOSAI), cu standardele internaionale de audit al sistemelor infor matice elaborate de ISACA (Information Systems Audit and Control Association), cu cadrul de lucru COBIT (Control Objectives for Information and related Technology), cu standarde de securitate din seria ISO 27000, cu cerinele legislative i de reglementare, cu alte standarde i ghiduri de bune practici n domeniu. De asemenea, s-a analizat oportunitatea utilizrii unor standarde i ghiduri de bune practici, precum i a unor modele de referin pentru auditarea unor domenii speciale: Standarde privind managementul riscurilor, inclusiv al riscului operaional (COSO, Basel II); Model de referin pentru cadrul de interoperabilitate (SAGA, eGIF); Actul Sarbanes Oxley (SOX) privind Sistemul de Control Intern, inclusiv pentru controalele IT; Linii directoare privind comerul electronic ( ISACA G22 B2C e-commerce); Standarde web (W3C).

2.2

Cadrul de auditare INTOSAI

n Planului Strategic 2005-2010, INTOSAI i-a propus s furnizeze un cadru de nivel nalt constituit din standarde profesionale relevante, pentru nevoile membrilor si. n acest sens, Comitetul pentru Standarde Profesionale (PSC36) a decis s integreze standardele existente i noile orientri ale INTOSAI ntr-un cadru consistent i coerent. Scopul general al cadrului este de a oferi membrilor INTOSAI i altor pri interesate o imagine de ansamblu i o nelegere comun a standardelor i a liniilor directoare de audit INTOSAI. Marea majoritate a liniilor directoare i a standardelor profesionale INTOSAI sunt disponibile n cinci limbi oficiale.

2.2.1 StandardeIe ISSAI i INTOSAI GOV 9100


Standardele Internaionale ale INTOSAI (ISSAI) atest premisele de baz pentru buna funcionare i conduita profesional a Instituiilor Supreme de Audit, precum i principiile fundamentale n domeniul auditului entitilor publice. Liniile directoare INTOSAI (INTOSAI GOV) ofer asisten autoritilor publice cu privire la administrarea corect a fondurilor publice. Dup cum am menionat n seciunea 1.4.1, pentru auditul IT / IS, la nivelul INTOSAI este adoptat ca reprezentativ arhitectura de auditare ISACA37 i recomandat n consecin. Standardul INTOSAI GOV 9100 - Guidelines for Internal Control Standards for the Public Sector (pag 35) face trimitere expres la cadrul de lucru i la documentaiile pentru audit IT/IS furnizate de ISACA, ITGI (COBIT) i INTOSAI IT Audit Committee. Eforturile de armonizare n cadrul evoluiilor actuale se concentreaz cu precdere la nivelul unor organizaii internaionale care au un rol deosebit de important n unificarea abordrilor, prin standar dizarea soluiilor, promovarea celor mai bune practici, politici, coduri de conduit i norme.

36 37

Professional Standards Commitee ISACA Information Systems Audit and Control Association Pag. 29 din 214

2.2.2 ISSAI 3000 - Anexa 5 Auditul Performanei i Tehnologia Informaiei


Auditul performanei are ca obiect auditul eficienei, eficacitii i economicitii i are urmtoarele arii de audit: (a) auditul economicitii activitilor administrative, n concordan cu principii i practici administrative solide, precum i cu politicile managementului; (b) auditul eficienei utilizrii resurselor umane, financiare i a altor resurse, inclusiv examinarea sistemului informatic, al cadrului de msurare a performanei i de monitorizare i al procedurilor urmrite de entitile auditate pentru remedierea deficienelor identificate; (c) auditul eficacitii, n legtur cu atingerea obiectivelor entitii auditate, precum i auditul impactului activitilor actuale comparat cu impactul previzionat. Obiectivele globale ale auditului performanei variaz de la o ar la alta. Ele pot fi definite n legislaia de baz sau pot fi obiectul unor decizii interne n cadrul SAI: Obiectul concret al auditului performanei l pot constitui: bunurile, serviciile i alte rezultate, inclusiv infrastructurile IT. Calitatea serviciilor publice este un subiect deosebit de important, pe care membrii parlamentelor sau ai guvernelor ateapt s fie abordat n rapoartele de audit al performanei ale SAI -urilor. Anexa 538 la Standardul ISSAI 3000 trateaz aspectele legate de relaia dintre auditul performanei i tehnologia informaiei. Tehnologia informaiei (IT) este utilizat din ce n ce mai mult pentru planificarea, execuia i monitorizarea programelor din sectorul public. Partajarea sau in tegrarea informaiilor ntre instituii ridic probleme, cum ar fi riscurile de nclcare a securitii i manipulare neautorizat a informaiilor. Auditorii ar trebui s fie contieni nu numai de utilizarea IT, acetia ar trebui s dezvolte, de asemenea, strategii i tehnici pentru furnizarea de asigurare pentru prile interesate cu privire la valoarea pentru bani (value for money) de la utilizarea de IT, la securitatea sistemelor, la existena controalelor proceselor corespun ztoare i la exhaustivitatea i acurateea rezultatelor. Auditul performanei, se poate concentra, de asemenea, pe probleme cum ar fi planificarea, dezvoltarea i ntreinerea sistemelor individuale IT. n prezent, perspectiva este mai larg: sistemele IT sunt, n principal, vz ute ca fiind componente importante n toate programele guvernamentale (incluse n sistemul e-guvernare). Evoluia din aceast perspectiv are consecine semnificative pentru auditul performanei n domeniul tehnologiei informaiei. Sistemele IT pot fi un mecanism eficient i eficace de livrare a serviciilor susinute de programe guverna mentale complexe. Aceste sisteme au potenialul de a furniza serviciile existente la un cost redus i de a oferi o gam de servicii suplimentare, inclusiv informaii privind performana programului, cu eficien, securitate i control superioare celor disponibile n sistemele manuale. Anexa 5 a Standardului ISSAI 3000 scoate n eviden o serie de aspecte importante pentru auditul performanei ntr-un mediu IT, dar nu este destinat s nlocuiasc liniile directoare detaliate pe care SAI-urile ar putea avea nevoie s le dezvolte n scopul de a evalua mediul IT al entitilor auditate.

38

Performance Audit and Information Technology Pag. 30 din 214

Abordarea auditului performanei ntr-un mediu IT ar trebui s implice urmtoarele procese interde pendente:

S obin o nelegere a sistemelor IT auditate i s determine semnificaia acestora pentru obiectivele auditului performanei; S identifice extinderea auditului sistemelor IT necesar pentru atingerea obiectivelor auditului performanei; S evalueze controalele de mediu i de aplicaie i s utilizeze un specialist IT/IS pentru problemele aferente acestui domeniu; S dezvolte i s utilizeze, atunci cnd este necesar, tehnici adecvate de audit asistat de calculator pentru a facilita auditul.

Un audit al performanei ntr-un mediu IT ar trebui s se orienteze pe urmtoarele activiti:

S evalueze dac sistemele IT contribuie la consolidarea economicitii, eficienei i eficacitii obiectivelor programului i a managementului acestuia, n special n ceea ce privete planificarea, execuia, monitorizarea, i feedback-ul programului; S determine dac rezultatele ndeplinesc parametrii stabilii privind calitatea, serviciile i costurile de livrare; S identifice orice deficiene n sistemele informatice i de control al mediului informatizat, precum i efectul rezultat privind performana (eficiena, economicitatea i eficacitatea); S compare dezvoltarea i practicile de ntreinere a sistemului IT ale entitii auditate, cu practici i standarde recunoscute n domeniu; S compare planificarea strategic IT, managementul riscului i managementul de proiect ale entitii auditate, cu practici i standarde recunoscute n domeniu.

Anexa 5 a Standardului ISSAI 3000 detaliaz modul n care se vor desfura aceste activiti pentru ntreg ciclul de via al auditului.

2.2.3 Liniile directoare ISSAI 5310


Liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de Securitate a Informaiilor" furnizeaz o metodologie eficient pentru a asista auditorul n revizuirea sau n stabilirea unor politici i msuri de securitate adecvate n cadrul unei organizaii guvernamentale. Instituiile supreme de audit (ISA) pot utiliza ghidul n dou moduri: pentru scopuri interne, de a crea un proces de evaluare a securitii n propria organizaie sau n scopuri externe, pentru a ajuta la revizuirea procesului de evaluare a securitii n alte organizaii guvernamentale. Evoluiile semnificative din domeniul tehnologiilor informaiei i comunicaiilor au generat schimbri majore n ceea ce privete cerinele sistemului de securitate a informaiei i o parte important a liniilor directoare este perimat, iar problematica nou nu este acoperit. In consecin, versiunea Octombrie 1995 a liniilor directoare ISSAI 5310 ar trebui s fie revizuit. Problematica actual a securitii informaiei este acoperit n mod consisten t att de standardele de securitate din seria ISO/IEC 27000, ct i de cadrul de lucru COBIT. Abordarea bazat pe COBIT 5 care este recomandat de EUROSAI-ITWG va oferi o soluie integrat pentru tratarea aspectelor privind securitatea informaiilor i a sistemelor.

Pag. 31 din 214

2.3

Standardele internaionale de audit ISA

Standardele Internaionale de Audit ISA sunt elaborate, aprobate i emise de IAASB. Experii INTOSAI particip n prezent la dezvoltarea standardelor ISA, care, n conformitate cu abordarea dual a INTOSAI, sunt o parte integrat a liniilor directoare de audit financiar INTOSAI. Subcomisia de audit financiar din cadrul PSC elaboreaz Notele Practice, cu scopul de a oferi orientri relevante cu privire la aplicarea standardului ISA n auditul situaiilor financiare ale entitilor din sectorul public, n plus fa de ceea ce este prevzut n prezent n ISA. Standardul ISA i notele practice aferente constituie mpreun o linie directoare pentru audit financiar. Acest lucru a fost aprobat de ctre INCOSAI n 2007, cnd Congresul a aprobat documentul cadru n cazul n care se prevede c: "O linie directoare INTOSAI privind auditul financiar va consta ntr-un standard ISA emis de IAASB, mpreun cu o not practic elaborat de INTOSAI subliniind, de asemenea, modificrile, care trebuie s fie luate n considerare de auditul public. In ceea ce privete standardele internaionale de audit ISA i declaraiile de practic IASP, aplicarea acestora poate fi exemplificat prin utilizarea sau evaluarea urmtoarelor componente:

ISA 300 - Planificarea auditului; ISA 315 - Cunoaterea entitii i mediului su i evaluarea riscurilor de denaturare semnificativ; ISA 400 - Evaluarea riscului i controlul intern; ISA 402 - Considerente de audit referitoare la entitile care apeleaz la firme de servicii; Declaraia internaional privind practica de audit 1013 - comerul electronic efectul asupra auditului situaiilor financiare; Declaraia internaional privind practica de audit 1001 - medii IT calculatoare neincluse n reea; Declaraia internaional privind practica de audit 1002 - medii IT sisteme computerizate online; Declaraia internaional privind practica de audit 1003 medii IT sisteme de baze de date; Declaraia internaional privind practica de audit 1008 - evaluarea riscurilor i controlul intern caracteristici i considerente privind CIS; Declaraia internaional privind practica de audit 1009 - tehnici de audit asistat de calculator.

2.4

Actul Sarbanes - Oxley

Ca reacie la eecurile cu efecte ulterioare considerabile ale unor misiuni de audit, precum acela din cazul ENRON, profesia de auditor a devenit foarte bine reglementat. Cazul ENRON a antrenat, pe lng falimentul companiei de audit Arthur Andersen, i aprobarea de ctre Congresul american a legii U.S. Sarbanes-Oxley (SOX) Act. In seciunea 404 a acestui Act, se cere managementului extinderea sistemului de control intern cu implementarea unor proceduri de validare i de evaluare a controalelor privind procesele de raportare financiar, inclusiv n ceea ce privete controalele IT. Schimbrile necontrolate n mediul de producie pot conduce la deficiene serioase i la slbiciuni semnificative. De aceea, o atenie deosebit trebuie acordat procesului de implementare a schimbrii sistemului informatic care susine procesul de raportare pentru a asigura conformitatea cu SOX.
Pag. 32 din 214

Un proces eficace de management al schimbrii trebuie s fie documentat pentru a reduce efortul continuu necesar pentru maparea, validarea i certificarea schimbrilor n procesul de raportare financiar pentru a asigura conformitatea cu SOX.

2.5

Standardele IIA

Fondat n anul 1941, The IIA este o asociaie profesional, avnd un numr de peste 100.000 de membri i reprezentane n mai mult de 100 de ri. Aceasta este o autoritate recunoscut ca principal formator, leader n certificare, instruire, cercetare tiinific i ghidare tehnologic pentru profesia de auditor pe plan mondial. n domeniul auditului IT, The IIA promoveaz cunotine specializate i suport modern, n concordan cu tendinele i evoluiile pe plan mondial, contribuind la accelerarea extinderii i adaptrii misiunilor de audit la cerinele impuse de existena unui mediu de audit informatizat pe scar larg. Adaptarea auditurilor IT la cerinele de conformitate cu Sarbanes-Oxley (SOX) Act constituie un exemplu relevant. The IIA furnizeaz nu numai standarde, ci i numeroase resurse suplimentare pentru a asista auditorii: ghiduri de implementare a celor mai bune practici, studii de caz i alte instrumente integrate n cadrul de lucru IPPF (International Professional Practices Framework39) disponibil pe website. n domeniul auditului IT/ IS, liniile directoare de audit GTAG (Global Technology Audit Guidelines) abordeaz probleme legate de managementul tehnologiei informaiei, control i securitatea informaiei. Seria GTAG constituie o resurs pentru auditori, trateaz riscurile asociate diferitelor tehnologii i recomand practicile pentru reducerea impactului acestora. Liniile directoare sunt structurate pe urmtoarele categorii de probleme: GTAG PG-15: Securitatea informaiei GTAG PG-14: Auditul aplicaiilor dezvoltate de utilizatori GTAG PG-13: Prevenirea i detectarea fraudei ntr-un mediu informatizat GTAG PG-12: Auditul proiectelor IT GTAG PG-11: Elaborarea Planului de Audit IT GTAG PG-10: Managementul continuitii PG GTAG-9: Managementul identitii i al accesului PG GTAG-8: Auditarea controalelor de aplicaie PG GTAG-7: Externalizarea tehnologiei informaiei PG GTAG-6: Managementul i auditul vulnerabilitilor IT GTAG PG-5: Managementul i auditul riscurilor privind confidenialitatea PG GTAG-4: Managementul auditului IT PG GTAG-3: Audit continuu: Implicaii pentru asigurare, monitorizare i evaluare a riscurilor PG GTAG-2: Controale privind managementul schimbrii PG GTAG-1: Controale IT

Liniile directoare GAIT (Guide to the Assessment of IT Risk40) Seria de linii directoare GAIT descrie relaiile dintre riscurile afacerii, controalele cheie asociate proceselor afacerii, controalele automate i controalele cheie din cadrul controalelor generale IT. Este o abordar e bazat pe risc pentru auditarea controalelor generale IT ca parte a sistemului de control intern al entitii, destinat identificrii deficienelor, n viziunea seciunii 404 din Sarbanes -Oxley Act (SOX).
39 40

Cadrul de practici profesionale internaionale Ghid de evaluare a riscurilor IT Pag. 33 din 214

2.6

COSO

In ceea ce privete abordarea auditului bazat pe risc, un model general acceptat i preferat pentru eva luarea controalelor interne este Internal Control Integrated Framework, elaborat de Comittee of Sponsoring Organizations of the Treadway Commission (COSO) n anul 1992. n anul 2004 acest model a fost perfecionat pentru a oferi un cadru de management al riscurilor acceptat pe scar larg, care include principii cheie, concepte, un limbaj comun privind riscurile i ghiduri clare pentru implementare. Aceast direcie nou, numit Enterprise Risk Management Integrated Framework, furnizeaz patru categorii de obiective organizaionale i opt componente interrelaionate ale managementului eficace al riscului.

2.7

Schimbri ale standardelor de audit IT n viziunea EUROSAI - ITWG

Schimbri n standardele i liniile directoare de audit IT n aceast seciune se prezint o descriere sintetic a evoluiilor n domeniul standardelor i liniilor directoare de audit, confirmate de abordrile i reglementrile instituiilor supreme de audit i puse n eviden de lucrrile celei de-a 7-a ntlniri a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 21-22 februarie 2011. Reglementri internaionale Ca organizaii semnificative n domeniul reglementrilor i ghidurilor (liniilor directoare) acioneaz, n acest moment, urmtorii actori: 1. 2. 3. 4. IFAC (International Federation of Accountants), prin setul de standarde ISA Standards; INTOSAI, prin setul de standarde ISSAI Standards; IIA (Institute of Internal Auditors), prin setul de standarde IIA Standards; ISACA (Information Systems Audit and Control Association), prin Liniile directoare de Audit i Asigurare IT.

Ca preocupri/elaborri specifice pentru fiecare organizaie se pot reine elementele expuse n continuare. IFAC / ISA IFAC a publicat, n anul 2010, dou manuale referitoare, respectiv, la setul de standarde ISA ( Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements) i la codul de etic (Handbook of the Code of Ethics for Professional Accountants). INTOSAI / ISSAI De la primul ghid de audit al performanei (anul 2004), setul de linii directoare ISSAI a evoluat, la nivelul anului 2010, pe cele trei componente: a. Linii directoare privind Auditul performanei (seria 3000 3999: ISSAI 3000 2004; ISSAI 3100 aprobat 2010); b. Linii directoare privind Auditul conformitii (seria 4000 4999: ISSAI 4000, 4100 i 4200, toate aprobate n anul 2010); c. Linii directoare privind Peer Reviews (evaluarea performanei de ctre ali factori cu experien n domeniu) (seria 5600 5699: ISSAI 5600, aprobat 2010).
Pag. 34 din 214

In ceea ce privete stadiul actual al colaborrii ntre ITWG i WGITA 41 n domeniul standardelor, ca surse de cunoatere i facilitatori de schimb de informaii, sunt disponibile diverse canale, cum ar fi: publicaii, rapoarte, ghiduri, standarde i baze de date. n plus, Liniile directoare ale INTOSAI referitoare la Comunicare i Orientare sunt acum disponibile (versiunea iulie 2010, n limbile englez i german). Se preconizeaz ca instrumentele de comunicare s fie utilizate i consultate. Se ateapt mbuntiri i cu privire la instrumentul de colaborare INTOSAI Colaboratin Tool (cu 67 de grupuri de lucru i 630 de utilizatori), care este n prezent neutilizat. Aa cum am menionat, liniile directoare INTOSAI, ISSAI 5310 "Metodologia de revizuire a Sistemului de securitate a Informaiilor", versiunea Octombrie 1995, trebuie s fie actualizate. IIA / Standardele IIA ncepnd cu anul 2009, IIA a operat modificri asupra setului de standarde IIA, respectiv: A inclus forma imperativ trebuie n loc de forma opional ar trebui n majoritatea standardelor; A adugat 5 noi standarde; A adugat noi precizri i comentarii la standardele existente.

De remarcat c, trecerea de la forma opional (ar trebui) la forma imperativ (trebuie) genereaz cerine pentru aciuni care trebuie realizate. Ca impact practic, pentru unele compartimente de audit intern aceasta poate antrena numai schimbri minore, dar pentru altele pot fi necesare (multiple) activiti adiionale, unele de substan, pentru a se conforma cu standardele revizuite. Ca prevederi noi, de interes i pentru activitatea Curii de Conturi a Romniei, se pot reine cel puin urmtoarele dou: Activitatea de audit intern trebuie s evalueze dac i n ce msur guvernarea tehnologiei informaiei n cadrul organizaiei susine (ofer suport pentru) strategiile i obiectivele organizaiei; Activitatea de audit intern trebuie s evalueze expunerea la riscurile privind guvernarea i operarea organizaiei, precum i sistemul informatic, referitor la: o Eficacitatea i eficiena operaiunilor i programelor; o Protejarea bunurilor organizaiei; o Conformitatea cu legile, reglementrile, politicile, procedurile i contractele aplicabile dup caz. Convergena IIA i INTOSAI IIA i Comitetul de Standarde Profesionale al INTOSAI au agreat, n luna decembrie 2010, un Memorandum de Inelegere (MOU), care documenteaz alinierea obiectivelor strategice ale organizaiei, recunoate standardele globale ale fiecrei pri i definete un proces de colaborare i cooperare continu ntre pri. Un element de importan major al MOU este acordul reciproc c standardele specifice fiecrei organizaii (seturile de standarde ISSAI i, respectiv, IIA) sunt recunoscute la nivel global.

41

Working Group for IT Audit (din cadrul INTOSAI) Pag. 35 din 214

ISACA - Linii directoare de audit i asigurare ISACA a elaborat, dezvolt i ntreine un set cuprinztor de linii directoare (ghiduri) pentru audit i asigurare IT, dintre care menionm (selectiv): Utilizarea tehnicilor de audit asistat de calculator; Concepte de materialitate pentru auditarea sistemelor informatice; Efectele extinderii/generalizrii controalelor pentru sistemele informatice; Utilizarea evalurii riscurilor n planificarea auditului; Revizuirea sistemelor de aplicaie; Guvernarea IT.

Pentru o list complet i actualizat de linii directoare se poate consulta pagina web www.isaca.org. n ceea ce privete cadrele de lucru proprii (frameworks), ISACA a anunat, pentru anul 2011, diseminarea versiunii COBIT 5, care aduce ca trstur esenial integrarea COBIT cu celelalte cadre de lucru disponibile: Val IT i Risk IT. O reprezentare grafic a acestei scheme de integrare este redat n Fig. 1. Aceast schem a fost prezentat i recomandat SAI-urilor ca referin la cea de-a 7-a ntlnire a EUROSAI IT Working Group, care a avut loc la Istanbul, n perioada 2122 Februarie 2011. Cadrul de lucru COBIT a fost asimilat la nivel INTOSAI / EUROSAI drept cadru de referin pentru auditurile desfurate de SAI-uri. Relativ la COBIT, n cadrul EUROSAI ITWG, pn n prezent, au avut loc trei evenimente de formare COBIT: la Lisabona (2004), Tallinn (2008) i Anvers (2009). CCR a participat la seminarul internaional de la Tallinn. Republica Slovac a organizat un seminar internaional intitulat Auditul Sistemelor Informatice i aplicarea standardelor de audit INTOSAI, n octombrie 2009. Pentru ITSA42 dou seminarii privind leciile nvate au avut loc, la Berna (2006) i la Luxemburg (2007). Acestea au fost organizate cu scopul de a mprti experienele prezentri ale SAI-urilor pentru SAI-uri, fr moderare extern. La Berna, n 2009, s-a decis s se organizeze un alt eveniment de genul Leciile nvate, cu condiia ca 12 SAI-uri s fie dispuse s participe. Sugestii privind reacia la schimbri Pentru SAI-uri, reacia la schimbrile evideniate mai sus, se poate materializa n cteva orientri de natur practic a activitii, ntre care: Urmrirea consecvent a mbuntirilor, dezvoltrilor i amendamentelor, pentru a beneficia de standardele i bunele practici internaionale i pentru a asigura conformitatea cu reglementrile internaionale; Utilizarea optimal i distribuirea informaiei disponibile: baze de date, instrumente, ghiduri, publicaii, rapoarte etc.; Creterea fluxului liber de informaii, idei, experiene i cunotine ntre grupuri de utilizatori, ntre membrii EUROSAI i INTOSAI i comunitile IT.

O problem important este modul n care SAI-urile se ocup de aceste schimbri i evoluii. Este recomandat s urmeze ndeaproape evoluia standardelor de audit i a liniilor directoare, pe ntru a le folosi i a le distribui i pentru a mbunti fluxul de informaii.
42

IT Self Assessment Pag. 36 din 214

Fig. 1. COBIT 5 Integrarea COBIT, Val IT i Risk IT (Cadrul de referin pentru audit IT recomandat de EUROSAI ITWG)

Avnd n vedere dinamica domeniului tehnologiei informaiei, s -a ajuns la concluzia necesitii revizuirii standardelor de audit IT utilizate pn n prezent i a actualizrii n consecin. Punctul de vedere privind noua abordare bazat pe CobiT 5 care integreaz standardele specifice de audit IT (CobiT43, Val IT44 i Risk IT45) a fost susinut de Elveia. COBIT a fost aliniat i armonizat cu standarde detaliate i bune practici IT: COSO 46, ISO 2700047, ITIL48, Sarbanes-Oxley Act, BASEL II i acioneaz ca un integrator al acestor standarde, sintetiznd obiectivele principale sub un singur cadru de referin general acceptat. n condiiile trecerii la cadul de lucru COBIT 5, se va extinde referenialul pentru auditare i la standardele enumerate mai sus, noua arhitectur asigurnd convergena cu acestea.
Control Objectives for Information and related Technologies Value IT 45 Risk IT 46 COSO - Committee of Sponsoring Organizations of the Treadway Commission 47 ISO 27000 - Set de standarde privind securitatea informaiilor 48 ITIL - IT Infrastructure Library
43 44

Pag. 37 din 214

2.8

Cadrul de lucru COBIT


2.8.1 ISACA, ITGI i cadrul de lucru COBIT

Evoluia n domeniul auditului IT confirm cristalizarea unor arhitecturi de auditare generale, un promotor reprezentativ n acest sens fiind ISACA (Information Systems Audit and Control Association). Arhitectura de auditare ISACA se constituie ca un ansamblu ierarhizat de elemente de ghidare care include urmtoarele niveluri i componente: standarde, ghiduri de aplicare, proceduri i resursele COBIT. Resursele COBIT sunt apreciate ca fiind "cele mai bune practici" n materie i reprezint o structur bazat pe un model general, detaliat, de controale i tehnici de control destinat unui mediu informatizat. Componentele arhitecturii de auditare ISACA sunt: Standarde - Definesc cerinele obligatorii pentru auditarea i raportarea auditrii sistemelor informatice. Ghiduri de aplicare - Furnizeaz ghiduri practice pentru aplicarea standardelor de auditare a sistemelor informatice. Proceduri - Furnizeaz exemple de proceduri pe care un auditor de sisteme informatice ar trebui s le urmeze (le-ar putea utiliza) n cadrul unui angajament de audit. Cel de-al patrulea element al ansamblului menionat, resursele COBIT, funcioneaz ca o surs de ghidare pentru "cele mai bune practici" n materie. Unul dintre obiectivele asociaiei ISACA este acela de a avansa (de a dezvolta i disemina) standarde global aplicabile pentru atingerea viziunii proprii n materie de auditare IT/IS. COBIT este un cadru de lucru dezvoltat iniial de ctre Information Systems Audit and Control Foundation (ISACF) i publicat n anul 1996. Aceast prim versiune a fost urmat de o a doua ediie, extins la nivelul documentelor surs i al componentelor, inclusiv prin adugarea unui set de instrumente de implementare, care a fost publicat n anul 1998. Obiectivele de control elaborate de ctre ISACF (ISACA) au fost proiectate ca un instrument pentru auditori, n timp ce cadrul de lucru COBIT este un rezultat al evoluiei ctre un instrument pentru management i guvernare IT. Din acest motiv, COBIT a fost suplimentat cu o serie de elemente care permit decizii de implementare i mbuntire a proceselor IT: indicatori cheie de scop, indicatori cheie de performan, factori de succes critici, modele de maturitate. Necesitatea de a avea asigurri cu privire la valoarea tehnologiei informaiei, managementul riscurilor asociate acestor tehnologii, precum i cerinele sporite pentru controlul asupra informaiilor sunt con siderate ca un element-cheie al guvernrii organizaiilor i companiilor. Managementul valorii, managementul riscurilor i controlul constituie nucleul guvernrii IT. COBIT (acronim de la Control Objectives for Information and related Technology) ofer un set de bune practici prin intermediul unui cadru de referin bazat pe domenii i procese, prezentnd activitile de o manier logic, uor de gestionat. Setul de bune practici prezente n COBIT se concentreaz n special pe controlul proceselor din cadrul organizaiei, oferind bune practici care vor ajuta la optimizarea investiiilor IT, vor asigura livrarea serviciilor i vor furniza un referenial pe baza cruia se va judeca atunci cnd lucrurile nu merg bine. n acest context, COBIT constituie un instrument deosebit de util i pentru auditori. Misiunea COBIT const n cercetarea, dezvoltarea, publicarea i promovarea unui cadru de referin pentru guvernarea IT, autorizat, actualizat, acceptat la nivel internaional pentru a fi adoptat de ctre
Pag. 38 din 214

organizaii i utilizat n activitatea cotidian a managerilor, profesionitilor IT i auditorilor, avnd n vedere impactul semnificativ pe care informaiile il pot avea asupra succesului organizaiilor. Orientarea spre partea economic a COBIT const n legtura dintre obiectivele afacerii i obiectivele IT, furnizarea de metrici/indicatori i de modele de maturitate pentru a cuantifica realizarea acestora, precum i identificarea responsabilitilor legate de afacere i a responsabililor de procese IT.

2.8.2 Orientarea COBIT pe domenii i procese


Orientarea COBIT pe procese este pus n eviden de un model orientat pe patru domenii i 34 de procese, in conformitate cu zonele de responsabiliti pentru planificarea, dezvoltarea, utilizarea i monitorizarea IT, oferind o imagine asupra sistemului informatic al organizaiei. Conceptele cu privire la arhitectura ntreprinderii ajut la identificarea resurselor eseniale pentru asigurarea succesului procesului, cum ar fi aplicaiile, informaiile, infrastructura i resursele umane. Pentru a oferi informaiile de care o organizaie are nevoie pentru atingerea obiectivelor sale, resursele IT trebuie s fie gestionate de un set de procese grupate corespunztor, mediul informatic s fie controlat, riscurile s fie gestionate i resursele IT s fie securizate. n primul rnd, este nevoie de obiective de control care s defineasc i s sus in obiectivul final de punere n aplicare a politicilor, planurilor i a procedurilor, precum i de structuri organizatorice concepute pentru a oferi o asigurare rezonabil n ceea ce privete atingerea obiectivelor economice i prevenirea sau detectarea i corectarea evenimentelor neprevzute. n al doilea rnd, n mediile complexe de astzi, managementul se afl ntr -o cutare continu de informaii, condensate i obinute n timp util, pentru a lua decizii dificile, dar cu rapiditate i succes cu privire la valoare, risc i control. Organizaiile au nevoie de o unitate de msur obiectiv asupra stadiului de dezvoltare, precum i n ceea ce privete perfecionrile de care au nevoie, fiind practic obligate s pun n aplicare un instrument de management pentru a monitoriza aceste mbuntiri. Un rspuns la aceste cerine de determinare i de monitorizare a adecvrii i de evaluare a performanelor controalelor IT este dat de definiiile COBIT: Analiza comparativ a performanei i capabilitii unui proces IT este exprimat sub forma unui model de maturitate derivat din modelul CMM (Capability Maturity Model)49. Obiectivele i indicatorii unui proces IT definesc i cuantific rezultatele i performana acestuia pe baza principiilor tablourilor cu indicatori agregai50. Obiectivele activitii au ca rol inerea proceselor sub control, pe baza controalelor COBIT.

2.8.3 Modele de maturitate COBIT


Evaluarea capabilitii proceselor pe baza modelelor de maturitate COBIT este un element-cheie al punerii n aplicare a guvernrii IT. Dup identificarea proceselor i controalelor IT considerate critice, modelele de maturitate permit identificarea lacunelor capabilitilor i argumentarea acestora n faa managementului. Planurile de aciune pot fi apoi dezvoltate pentru a duce aceste procese pn la nivelul de capabilitate dorit. n concluzie, COBIT ofer un cadru de referin care asigur c: Tehnologiile sunt aliniate cu afacerea; Tehnologiile uureaz procesele economice i maximizeaz beneficiile;
49 50

de la Software Engineering Institute dezvoltate de Robert Kaplan si David Norton Pag. 39 din 214

Resursele sunt utilizate cu responsabilitate; Riscurile IT sunt gestionate n mod corespunztor.

2.8.4 Msurarea performanelor


Msurarea performanelor este esenial pentru guvernarea IT. Aceasta este oferit de cadrul de lucru COBIT i include stabilirea i monitorizarea unor obiective cuan tificabile cu privire la ceea ce procesele IT trebuie s ofere (rezultatul procesului), precum i la modul n care se livreaz (capabilitile i performana procesului). Multe studii au identificat c lipsa de transparen privind costurile associate serv iciilor IT, valoarea investiiilor IT, precum i riscurile generate de prezena mediului informatizat reprezint unul dintre cei mai importani factori ce afecteaz guvernarea IT. Transparena este obinut n primul rnd prin msurarea performanei.

2.8.5 Zonele de interes pentru guvernarea IT


Guvernarea IT se focalizeaz pe cinci zone principale: alinierea strategic, livrarea de valoare, manage mentul riscurilor, managementul resurselor, msurarea performanei. Alinierea strategic se concentreaz pe asigurarea legturii dintre procesele economice i planurile IT, definind, meninnd i validnd valoarea propus pentru a fi obinut prin utilizarea IT; Furnizarea valorii se concentreaz pe obinerea de valoare pe tot parcursul ciclului de via al sistemului informatic, asigurndu-se c acesta ofer avantajele promise n conformitate cu strategia adoptat; Managementul resurselor are n vedere optimizarea investiiilor i managementul corespunztor al resurselor IT critice: aplicaii, informaii, infrastructur i resurse umane. Aspectele principale vizeaz optimizarea cunoaterii i a infrastructurii; Managementul riscurilor implic gradul de contientizare a riscurilor de ctre management, o nelegere clar a apetenei ntreprinderii fa de risc, nelegerea cerinelor de conformitate, de transparen cu privire la riscuri; Msurarea performanelor urmrete i monitorizeaz implementarea strategiei, finalizarea proiectului, utilizarea resurselor, performana procesului i livrarea de servici i, utiliznd, de exemplu, tablourile cu indicatori agregai, care traduc strategia n aciune pentru a atinge obiective msurabile, dincolo de contabilitatea convenional. Cadrul de lucru COBIT ofer un model al proceselor generice ce prezint toate procesele identificate n mod normal la nivelul funciei IT, oferind n acelai timp un model comun de referin ce poate fi neles att de ctre manageri ct i de auditori. Obiectivele de control IT din cadrul COBIT sunt organizate pe procese IT; prin urmare, cadrul de referin ofer o legtur clar ntre cerinele de guvernare IT, procesele IT i controalele IT. Guvernarea i cadrele de referin pentru control devin parte a bunelor practici de management IT i sunt, n acelai timp, un stimulent pentru punerea n practic a guvernrii IT i asigurarea conformitii cu cerinele legale n continu dezvoltare. Bunele practici n IT au devenit importante datorit unui numr de factori:

Conducerea solicit o rat de recuperare mai bun a investiiilor n IT i o asigurare c IT corespunde nevoilor afacerii i sporete valoarea pentru prile interesate; ngrijorarea fa de nivelul, n general, tot mai mare al cheltuielilor cu IT; Necesitatea de a ndeplini cerinele de reglementare a controalelor IT, n domenii cum ar fi viaa privat i raportarea financiar (de exemplu, Actul Sarbanes-Oxley din USA, Basel II), precum i n sectoare specifice, cum ar fi finane, industria farmaceutic sau asistena medical; Selecia furnizorilor de servicii i gestionarea achiziiilor de servicii externalizate;
Pag. 40 din 214

Creterea complexitii riscurilor IT, cum ar fi securitatea reelei; Iniiativele de guvernare IT ce includ adoptarea unor cadre de control i de bune practici cu scopul de a ajuta la monitorizarea i mbuntirea activitilor IT critice pentru a crete valoarea afacerii i a reduce riscul economic; Nevoia de a optimiza costurile prin respectarea, acolo unde este posibil, a unor abordri mai degrab standardizate dect special dezvoltate; Creterea nivelului de maturitate i acceptarea pe scar larg a cadrelor de referin, cum ar fi COBIT, ITIL, seria ISO 27000 privind securitatea informaiilor, standardele de calitate ISO 9001: 2000 Quality Management Systems - Requirements, model de maturitate (CMMI), metodologie de proiectare n medii controlate (PRINCE2); Nevoia organizaiilor de a evalua modul n care acestea funcioneaz, comparativ cu standardele general acceptate i sau cu alte companii (benchmarking).

Cadrul de referin COBIT a fost creat avnd ca principale caracteristici: 1. 2. 3. 4. Concentrarea pe componenta economic; Orientarea pe procese; Bazat pe controale; Conducerea prin indicatori.

2.8.6 Liniile Directoare pentru Auditare asociate Cadrului de lucru COBIT


Liniile directoare pentru auditare furnizeaz un instrument complementar de facilitare a aplicrii cadrului de lucru i a obiectivelor de control COBIT n activitile de auditare i evaluare. Scopul liniilor directoare pentru auditare este acela de a pune la dispoziie o structur simpl pentru auditarea i evaluarea con troalelor bazat pe practici de auditare general acceptate , care sunt compatibile cu schema COBIT global. Pentru o just situare n ansamblu, considerm util a descrie trsturile defini torii ale liniilor directoare pentru auditare i relaiile acestora n cadrul arhitecturii de auditare. (1)- O prim observaie este aceea c, n mod inerent, liniile directoare pentru auditare sunt generice i de nivel nalt n ceea ce privete structura proprie, ca o consecin direct a diversitii obiectivelor i prac ticilor de auditare adoptate de o organizaie sau alta, precum i a diversitii profesionitilor implicai n auditare. (2)- Caracteristica de esen rezid n aceea c, prin faptul c se bazeaz pe obiectivele de control, liniile directoare pentru auditare asigur eliminarea opiniei auditorului din concluziile auditului (asigur deci, o obiectivizare a concluziilor auditului), nlocuind aceast opinie cu criterii de autoritate recunoscut derivate din fundamentele COBIT (41 de standarde i documente de bune practici, din sistemul public i privat, recunoscute pe plan mondial). (3)- Liniile directoare pentru auditare furnizeaz ghidare pentru elaborarea de planuri de auditare care se integreaz cu cadrul de lucru COBIT i obiectivele de control detaliate, i care pot fi deci utilizate n contextul obiectivelor de control COBIT. Astfel de planuri de auditare pot fi extinse i rafinate pn la programe de auditare specifice. (4)- Liniile directoare pentru auditare permit auditorului revizuirea proceselor IT specifice prin prisma obiectivelor de control COBIT i sprijinirea n consecin a managementului: indicarea locurilor unde controalele sunt suficiente sau unde procesele trebuie s fie mbuntite. (5)- Combinaia dintre Cadrul de lucru COBIT i Liniile Directoare pentru Auditare se poate utiliza att n manier reactiv, ct i n manier proactiv, aceasta din urm n fazele iniiale ale dezvoltrii proiectelor i proceselor.
Pag. 41 din 214

Structura general a Liniilor Directoare pentru Auditare Structura general a liniilor directoare pentru auditare este inspirat de modelele generale de evaluare a controalelor: (a)- modelul de auditare (cel mai rspndit) sau (b)- modelul de analiz a riscului. In cele ce urmeaz, vom prezenta o descriere a liniilor directoare pentru auditare prin prisma modelului de auditare. Un asemenea model ia n considerare o serie de obiective specifice ale auditrii, ntre care cele mai importante sunt: (a) de a furniza managementului o asigurare rezonabil asupra faptului c obiec tivele de control sunt atinse, (b) de a substanializa riscul rezultant, acolo unde sunt puse n eviden puncte slabe ale controalelor, i (c) de a consilia managementul asupra aciunilor corective. In aceeai linie de idei, se poate adopta ca premis i faptul c structura general acceptat a procesului de auditare include urmtoarele componente (faze): (1)- identificarea i documentarea; (2)- evaluarea; (3)- testarea conformitii; (4)- testarea bazat pe probe. Cadrul de auditare construit pe cerinele COBIT este prezentat ntr-o manier ierarhizat pe nivele, cu o orientare declarat ctre obiectivele afacerii, fiind dirijat de proces. De asemenea, cadrul de lucru are o dubl focalizare: pe resursele care trebuie gestionate i pe criteriile de informaie care sunt necesare.

2.8.7 Criteriile COBIT pentru informaie


Pentru a satisface obiectivele afacerii, informaia trebuie s se conformeze anumitor criterii de control pe care COBIT le evideniaz sub forma de cerine ale afacerii pentru informaie. Pe baza cerinelor generale de calitate, de ncredere i de securitate, au fost definite apte criterii distincte pentru informaii, dup cum urmeaz: Eficacitatea: impune ca informaiile s fie relevante i pertinente pentru procesul economic, precum i s fie livrate ntr-un timp util i de o manier corect, coerent i uor de utilizat. Eficiena: se refer la furnizarea de informaii prin utilizarea optima a resurselor (raportndu-ne la productivitate i economicitate). Confidenialitatea: se refer la protejarea informaiilor sensibile impotriva divulgrii neautorizate. Integritatea: se refer la acurateea i exhaustivitatea informaiilor, precum i la valabilitatea acestora, n conformitate cu valorile i asteptrile organizaiei. Disponibilitatea: impune ca informaiile s fie disponibile atunci cnd procesul economic o cere, la momentul actual sau n viitor. De asemenea, se refer la protejarea resurselor necesare i a capacitilor asociate. Conformitatea: se refer la conformitatea cu cadrul legislativ i de reglementare, cu acordurile contractuale la care este supus procesul economic. Fiabilitatea: se refer la furnizarea de informaii adecvate managementului pentru a opera entitatea i pentru a-i exercita responsabilitile de guvernare.

2.8.8 Resursele IT
Funcia IT i atinge scopurile printr-o serie bine definit de procese care implic aptitudinile personalului i infrastructura tehnologic pentru a executa aplicaii automatizate ce deservesc derularea afacerii, folosind prghii informaionale specifice afacerii. Resursele IT identificate n COBIT pot fi definite dup cum urmeaz:

Aplicaiile: sunt sistemele utilizator automatizate i procedurile manuale care prelucreaz informaiile. Informaiile: reprezint datele, de toate tipurile, intrate, procesate i rezultate din sistemele informaionale, indiferent de forma sub care sunt utilizate n derularea afacerii.
Pag. 42 din 214

Infrastructura: este format din tehnica i tehnologiile care permit procesarea i rularea aplicaiilor (de exemplu: echipamente, hardware, sisteme de operare, sisteme de management al bazelor de date, reele, multimedia i ntreg mediul de tip suport n care se gsesc). Resursele umane: reprezint ntreg personalul necesar pentru a planifica, organiza, achiziiona, implementa, furniza, susine, monitoriza i evalua sistemele informaionale i serviciile. Acetia pot fi angajai permaneni ai firmei, angajai temporar pe baz de contract sau funciile lor pot fi nchiriate de pe piaa serviciilor externalizate, dup cerine.

2.8.9 Domeniile COBIT


Cadrul de lucru COBIT definete activitile legate de IT ntr-un model general al proceselor cu patru domenii: Planificare i Organizare51 (direcioneaz furnizarea soluiilor i a serviciilor), Achiziie i Implementare52 (ofer soluiile i le transmite mai departe spre a fi transformate n servicii) , Furnizare i Suport53 (primete soluiile i le face utilizabile pentru utilizatorii finali), Monitorizare i Evaluare54 (supervizeaz toate procesele pentru a fi asigurat faptul c direciile i msurile decise sunt urmate ntocmai spre a fi ndeplinite). Pentru a pstra conformitatea cu cadrul de lucru, pentru procesele COBIT n lucrare vor fi folosite acronimele corespunztoare din limba englez: PO, AI, DS, ME. Cadrul COBIT ofer un model al proceselor i un limbaj comun tuturor celor implicai n IT dintr -o organizaie, pentru a vizualiza i conduce activitile legate de IT ctre o bun g uvernare IT. De asemenea, acest cadru permite msurarea i monitorizarea performanei IT, comunicarea cu furnizorii de servicii i adoptarea celor mai bune practici de management. Modelul proceselor susine gestiunea per proces, precum i ndatoririle i responsabilitile definite. PLANIFICARE I ORGANIZARE (Plan & Organise - PO) Acest domeniu acoper strategia i tacticile i vizeaz identificarea celor mai potrivite ci prin care teh nologia informaiei poate contribui la ndeplinirea obiectivelor afacerii. Implementarea viziunii strategice este necesar a fi planificat, comunicat i abordat din diverse perspective, avnd n vedere c se raporteaz, pe de o parte, la sistemul de organizare, precum i, pe de alt parte, la asigurarea unei infra structuri tehnologice. Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:

Dac strategia IT este aliniat la strategia afacerii; Dac organizaia atinge un nivel optim de utilizare a resurselor disponibile ; Dac obiectivele IT sunt nelese de ctre toi membrii organizaiei; Dac riscurile IT sunt cunoscute i gestionate; Dac nivelul de calitate al sistemelor IT rspunde n mod corespunztor nevoilor afacerii.

ACHIZIIE I IMPLEMENTARE (Acquire & Implement - AI) n vederea realizrii strategiei IT, soluiile IT trebuie identificate, dezvoltate sau achiziionate, dar i imple mentate i integrate n procesele afacerii. n plus, pentru a se asigura continuitatea n atingerea obiec tivelor economice pe baza soluiilor IT, sunt acoperite, prin acest domeniu, schimbrile i mentenana sistemelor deja existente.

PO Plan and Organize AI Acquire and Implement 53 DS Deliver and Support 54 ME Monitor and Evaluate
51 52

Pag. 43 din 214

Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:


Dac exist perspective ca noile proiecte s ofere soluii care s rspund nevoilor afacerii ; Dac noile proiecte au anse s fie duse la bun sfrit, n timpul i cu bugetul prevzute ; Dac noile sisteme vor funciona dup implementare; Dac este posibil ca schimbrile s aib loc fr a perturba activitile curente ale afacerii/organizaiei.

FURNIZARE I SUPORT (Deliver & Support - DS) Acest domeniu este responsabil de furnizarea efectiv a serviciilor necesare, ceea ce include furnizarea serviciilor IT, managementul securitii i al continuitii, servicii suport pentru utilizatori i managementul datelor i al capabilitilor operaionale. Cnd este evaluat acest domeniu, se pun urmtoarele ntrebri:

Dac serviciile IT sunt furnizate n conformitate cu prioritile afacerii; Dac sunt optimizate costurile IT; Dac personalul poate folosi sistemele IT n mod productiv i n siguran ; Dac, n vederea asigurrii securitii, sunt adecvate confidenialitatea, disponibilitatea i inte gritatea.

MONITORIZARE I EVALUARE (Monitor & Evaluate - ME) Toate procesele IT trebuie evaluate periodic, din perspectiva calitii lor i a conformitii cu cerinele controlului. Acest domeniu este axat pe managementul performanei, monitorizarea controlului intern, conformarea cu legislaia (sau/i cadrul de reglementare) i are n vedere i guvernarea IT. Cnd este evaluat acest domeniu, se pun urmtoarele intrebri:

Dac este msurat performana sistemului IT pentru a detecta la timp problemele; Dac managementul asigur eficiena i eficacitatea controlului intern; Dac se poate face o evaluare privind impactul performanei sistemului IT asupra intelor/scopurilor afacerii; Dac, n vederea asigurrii securitii, sunt adecvate confidenialitatea, integritatea i disponibilitatea.

n cadrul celor patru domenii, COBIT conine 34 de procese IT a cror utilizare este general. Pentru a verifica completitudinea activitilor i a responsabilitilor, COBIT pune la dispoziie o list complet a proceselor. n funcie de tipul organizaiei, ele pot fi aplicate integral, partial, sau pot fi combinate dup necesiti. Pentru fiecare din aceste 34 de procese se face o trimitere ctre obiectivele afacerii si obiec tivele IT pe care le susin. De asemenea, sunt oferite informaii despre modul n care pot fi msurate, despre activitile cheie i principalele rezultat i n responsabilitatea cui cade asigurarea lor. COBIT definete att obiectivele de control pentru toate cele 34 de procese, ct i controale specifice aferente aplicaiilor.

2.8.10 Controalele asociate proceselor


Controlul este definit ca totalitatea politicilor, procedurilor, practicilor i a structurilor organizaionale proiectate s ofere o asigurare rezonabil asupra faptului c obiectivele afacerii vor fi atinse i evenimentele nedorite vor fi prevenite sau detectate i corectate. Obiectivele de control IT incluse n COBIT ofer un set complet de cerine de nivel nalt care trebuie luate n considerare de ctre management, n vederea unui control eficient al fiecrui proces IT.
Pag. 44 din 214

Ele pot fi materializate sub urmtoarele forme sau aciuni:


Afirmaii declarative ale managementului privind creterea valorii sau reducerea riscului; Politici, proceduri, practici i structuri organizaionale; Sunt concepute spre a asigura in mod acceptabil faptul c obiectivele afacerii vor fi atinse i evenimentele nedorite vor fi prevenite sau detectate i corectate; Managementul organizaiei trebuie s fac unele alegeri privind obiectivele de control: selectarea obiectivelor care sunt aplicabile, decizia privind controalele care vor fi puse n practic. Alegerea modului de a implementa controalele (frecven, durat, grad de automatizare etc.). Acceptarea riscului neimplementrii controalelor aplicabile.

ntruct obiectivele de control IT ale COBIT sunt ataate proceselor IT, cadrul de referin COBIT ofer corespondenele ntre cerinele guvernrii IT, procesele IT i controalele IT. Fiecare dintre procesele IT definite in COBIT are o descriere a procesului i un numr de obiective legate de controlul aferent. Vzute ca un ntreg, ele sunt caracteristicile unor procese bine gestionate. Obiectivele de control sunt identificate prin dou caractere (abrevierea domeniului din care fac parte: PO, AI, DS i ME), un numr al procesului i un numr al obiectivului controlului.

2.8.11 Cerinele obiectivelor de control


Fiecare proces COBIT are asociate, n afar de obiective de control, i cerine generale de control care trebuie avute in vedere mpreun cu obiectivele de control ale proceselor.

Scopurile i obiectivele proceselor: Definete i comunic scopuri i obiective ale proceselor cu respectarea principiilor SMART (specific, msurabil, realizabil, realist, orientat spre rezultat i posibil de realizat n timp) pentru execuia eficient a fiecrui proces IT. Asigur corespondena cu obiectivele afacerii i c acestea sunt susinute de indicatori relevani. Responsabilitatea procesului: Stabilete un responsabil al procesului pentru fiecare proces IT i definete clar rolurile i responsabilitile sale. Include, de exemplu, responsabilitatea pentru proiectarea procesului, interaciunea cu alte procese, rspunderea pentru rezultatele finale, msurarea performanei procesului i identificarea oportunitilor de mbuntire. Repetabilitatea procesului: Proiecteaz i stabilete fiecare proces cheie spre a fi repetabil i consecvent n producerea rezultatelor ateptate. Furnizeaz o secvena logic, dar flexibil i scalabil a activitilor care vor conduce la rezultatele dorite i suficient de agil pentru a face fa excepiilor i urgenelor. Utilizeaz procese compatibile, acolo unde e posibil i le modific doar acolo unde nu se poate evita acest lucru. Roluri i responsabiliti: Definete activitile cheie i livrabilele procesului. Atribuie i comunic rolurile definite fr ambiguitate i responsabilitile pentru o execuie eficient i eficace a activitilor cheie i pentru documentarea lor, ca i rspunderea pentru furnizarea rez ultatelor finale ale procesului. Politici, planuri i proceduri: Definete i comunic modul n care toate politicile, planurile i procedurile care conduc un proces IT sunt documentate, revizuite, meninute, aprobate, pstrate, comunicate i utilizate pentru instruire. Atribuie responsabilitile pentru fiecare din ac este activiti i, la momentele adecvate, revizuiete execuia lor corect. Se asigur c politicile, planurile i procedurile sunt accesibile, corecte, nelese i nnoite. mbuntirea performanei procesului: Identific un set de indicatori care ofer o imagine asupra rezultatelor i a performanei procesului. Stabilete inte care se reflect n scopurile proceselor i n indicatorii de performan ce permit atingerea scopurilor procesului. Definete modul n care datele vor fi obinute. Compar msurtorile cu intele stabilite i acioneaz, acolo unde este cazul, conform deviaiilor constatate. Aliniaz indicatorii, valorile -int i metodele cu abordarea global cu privire la monitorizarea performanei sistemului IT.
Pag. 45 din 214

Implementarea unor controale eficace reduce riscul, crete probabilitatea obinerii de valoare i mbuntete eficiena prin diminuarea numrului de erori i printr-o abordare managerial consistent.

2.8.12 Controalele IT i controalele economice


Sistemul de control intern al unei ntreprinderi produce un impact asupra mediului IT, pe trei nivele: 1. La nivelul managementului executiv, sunt stabilite obiectivele economice, politicile, iar deciziile care se iau vizeaz modul n care trebuie dezvoltate i gestionate resursele organizaiei pe ntru a executa strategia acesteia. Mediul de control IT este direcionat prin acest set de obiective i politici de la cel mai nalt nivel. 2. La nivelul proceselor afacerii, controalele sunt aplicate anumitor activiti. Majoritatea proceselor economice sunt automatizate i integrate cu sistemele de aplicaii IT astfel c multe dintre controalele aferente acestui nivel sunt i ele automatizate. Ele sunt cunoscute sub denumirea de controale de aplicaie. Totui, unele controale ale proceselor economice rmn a fi implementate prin proceduri manuale, cum ar fi: autorizarea tranzaciilor, segregarea sarcinilor (ndatoririlor), reconcilierile manuale. Astfel, controalele la nivelul proceselor economice sunt o combinaie de controale manuale operate de afacere i controale automatizate din afacere (controale de aplicaie). Ambele cad n responsabilitatea domeniului afacerii pentru a fi definite i gestionate, dei proiectarea i dezvoltarea controalelor aplicaiilor impune suportul i implicarea funciei IT. 3. Pentru a oferi suport proceselor afacerii, tehnologia informaiei pune la dispoziie serviciile IT, de obicei ca servicii partajate ntre mai multe procese ale afacerii, dup cum, multe dintre procesele de dezvoltare i procesele operaionale ale sistemului IT sunt dedicate ntregii organizaii, iar o mare parte din infrastructura IT este furnizat ca serviciu comun (partajarea reelelor, a bazelor de date, a sistemelor de operare). Controalele implementate pentru ntreg mediul IT sunt cunoscute drept controale generale IT. Operarea eficient a acestor controale generale IT este necesar pentru ca i controalele de la nivelul aplicaiilor s fie de ncredere.

2.8.13 Controale generale IT i controale de aplicaii


Controalele generale sunt incorporate n procesele i serviciile IT i includ: dezvoltarea sistemelor, managementul schimbrii, securitatea, operarea sistemului. Controalele incorporate n aplicaiile proceselor economice sunt cunoscute d rept controale ale aplicaiilor care includ: completitudinea, acurateea, validitatea, autorizarea, separarea sarcinilor de serviciu. COBIT admite c proiectarea i implementarea controalelor automatizate ale aplicaiilor cade n ndatoririle funciei IT, n baza nevoilor/cerinelor afacerii definite folosind criteriile COBIT pentru informaii. Managementul operaional i responsabilitatea asupra gestiunii controalelor aplicaiei aparin responsabilului de proces (nu funciei IT). Responsabilitatea pentru controalele aplicaiilor este o responsabilitate comun att domeniului economic, ct i funciei IT, dar natura acestor responsabiliti se schimb dup cum urmeaz: a) domeniul economic este responsabil pentru: - definirea corespunztoare a cerinelor funcionale i de control - utilizarea serviciilor automatizate n mod adecvat b) domeniul IT este responsabil pentru: - automatizarea i implementarea cerinelor funcionale i de control - stabilirea elementelor de gestiune pentru a menine integritatea controalelor aplicaiilor Lista de mai jos conine o serie recomandat de obiective de control ale aplicaiilor
Pag. 46 din 214

Pregtirea i autorizarea surselor de date: Asigur faptul c documentele surs sunt pregtite de personal autorizat i calificat, folosind proceduri anterior stabilite, demonstrnd o separare adec vat a ndatoririlor cu privire la generarea i aprobarea acestor documente. Erorile i omisiunile pot fi minimizate printr-o bun proiectare a intrrilor. Detecteaz erorile i neregulile spre a fi raportate i corectate. Colectarea surselor de date si introducerea n sistem: Stabilete faptul c intrrile (datele de intrare) au loc la timp, fiind fcute de ctre personal autorizat i calificat. Corectarea i retrimiterea datelor care au intrat n sistem n mod eronat trebuie s aib loc fr a compromite nivelurile iniiale de autorizare privind tranzaciile (intrrile). Cnd este nevoie s se reconstituie intrarea, trebuie reinut sursa iniial pentru o perioad suficient de timp. Verificri privind: acurateea, completitudinea i autenticitatea: Asigur faptul c tranzaciile sunt precise (exacte), complete i valide. Valideaz datele introduse i le editeaz sau le trimite napoi spre a fi corectate ct mai aproape posibil de punctul de provenien. Integritatea i validitatea procesului: Menine integritatea i validitatea datelor de-a lungul ciclului de procesare. Detectarea tranzaciilor compromise din punct de vedere al erorilor nu ntrerupe procesarea celor valide. Revizuirea rezultatelor, reconcilierea i tratarea erorilor: Stabilete procedurile i responsabilitile asociate pentru a asigura c rezultatul este utilizat ntr-o manier autorizat, distribuit destinatarului potrivit i protejat n timpul transmiterii sale, c se efectueaz: verificarea, detectarea i corectarea exactitii rezultatului i c informaia oferit n rezultatul procesrii este utilizat. Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la aplicaiile interne ctre funciile operaionale ale afacerii (sau ctre exteriorul ntrep rinderii), trebuie verificate: destinaia, autenticitatea sursei i integritatea coninutului. Menine autenticitatea i integritatea transmiterii sau ale transportului.

2.8.14 Orientarea spre evaluare (msurtori)


Organizaiile au nevoie s evalueze starea n care se afl i unde anume se impune o mbuntire, iar pentru aceasta, au nevoie s pun n practic un ghid de management n vederea monitorizrii acestei evoluii de mbuntire. COBIT trateaz aceste aspecte oferind:

Modele de maturitate, care s permit stabilirea unui sistem de indicatori ai performanei i identificarea msurilor de perfecionare a capabilitilor; inte ale performanei (scopuri) i metrici (indicatori) pentru procesele IT, prin care se demonstreaz modul n care procesele susin afacerea i obiectivele IT, precum i modul n care pot fi utilizate n evaluarea performanei proceselor interne, pe baza principiilor indicatorilor generali de performan ai activitii (balanced scorecard); Scopuri ale activitilor (inte) prin care este facilitat, n mod eficace, performana procesului.

2.8.15 Model generic de maturitate


COBIT admite cinci grade de maturitate: 0 - Non-existent 1 - Iniial / Ad Hoc 2 - Repetabil dar intuitiv 3 - Proces definit 4 - Gestionat i msurabil 5 - Optimizat Modelul maturitii este o modalitate de a evalua ct de bine sunt dezvoltate procesele de management, de exemplu, care e capacitatea lor, ct de capabile sunt. Aspectul legat de ct de bine dezvoltate sau
Pag. 47 din 214

capabile sunt, depinde n principal de obiectivele IT i de nevoile afacerii, pe care procesele le susin. Ct de bine este desfurat capabilitatea depinde foarte mult de ceea ce ateapt organizaia s obin de la respectiva investiie. Modelele de maturitate sunt construite pornind de la modelul general al calitii la care sunt adugate principii provenind din urmtoarele atribute, ntr-o manier ascendent pe niveluri:

Contientizare i comunicare Politici, planuri i proceduri Instrumente i automatisme Abiliti i expertiz Sarcini i responsabiliti Stabilirea obiectivelor i a indicatorilor de evaluare

2.8.16 Msurarea performanei


Obiectivele i indicatorii sunt definii n COBIT pe trei niveluri: 1. Obiectivele IT i indicatorii care descriu ceea ce ateapt afacerea de la IT i modul n care sunt msurate aceste ateptri; 2. Obiectivele proceselor i indicatorii care descriu ceea ce procesul IT trebuie s ofere pentru a susine obiectivele IT i modul n care sunt msurate aceste ateptri; 3. Obiectivele activitilor i indicatorii care stabilesc ceea ce trebuie s aib loc n cadrul unui proces pentru a atinge gradul de performan cerut i modul n care sunt msurate aceste prevederi. Metricile utilizate pentru msurarea performanei sunt: a) Indicatori de rezultate (pentru ieiri care relev dac obiectivele au fost atinse. Ei pot fi determinai numai dup actul faptic i de aceea se numesc indicatori de confirmare de feedback (lag indicators). b) Indicatori de performan care pun n eviden faptul c obiectivele ar putea fi atinse. Ei pot fi determinai nainte ca rezultatul s fie cert, i de aceea se numesc indicatori int de referin (lead indicators). Indicatorii rezultatelor definesc metrici, care informeaz managementul ulterior producerii evenimentului dac o funcie IT, un proces sau o activitate i-a atins obiectivele. Indicatorii afereni funciilor IT sunt foarte des exprimai n termeni de criterii informaionale: disponibilitatea informaiei necesare pentru a susine nevoile afacerii, absena riscurilor asociate integritii i confidenialitii, analiza cost-eficien pentru procese i operaiuni, confirmarea siguranei, eficienei i conformitii.

2.8.17 Modelul cadrului de referin COBIT


Cadrul de referin oferit de COBIT leag nevoile informaionale ale afacerii i cerinele legate de guvernare de obiectivele funcionrii serviciilor IT. Modelul proceselor din COBIT permite activitilor IT i resurselor aferente care le susin s fie administrate i controlate n baza obiectivelor de control definite n COBIT, pentru a se alinia i a monitoriza procesele folosind obiectivele i indicatorii COBIT. n rezumat, procesele IT utilizeaz i administreaz resursele IT pentru ndeplinirea acelor obiective IT care rspund cerinelor afacerii. Acesta este principiul de baz al cadrului de referin COBIT. Cadrul de lucru COBIT se bazeaz pe analiza i armonizarea standardelor i bunelor practici IT existente i este n conformitate cu principiile de guvernare general acceptate. Este poziionat la cel mai nalt nivel, determinat de cerinele economice, acoper ntreaga gam de activiti IT i se concentreaz pe ceea ce ar trebui s fie realizat, mai degrab dect pe cum s se asigure o guvernare, un management i un
Pag. 48 din 214

control eficiente. Prin urmare, acioneaz ca un integrator de practici de guvernare IT i face apel la conducerea executiv, la conducerea operaional i la managementul IT, la profesioniti din domeniul securitii, precum i la profesioniti din domeniul auditului i controlului. Este proiectat pentru a fi complementar cu, i utilizat mpreun cu alte standarde i bune practici. COBIT are relevan pentru urmtorii utilizatori: Managementul executiv - pentru a obine valoare din investiiile n IT, a echilibra riscul i controlul investiiilor ntr-un mediu IT care de cele mai multe ori nu e predictibil. Managementul afacerii - pentru a avea asigurarea asupra managementului i controlului serviciilor IT furnizate intern sau de pri tere. Managementul IT - pentru a oferi acele servicii IT de care afacerea are nevoie pentru a susine strategia de afaceri de o manier controlabil i organizat. Auditori - pentru a da substan opiniilor proprii i / sau a oferi recomandri managementului n legtur cu controalele interne.

2.8.18 Procese i obiective de control DOMENIUL PO (Plan & Organize) PROCESUL PO1 - Definirea planului strategic IT
Planificarea strategic a tehnologiilor informaionale este necesar pentru a administra i a direciona toate resursele IT n concordan cu strategia i prioritile organizaiei. Funcia IT i beneficiarii acesteia sunt responsabili pentru asigurarea realizrii valorii optime a proiectului i a portofoliului de servicii. Planul strategic urmrete s mbunteasc gradul i capacitatea de nelegere din partea beneficiarilor n ceea ce privete oportunitile i limitrile, stabilete nivelul de performan curent, identific cerinele privind capacitatea i necesarul de resurse umane i clarific nivelul necesar de investiii. Strategia organizaiei i prioritile trebuie s fie reflectate prin portofolii i s fie executate prin intermediul planuril or tactice, planuri ce specific obiective concise, planuri de aciune i sarcini. Toate acestea trebuie s fie nelese i acceptate de ntreprindere i de departamentul IT. Obiective de control PO1.1 Managementul valorii IT PO1.2 Alinierea cerinelor economice cu tehnologia informaiei PO1.3 Evaluarea capabilitii i performanei curente PO1.4 Planul Strategic IT PO1.5 Planurile tactice IT PO1.6 Managementul portofoliului IT

PROCESUL PO2 - Definirea arhitecturii informaionale


Funcia sistemelor informaionale creeaz i actualizeaz n mod frecvent un model informaional pentru organizaie i definete sistemele potrivite pentru optimizarea folosirii informaiilor. Permite nglobarea dezvoltrii dicionarului de date al organizaiei cu regulile de sintax a datelor organizaiei, cu schemele de clasificare a datelor i cu nivelele de securitate. Acest proces mbuntete calitatea procesului decizional asigurnd obinerea de informaii de ncredere i sigure. Procesul permite raionalizarea resurselor sistemelor informaionale n vederea potrivirii cu strategia eco nomic. De asemenea, este nevoie de acest proces pentru a crete responsabilitatea cu privire la integritatea i securitatea datelor i pentru a mri eficacitatea i controlul asupra informaiilor partajate ntre aplicaii i entiti.
Pag. 49 din 214

Obiective de control PO2.1 Modelul arhitecturii informaionale a ntreprinderii PO2.2 Dicionarul de date al ntreprinderii i regulile de sintax a datelor PO2.3 Schema de clasificare a datelor PO2.4 Managementul integritii

PROCESUL PO3 - Determinarea direciei tehnologice


Funcia serviciilor informaionale determin direcia tehnologic necesar n sprijinul afacerii. Aceasta necesit crearea unui plan al infrastructurii tehnologice i al unei conduceri ce stabilete i administreaz n mod clar i realist ateptrile cu privire la ceea ce poate oferi tehnologia n materie de produse, servicii i mecanisme de livrare. Planul este actualizat periodic i nglobeaz aspecte cum ar fi: arhitect ura sistemului, direcia tehnologic, planuri de achiziie, standarde, strategii de migrare i situaiile neprevzute. Acestea fac posibile reaciile n timp util la schimbrile din mediul concurenial, economiile de scar cu privire la personalul IT i la investiii, precum i mbuntirea interoperabilitii platformelor i aplicaiilor. Obiective de control PO3.1 Planificarea direciei tehnologice PO3.2 Planul infrastructurii tehnologice PO3.3 Monitorizarea tendinelor viitoare i a reglementrilor PO3.4 Standardele tehnologice PO3.5 Forumul/comitetul/consiliul arhitecturii IT

PROCESUL PO4 - Definirea proceselor IT, a funciei i a relaiilor


Structura funcional IT este definit lund n considerare cerinele cu privire la personal, abiliti, funcii, responsabiliti, autoritate, roluri i supraveghere. Aceast structur funcional este inclus ntr -un cadru de referin al procesului IT care asigur transparena i controlul, precum i implicarea att de la nivel executiv ct i general. Un comitet/comisie responsabil() cu strategia asigur supravegherea comitetului IT i a unuia sau mai multor comitete directoare, n care reprezentan i ai companiei i persoane din departamentul IT determin ierarhizarea resurselor IT n conformitate cu nevoile organizaiei. Pentru toate funciile exist procese, politici administrative i proceduri, acordndu-se atenie deosebit controlului, asigurrii calitii, managementului riscului, securitii informaiilor, identificrii responsabililor datelor i sistemelor i separrii funciilor incompatibile. Pentru asigurarea suportului i susinerii cerinelor eco nomice, funcia IT trebuie s fie implicat n procesele decizionale relevante. Obiective de control PO4.1 Cadrul de referin al proceselor IT PO4.2 Comitetul responsabil cu strategia IT PO4.3 Comitetul director IT PO4.4 Poziionarea organizaional a funciei IT PO4.5 Structura organizatoric IT PO4.6 Stabilirea rolurilor i responsabilitilor PO4.7 Responsabilitatea pentru asigurarea calitii n IT PO4.8 Responsabilitatea pentru risc, securitate i conformitate PO4.9 Responsabilitatea cu privire la date i sistem PO4.10 Supervizarea PO4.11 Separarea funciilor PO4.12 Personalul IT PO4.13 Personalul IT critic PO4.14 Politicile i procedurile personalului contractual PO4.15 Relaiile
Pag. 50 din 214

PROCESUL PO5 - Managementul investiiilor IT


Este stabilit i ntreinut un cadru de referin pentru managementul programelor de investiii IT, cadru ce nglobeaz costuri, beneficii, prioritile n cadrul bugetului, un proces formal de bugetare oficial i de administrare conform bugetului. Beneficiarii sunt consultai cu scopul de a identifica i controla costurile totale i beneficiile n contextul planurilor strategice i tactice IT i de a iniia aciunile de corecie acolo unde este nevoie. Procesul stimuleaz parteneriatul ntre beneficiarii IT i cei din zona economic, permind folosirea resurselor IT n mod efectiv i eficient; furnizeaz transparen i responsabilitate cu privire la costul total de utilizare (Total Cost of Ownership), la realizarea beneficiilor economice i rata de recuperare a investiiilor IT (ROI). Obiective de control PO5.1 Cadrul de referin pentru managementul financiar PO5.2 Stabilirea prioritilor n cadrul bugetului IT PO5.3 Finanarea IT PO5.4 Managementul costurilor PO5.5 Managementul beneficiilor

PROCESUL PO6 - Comunicarea inteniilor i obiectivelor conducerii


Conducerea dezvolt un cadru de referin al controlului IT la nivelul ntregii organizaii, definete i comunic politicile. Este pus n aplicare un program de comunicare cu scopul de a a rticula misiunea, obiectivele serviciilor, politicile i procedurile etc., aprobate i susinute de ctre conducere. Comunicarea sprijin realizarea obiectivelor IT i asigur gradul de contientizare i de nelegere a riscurilor afacerii i a riscurilor ce decurg din IT, a obiectivelor i inteniilor. Procesul asigur conformitatea cu legile i regle mentrile relevante. Obiective de control PO6.1 Politica IT i mediul de control PO6.2 Riscul IT i cadrul de referin al controlului PO6.3 Managementul politicilor IT PO6.4 Iniierea politicii, standardelor i procedurilor PO6.5 Comunicarea obiectivelor i inteniilor IT

PROCESUL PO7 - Managementul resurselor umane IT


Resursele umane cu competen ridicat se constituie i se menin pentru crearea i livrarea serviciilor IT n cadrul organizaiei (afacerii). Acest lucru este realizat prin respectarea unor practici definite i agreate care sprijin recrutarea, instruirea, evaluarea performaelor, promovarea i rezilierea contractului de munc. Acest proces este critic, deoarece oamenii reprezint active importante, iar guvernarea i mediul controlului intern sunt puternic dependente de motivaia i competena personalului. Obiective de control PO7.1 Recrutarea si retenia personalului PO7.2 Competenele personalului PO7.3 Acoperirea rolurilor din punct de vedere al personalului PO7.4 Instruirea personalului PO7.5 Dependena de individualiti PO7.6 Proceduri pentru autorizarea personalului PO7.7 Evaluarea performanelor angajailor PO7.8 Schimbarea locului de munc i rezilierea contractului de munc

Pag. 51 din 214

PROCESUL PO8 - Managementul calitii


Este dezvoltat i ntreinut un Sistem de Management al Calitii (SMC), incluznd procese i standarde validate de dezvoltare i achiziie a sistemelor informatice. Acest lucru este posibil cu ajutorul planificrii, implementrii i meninerii Sistemului de Management al Calitii, prin furnizarea de cerine clare de calitate, proceduri i politici. Cerinele de calitate sunt formulate i transpuse n indicatori cuantificabili i realizabili. mbuntirea continu se realizeaz prin monitorizare permanent, analiz i msurarea abaterilor i comunicarea rezultatelor ctre beneficiari. Managementul calitii este esenial pentru a asigura c funcia IT ofer valoare afacerii, mbuntire continu i transparen pentru beneficiari. Obiective de control PO8.1 Sistemul de Management al Calitii PO8.2 Standarde i practici de calitate IT PO8.3 Standarde de dezvoltare i achiziie PO8.4 Orientare spre client PO8.5 mbuntire continu PO8.6 Msurarea, monitorizarea i revizuirea calitii

PROCESUL PO9 - Estimarea i managementul riscurilor IT


Este creat i ntreinut un cadru de referin pentru managementul riscurilor. Acest cadru documenteaz un nivel comun i convenit al riscurilor IT, precum i strategiile de reducere a riscurilor i de tratare a riscurilor reziduale. Orice impact potenial asupra obiectivelor organizaiei, cauzat de un eveniment neprevzut, este identificat, analizat i evaluat. Strategiile de reducere a riscurilor sunt adoptate pentru a minimiza riscurile reziduale la un nivel acceptat. Rezultatul evalurii este uor de neles de ctre acionari i exprimat n termeni financiari, pentru a permite acionarilor s alinieze riscul la un nivel de toleran acceptabil. Obiective de control PO9.1 Cadrul de referin pentru managementul riscurilor IT PO9.2 Stabilirea contextului riscului PO9.3 Identificarea evenimentului PO9.4 Estimarea riscurilor PO9.5 Reacia fa de risc PO9.6 ntreinerea i monitorizarea unui plan de aciune mpotriva riscului

PROCESUL PO10 - Administrarea proiectelor


Pentru toate proiectele IT este stabilit un program i un cadru de referin pentru managementul proiectelor. Acest cadru garanteaz o ierarhizare corect i o bun coordonare a proiectelor. Cadrul de referin include un plan general, alocarea resurselor, definirea livrabilelor, aprobarea utilizatorilor, livrarea conform fazelor proiectului, AC (asigurarea calitii), un plan formal de testare, revizia testrii i revizia post-implementrii cu scopul de a asigura managementul riscurilor proiectului i fur nizarea de valoare pentru organizaie. Aceast abodare reduce riscul apariiei unor costuri neateptate i anularea proiectelor, mbuntete comunicarea i colaborarea dintre organizaie i utilizatorii finali, asigur valoarea i calitatea livrabilelor proiectului, i maximizeaz contribuia lor n programele de investiii IT. Obiective de control PO10.1 Cadrul de referin pentru managementul programelor PO10.2 Cadrul de referin pentru managementul proiectelor PO10.3 Abordarea managementului proiectelor PO10.4 Implicarea beneficiarilor
Pag. 52 din 214

PO10.5 Stabilirea scopului proiectului PO10.6 Iniierea fazelor proiectului PO10.7 Planul integrat al proiectului PO10.8 Resursele proiectului PO10.9 Managementul riscurilor proiectului PO10.10 Planul calitii proiectului PO10.11 Controlul schimbrilor n cadrul proiectului PO10.12 Metode de planificare a asigurrii PO10.13 Monitorizarea, raportarea i indicatorii de performan ai proiectului PO10.14 Finalizarea proiectului

DOMENIUL AI (Acquire & Implement) PROCESUL AI1 - Identificarea soluiilor automate


Nevoia unor aplicaii sau funcii noi necesit analiz nainte de achiziie sau dezoltare, pentru a garanta c cerinele afacerii sunt ndeplinite ntr-o manier eficient i eficace. Acest proces acoper definirea necesitii, considerarea surselor alternative, analiza fezabilitii tehnologice i economice, efectuarea analizei riscului, analizei cost-beneficiu i adoptarea unei decizii finale de a realiza sau a cumpra. Toi aceti pai permit organizaiilor s minimizeze costurile de achiziie i implementare a soluiilor, n acelai timp asigurndu-se c permit proceselor de afaceri s i ating obiectivele. Obiective de control AI1.1 Definirea i ntreinerea cerinelor funcionale economice i a cerinelor tehnice AI1.2 Raportul analizei de risc AI1.3 Studiul de fezabilitate i formularea de direcii alternative de aciune AI1.4 Decizia i aprobarea cerinelor i a studiului de fezabilitate

PROCESUL AI2 - Achiziia i ntreinerea aplicaiilor software


Aplicaiile sunt puse la dispoziie n conformitate cu cerinele afacerii. Acest proces ia n considerare arhi tectura aplicaiilor, includerea corect a cerinelor de control i securitate ale aplicaiei precum i dezvol tarea i configurarea n conformitate cu standardele. Acest proces permite organizaiilor s susin n mod corespunztor operaiunile economice cu ajutorul aplicaiilor automatizate potrivite. Obiective de control AI.2.1 Proiectarea de nivel nalt AI.2.2 Proiectarea detaliat AI.2.3 Controlul i auditabilitatea aplicaiilor AI.2.4 Securitatea i disponibilitatea aplicaiilor AI.2.5 Configurarea i implementarea aplicaiilor software achiziionate AI.2.6 Actualizri majore ale sistemelor existente AI.2.7 Dezvoltarea aplicaiilor software AI.2.8 Asigurarea calitii software AI.2.9 Managementul cerinelor aplicaiilor AI.2.10 ntreinerea aplicaiilor software

Pag. 53 din 214

PROCESUL AI3 - Achiziia i ntreinerea infrastructurii tehnologice


Organizaiile au procese pentru achiziia, implementarea i actualizarea infrastructurii tehnologice. Aceasta necesit o abordare planificat pentru achiziia, ntreinerea i protecia infrastructurii, n conformitate cu strategiile tehnologice agreate i pregtirea mediilor de dezvoltare i testa re. Acest proces asigur existena unui suport tehnic continuu pentru aplicaiile economice. Obiective de control AI3.1 Planul de achiziie a infrastructurii tehnologice AI3.2 Protecia i disponibilitatea resurselor infrastructurii AI3.3 ntreinerea infrastructurii AI3.4 Mediul de testare a fezabilitii

PROCESUL AI4 - Autorizarea operrii i utilizrii


Sunt disponibile cunostine despre noile sisteme. Acest proces cere elaborarea de documentaii i manuale pentru utilizatori i pentru personalul IT i ofer pregtire profesional pentru a asigura utilizarea corect i funcionarea aplicaiilor i a infrastructurii. Obiective de control AI4.1 Planificarea soluiilor operaionale AI4.2 Transferul cunotinelor ctre managementul afacerii AI4.3 Transferul cunotinelor ctre utilizatorii finali AI4.4 Transferul cunotinelor ctre personalul care opereaz i cel care ofer suport

PROCESUL AI5 - Procurarea resurselor


Resursele IT, incluznd personal, echipamente hardware, software i servicii, trebuie s fie achiziionate. Acest lucru necesit definirea i punerea n aplicare a procedurilor de achiziii, selectarea distribuitorilor, configurarea aranjamentelor contractuale, precum i achiziia n sine. Se asigur astfel obinerea de ctre organizaie a tuturor resursele IT ntr-un timp util i n mod eficient. Obiective de control AI5.1 Controlul achiziiilor AI5.2 Managementul contractelor cu furnizorii AI5.3 Selectarea furnizorilor AI5.4 Achiziionarea resurselor

PROCESUL AI6 - Managementul schimbrilor


Toate schimbrile, incluznd cele de ntreinere urgent i pachetele, referitoare la infrastructura i aplicaiile din mediul de producie sunt administrate formal i ntr-o manier controlat. Schimbrile (inclusiv acelea ale procedurilor, proceselor, sistemelor i parametrilor de servicii) sunt nregistrate, evaluate i autorizate nainte de implementare i revizuite n comparaie cu rezultatul ateptat dup implementare. Aceasta asigur reducerea riscurilor care afecteaz stabilitatea i i ntegritatea mediului de producie. Obiective de control AI6.1 Standardele i procedurile pentru schimbare AI6.2 Evaluarea impactului, stabilirea prioritilor i autorizarea AI6.3 Schimbrile urgente AI6.4 Urmrirea i raportarea strii schimbrii AI6.5 Finalizarea schimbrii i documentarea
Pag. 54 din 214

PROCESUL AI7 - Instalarea i acreditarea soluiilor i schimbrilor


Noile sisteme trebuie s devin operaionale odat ce dezvoltarea lor este complet. De aceea, sunt necesare urmtoarele: testare adecvat ntr-un mediu dedicat, cu date de test relevante; definirea instruciunilor de distribuie i migrare; planificarea pachetelor de distribuie i promovarea n producie, precum i o revizuire post-implementare. Astfel se asigur c sistemele operaionale rspund ateptrilor i rezultatelor agreate. Obiective de control AI7.1 Instruire AI7.2 Planul de testare AI7.3 Planul de implementare AI7.4 Mediul de test AI7.5 Conversia sistemului i a datelor AI7.6 Testarea schimbrilor AI7.7 Testul final de acceptare AI7.8 Promovarea n producie AI7.9 Revizia post-implementare

DOMENIUL DS (Deliver & Support) PROCESUL DS1 - Definirea i administrarea nivelurilor serviciilor
Comunicarea eficient ntre managementul IT i clienii organizaiei n ceea ce privete serviciile solicitate este asigurat printr-o definire documentat a unui acord legat de serviciile IT i nivelurile acestor servicii. Acest proces include, de asemenea, monitorizarea i raportarea n timp util ctre beneficiari cu privire la realizarea nivelurilor serviciilor. Acest proces permite alinierea serviciilor IT la cerinele afacerii. Obiective de control DS1.1 Cadrul de referin pentru Managementul Nivelului Serviciilor DS1.2 Definirea serviciilor DS1.3 Acorduri privind nivelurile serviciilor DS1.4 Acordurile Operaionale pentru nivelul serviciilor DS1.5 Monitorizarea i raportarea privind realizarea nivelului serviciului DS1.6 Revizia contractelor i a acordurilor privind nivelul serviciilor

PROCESUL DS2 - Managementul serviciilor de la teri


Nevoia de siguran c serviciile de la teri (furnizori, vnztori i parteneri) satisfac cerinele afacerii implic un proces efectiv de management al prii tere. Acest proces este realizat prin definirea clar a rolurilor, reponsabilitilor i ateptrilor n acordurile cu prile tere, precum i prin revizuirea i monitorizarea acestor acorduri n vedera asigurrii eficacitii i conformitii. Managementul efectiv al serviciilor de la teri minimizeaz riscul afacerii asociat furnizorilor neperformani. Obiective de control DS2.1 Identificarea relaiilor cu toi furnizorii DS2.2 Managementul relaiilor cu furnizorii DS2.3 Managementul riscului asociat furnizorilor DS2.4 Monitorizarea performanei furnizorului

Pag. 55 din 214

PROCESUL DS3 - Managementul performanei i capacitii


Nevoia de a gestiona performana i capacitatea resurselor IT necesit un proces de revizuire periodic a performanei actuale i a capacitii resurselor IT. Acest proces include previziunea nevoilor viitoare bazate pe volumul de prelucrare, stocare i cerinele de urgen. Acest proces ofer sigurana c resursele informaionale care susin cerinele afacerii sunt disponibile continuu. Obiective de control DS3.1 Planificarea performanei i capacitii DS3.2 Performana i capacitatea actual DS3.3 Performana i capacitatea viitoare DS3.4 Disponibilitatea resurselor IT DS3.5 Monitorizare i raportare

PROCESUL DS4 - Asigurarea continuitii serviciilor


Nevoia asigurrii continuitii serviciilor IT necesit dezvoltarea, meninerea i testarea planurilor de continuitate IT, utilizarea amplasamentelor externe de stocare a copiilor de backup i oferirea unui plan de instruire continuu. Un proces eficient de asigurare a continuitii serviciilor reduce probabilitatea i impactul unei ntreruperi majore a serviciilor IT asupra funciilor i proceselor cheie ale afacerii. Obiective de control DS4.1 Cadrul de referin pentru continuitatea IT DS4.2 Planurile de continuitate IT DS4.3 Resursele IT critice DS4.4 ntreinerea planului de continuitate IT DS4.5 Testarea Planului de continuitate IT DS4.6 Instruirea privind planul de continuitate IT DS4.7 Distribuirea planului de continuitate IT DS4.8 Recuperarea i reluarea serviciilor IT DS4.9 Stocarea extern a copiilor de siguran DS4.10 Revizia post-reluare

PROCESUL DS5 - Asigurarea securitii sistemului


Nevoia de meninere a integritii informaiilor i protejarea bunurilor IT necesit un proces de mana gement al securitii. Acest proces include stabilirea i meninerea rolurilor de securitate IT i a responsabilitilor, politicilor, standardelor i procedurilor. Gestionarea securitii mai include i efectuarea monitorizrilor periodice de securitate, testarea periodic i implementarea aciunilor corective pentru identificarea punctelor slabe n securitate i a incidentelor. Gestionarea eficient a securitii protejeaz toate bunurile IT pentru minimizarea impactului vulnerabilitilor asupra afacerii. Obiective de control DS5.1 Managementul securitii IT DS5.2 Planul de securitate IT DS5.3 Managementul identitii DS5.4 Managementul conturilor utilizatorilor DS5.5 Testarea securitii, inspecia i monitorizarea DS5.6 Definirea incidentelor de securitate DS5.7 Protecia tehnologiei de securitate DS5.8 Managementul cheilor criptografice DS5.9 Prevenirea, detectarea i neutralizarea software-ului ru-intenionat DS5.10 Securitatea reelei DS5.11 Schimbul datelor sensibile
Pag. 56 din 214

PROCESUL DS6 - Identificarea i alocarea costurilor


Nevoia de a avea un sistem just i echitabil de alocare a costurilor IT n bugetul organizaiei necesit o msurare ct mai exact a acestora dar i o colaborare permanent cu personalul IT pentru a le distribui ct mai judicios. Procesul include construirea i utilizarea unui sistem care s identifice, s aloce i s raporteze costurile IT ctre utilizatorii de servicii. Un sistem just de alocare permite managementului s ia decizii mai bine ntemeiate cu privire la utilizarea serviciilor IT. Obiective de control DS6.1 Definirea serviciilor DS6.2 Contabilitatea IT DS6.3 Modelul costurilor i taxarea DS6.4 Mentenana modelului costurilor

PROCESUL DS7 - Educarea i instruirea utilizatorilor


Educarea eficient a tuturor utilizatorilor, incluznd pe cei din departamentul IT, necesit identificarea nevoilor de nvare a fiecrui grup de utilizatori. n afara definirii nevoilor, procesul ar trebui s includ definirea i implementarea unei strategii de creare a unor programe de nvare eficiente cu rezultate cuantificabile. Un program de instruire eficient duce la eficientizarea folosirii tehnologiei prin reducerea erorilor cauzate de utilizatori, crescnd productivitatea i conformitatea cu controalele cheie, cum ar fi msurile de securitate. Obiective de control DS7.1 Identificarea nevoilor de educare i instruire DS7.2 Realizarea sesiunilor de instruire i educare DS7.3 Evaluarea instruirii

PROCESUL DS8 - Coordonarea Help Desk i a incidentelor


Pentru a rspunde la timp i eficient cerinelor utilizatorilor din IT este nevoie de un proces bine structurat de management al incidentelor i de suport tehnic. Acest proces include stabilirea unei funciuni de Service Desk pentru nregistrarea incidentelor, analiza tendinei i cauzelor problemelor, precum i pentru rezolvarea lor. Beneficiile obinute includ creterea productivitii prin rezolvarea mai rapid a cerinelor utilizatorilor. Mai mult, se pot evidenia cauzele problemelor (cum ar fi lipsa d e instruire) printr-o raportare eficient. Obiective de control DS8.1 Service Desk DS8.2 nregistrarea cerinelor clienilor DS8.3 nregistrarea incidentelor DS8.4 nchiderea unui incident DS8.5 Raportarea i analiza tendinelor

PROCESUL DS9 - Managementul configuraiei


Asigurarea integritii configuraiilor hardware i software presupune constituirea i ntreinerea unei baze de date a configuraiilor corect i complet. Acest proces include colectarea informaiilor iniiale ale configuraiei, stabilirea liniilor de baz, verificarea i auditarea informaiilor de configurare i actualizarea bazei de date a configuraiilor atunci cnd este nevoie. Gestionarea efectiv a configuraiilor faciliteaz o disponibilitate mai mare a sistemului, minimizeaz dificultile ce in de producie si rezolv problemele mai operativ.
Pag. 57 din 214

Obiective de control DS9.1 Baza de date a configuraiei i liniile de baz DS9.2 Identificarea i ntreinerea articolelor de configurat DS9.3 Revizia integritii configuraiei

PROCESUL DS10 - Managementul problemelor


Managementul eficace al problemelor cere identificarea i clasificarea problemelor, analiza cauzelor primare i a soluiilor propuse pentru acestea. Procesul de management al problemelor include de asemenea formularea recomandrilor pentru mbuntire, pstrarea inregistrrilor cu privire la probleme i analiza strii aciunilor corective. Un management eficace al problemelor maximizeaz disponibilitatea sistemului, mbuntete nivelul serviciilor, reduce costurile i sporete confortul i satisfacia clienilor. Obiective de control DS10.1 Identificarea i clasificarea problemelor DS10.2 Urmrirea i rezolvarea problemelor DS10.3 nchiderea problemei DS10.4 Integrarea managementului configuraiei, incidentelor i al problemelor

PROCESUL DS11 - Managementul datelor


Managementul eficient al datelor presupune identificarea cerinelor de date. Procesul de management al datelor include de asemenea stabilirea procedurilor eficiente pentru a gestiona coleciile de date, copiile de siguran/backup i recuperarea datelor precum i distribuirea eficient a acestora pe suporturile de informaii. Un management eficient al datelor ajut la asigurarea calitii, aranjrii cronologice i disponibilitii datelor. Obiective de control DS11.1 Cerinele afacerii pentru managementul datelor DS11.2 Aranjamente privind depozitarea i pstrarea DS11.3 Sistemul de management al bibliotecii media DS11.4 Eliminarea DS11.5 Copie de siguran i restaurare DS11.6 Cerine de securitate pentru managementul datelor

PROCESUL DS12 - Managementul mediului fizic


Protecia echipamentelor electronice i a personalului necesit o bun concepere i o bun gestionare a facilitilor fizice. Procesul de management al mediului fizic include definirea cerinelor fizice ale amplasamentului, selectarea mijloacelor adecvate i proiectarea proceselor eficiente pentru monitorizarea factorilor de mediu i gestionarea accesului fizic. Managementul eficient al mediului fizic reduce ntreru perile proceselor economice cauzate de deteriorarea echipamentelor informatice i a personalului. Obiective de control DS12.1 Selectarea i proiectarea amplasamentului DS12.2 Msuri de securitate fizic DS12.3 Accesul fizic DS12.4 Protecia mpotriva factorilor de mediu DS12.5 Managementul facilitilor fizice

Pag. 58 din 214

PROCESUL DS13 - Managementul operaiunilor


Procesarea complet i exact a datelor necesit un management eficient al procedurilor de prelucrare a datelor i o ntreinere temeinic a hardware-ului. Acest proces include definirea politicilor de operare i a procedurilor pentru gestionarea eficient a prelucrrilor programate, protejnd datele de ieire sensibile, monitoriznd performana infrastructurii i asigurnd ntreinerea preventiv a hardware-ului. Gestionarea eficient a operaiunilor ajut la meninerea integritii datelor i reduce ntrzierile i costurile de exploatare IT. Obiective de control DS13.1 Proceduri i instruciuni operaionale DS13.2 Planificarea muncii DS13.3 Monitorizarea infrastructurii IT DS13.4 Documente sensibile i dispozitive de ieire DS13.5 ntreinere preventiv pentru componentele hardware

DOMENIUL ME (Monitor & Evaluate) PROCESUL ME1 - Monitorizarea i evaluarea performanei IT


Managementul eficace al performanei IT necesit un proces de monitorizare. Acest proces include definirea unor indicatori de performan relevani, raportri sistematice cu privire la performan i acio narea prompt n cazul abaterilor. Monitorizarea este necesar pentru a asigura c procesele funcioneaz corect i sunt n conformitate cu setul de direcii i politici. Obiective de control ME1.1 Abordarea monitorizrii ME1.2 Definirea i colectarea datelor monitorizate ME1.3 Metoda de monitorizare ME1.4 Evaluarea performanei ME1.5 Raportarea la nivelul Comitetelor i la nivel executiv ME1.6 Aciuni de remediere

PROCESUL ME2 - Monitorizarea i evaluarea controlului intern


Stabilirea unui program eficient de control intern pentru IT necesit un proces de monitorizare bine definit. Acest proces include monitorizarea i raportarea excepiilor de la control, rezultatele auto-evalurii i reviziile unor tere pri. Un beneficiu-cheie al monitorizrii controlului intern este oferirea unei asigurri n ceea ce privete eficiena i eficacitatea operaiunilor i conformitatea cu legile i reglementrile aplicabile. Obiective de control ME2.1 Monitorizarea cadrului general al controlului intern ME2.2 Revizia de supraveghere ME2.3 Excepii de la control ME2.4 Auto-evaluarea controlului ME2.5 Asigurarea controlului intern ME2.6 Controlul intern la tere pri ME2.7 Aciuni de remediere PROCESUL ME3 - Asigurarea conformitii cu cerinele externe Supravegherea eficient a conformitii impune stabilirea unui proces de revizuire pentru a se asigura concordana cu legile, regulamentele i cerinele contractuale. Acest proces include identificarea
Pag. 59 din 214

cerinelor de conformitate, optimizarea i evaluarea rspunsului, obinerea asigurrii c cerinele au fost respectate, precum i integrarea conformitii IT raportat la restul afacerii. Obiective de control ME3.1 Identificarea cerinelor de conformitate extern, legal, contractual sau de reglementare ME3.2 Optimizarea rspunsului la cerinele externe ME3.3 Evaluarea conformitii cu cerinele externe ME3.4 Asigurarea conformitii ME3.5 Raportare integrat

PROCESUL ME4 - Furnizarea guvernrii IT


Instituirea unui cadru de guvernare eficient include definirea structurii organizaionale, a proceselor, con ducerea, rolurile i responsabilitile pentru a se asigura c investiiile IT ale intreprinderii sunt aliniate i livrate n conformitate cu strategiile i obiectivele ntreprinderii. Obiective de control ME4.1 Stabilirea cadrului de guvernare IT ME4.2 Alinierea strategic ME4.3 Furnizarea valorii ME4.4 Managementul resurselor ME4.5 Managementul riscurilor ME4.6 Msurarea performanei ME4.7 Asigurarea independent

2.9

Cadrul de lucru Val IT

Cadrul de lucru COBIT stabilete cele mai bune practici referitoare la mijloacele care contribuie la procesul de creare a valorii adugate. Val IT vine s adauge cele mai bune practici pentru final, oferind mijloacelor un instrumentar de msurare fr ambiguiti, cu ajutorul cruia se monitorizeaz i se optimizeaz realizarea de valoare adugat pentru afacere55, prin investiii n IT. Val IT complementeaz COBIT din perspectiva afacerii i din perspectiva financiar i contribuie la obinerea unei creteri de valoare prin utilizarea tehnologiei informaiei. Val IT este un cadru de administrare care const dintr-un set de principii directoare i o serie de procese conforme cu aceste principii, care sunt definite ca un set de practici cheie de conducere. Cadrul Val IT aliniaz terminologia sa cu terminologia COBIT i adaug o seciune de linii directoare (similar cu COBIT), care ofer un nivel mai mare de detaliu proceselor cheie Val IT i practicilor de management. Conine, de asemenea, modele de maturitate pentru fiecare domeniu al cadrului Val IT. Necesitatea unei guvernri puternice a investiiilor IT este evident, avnd n vedere c mai mult de 2 din 10 proiecte IT din cadrul unei organizaii eueaz dintr-un numr de motive, printre cele mai comune fiind: Investiiile IT nu susin strategia afacerii sau nu furnizeaz o valoare ateptat; Exist proiecte prea multe, ceea ce duce la utilizarea ineficient resurselor; Proiectele sunt adesea ntrziate, depesc bugetul i/sau nu produc beneficiile necesare; Exist incapacitatea de a anula proiecte atunci cnd este necesar; Organizaia are nevoie de resurse pentru a asigura conformitatea cu reglementrile industriei sau guvernamentale.
Referinele la afacere n acest standard internaional trebuie interpretate n sens larg pentru a se referi la acele activiti care sunt eseniale scopului pentru care este nfiinat organizaia. Pag. 60 din 214
55

Scopul investiiilor IT este de a permite schimbarea afacerii. Pentru a gestiona schimbarea afacerii bazate pe IT, investiiile IT trebuie s fie reglementate. Cu ajutorul cadrului Val IT promovat de ISACA, pot fi luate decizii mai bune privind modul n care s se investeasc n IT pentru a permite schimbarea afacerii, creterea rentabilitii investiiilor i pentru a genera valoare adugat, afacerii. Val IT este un cadru care se concentreaz pe livrare de valoare, unul dintre cele cinci domenii principale ale guvernrii IT, i ofer asigurarea c investiiile IT sunt gestionate pe ciclul complet al vieii economice . Prin aplicarea principiilor de management al portofoliului se pot evalua i monitoriza direct, investiiile n IT pe ntreg ciclul de via economic al acestora.

2.9.1 Obiectivul i necesitatea cadrului de lucru Val IT


Obiectivul cadrului de lucru Val IT (care include cercetri, documentaii i servicii suport) este de a ajuta managementul s se asigure c organizaia realizeaz o valoare optim din investi iile i activitile bazate pe IT la un cost acceptabil i cu un nivel cunoscut i acceptabil de risc. Cadrul de lucre Val IT furnizeaz linii directoare, procese i practici care permit nelegerea i ndeplinirea rolului investiiilor IT. Pentru auditori, Val IT constituie referenialul la care se raporteaz cnd evalueaz investiiile IT. n ultimii ani, nivelul investiiilor n IT este semnificativ i continu s creasc. Sunt puine organizaii care mai pot opera astzi, fr o infrastructur IT proprie. n acest context, este o cerere din ce n ce mai mare din partea conducerii organizaiilor n ceea ce privete accesul la cele mai bune practice i la linii directoare care s ghideze procesul decizional referitor la obinerea beneficiilor pe baza investiiilor n IT. Fr o guvernare efectiv i un bun management, investiiile IT pot genera, ntr-o msur semnificativ, oportunitatea de a distruge valoarea. n ultimii ani, sondajele au artat constant c ntre 20 -70 % din investiiile IT pe scar larg sunt irosite, contestate sau nu reuesc s aduc un venit n organizaie. De fapt, un studiu privind evaluarea costurilor i a valorii a constatat c, n multe ntreprinderi, mai puin de 8% din bugetul IT este, de fapt, cheltuit pe iniiative care s creeze valoare pentru organizaie. Un studiu Gartner din anul 2002 a constatat c 20% din toate cheltuielile aferente investiiilor IT au fost risipite, constatare care reprezint, pe o baz global, o distrugere anual a valorii, n total de aproximativ 600 miliarde dolari. Un studiu realizat de IBM n 2004 a constatat c, n medie, 40% din totalul cheltuielilor IT nu au adus nici un venit organizaiilor. Un studiu din 2006 realizat de Grupul Standish a constatat c doar 35% din totalul proiectelor IT s-au finalizat cu succes, n timp ce restul (65%) au fost fie contestate sau au euat.56 n mod evident, investiiile n IT pot aduce beneficii substaniale. Un studiu efectuat la nivel mondial n cadrul grupului de servicii financiare ING, arat c investiiile IT ar o feri oportunitatea de a furniza rate de rentabilitate mai mari dect aproape orice alte investiii convenionale. Acest studiu, efectuat la mijlocul anului 2004, indic faptul c, n comparaie cu afacerile imobiliare comerciale sau cu aciunile cotate la burs, un portofoliu de investiii IT bine echilibrat poate genera un venit semnificativ mai mare. Luate mpreun, aceste exemple subliniaz o ntrebare strategic: Ce trebuie fcut pentru a ne asigura c IT asigur rezultate pozitive sau poate chiar de transformare a valorii afacerii?.

56

Sursa: ITGI, Val IT Framework 2.0 Pag. 61 din 214

Definiie: Cadrul de lucru Val IT este un cadru global i pragmatic de organizare care permite crearea de valoare n cadrul organizaiei pe baza investiiilor n tehnologia informaiei. Conceput pentru a se alinia la cadrul COBITi pentru a-l completa, Val IT integreaza un set de principii de guvernare practice i verificate, procese, practici i linii directoare care susin aceast platform, ofer suport managementului executiv i altor lideri pentru a optimiza obinerea de valoare din investiiile IT. Folosite cu succes considerabil de muli ani de conducerea organizaiilor, procesele i practicile incluse n Val IT sunt prezentate, pentru prima dat, ca un cadru unic de guvernan integrat care ofer factorilor de decizie o abordare cuprinztoare, consecvent, coerent i contribuie la crearea de valoare prin efecte concrete i msurabile. Cu sprijinul unui grup de experi n domeniul guvernrii informaiei, n control, securitate i audit, recunoscui pe plan internaional, ITGI57 a acordat o mare atenie proiectrii acestui cadru pentru a se asigura c integrarea Val IT cu COBIT va oferi un cadru cuprinztor pentru crearea i livrarea de valoare de nalt calitate a serviciilor bazate pe IT. Pe de o parte, cadrul d e lucru Val IT completeaz cadrul de lucru COBIT, iar pe de alt parte este susinut de acesta. nelegerea relaiei dintre aceste dou cadre este vital. Val IT are n vedere guvernarea ntreprinderii. Ca un cadru cuprinztor pentru proiectarea si livrarea serviciilor bazate pe IT de nalt calitate, COBIT stabilete seturi de bune practici pentru funcia IT, care contribuie la procesul de creare de valoare. Val IT furnizeaz seturi de bune practici referitoare la rezultatele obinute pe baza investiiilor IT, permind astfel ntreprinderilor msurarea, monitorizarea i optimizarea valorii, att financiare, ct i non -financiare. Coerena ntre metodele i terminologia utilizate n cadrele de lucru Val IT i COBIT mbuntete comunicaia i interaciunile dintre factorii de decizie, funcia de IT i funciile de afaceri responsabile pentru livrarea valorii planificate.

2.9.2 Aspecte legate de investiiile IT din perspectiva cadrului Val IT


ntrebrile care se pun n legtur cu investiiile IT se refer, n general, la urmtoarele aspecte: 1. Aspecte strategice: Este investiia n conformitate cu viziunea i cu principiile afacerii? Contribuie aceasta la atingerea obiectivelor strategice? Este furnizat valoarea optim, la un pre accesibil i la un nivel acceptabil de risc? 2. Aspecte legate de arhitectura de sistem: Este investiia n conformitate cu arhitectura IT existent? Este investiia n conformitate cu principiile arhitecturale existente? Contribuie investiia la popularea arhitecturii existente? Investiia este n concordan cu alte iniiative? 3. Aspecte legate de valoarea investiiei: Exist o nelegere clar i comun a beneficiilor ateptate ? Este stabilit o responsabilitate clar pentru realizarea beneficiilor? Sunt utilizate metrici relevante? A fost stabilit un proces eficient de realizare a beneficiilor pe ntregul ciclu de via economic al investiiei ? 4. Aspecte legate de livrare: Se realizeaz o gestionare eficient i disciplinat a livrrilor i a proceselor de schimbare? Sunt disponibile resurse competente tehnice i de afaceri pentru a gestiona: facilitile furnizate i schimbrile organizaionale necesare pentru a exploata capacitile?

2.9.3 nelegerea conceptului de valoare n sensul cadrului de lucru Val IT


n cadrul de lucru Val IT, valoarea este definit ca totalul beneficiilor nete obinute pe tot ciclul de via, raportate la costurile aferente, adaptate la risc, i (n cazul valorii financiare) pentru valoarea raportat la timp a banilor.
57

Information Technology Governance Institute Pag. 62 din 214

Cu toate acestea, n multe cazuri, valoarea nu constituie rezultatul unei msurri cantitative. Valoarea este complex, dependent de contextul specific i dinamic. Valoarea este, n foarte multe cazuri, "n ochii privitorului. Natura valorii este diferit pentru diferite tipuri de organizaii. n timp ce zona comercial din organizaie se concentreaz, mult mai mult dect o fceau n trecut, pe valoarea de natur non financiar, directorii au, n continuare, tendina de a vizualiza valoarea n primul rnd din punct de vedere financiar, de multe ori pur i simplu ca pe o cretere a profitului ntreprinderii care rezult din investiii. Pentru sectorul public, sau pentru ntreprinderile non-profit, valoarea este mult mai complex, i adesea, dei nu ntotdeauna, de natur non-financiar. Aceasta poate include obinerea unor rezultate privind politicile publice, mbuntirea cantitii i calitii serviciilor oferite (de exemplu, cetenilor pentru sectorul public) i/sau creterea net a veniturilor oferite celor pentru care aceste servicii care rezult din investiii sunt disponibile. Conceptul de valoare se bazeaz pe relaia dintre ndeplinirea ateptrilor prilor interesate i r esursele folosite pentru a atinge obiectivele. Prile interesate pot avea opinii diferite despre ceea ce reprezint o valoare. Scopul managementului valorii este de a optimiza valoarea prin reconcilierea acestor diferene, de a permite organizaiei s defineasc clar i s comunice punctul su de vedere privind semnificaia valorii, s selecteze i s execute investiii, s gestioneze patrimoniul su i s optimizeze valoarea printr -o utilizare a resurselor la preuri accesibile i un nivel acceptabil de risc. ITGI privete furnizarea valorii ca fiind unul dintre cele cinci domenii prioritare ale guvernrii IT. n afar de valoarea livrat, celelalte patru domenii includ: alinierea strategic, managementul riscurilor, managementul resurselor i msurarea performanelor. Valoarea livrat depinde de focalizarea pe zonele n care aceasta necesit aliniere strategic, este permis prin gestionarea riscurilor i gestionarea resurselor i, mpreun cu alte zone, este monitorizat prin msurarea performanei.

2.9.4 Beneficii obinute prin utilizarea cadrului de lucru Val IT


Entitile care aplic principiile, procesele i practicile cuprinse n cadrul de lucru Val IT pot realiza beneficii strategice i pot s creeze niveluri ale valorii al afacerii reale semnificativ mai ridicate. La un nivel fundamental, acest cadru ajut factorii de decizie s creasc nelegerea naturii valorii i a modului n care aceasta este creat; s ctige o transparen n ceea ce privete costurile, riscurile i beneficiile, i ca o extindere a acestora deciziile managementului s fie bazate mult mai mult pe informaie. Val IT ajut organizaiile s creasc probabilitatea de selecie a investiiilor cu cel mai mare potenial n a crea valoare. Val IT, de asemenea, crete probabilitatea de succes n executarea investiiilor selectate, att atunci cnd serviciile IT sunt create sau mbuntite, ct i ulterior livrrii i utilizrii acestor servicii. Cadrul Val IT reduce costurile i pierderea de valoare, asigurnd c factorii de decizie rmn concentrai pe ceea ce ei ar trebui s fac i s ia msuri corective la timp cu privire la investiiile care nu furnizeaz valoare n conformitate cu potenialul ateptat. n acelai timp, cadrul reduce riscul de eec, n special pe cel cu impact mare i eec vizibil. De asemenea, cadrul reduce surprizele asociate cu costurile IT i de livrare, i, n acest sens, valoarea afacerii crete, se reduc costurile inutile i crete nivelul general de ncredere n IT.

2.9.5 Concepte Val IT i principiile cadrului de lucru Val IT


Proiect - Un set structurat de activiti care au ca scop furnizarea unei faciliti definite organizaiei (acesta este necesar, dar nu suficient pentru a obine rezultatele cerute ale afacerii), pe baza unui program i a unui buget aprobate. Program - O grupare structurat de proiecte interdependente, care sunt att necesare ct i suficiente pentru a obine un rezultat dorit i pentru a crea valoare. Aceste proiecte ar putea implica, dar nu sunt
Pag. 63 din 214

limitate la, modificri de natur ale afacerii, ale proceselor de afaceri, ale activitii desfurate, precum i ale competenelor necesare pentru a efectua lucrrile, care s permit tehnologia i stru ctura organizatoric. Programul de investiii este unitatea primar de investiii din Val IT. Portofoliu - Grupri de "obiecte de interes" (programe de investiii, servicii IT, proiecte IT, alte bunuri IT sau alte resurse) gestionate i monitorizate pent ru a optimiza valoarea afacerii. Portofoliul de investiii este de interes primar pentru Val IT. Serviciile IT, proiectele, activele sau alte portofolii de resurse sunt de interes primar pentru COBIT. Cadrul Val IT susine obiectivul organizaiei de a crea valoare optim din investiiile IT prin achiziii la un cost accesibil, cu un nivel acceptabil de risc, fiind ghidat de un set de principii aplicate n procesele de gestionare a valorii, care sunt permise prin practici cheie de management i sunt msurate prin performana n raport cu obiectivele i indicatorii stabilii. Principiile cadrului de lucru Val IT sunt: Investiiile IT vor fi gestionate ca un portofoliu de investiii . Optimizarea investiiilor necesit abilitatea de a evalua i de a compara investiii, fiind selectate n mod obiectiv cele cu potenialul cel mai mare de a crea valoare, i de a le gestiona pentru a maximiza valoarea. Investiiile IT vor include ntreaga sfer de activiti necesare pentru a atinge valoarea afacerii . Realizarea valorii din investiii IT necesit mai mult dect livrarea de soluii i servicii IT aceasta necesit, de asemenea, schimbri, cum ar fi: natura activitii n sine; procesele de afaceri, abiliti i competene, precum i organizarea, toate acestea trebuind s fie incluse n documentaia de fun damentare i de realizare privind investiiile (Business Case - BC). Investiiile IT vor fi gestionate pe ntreg ciclul de via economic . BC trebuie s fie pstrat activ de la iniierea unei de investiii pn la finalizarea tuturor serviciiilor aferente investiiei. Acest principiu recunoate c va exista ntotdeauna un anumit grad de incertitudine i c variaia n timp a costurilor, riscurilor, beneficiilor, strategiei, i a schimbrilor organizaionale i externe trebuie s fie luat n considerare cnd se stabilete dac finanarea ar trebui s fie continuat, majorat, diminuat sau oprit. Practicile de livrare a valorii vor recunoate c exist diferite categorii de investiii care vor fi evaluate i gestionate n mod diferit. Astfel de categorii s-ar putea baza pe preferina managementului, pe magnitudinea costurilor, pe tipurile de riscuri, pe importana beneficiilor (de exemplu, obinerea conformitii cu un cadru de reglementare), precum i pe tipurile i gradul de schimbare a afacerii. Practicile de livrare a valorii vor defini i vor monitoriza indicatorii cheie i vor reaciona rapid la orice modificri sau abateri. Trebuie s fie stabilii i monitorizai cu regularitate indicatori de performana pentru: (1) portofoliul global, (2) investiiile individuale, incluznd indicatori intermediari i indicatori finali, (3) serviciile IT, (4), bunurile IT i (5) alte resurse care rezult dintr -o investiie, pentru a se asigura c valoarea este creat i continu s fie creat pe parcursul ntregului ciclu de via al investiiei. Practicile de livrare a valorii vor angaja toate prile interesate i vor atribui responsabiliti adecvate pentru livrarea facililitilor, precum i pentru realizarea ben eficiilor afacerii. Att funcia IT, ct i alte funcii ale afacerii trebuie s fie angajate i responsabile - funcia IT pentru faciliti IT i funciile de afaceri pentru facilitile de afaceri necesare pentru a realiza valoare. Practicile de livrare a valorii vor fi monitorizate, evaluate i mbuntite continuu. Pe msur ce organizaia ctig experien privind practicile Val IT, aceste practici pot fi aplicate, astfel nct selectarea investiiilor i gestionarea acestora s se mbunteasc n fiecare an.

2.9.6 Domeniile cadrului de lucru Val IT


Pentru a ndeplini obiectivul cadrului de lucru Val IT, de management al valorii care s permit organizaiei s realizeze valoarea optim din investiiile IT la un cost accesibil, cu un nivel acceptabil de
Pag. 64 din 214

de risc, principiile cadrului Val IT trebuie s fie aplicate n trei domenii: guvernarea valorii, managementul portofoliului, managementul investiiilor. Fiecare domeniu cuprinde o serie de procese i practici cheie de management. Aceste procese i pra ctici cheie de management au fost distilate din experiena colectiv a echipei care a creat cadrul de lucru Val IT i a unei echipe de consilieri recunoscui la nivel mondial i extrase din practicile, metodologiile i cercetrile existente i emergente. a) Guvernarea Valorii Scopul guvernrii valorii (Value Governance - VG) este de a asigura c practicile de management al valorii sunt ncorporate n organizaie i permit obinerea unei valori optime din investiiile IT pe parcursul ntregului lor ciclu de via economic. Angajamentul conducerii n ceea ce privete guverna rea valorii contribuie la: Stabilirea cadrului de guvernare pentru managementul valorii ntr-o manier complet integrat cu guvernarea de ansamblu a ntreprinderii; Asigurarea direciei strategice pentru deciziile privind investiiile; Definirea caracteristicilor portofoliilor necesare pentru a sprijini noi investiii i serviciile IT rezultate, activele i alte resurse; mbuntirea gestionrii valorii pe o baz continu, n concordan cu practicile nvate. Cadrul Val IT definete procesele legate de investiiile IT, practicile i activitile cheie de management care trebuie s apar n contextul guvernrii globale a ntreprinderii. Cadrul definete n mod special relaia dintre funcia de IT i celelalte pri ale afacerii, i ntre funcia IT i celelalte structuri cu atribuii de guvernare din cadrul ntreprinderii (biroul financiar, conducerea executiv). Activitile aferente funciei IT sunt acoperite de cadrul de lucru COBIT. b) Managementul Portofoliului Scopul managementului portofoliului (Portfolio Management - PM), n contextul cadrului Val IT este de a garanta c o ntreprindere asigur valoarea optim a portofoliului su privind investiiile IT. Angajamentul conducerii n ceea ce privete managementul portofoliului, contribuie la: Stabilirea i gestionarea profilurilor resurselor; Definirea pragurilor de investiii; Evaluarea, prioritizarea i selectarea, amnarea sau respingerea unor noi investiii; Gestionarea i optimizarea portofoliului global de investiii; Monitorizarea i raportarea privind performana portofoliului. Programele de afaceri privind investiiile IT trebuie s fie gestionate ca parte a portofoliului total al investiiilor, astfel nct toate investiiile ntreprinderii s fie selectate i gestionate pe o baz comun. Programele din portofoliu trebuie s fie clar definite, evaluate, prioritizate, selectate i gestionate n mod activ pe ntreg ciclul lor via economic, pentru a optimiza att valoarea programelor individuale ct i a portofoliului global. Aceasta include optimizarea alocrii resurselor limitate pentru investiii pe care organizaia le are la dispoziie, managementul de risc, identificarea i corectarea la timp a problemelor (inclusiv anularea programului, dac este cazul) i supervizarea investiiilor la n ivelul conducerii. Managementul portofoliului recunoate cerina pentru un portofoliu de a fi echilibrat. Recunoate, de asemenea, c exist diferite categorii de investiii cu niveluri diferite de complexitate i de grade de libertate n alocarea fondurilor. Exemplele privind aceste categorii ar putea include, dar nu sunt limitate la, inovare, reforme cu grad ridicat de risc, extinderea afacerii, mbuntirea operaional, ntreinerea operaional i investiiile obligatorii. Pentru fiecare categorie din portofoliul de investiii ar trebui s fie stabilite criterii de evaluare cu ponderi adecvate. Decizia de a include un program n portofoliu nu este un angajament de moment. Portofoliul format din investiii poteniale i aprobate ar trebui s fie gestionat n mod activ, pe o baz continu i nu doar atunci cnd se solicit aprobarea. n funcie de performanele relative ale programelor active i de oportunitatea oferit de programele poteniale din cadrul portofoliului,

Pag. 65 din 214

precum i de schimbrile aduse mediului de afaceri intern i extern, portofoliul poate fi ajustat de ctre conducere. c) Managementul Investiiilor Scopul managementului investiiilor (Investment Management - IM) este de a asigura faptul c investiiile IT individuale ale ntreprinderii contribuie la obinerea valorii optime. Cnd liderii organizaiei se angajeaz n gestionarea investiiilor ei contribuie la: Identificarea cerinelor afacerii; Dezvoltarea unei nelegeri clare a programelor de investiii candidate; Analiza unor abordri alternative la punerea n aplicare a programelor; Definirea fiecrui program, precum i documentarea i meninerea unui BC (Business Case) detaliat pentru acesta, incluznd detalii privind beneficiile pe ntreg ciclul de via economic al investiiei; Asignarea unei responsabiliti clare i a unui proprietar, inclusiv n ceea ce privete realizarea beneficiilor; Gestionarea fiecrui program pe ntreg ciclul de via economic, inclusiv finalizarea sau stoparea acestuia; Monitorizarea i raportarea privind performana fiecrui program. Componentele cheie ale managementului investiiilor Exist trei componente-cheie de gestionare a investiiilor: Prima este Business Case (BC), care este esenial pentru selectarea corect a programelor de investiii i administrarea acestora pe parcursul executrii lor. A doua este managementul programului, care reglementeaz toate procesele care susin executarea programelor. A treia este realizarea beneficiilor - un set de sarcini necesare pentru a gestiona n mod activ realizarea beneficiilor programului.

2.9.7 Business Case (BC)


Un BC cuprinztor este esenial pentru a estima rezultatele programului, dar puine organizaii sunt adepte ale dezvoltrii i documentrii acestuia. Un studiu realizat n anul 2006 de Cranfield University School of Management a constatat c, n timp ce 96% din respondeni au dezvoltat BC pentru investiii care implic IT, 69% dintre acetia nu au fost mulumii cu eficacitatea practic. BC conine un set de ipoteze cu privire la modul n care va fi creat valoarea, ipoteze care trebuie s fie bine testate pentru a se asigura c rezultatele ateptate vor fi atinse. BC ar trebui s fie, de asemenea, bazat pe indicatori calitativi i cantitativi care s justifice aceste ipoteze i s ofere factorilor de decizie o perspectiv care va sprijini deciziile viitoare de investiii. Documentaia Enterprise Value: Governance of IT Investments, The Business Case58 ofer ndrumri pentru a crea BC complete i cuprinztoare, punnd accent deosebit pe evaluarea cuprinztoare i evaluarea valorii poteniale i a riscurilor, precum i pe definirea unor indicatori cheie, att financiari (valoarea actualizat net, rata intern de renta bilitate i perioada de amortizare), ct i non-financiari. BC const n resurse de intrare majore, precum i din cele trei fluxuri de activiti care sunt: capacitile tehnice de livrare (de exemplu, managementul relaiilor cu clienii (CRM), facilitile operaionale (de exemplu, utilizatorii au acces la toate informaiile despre clieni) i facilitile de afaceri (de exemplu, infor maiile sunt folosite pentru a suporta vnzri ncruciate). Cele trei fluxuri dinamice pot fi regsite pe ntreg ciclul de via al proceselor sau al sistemului. Ciclul de via poate fi sintetizat n patru etape: dezvoltarea, implementarea, operarea i scoaterea din funciune.
58

Sursa: ITGI Pag. 66 din 214

Fiecare dintre aceste fluxuri de lucru trebuie s fie documentat cu date care s susin decizia de investiii i procesele de management de portofoliu: iniiative, costuri, riscuri, ipoteze, rezultate i indicatori. BC ar trebui s includ cel puin urmtoarele elemente: Beneficiile estimate ale afacerii, alinierea lor cu strategia de afaceri i care dintre funciile afacerii va fi responsabil pentru asigurarea lor; Schimbrile de afaceri necesare pentru a crea valoare adugat; Investiiile necesare pentru a face schimbri ale afacerii; Investiiile necesare pentru a schimba sau aduga noi servicii IT i elemente de infrastructur; Funionarea continu a sistemului IT i costurile de afaceri relative la funcionarea n contextul schimbat; Riscurile inerente referitoare la elementele prezentate mai sus, inclusiv orice constrngeri sau dependene; Cine va fi responsabil pentru crearea cu succes a valorii optime; Cum vor fi monitorizate investiiile i crearea de valoare pe parcursul ciclului de via economic, precum i indicatorii care urmeaz s fie utilizai. BC ar trebui s fie dezvoltat dintr-o perspectiv strategic, de tip top-down (de sus n jos), ncepnd cu o nelegere clar a rezultatelor dorite privind afacerea i progresnd pn la o descriere detaliat a sarcinilor critice i reperelor, precum i a rolurilor i responsabilitilor cheie. BC nu este un document static de folosin unic, ci constituie un instrument dinamic operaional, care trebuie s fie actualizat continuu pentru a reflecta punctul de vedere actual asup ra viitorului programului, astfel nct viabilitatea acestuia s poat fi meninut. BC trebuie s includ rspunsuri la patru ntrebri, rspunsuri bazate pe informaii relevante focalizate pe afacere, despre programele poteniale: Dac facem ceea ce trebuie Ce s-a propus, pentru ce rezultat al afacerii i cu ce contribuie proiectele n cadrul unui program? Dac suntem pe calea cea bun - Cum se va desfura i ce trebuie fcut pentru a ne asigura c programul se va potrivi cu alte faciliti curente sau viitoare? Dac ceea ce facem este bine Care este planul pentru ndeplinirea lucrrilor i ce resurse i fonduri sunt disponibile? Dac aducem beneficii Cum vor fi furnizate beneficiile? Care este valoarea programului? Structura BC Situaiile afacerii pentru investiiile IT iau n considerare urmtoarele relaii cauzale: - Resursele sunt necesare pentru dezvoltare - Tehnologia / serviciile IT support - Capabilitatea operaional pe care o va permite - Capabilitatea afacerii care va fi creat - Valoarea pentru prile interesate Aceste relaii implic existena a trei fluxuri de activiti interrelaionate care creeaz capabiliti tehnice, operaionale i de afacere. Fiecare dintre cele trei fluxuri de activitate are un numr de componente care sunt eseniale pentru a evalua complet BC. Aceste componente, mpreun, formeaz baza pentru un model analitic i sunt definite dup cum urmeaz: Rezultate - rezultate clare i msurabile vizate, inclusiv rezultate intermediare; aceste rezultate sunt necesare dar nu suficiente pentru a atinge beneficiile finale. Aceste beneficii pot fi financiare sau non-financiare.
Pag. 67 din 214

Iniiative - Aciuni/proiecte de afacere, proces de afaceri, oameni, tehnologie i organizaionale (BPPTO) aciuni/proiecte (activiti care acoper dezvoltarea, punerea n aplicare, operarea i scoaterea din funciune) care contribuie la unul sau mai multe rezultate. Contribuii - Contribuia msurabil ateptat de la iniiative sau rezultate intermediare pentru alte iniiative sau rezultate. Ipoteze - Ipoteze privind condiiile necesare pentru realizarea rezultatelor sau iniiativelor, dar asupra crora programul organizaiei are control redus sau deloc. Evaluarea riscului reprezentat de ipoteze i orice alte constrngeri cu privire la costuri, beneficii i aliniere constituie o mare parte a BC. Alte componente care sunt identificate n BC sunt resursele necesare pentru a efectua toate activitile n care const iniiativa, precum i cheltuielile de achiziii i, dac este necesar, de meninere a acestor resurse.

2.9.8 Procesele VAL IT


Procesele sunt o colecie de activiti care interacioneaz, ntreprinse n conformitate cu practicile de management. Procesele au intrri de la una sau mai multe surse (inclusiv alte procese), pot manipula intrrile, utiliza resursele n conformitate cu politicile, i pot produce ieiri (inclusiv ieiri ctre alte procese). Procesele ar trebui s aib motive clare ale afacerii pentru proprietarii acestora, roluri i responsabiliti clare relative la executarea fiecrui proces, precum i mijloacele de a genera i msura performana.

Domenii i procese Val IT


Dup cum am menionat, domeniile Val IT sunt: guvernarea valorii (Value Governance - VG), managementul portofoliului (Portfolio Management - PM), i managementul investiiilor (Investment Management - IM). n continuare, vom prezenta o descriere de nivel nalt a proceselor din cadrul fiecrui domeniu.

Guvernarea valorii (Value Governance - VG)


VG1 - Stabilirea unei conduceri informate i angajate - Stabilirea unei conduceri informate i angajate, cu un comitet (forum) de conducere i un sistem eficient de linie de raportare, n raport cu importana IT pentru ntreprindere. Dezvoltarea unei nelegeri corecte a elementelor cheie de guvernare i a perspectivelor clare n cadrul Strategiei IT. Asigurarea, alinierea i integrarea afacerii cu domeniul IT. VG2 - Definirea i punerea n aplicare a proceselor - Definirea unui cadru de guvernan pentru managementul valorii IT, inclusiv pentru procesele suport. Evaluarea calitii i acoperirii proceselor curente pentru a defini cerinele de viitoarelor procese, astfel nct acestea s ofere controlul i supravegherea necesare i s permit legtura activ ntre strategie, portofolii, programe i proiecte. Stabilete structurile organizaionale necesare i punerea n aplicare a proceselor cu rolurile, responsabilitile i rspunderile asociate. VG3 - Definirea caracteristicilor portofoliului - Definirea diferitelor tipuri de portofolii. Definirea categoriilor n cadrul portofoliilor, inclusiv ponderea relativ a acestora. Dezvoltarea i comunicarea modului n care aceste categorii vor fi evaluate n mod comparabil i transparent. Definirea cerinelor pentru evaluare, pentru fiecare categorie. VG4 - Alinierea i integrarea managementul valorii cu planificarea financiar a ntreprinderii Revizuirea practicilor curente bugetare ale ntreprinderii i identificarea i, ulterior, implementarea modi ficrilor necesare pentru punerea n aplicare a practicilor de management de planificare financiar la valoarea optim pentru a facilita pregtirea BC, luarea deciziei de a investi i managementul investiiilor n curs de desfurare. VG5 - Stabilirea unei monitorizri eficiente de guvernare - Identificarea obiectivelor cheie i a metricilor proceselor de management al valorii care trebuie monitorizate, precum i a abordrilor,
Pag. 68 din 214

metodelor, tehnicilor i proceselor pentru colectarea i raportarea informaiilor de msurare. Stabilirea modului n care vor fi identificate i monitorizate abaterile sau problemele i raportarea privind rezultatele aciunilor de remediere. VG6 - Imbuntirea continu a practicilor de gestionare a valorii - Revizuirea experienelor referitoare la managementul valorii. Planificarea, iniierea i monitorizarea schimbrilor necesare pentru mbuntirea guvernrii valorii, a managementului portofoliului i al proceselor de administrare a investiiilor.

Managementul portofoliului (Portfolio Management - PM)


PM1 - Stabilirea direciei strategice i a intelor de investiii - Revizuirea i asigurarea claritii strategiei de afaceri i identificarea i comunicarea oportunitilor de IT pentru a influena sau a sprijini strategia. Definirea unei combinii adecvate de investiii pe baza ratei de rentabilitate, a gradului de risc i de tip al beneficiului pentru programele din portofoliu care pun n aplicare strategia. Ajustarea strategiei de afaceri n cazul n care este necesar i transpunerea acestora n strategia IT i n obiective. PM2 - determin disponibilitatea i sursele de finanare - Determinarea surselor poteniale de fonduri pentru program, a nivelului surselor care pot fi atrase, precum i a metodelor necesare de realizare. Determinarea implicaiilor generate de sursa de finanare asupra ateptrilor privind veniturile din investiii. PM3 - Managementul disponibilitii resurselor umane - Crearea i meninerea unui inventar al afacerii i al resurselor umane IT. nelegerea cererii actuale i viitoare de resurse umane pentru a sprijini investiiile IT i identificarea neajunsurilor i disputelor. Crearea i meninerea planurilor tactice pentru managementul resurselor umane. Monitorizarea i revizuirea planurilor i a structurilor organizatorice suport, precum i ajustarea, dac este necesar. PM4 - Evaluarea i selectarea programelor pentru a le finana - Evaluarea BC al afacerii, atribuirea unui scor relativ i comunicarea deciziilor de investiii bazate pe viziunea portofoliului de investiii i pe punctajele individuale. Ulterior, alocarea de fonduri; etapa final a programelor selectate, mutarea acestora n portofoliului de investiii active i ajustarea obiectivelor de afaceri, previziuni i bugete, n consecin. PM5 - Monitorizarea i raportarea privind performana portofoliului de investiii - Oferirea unei imagini cuprinztoare i exacte a performanei portofoliului de investiii, n timp util pentru a permite revizuirea, de ctre prile interesate cheie, a progresului ntreprinderii fa de obiectivele identificate. PM6 - Optimizarea performanei portofoliului de investiii Revizuirea periodic a portofoliului de investiii i optimizarea performanei pentru noi oportuniti, sinergii i riscuri. Dup optimizare, revizuirea viziunii strategiei de afaceri i asupra investiiilor combinate i revizuirea priorit ilor portofoliului, dac este necesar.

Managementul investiiilor (Investment Management - IM)


IM1 - Dezvoltarea i evaluarea iniial a BC al programului - Recunoaterea oportunitii de investiii, clasificarea fiecreia n concordan cu categoriile din portofoliui de investiii i identificarea unui sponsor pentru afacere. Clarificarea rezultatelor ateptate ale afacerii i prezentarea unei vederi la nive l nalt a tuturor iniiativelor necesare pentru a obine rezultatele ateptate i a modului n care acestea ar putea fi msurate. Furnizarea unei estimri iniiale, la nivel nalt a beneficiilor i costurilor, precum i a princi palelor ipoteze i riscuri majore i obinerea aprobrilor corespunztoare. Determinarea oportunitii unor lucrri suplimentare pentru a sprijini dezvoltarea unui BC detaliat, avnd n vedere alinierea strategic, beneficiile i cheltuielile, resursele, riscurile i compatibilitatea cu portofoliul de investiii globale. IM2 - nelegerea programului candidat i a opiunilor de implementare - Implicarea prilor interesate cheie pentru a dezvolta i documenta o nelegere complet privind: rezultatele programului candidat ateptate de afacere, modul n care acestea vor fi msurate, ntreaga sfer de iniiative necesar pentru a
Pag. 69 din 214

atinge rezultatele, riscurile implicate i impactul asupra tuturor aspectelor afacerii (ntreprinderii). Identificarea i evaluarea unor cursuri alternative de aciune pentru a atinge rezultatele dorite ale afacerii. IM3 - Elaborarea planului de program - Definirea i documentarea tuturor proiectelor necesare pentru realizarea programului pentru a obine rezultatele ateptate ale afacerii. Precizarea cerinelor de resurse i a metodei de obinere asociate. Prezentarea unui grafic de timp care s in seama de interdependenele dintre mai multe proiecte. IM4 - Dezvoltarea costurilor complete aferente ciclului de via i beneficiilor - Pregtirea unui program de buget bazat pe costurile pe ntreg ciclul de via economic. nscrierea tuturor beneficiilor intermediare i de afaceri ntr-un registru, precum i planificarea modului n care acestea vor fi realizate. Identificarea i documentarea obiectivelor pentru rezultatele cheie care urmeaz s fie realizate, inclusiv n ceea ce privete metoda de msurare i abordarea pentru atenuarea insucceselor. Prezentarea bugetelor, costurilor, beneficiilor i planurilor aferente pentru revizuire, rafinare i aprobare. IM5 - Dezvoltarea BC detaliat pentru programul candidat - Elaborarea unui BC complet i cuprinztor pentru programul candidat, care acoper scopul, obiectivele, domeniul de aplicare i abordarea, dependenele, riscurile, reperele, precum i impactul schimbrii organizaionale. Includerea unei aprecieri a valorii, bazate pe costurile economice aferente ntregului ciclu de via, i a beneficiilor, a ratei preconizate de randament, a alinierii strategice i ipotezelor cheie. De asemenea, furnizarea unui plan al programului care s acopere planurile componentei proiectului, p lanul de realizare a beneficiilor, modul de abordare a managementului riscului i al schimbrii, precum i a structurii programului. Atribuirea clar a responsabilitilor, autoritii i dreptului de proprietate pentru realizarea beneficiilor, controlului costurilor, gestionarea riscurilor i coordonarea activitilor i interdependenelor proiectelor multiple. Obinerea acceptrii cu privire la responsabiliti i rspundere. IM6 - Lansarea i managementul programului - Planificarea, resurselor necesare proiectelor, pentru a obine rezultatele programului. Planificarea resurselor pentru perioade ulterioare, dar finanarea acestora numai pn la urmtoarea revizuire. Administrarea performanei programului pe baza unor criterii cheie, pentru a identifica abaterile de la plan i a ntreprinde n timp util aciuni de remediere. Monitorizarea beneficiilor pe tot parcursul programului, a realizrii reale i poteniale i raportarea privind progresele. Iniierea de aciuni n timp util pentru abateri semnificative de la plan, precum i pentru problemele aprute. IM7 - Actualizarea portofoliilor IT operaionale Reflectarea schimbrilor care rezult din programul de investiii pentru servicii IT relevante, a activelor i a portofoliilor de resurse. IM8 - Actualizarea BC Actualizarea BC al programului, pentru a reflecta starea curent, ori de cte ori exist schimbri care afecteaz costurile preconizate, beneficiile, oportunitile sau riscurile. IM9 - Monitorizarea i raportarea cu privire la program - Monitorizarea performanelor programului general i a tuturor proiectele sale, precum i un raport ctre conducere, complet i exact, privind livrarea de capaciti tehnice i de afaceri, aspectele operaionale referitoare la livrarea de servicii, impactul asupra resurselor i realizarea de beneficii. Raportarea poate include performana n raport cu planul programului n ceea ce privete calendarul i bugetul, exhaustivitatea i calitatea funcionalitii, calitatea controlului intern i diminuarea riscurilor, precum i acceptarea continu a responsabilitii pentru asigurarea unor beneficii intermediare ale afacerii. IM10 - Scoaterea din funciune a programului - Aducerea programului la o nchidere ordonat i scoaterea acestuia din portofoliul de investiii active atunci cnd exist un acord c valoarea dorit de afacere a fost realizat sau atunci cnd este clar c obiectivul nu va fi atins n cadrul criteriil or valorice stabilite pentru program.

2.9.9 Liniile directoare Val IT


Val IT ofer linii directoare pentru management pentru a ajuta organizaiile n crearea i administrarea proceselor de gestionare a valorii n mediul IT.
Pag. 70 din 214

Orientrile ofer rspunsuri la ntrebri tipice de management, cum ar fi: Cum interacioneaz toate procesele i activitile de gestionare a valorii? Care sunt activitile-cheie care trebuie ntreprinse sau mbuntite? Ce roluri i responsabiliti vor fi definite pentru procesele de management cu succes al valorii? Cum putem msura i compara procesele de management al valorii? Care sunt cei mai buni indicatori de performan? Pentru fiecare proces Val IT, liniile directoare de gestionare Val IT includ intrri i ieiri, descrieri de activitate, diagrame RACI59 (Responsabil, Rspunztor, Consultant i Informat) diagrame, obiective i indicatori pe diferite niveluri. Val IT definete, de asemenea, un model de maturitate, pentru fiecare dintre cele trei domenii Val IT, oferind o scala de msurare incremental de la 0 la 5.

2.10

Cadrul de lucru Risk IT

Risk IT este un set de principii i un cadru de lucru care ajut organizaia s identifice, s guverneze i s gestioneze riscurile IT n mod eficient. Riscurile joac un rol critic pentru succesul unei afaceri, procesul decizional presupunnd gestionarea eficient, pe o baz continu, a acestora. Destul de des, riscurile IT (riscurile legate de implementarea i utilizarea sistemelor IT) sunt neglijate, spre deosebire de alte categorii de riscuri (riscul de pia, riscul de creditare i riscul operaional) care sunt incorporate n procesul de luare a deciziei. Riscurile IT trebuie s fie transferate specialitilor tehnicieni i trebuie s fie incluse n categoria riscurilor care au impact asupra obiectivelor strategice. Cadrul de lucru Risk IT este un cadru bazat pe un set de principii directoare pentru gestionarea eficient a riscurilor IT care completeaz cadrul de lucru COBIT, un cadru cuprinztor pentru guvernare i controlul afacerii bazate pe soluii i servicii IT. n timp ce COBIT ofer un set de controale pentru a atenua riscul IT, Risk IT ofer un cadru pentru organizaii (pentru a identifica, guverna i gestiona riscurile IT) i pentru auditorii care l utilizeaz ca referenial n cadrul misiunilor de audit. n timp ce COBIT ofer mijloacele de management al riscurilor, Risk IT ofer, n plus, un cadru mbuntirea a gestionrii riscului. Cadrul de lucru Risk IT este o parte din portofoliul de produse ISACA privind guvernarea IT, fiind bazat pe un set de principii directoare pentru managementul eficient al riscurilor IT.

2.10.1 Principiile cadrului de lucru Risk IT


Cadrul de lucru Risk IT poate fi considerat ca un cadru de management al riscurilor afacerii legate de utilizarea IT. Conexiunea la afacere se bazeaz pe principiile pe care este construit cadrul de lucru, pe primul plan situndu-se guvernarea organizaiei i gestionarea eficient a riscurilor IT: Managementul riscurilor IT se conecteaz ntotdeauna la obiectivele afacerii; Aliniaz managementul IT la riscul global al managementului organizaiei; Echilibreaza costurile i beneficiile aferente gestionrii riscurilor IT; Promoveaz comunicarea echitabil i deschis a riscurilor IT; Stabilete modul n care conducerea de vrf definete i atribuie responsabilitile personalului privind operarea sistemului n limitele stabilite; Este un proces continuu i o parte a activitilor zilnice.

59

RACI - Responsible, Accountable, Consulted, Informed Pag. 71 din 214

Pentru prioritizarea i gestionarea riscurilor IT, conducerea are nevoie de un cadru de referin i de o nelegere clar a funciei IT i a riscurilor IT. Cu toate acestea, prile interesate care ar trebui s rspund pentru gestionarea riscurilor din cadrul organizaiei de multe ori nu au o nelegere deplin n legtur cu acestea. Managerii IT sunt responsabili pentru gestionarea riscurilor associate i trebuie s determine ce trebuie fcut pentru a sprijini activitatea. Cadrul de lucru explic riscurile IT i permite conducerii organizaiei s ia deciziile cele mai adecvate, care vor permite utilizatorilor s contientizeze importana i s contribuie la minimizarea acestora. n acest context vor ntreprinde o serie de aciuni: Integrarea gestionrii riscurilor IT n gestionarea general a riscurilor organizaiei; Asigurarea unor decizii bine informate cu privire la gradul de risc, la apetitului pentru risc i la tolerana la risc a ntreprinderii; nelegerea modului de a rspunde la risc. Cadrul RISK IT acoper decalajul existent ntre cadrele generice de gestionare a riscurilor cum ar fi COSO ERM i AS/NZS 4360 (care n curnd vor fi nlocuite cu standardul ISO 31000) i echivalentul su britanic ARMS6 i cadrele de gestionare a riscurilor IT (n primul rnd cele legate de securitate) detaliate.

2.10.2 Documentaia aferent cadrului de lucru Risk IT


Documentaia aferent cadrului de lucru Risk IT este compus din dou publicaii importante: The Risk IT Framework i The Risk IT Practitioner Guide. Documentaia The Risk IT Framework conine: Un set de practici de guvernare pentru managementul riscului; Un cadru de lucru orientat pe procese pentru gestionarea cu succes a riscurilor IT; O list generic de scenarii de risc comune, potenial adverse, legate de IT, care ar putea avea un impact important n realizarea obiectivelor afacerii; Instrumente i tehnici pentru a nelege riscurile concrete ale operaiunilor de afaceri, cum ar fi liste de verificare generice i cerine de conformitate. Cadrul de lucru prevede un model de proces global pentru risc IT care se refer la activitile cheie din cadrul fiecrui proces, responsabilitile pentru fiecare proces, fluxurile de informaii ntre procese i de management al performanei fiecrui proces. Modelul este mprit n trei domenii, fiecare coninnd, la rndul su trei procese: Guvernarea riscului (Risk Governance) Evaluarea riscului (Risk Evaluation) Rspunsul la risc (Risk Response). Cele trei procese asociate domeniilor sunt: Guvernarea riscului - Stabilirea i meninerea unei viziuni comune asupra riscului; - Integrarea cu ERM (Enterprise Risk Management); - Contientizarea necesitii lurii unor decizii privind riscurile afacerii. Evaluarea riscului - Colectarea datelor - Analiza riscului - Meninerea profilului de risc Rspunsul la risc - Riscul agregat - Managementul riscurilor - Reacia la evenimente
Pag. 72 din 214

Documentaia The Risk IT Practitioner Guide este un document de sprijin pentru cadrul de lucru Risk IT care ofer exemple de tehnici posibile pentru a aborda problemele legate de riscul IT, precum i ndrumri detaliate cu privire la modul de abordare a conceptelor cuprinse n modelul procesului. Conceptele i tehnicile explorate n detaliu includ: Scenarii construite pe baza unui set de generic de scenarii de risc IT; Construirea unei hri a riscurilor, folosind tehnici pentru a descrie impactul i frecvena scenariilor; Construirea criteriilor de impact cu relevan pentru afaceri; Definirea indicatoriilor cheie relevani (Key Relevance Indicators KRIs); Utilizarea COBIT i Val IT pentru a atenua riscul; legtura ntre Risk IT i obiectivele de contol i practicile de management cheie din COBIT i Val IT. Aplicarea bunelor practici de management al riscurilor IT aa cum este descris n Risks IT va oferi beneficii tangibile pentru afacere, de exemplu, mai puine incidente operaionale i eecuri, creterea calitii informaiilor, o mai mare ncredere a prilor interesate i reducerea numrului de probleme referitoare la cadrul de reglementare i de inovare, sprijinirea iniiativelor de noi afaceri. Dei documentaia referitoare la Risk IT ofer un cadru complet i autonom, ea include referiri la COBIT i Val IT. The Risk IT Practitioner Guide face referiri extinse la COBIT i Val IT, i recomand ca managerii i practicienii s se familiarizeze cu principalele principii i cu coninutul acestor dou cadre. Ca i COBIT i Val IT, Risk IT nu este un standard propriu-zis, ci un cadru flexibil bazat pe cele mai bune practici n domeniu. Acest lucru nseamn c organizaiile pot i ar trebui s personalizeze componentele din cadrul entitii lor pentru a se potrivi cu specificul organizaiei. Prin analogie, auditorii vor personaliza documentele de lucru (liste de verificare, machete, chestionare) pe baza crora vor efectua evalurile, n funcie de specificul entitii auditate. ISACA se preocup n continuare de actualizarea i dezvoltarea continu a cadrelor de lucru COBIT, Val IT i Risk IT, precum i de cadrul de asigurare ITAF (The IT Assurance Framework60) i de securitate a informaiei BMIS (Business Model for Information Security61).

2.10.3 Domenii, procese i activiti


n seciunea urmtoare sunt prezentate sintetic domeniile, procesele i activitile cadrului de lucru RiskIT.

DOMENIUL Guvernarea riscului (Risk Governance - RG)


Procesul RG1 - Stabilirea i meninerea unei viziuni comune asupra riscurilor Activiti RG1.1 Efectuarea evalurii riscului IT al intreprinderii RG1.2 Propunerea unor praguri de toleran pentru riscurile IT RG1.3 Aprobarea toleranei pentru riscurile IT RG1.4 Alinierea la politica de risc IT RG1.5 Promovarea culturii contientizrii riscurilor IT RG1.6 ncurajarea comunicrii eficiente a riscurilor IT Procesul RG2 - Integrarea cu ERM (Enterprise Risk Management) Activiti RG2.1 Stabilirea i meninerea rspunderii pentru managementul riscurilor IT RG2.2 Coordonarea strategiei riscurilor IT cu strategia riscului de afaceri
60 61

Cadrul de asigurare IT Modelul de afacere al securitii informaiei Pag. 73 din 214

RG2.3 Adaptarea practicilor de risc IT la practicile de risc pentru ntreprindere RG2.4 Furnizarea resurselor adecvate pentru managementul riscurilor IT RG2.5 Furnizarea unei asigurri independente privind managementul riscurilor IT Procesul RG3 Luarea deciziilor de afaceri contientiznd riscurile Activiti RG3.1 Obinerea implicrii efective a managementului pentru abordarea analizei riscului IT RG3.2 Aprobarea analizei de risc IT RG3.3 Incorporarea considerentelor de risc IT n procesul de luare a deciziilor strategice ale afacerii RG3.4 Acceptarea riscurilor IT RG3.5 Prioritizarea activitilor de rspuns la riscurile IT

DOMENIUL Evaluarea riscurilor (Evaluation Risk - RE)


Procesul RE1 - Colectarea de date Activiti RE1.1 Stabilirea i meninerea unui model de colectare a datelor RE1.2 Colectarea datelor cu privire la mediu de operare RE1.3 Colectarea datelor privind evenimentele de risc RE1.4 Identificarea factorilor de risc Procesul RE2 - Analiza de risc Activiti RE2.1 Definirea domeniului de aplicare al analizei de risc IT RE2.2 Estimarea riscurilor IT RE2.3 Identificarea opiunilor de rspuns la risc RE2.4 Efectuarea unei evaluri peer review de analiz a riscurilor IT Procesul RE3 - Meninerea profilului de risc Activiti RE3.1 Harta resurselor IT pentru procesele de afaceri RE3.2 Determinarea resurselor IT critice ale afacerii RE3.3 nelegerea capabilitilor IT RE3.4 Actualizarea componentelor scenariului riscurilor IT RE3.5 Meninerea registrului i a hrii riscurilor IT RE3.6 Dezvoltarea indicatorilor de risc IT

DOMENIUL Rspunsul la risc (Risk Response RR)


Procesul RR1 Agregarea riscurilor Activiti RR1.1 Comunicarea rezultatelor analizei de risc RR1.2 Raportarea activitilor de management al riscurilor IT i starea conformitii RR1.3 Interpretarea independent a constatrilor evalurii IT RR1.4 Identificarea oportunitilor legate de IT

Pag. 74 din 214

Procesul RR2 Managementul riscurilor Activiti RR2.1 Inventarierea controalelor RR2.2 Monitorizarea alinierii operaionale cu pragurile de toleran a riscurilor RR2.3 Rspunsul la expunerea la riscurile descoperite RR2.4 Implementarea controalelor RR2.5 Raportarea ndeplinirii planului de aciune privind riscurile IT

Procesul RR3 Reacia la evenimente Activiti RR3.1 Meninerea planurilor de rspuns la incidente RR3.2 Monitorizarea riscurilor IT RR3.3 Iniierea rspunsului la incidente RR3.4 Comunicarea leciilor nvate din evenimentele referitoare la risc

Monitorizarea riscurilor i a factorilor de risc trebuie s fie revizuit, pentru a face fa mediului n schimbare. De asemenea, procesele i activitile trebuie s fie actualizate. Trebuie s fie meninut o privire de ansamblu care s ofere o imagine complet a riscurilor.

2.11 Standardul ISO/CEI 27001 - Sisteme de management al securitii informaiei


Standardul internaional ISO/CEI 27001 constituie un referenial pentru evaluarea tehnicilor de securitate implementate n sistemele de management al securitii informaiei. Acest standard a fost elaborat pentru a furniza un model pentru stabilirea, implementarea, funcionarea, monitorizarea, revizuirea, ntreinerea i mbuntirea unui Sistem de Management pentru Securitatea Informaiei (SMSI) i se aplic n toate tipurile de organizaii (de exemplu: societi comerciale, agenii guvernamentale, organizaii non-profit). Standardul specific cerinele pentru implementarea msurilor de securitate adaptate la nevoile individuale ale organizaiei sau ale unor pri din aceasta, astfel nct sistemul de management al secu ritii informaiei s asigure selectarea adecvat a msurilor de securitate care protejeaz resursele informatice i s asigure ncrederea prilor implicate. ISO (Organizaia Internaional de Standardizare) i CEI (Comisia Electrotehnic Internaional) repre zint sistemul internaional specializat pentru standardizare. Comitetele tehnice ISO i CEI colaboreaz n domenii de interes reciproc. Standardele internaionale ISO/IEC din seria 27000 au fost elaborate de Comitetul tehnic comun ISO/CEI JTC 1, Information technology, Subcomitetul SC 27, IT Security techniques. Acestea includ: ISO/IEC 27000:2009 Information Technology Security Techniques Information Security Management Systems Overview and Vocabulary ISO/IEC 27001:2005 Information Technology Security Techniques Information Security Management Systems Requirements ISO/IEC 27002:2008 Information Technology Security Techniques Information Security Management Systems Code of Practice for Information Security ISO/IEC 27003:2010 Information Technology Security Techniques Information Security Management Systems Information Security Management System Implementation Guidance ISO/IEC 27004:2009 Information Technology Security Techniques Information Security Management Systems Measurement ISO/IEC 27005:2008 Information Technology Security Techniques Information Security Management Systems Information Security Risk Management
Pag. 75 din 214

ISO/IEC 27006:2007 Information Technology Security Techniques Information Security Management Systems Requirements for Bodies providing Audit and Certification of Information Security Management Systems

Adoptarea SMSI trebuie s fie o decizie strategica pentru o organizaie. Proiectarea i implementarea unui SMSI ntr-o organizaie este influenat de nevoile i obiectivele acesteia, de cerinele de securitate, de procesele existente i de mrimea i structura organizaiei. Standardul internaional ISO/IEC 27001:2005 poate fi folosit pentru evaluarea conformitii de ctre prile interesate: management, auditori interni, auditori externi i ali factori externi. ISACA ITGI a asigurat convergena cu standardul ISO/IEC 27001:2005 prin maparea acestui standard peste procesele COBIT. Prin trecerea la noua arhitectur COBIT 5, propus de ITWG, noul cadru de lucru va asigura i conformitatea cu aceste standarde de securitate.

2.11.1 Abordare bazat pe proces


Standardul internaional ISO/CEI 27001 adopt o abordare bazat pe proces pentru stabilirea, implementarea, funcionarea, monitorizarea, evaluarea, ntreinerea i mbuntirea SMSI n cadrul unei organizaii. Pentru ca o organizaie s funcioneze n mod eficient ea trebuie s identifice i s conduc numeroase activiti. Orice activitate care folosete resurse i este condus pentru a permite transformarea intrrilor n ieiri, poate fi considerat un proces. n multe cazuri, o ieire dintr-un process reprezint n mod direct intrarea ntr-un alt proces. Abordarea bazat pe proces pentru managementul securitii informaiei prezentat n acest standard internaional pune accentul pe urmtoarele aspecte: a) nelegerea cerinelor de securitate a informaiei ale unei organizaii i nevoia de a stabili politici i obiective pentru securitatea informaiei; b) Implementarea i utilizarea msurilor pentru a administra riscurile securitii informaiei n contextul riscurilor de ansamblu ale afacerii; c) Monitorizarea i evaluarea performanei i eficienei SMSI; i d) mbuntirea continu bazat pe msurarea obiectiv. Acest standard internaional adopt modelul "Plan-Do-Check-Act" (PDCA)62, care este aplicat pentru a structura toate procesele SMSI. Semnificaia acestor concepte, n viziunea standardului, este urmtoarea: Plan (stabilirea SMSI) - Stabilirea politicii SMSI, a obiectivelor, proceselor i procedurilor relevante pentru managementul riscului i mbunatirea securitii informaiei pentru a furniza rezultate n conformitate cu politicile i obiectivele de ansamblu ale organizaiei. Do (implementarea i funcionarea SMSI) - Implementarea i funcionarea politicilor SMSI, a msurilor de securitate, a proceselor i procedurilor. Check (monitorizarea i revizuirea SMSI) - Evaluarea i, acolo unde este aplicabil, msurarea performanei procesului n raport cu politica SMSI, obiectivele i experiena practic , precum i raportarea rezultatelor ctre echipa de management pentru revizuire. Act (meninerea i mbuntirea SMSI) - Deciderea aciunilor corective i preventive, bazate pe rezultatele auditului SMSI i revizuirile managementului sau pe alte informaii relevante pentru a obine o mbuntire continu a SMSI.
62

Planific Implementeaz Verific Acioneaz Pag. 76 din 214

Adoptarea modelului PDCA trebuie s reflecte, de asemenea, principiile care guverneaz securitatea sistemelor informaionale i a reelelor aa cum sunt ele exprimate n Liniile Generale ale OECD 63 Standardul internaional ISO/CEI 27001 asigura un model pentru implementarea principiilor care guverneaz analiza riscului, planificarea i implementarea securitii, managementul securitii i revizuirea. Acest standard internaional acoper toate tipurile de organizaii, specific cerinele pentru stabilirea, implementarea, funcionarea, monitorizarea, revizuirea, meninerea i mbuntirea unui SMSI documentat n contextul general al riscurilor de afaceri ale organizaiei, precum i cerinele pentru implementarea msurilor de securitate adaptate la nevoile individuale ale organizaiei sau ale unor pri din aceasta. Standardul furnizeaz, de asemenea, ndrumri pentru implementare, care pot fi folosite atunci cnd sunt proiectate msurile de securitate.

2.11.2 Obiective de control


Obiectivele de control prevzute de standardul ISO/IEC 27001 sunt prezentate sintetic n seciunea urmtoare. Codificarea este cea prevzut de standard. A.5 Politica de securitate a informaiei: Asigurarea orientrii generale din partea managementului i acordarea sprijinului pentru securitatea informaiei n conformitate cu cerinele afacerii, legislaie i reglementrile aplicabile. A.6 Organizarea securitii informaiei A.6.1 Organizarea interna: Administrarea securitii informaiei n cadrul organizaiei. A.6.2 Pri externe: Meninerea securitii informaiei n cadrul organizaiei i a sistemelor de procesare a informaiei care sunt accesate, procesate, comunicate ctre sau administrate de pri externe. A.7 Managementul resurselor A.7.1 Responsabilitatea pentru resurse: Obinerea i meninerea unei protecii adecvate a resurselor organizaionale. A.7.2 Clasificarea informaiei: Asigurarea c informaia beneficiaz de un nivel de protecie adecvat. A.8 Securitatea resurselor umane A.8.1 naintea angajrii: Asigurarea c angajaii, contractanii i utilizatorii teri neleg respon sabilitile care le revin i sunt corespunztori pentru rolurile pentru care sunt alocai, precum i reducerea riscului de furt, fraud sau de folosire necorespunztoare a sistemelor. A.8.2 n timpul perioadei de angajare: Asigurarea faptului c toi angajaii, contractanii i utilizatorii teri sunt contieni de ameninrile privind securitatea informaiei, responsabilitile i rspunderile juridice ale acestora i sunt pregtii s susin politica de securitate organizaional pe durata contractului de munc i s asigure reducerea riscului erorilor umane. A.8.3 ncetarea contractului sau schimbarea locului de munc: Asigurarea faptului c angajaii, contractanii i utilizatorii teri prsesc organizaia sau schimb locul de munc ntr-o manier reglementat.

63

OECD Organizaia European pentru Comer i Dezvoltare Pag. 77 din 214

A.9 Securitatea fizic i a mediului de lucru A.9.1 Zone de securitate: Prevenirea accesului fizic neautorizat, a distrugerilor i a ptrunderii n interiorul organizaiei precum i a accesului neautorizat la informaii. A.9.2 Securitatea echipamentelor: Prevenirea pierderii, avarierii, furtului sau compromiterii resurselor i a ntreruperii activitilor din cadrul organizaiei. A.10 Managementul comunicaiilor i operaiunilor A.10.1 Proceduri operaionale i responsabiliti: Asigurarea operrii corecte i n condiii de securitate a sistemelor de procesare a informaiei. A.10.2 Managementul serviciilor furnizate de teri: Implementarea i meninerea unui nivel corespunztor al securitii informaiei i al livrrii serviciilor n concordan cu acordurile de furnizare de ctre teri. A.10.3 Planificarea i acceptana sistemelor: Reducerea riscurilor de disfuncionaliti ale sistemelor. A.10.4 Protecia mpotriva codurilor mobile i duntoare : Asigurarea protejrii integritii software-ului i a informaiei. A.10.5 Copie de siguran: Meninerea integritii i disponibilitii informaiei i a sistemelor de procesare a informaiei. A.10.6 Managementul securitii reelei: Asigurarea proteciei reelelor de informaii i a proteciei infrastructurii suport. A.10.7 Manipularea mediilor de stocare: Prevenirea divulgrii neautorizate, modificrii, ndeprtrii sau distrugerii resurselor i ntreruperii activitilor afacerii. A.10.8 Schimbul de informaii: Meninerea securitii schimbului de informaie i software n interiorul unei organizaii sau cu orice entitate extern. A.10.9 Serviciile de comer electronic: Asigurarea securitii serviciilor de comer electronic i a utilizrii lor n condiii de siguran. A.10.10 Monitorizarea: Identificarea activitilor neautorizate de procesare a informaiei. A.11 Controlul accesului A.11.1 Cerinele afacerii pentru controlul accesului: Controlul accesul la informaie. A.11.2 Managementul accesului utilizatorului: Asigurarea accesului autorizat al utilizatorului i prevenirea accesului neautorizat la sistemele informatice. A.11.3 Responsabilitile utilizatorului: Prevenirea accesului neautorizat al utilizatorului, precum i a compromiterii sau furtului de informaii i sisteme de procesare a informaiilor. A.11.4 Controlul de acces la reea: Prevenirea accesului neautorizat la serviciile de reea. A.11.5 Controlul accesului la sistemul de operare: Prevenirea accesului neautorizat la sistemele de operare. A.11.6 Controlul accesului la aplicaii i informaii: Prevenirea accesului neautorizat la informaia deinut n sistemele de aplicaii. A.11.7 Prelucrarea datelor folosind echipamente mobile i lucrul la distan: Asigurarea securitii informaiei atunci cnd se folosesc sisteme pentru prelucrarea datelor care utilizeaz echipamente mobile i de lucru la distan. A.12 Achiziionarea, dezvoltarea i mentenana sistemelor informatice A.12.1 Cerine de securitate pentru sistemele informaionale : Asigurarea faptului c securitatea este parte integrant a sistemelor informatice. A.12.2 Procesarea corect a datelor n cadrul aplicaiilor: Prevenirea erorilor, pierderilor, modificrilor neautorizate sau a folosirii greite a informaiilor n cadrul aplicaiilor. A.12.3 Msuri criptografice: Protejarea confidenialitii, autenticitii sau a integritii informaiei prin metode criptografice. A.12.4 Securitatea fiierelor de sistem: Asigurarea securitii fiierelor de sistem.
Pag. 78 din 214

A.12.5 Securitatea n procesele de dezvoltare i de suport : Meninerea securitii produselor software de aplicaii de sistem i a informaiei. A.12.6 Managementul vulnerabilitilor tehnice: Reducerea riscurilor care decurg din exploatarea vulnerabilitilor tehnice. A.13 Managementul incidentelor de securitate a informaiei A.13.1 Raportarea evenimentelor produse i a slbiciunilor privind securitatea informaiei : Asigurarea faptului c evenimentele de securitate a informaiei i slbiciunile asociate sistemelor informaionale sunt comunicate de o manier astfel nct s permit ntreprinderea la timp a aciunilor corective. A.13.2 Managementul incidentelor de securitate a informaiei i mbuntiri : Asigurarea faptului c pentru managementul incidentelor de securitate a informaiei este aplicat o abordare con sistent i eficient. A.14 Managementul continuitii afacerii A.14.1 Aspecte de securitate a informaiei privind managementul continuitii afacerii : Contracararea oricror discontinuiti n activitile afacerii i protejarea proceselor critice ale afacerii fa de efectele cderilor majore ale sistemelor informaionale sau mpotriva dezastrelor, precum i asigurarea relurii activitii n timp optim. A.15 Conformitatea A.15.1 Conformitatea cu cerinele legale: Evitarea nclcrii oricrei legi, obligaii statutare, de reglementare sau contractuale sau a oricrei alte cerine de securitate. A.15.2 Conformitatea cu standardele i politicile de securitate i conformitatea tehnic: Asigurarea conformitii cu standardele i politicile de securitate organizaionale. A.15.3 Consideraii privind auditul asupra sistemelor informaionale : Maximizarea eficienei procesului de audit i minimizarea interferenei acestuia asupra sistemelor informaionale.

Pag. 79 din 214

Capitolul 3. Riscuri IT
Riscul IT este o component a universului general al riscurilor ntreprinderii. Alte categorii de riscuri cu care se confrunt o ntreprindere includ: riscul strategic, riscul de mediu, riscul de pia, riscul de credit, riscul operaional i riscul de conformitate. n multe ntreprinderi, riscul legat de IT este considerat a fi o component a riscului operaional, de exemplu, n cadrul Basel II pentru zona financiar. Cu toate acestea, chiar i riscul strategic poate avea o component IT, n special n cazul n care IT este element cheie al iniiativelor de afaceri noi. Riscul IT este un risc specific al afacerii, asociat cu utilizarea, proprietatea, operarea, implicarea, influena i adoptarea de IT n cadrul unei ntreprinderi. Se compune din evenimente legate de IT i din condiii care ar putea avea impact potential asupra afacerii. Acesta poate aprea cu frecven i amploare incerte, i poate s creeze probleme n atingerea obiectivelor strategice i a obiectivelor. Riscurile IT pot fi clasificate n diferite moduri: Riscuri privind beneficiile/valoarea generate de IT: tehnologia ca suport pentru iniiativele de afaceri noi, tehnologia ca suport pentru eficientizarea operaiunilor Riscuri privind livrarea programelor i proiectelor IT: calitatea proiectului, relevana proiectului, perturbri n derularea proiectului. Riscuri privind operarea i livrarea serviciilor IT: stabilitatea n funcionare, disponibilitatea, protecia i recuperarea serviciilor, probleme de securitate, cerine de conformitate . Multe probleme legate de riscul IT pot aprea din cauza problemelor generate de teri (furnizarea de servicii, dezvoltarea de soluii), parteneri IT i parteneri de afaceri. Prin urmare, buna gestionare a riscurilor IT impune dependene semnificative care urmeaz s fie cunoscute i bine nelese. Datorita importanei IT pentru ntreprindere (afacere), riscurile IT ar trebui s fie tratate la fel ca alte riscuri de afaceri cheie, cum ar fi riscul strategic, riscul de mediu, riscul de pia, riscul de credit, riscurile operaionale i riscul de conformitate, toate acestea avnd impact major asupra ndeplinirii obiectivelor strategice. Riscul IT nu este doar o problem tehnic. Dei experii n IT sunt interesai s neleag i s gestioneze aspectele legate de riscurile IT, managementul este cel mai important dintre prile interesate. Managerii trebuie s determine care este necesarul de IT pentru a sprijini activitatea lor, s stabileasc obiectivele pentru IT i, n consecin, care sunt responsabilii cu gestionarea riscurilor asociate.

3.1 Componentele eseniale ale domeniului guvernare de risc


n aceast seciune sunt prezentate cteva componente eseniale ale domeniului guvernare de risc: apetitul pentru risc i tolerana la risc, responsabilitile i rspunderea pentru gestionarea riscurilor IT , contientizarea i comunicarea, precum i cultura riscului Apetitul pentru risc i tolerana riscului Definiia COSO. Apetitul pentru risc i tolerana sunt concepte care sunt frecvent utilizate, dar potenialul de nenelegere este mare. Unii oameni vd conceptele ca fiind interanjabile, alii vd o diferen clar. Definiiile cadru ale riscurilor IT sunt compatibile cu definiiile CO SO ERM (care sunt echivalente cu ISO 31000). Ambele concepte sunt introduse n modelul de risc IT.

Pag. 80 din 214

Apetitul pentru risc este valoarea de risc, n sens larg, pe care o societate sau alt entitate este dispus s o accepte, n exercitarea misiunii sale (sau viziunii). Atunci cnd se analizeaz nivelurile apetitului de risc pentru ntreprindere, sunt importani doi factori majori: a) Capacitatea ntreprinderii n raport cu obiectivul de a absorbi pierderile (de exemplu, pierderile financiare, afectarea reputaiei) b) Cultura managementului sau predispoziia fa de risc: prudent sau agresiv. Aceasta se poate transpune n valoarea pierderilor pe care organizaia vrea s o accepte la un momnent dat, n perspectiva unei redresri. Apetitul pentru risc poate fi definit n practic n termenii combinaiilor frecvenei i magnitudinii unui risc. Apetitul pentru risc este diferit n rndul organizaiilor, neexistnd absolut nici o norm sau standard privind ceea ce constituie un risc acceptabil i inacceptabil. Fiecare ntreprindere trebuie s defineasc nivelurile sale de risc propriu n ceea ce privete apetitul pentru risc i s opereze revizuirea acestora n mod regulat. Aceast definiie ar trebui s fie n concordan cu cultura global a riscurilor pe ca re ntreprinderea dorete s o exprime, de exemplu, variind de la aversiunea fa de risc, la asumarea riscului/cutarea oportunitilor. Nu exist nici un cuantificator universal pentru bun sau ru, dar riscurile trebuie s fie definite, bine nelese i comunicate. Apetitului pentru risc i tolerana la risc ar trebui s fie aplicate nu numai n evalurile de risc, dar i, n procesul de luare a deciziilor privind toate riscurile IT. Tolerana riscului este variaia acceptabil n raport cu realizarea unui obiectiv, cu alte cuvinte, este abaterea tolerabil fa de nivelul stabilit de ctre apetitul pentru risc i de obiectivele afacerii (de exemplu, standardele care impun proiecte care urmeaz s fie finalizate la termen, cu bugetele financiare i de timp estimate, dar admind depiri de 10% din buget sau 20% din timp).

3.1.1 Scenarii de evaluare a riscurilor


Scenariile de risc constituie instrumente de simulare a unor procese poteniale reale, utilizate n scopul analizei de risc. Un scenariu de risc IT este o descriere a unui eveniment legat de IT care poate conduce la un impact asupra afacerii, la momentul i n cazul n care ar trebui s apar. Pentru, acestea ar trebui s conin urmtoarele componente: Evenimentul: divulgare, ntrerupere, modificare, furt, distrugere, proiectare ineficient, execuie ineficient, reguli i reglementri, utilizare neadecvat Bunuri /Resurse: personal i organizare, proces, infrastructur (faciliti), infrastructur IT, informaie, aplicaii Timp: durat, momentul apariiei (critic/non-critic), timp de detectare Actori: interni (personal, contractori), externi (competitori, parteneri de afaceri, de reglementare, de pia) Tip de ameninare: ru intenionat, accidental/eroare, cdere, cauz natural, cerin extern. Structura scenariului de risc admite i opereaz cu diferena ntre evenimentele distructive (evenimente care genereaz un impact negativ), vulnerabiliti sau evenimente generatoare de vulnerabiliti (evenimente care contribuie la amplificarea sau creterea frecvenei de apariie a evenimentelor distructive) i evenimente care constituie o ameninare (circumstane sau evenimente care pot declana evenimente distructive). Este important s nu se confunde aceste riscuri sau s nu fie incluse ntr -o list lung de riscuri cu impact nesemnificativ. Factorii de risc pot fi, de asemenea, interpretai ca factori de cauzalitate ai scenariului, care se mate rializeaz ca vulnerabiliti sau ca puncte slabe. Acetia sunt termeni adesea folosii i n alte cadre de gestionare a riscurilor.
Pag. 81 din 214

3.1.2 Fluxul de activiti pentru analiza riscurilor


Fluxul de activiti pentru analiza riscurilor include urmtoarele etape: 1. Definirea domeniului de aplicare al analizei riscurilor - definirea obiectivelor i a limitelor analizei, lund n considerare mai multe intrri variind de la ntrebri strategice la investigarea evenimentelor frecvente. Acest pas se realizeaz cu date de intrare provenind de la reprezentanii afacerii implicai n activitate. Ei trebuie s fie implicat n decizia privind activele i zona luat n considerare. 2. Colectarea datelor trebuie obinut asigurarea c toate sursele posibile sunt folosite pentru a aduna date relevante cu privire la evenimentele care au dus la un rezultat pozitiv i / sau impact negativ asupra afacerii. Acestea includ: arhive cu incidente IT, rapoarte de audit i jurnalele de operaii, precum i rapoartele anterioare de risc i date externe, cum ar fi analiza tendinei IT i modific rile cadrului de reglementare. 3. Identificarea factorilor generali de risc - trebuie obinut asigurarea c evenimentele legate ntre ele sunt grupate n jurul factorilor generali de risc. Aceti factori pot influena frecvena i amplitudinea eveni mentelor care au un impact semnificativ asupra afacerii. Ca exemple menionm modificrile cadrului de reglementare i activitile internaionale. 4. Estimarea riscurilor IT - efectuarea analizei efective pentru a estima frecvena i amplitudinea sce nariilor, innd seama de factorii de risc care includ toate controalele curente. Trebuie s fie luat n consi derare, de asemenea, definirea nivelelor de toleran. Acestea vor servi drept baz pentru determinarea rspunsului la risc. 5. Identificarea opiunilor de rspuns la risc - acest subiect include elaborarea viitoare a activitilor de control ca mecanism de reducere a riscului. Acest pas trebuie s fie efectuat n colaborare cu proprietarii relevani ai proceselor de afaceri care depind de domeniile IT care sunt evaluate. 6. Revizuirea analizei - testarea rezultatelor nainte de raportarea acestora ctre management. Se vor lua n considerare mai mult dect verificrile matematice. Raionamentul i rezonabilitatea sunt concepte importante pentru a efectua testarea. Prile interesate relevante cu privire la afacere trebuie s fie incluse n revizuirea evalurii rezultatelor. 7. Raportarea - asigurarea managementului cu rezultatele analizei pentru a sprijini procesul decizional.

3.1.3 Indicatori de risc


Indicatorii de risc sunt valori capabile s demonstreze c ntreprinderea este supus, sau are o proba bilitate mare de a fi supus, unui risc care depete apetitul pentru risc definit. Ei sunt specifici pentru fiecare organizaie, i selectarea lor depinde de o serie de parametri n mediul intern i extern, cum ar fi mrimea i complexitatea ntreprinderii, dac acesta funcioneaz ntr -o pia extrem de reglementat, precum i focalizarea strategiei sale. Identificarea indicatorilor de risc ar trebui s ia n considerare urmtoarele msuri (printre altele): Implicarea diferitelor pri interesate n selecia indicatorilor de risc; Efectuarea unei selecii balansate a indicatorilor de risc, acoperind indicatorii de performan i tendinele, indicnd ce capabiliti sunt implementate pentru a preveni apariia evenimentelor; Asigurarea c indicatorii selectai se refer la cauza originii evenimentelor i nu numai la simptome.

Pag. 82 din 214

3.2

Probleme de audit asociate cu utilizarea sistemelor IT/IS

Auditul sistemelor/serviciilor informatice64 reprezint o activitate de evaluare a sistemelor informatice prin prisma optimizrii gestiunii resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti, resurse umane etc.), n scopul atingerii obiectivelor entitii, prin asigurarea unor criterii specifice: eficien, confidenialitate, integritate, disponibilitate, siguran n funcionare i conformitate cu un cadru de referin (standarde, bune practici, cadru legislativ etc.). Prin utilizarea sistemelor informatice, se modific abordarea auditului datorit noilor modaliti de prelucrare, stocare i prezentare a informaiilor, furnizate de aplicaiile informatice, fr a schimba ns obiectivul general i scopul auditului. Procedurile tradiionale de colectare a datelor i de interpretare a rezultatelor sunt nlocuite, total sau parial, cu proceduri informatizate. Existena sistemului informatic poate afecta sistemele interne de control utilizate de entitate, modalitatea de evaluare a riscurilor, performana testelor de control i a procedurilor de fond utilizate n atingerea obiectivului auditului. Cu toate c prezena tehnologiei informaiei nu modific obiectivele fundamentale ale auditului, prin specificul lor, sistemele informatice pot influena opinia auditorului cu privire la risc sau pot impune ca auditorul s adopte o abordare diferit a misiunii de audit. Principalele aspecte implicate de auditarea n mediul informatizat, care pot induce ambiguiti sau erori pe parcursul auditului, sunt: (a) se poate permite anonimatul prin depersonalizarea utilizatorului i, implicit, se poate reduce rspunderea; (b) se pot permite modificri neautorizate sau neautentificate ale datelor contabile; (c) se poate permite duplicarea intrrilor sau a prelucrrilor; (d) sistemele informatice sunt vulnerabile la accesul de la distan i neautorizat; (e) se pot ascunde sau se pot face invizibile unele procese; (f) se poate terge sau ascunde pista de audit; (g) se pot difuza date, n mod neautorizat, n sistemele distribuite; (h) aplicaiile pot fi operate de contractani externi, care utilizeaz standarde i controale proprii sau pot altera informaiile n mod neautorizat. n cazul auditului unui sistem informatic care furnizeaz informaii relevante pentru o misiune de audit financiar, evaluarea sistemului informatic se efectueaz n scopul furnizrii unei asigurri rezonabile privind funcionarea sistemului, necesare auditului financiar la care este supus entitatea. n cazul n care informaiile necesare auditului sunt furnizate de aplicaii sau sisteme complexe, este necesar consultarea sau participarea n cadrul echipei de audit a unui specialist care posed cunotine i aptitudini specializate n domeniul auditului sistemelor info rmatice, pentru a evalua sistemul. De asemenea, va colabora cu auditorii n scopul nelegerii semnificaiei i complexitii procedurilor informatice, a prelucrrii datelor furnizate de sistemul informatic, precum i pentru nelegerea sistemului de cont rol intern, n scopul planificrii i abordrii auditului, adecvate la noile tehnologii i va formula recomandri privind punctele slabe ale sistemului informatic, n vederea remedierii anomaliilor constatate. Evaluarea va avea ca rezultat formularea unei opinii privind ncrederea pe care o asigur sistemul informatic, n condiiile utilizrii sale ca surs de informaii sau ca suport n cadrul misiunii de audit.

64

n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte audit IT/audit IS, cu semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT (hardware, software, comunicaii i alte faciliti utilizate pentru introducerea, memorarea, prelucrarea, transmiterea i ieirea datelor, n orice form), precum i auditul sistemelor, aplicaiilor i serviciilor informatice. Pag. 83 din 214

Complexitatea sistemului informatic este conferit de o serie de caracteristici relative la: volumul tranzaciilor, procedurile de validare a datelor sau a transferurilor de date ntre aplicaii, generarea auto mat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice, complexitatea algoritmilor de calcul, utilizarea unor informaii provenite din surse de date externe (existente la alte entiti) fr validarea acestora. Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrri adiionale, prin furnizarea informaiilor solicitate n formate cerute de auditor, n scopul interpretrii sau al utilizrii ca date de intrare pentru programe specializate de audit asistat de calculator. Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin aplicarea unor proceduri analitice automa tizate, precum i a performanei procedurilor de audit, prin utilizarea tehnicilor de audit asistat de calculator. Sistemele informatice au unele caracteristici inerente care pot afecta att abordarea auditului, ct i evaluarea efectuat de auditor cu privire la riscul de audit. Unele caracteristici ale sistemului informatic sporesc acest risc i reclam o atenie special din partea auditorului. n seciunile care urmeaz prezint scurte rezumate ale acestor caracteristici, accentul fiind pus pe aspectel e eseniale care trebuie avute n vedere: responsabilitatea, vulnerabilitatea la modificri, uurina copierii, riscurile accesului de la distan, procesare invizibil, existena unui parcurs al auditului, distribuirea datelor, ncrederea n prestatorii de servicii IT i utilizarea nregistrrilor furnizate de calculator ca prob de audit.

3.2.1 Responsabilitatea
Utilizatorii calculatorului sunt implicit anonimi. Sistemele care nu pot identifica i nregistra aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult mai nclinai s efectueze activiti informatice neautorizate dac nu pot fi identificai i trai la rspundere. Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific precis utilizatorii individuali i nregistreaz aciunile acestora. Deintorii de sisteme IT / IS pot reduce riscul asociat cu utilizatorii anonimi, n primul rnd, prin atribuirea de coduri unice de identificare utilizatorilor i, n al doilea rnd, prin obligaia de a-i autentifica identitatea atunci cnd intr n sistem. Parola este cea mai utilizat metod de autentificare a identitii utilizatorului. Pentru a crete gradul de rspundere se pot aduga tranzaciilor controale suplimentare, sub form de semnturi electronice.

3.2.2 Vulnerabilitatea la modificri


n mod normal calculatoarele stocheaz att datele tranzaciei, ct i programul informatic ntr -o form intangibil pe medii magnetice (discuri i/sau benzi magnetice) sau optice (CD-ROM, DVD). Natura mediilor magnetice este astfel conceput nct se pot aduce modificri fie datelor, fie aplicaiilor fr a lsa nici o urm. Auditorii trebuie s evalueze existena i eficiena controalelor care previn efectua rea de modificri neautorizate. Controale neadecvate pot conduce la situaia ca auditorul s nu poat acorda ncredere nregistrrilor din calculatoare sau integritii parcursului auditului. Programele de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin utilizarea de controale adecvate ale accesului fizic i logic. Controalele de acces fizic includ instalarea de bariere fizice pentru restricionarea accesului n sediu, n cldiri, n slile de calculatoare i la fiecare component de hardware. Controalele accesului logic sunt restricii impuse de software -ul calculatorului. Plile prin calculator, precum i transferurile electronice de fonduri permit modificri neautorizate , mult mai uor dect instrumentele de plat pe hrtie i deci trebuie s aib o protecie adecvat. Integritatea tranzaciilor electronice poate fi protejat prin tehnici, precum criptarea datelor, semnturi electronice sau utilizarea unui algoritm de dispersare a datelor.

Pag. 84 din 214

3.2.3 Uurina la copiere


Copiile datelor informatice pot s fie confundate cu originalul (prin listare, copiere pe supori magnetici sau optici sau prin transfer electronic). Dac datele au valoare financiar, precum n sistemele de transfer electronic de fonduri, prevenirea dublrii tranzaciilor este n mod deosebit important. Sistemele informatice trebuie s ncorporeze controale care s detecteze i s previn procesarea de tranzacii duble. Controalele adecvate pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a totalurilor de control. Controalele manuale, precum tampilarea fizic sau anularea formularelor de introducere n calculator pot de asemenea reduce riscul procesrii duble. Auditorii trebuie s fie contieni de eventualele pro bleme n cazul n care instrumente negociabile sunt stocate i schimbate prin intermediul calculatorului. n astfel de circumstane poate fi adecvat s se utilizeze intermedierea unei tere pri de ncredere. Tera parte de ncredere va aciona ca registrator i va ine o eviden a proprietarului nregistrat cu instrumente negociabile particulare. La finalizarea con tractului, cumprtorul va atepta confirmarea c vnztorul are drept de proprietate asupra instru mentului, nainte de a autoriza plata. Acest aranjament va preveni ca documentele electronice s fie negociate de dou ori.

3.2.4 Uurina accesului de la distan


Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin instalarea de lacte la ui, fiete, supraveghere video, alarme anti-efracie i altele. Mijloace similare de protecie pot fi utilizate pentru protecia dispozitivelor detaabile de stocare de date, precum benzile magnetice i dischetele. Dac datele sunt accesibile ntr-o reea de calculatoare, atunci poate aprea un grad de incertitudine cu privire la persoana care are acces la software i la fiierele de date. Este foarte frecvent cazul entitilor care i conecteaz sistemele de calculatoare la reeaua Internet. Aceste conectri mresc substanial riscul de acces neautorizat de la distan i de atacuri cu virui i viermi. Protejarea reelelor conectate la Internet poate fi dificil de realizat i necesit un grad nalt de cunotine specializate. Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de operare pot fi extinse cu controale suplimentare de identificare i autorizare n cadrul fiecrei aplicaii. n ambele cazuri, eficiena controalelor de acces depinde de existena unor proceduri puternice de identificare i autentificare i de o bun administrare a sistemelor de securitate.

3.2.5 Procesare invizibil


Procesarea tranzaciilor care are loc in interiorul calculatorului este efectiv invizibil pentru auditor. Auditorii pot vedea ce informaii intr i ce rezultate sunt obinute, dar au puine cunotine cu privire la ce se ntmpl pe parcurs. Aceast slbiciune poate fi exploatat prin intermediul unor programe neautorizate ascunse n programele autorizate. Ameninarea indus de modificrile de program neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al modificrilor, inclusiv prin controale de acces eficiente, activiti de nregistrare (logging), revizuirea logurilor respective i o separare eficient a sarcinilor ntre dezvoltatorii de programe, personalul de operare a calculatoarelor i utilizatorii finali.

Pag. 85 din 214

3.2.6 Existena unui parcurs al auditului


n cazul n care parcursul auditului se bazeaz pe nregistrri stocate pe un calculator, auditorul trebuie s se asigure c datele privind tranzacia sunt pstrate un timp suficient i c au fost protejate fa de modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare poate restriciona cantitatea de date istorice privind tranzaciile, care poate fi pstrat. n aceste cazuri, auditorul poate i trebuie s insiste s se arhiveze regulat evidenele contabile i s fie pstrate ntr -un mediu sigur. Auditorul poate, de asemenea, s analizeze impactul posibil al regulilor de arhivare a datelor entitii cnd planific auditul.

3.2.7 Date distribuite


Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe ori ce dispozitive de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie financiar pe un calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din alt cldire sau chiar din alt ar. Procesarea datelor distribuite poate implica creterea resurselor necesare pentru analiza sistemelor informatice ale entitii auditate i poate complica evaluarea de ctre auditor a controalelor de acces fizic i logic. Mediul de control poate fi foarte bun ntr-o locaie, dar foarte slab n alt locaie.

3.2.8 ncrederea n prestatorii de servicii IT


Serviciile IT sunt asigurate n general n unul din urmtoarele trei moduri: n interiorul organizaiei de ctre departamentul IT propriu sistemele informatice aparin clientului i sunt operate de angajaii si; prin externalizarea managementului facilitilor sistemul este deinut de client, iar operaiile zilnice i activitile de ntreinere sunt contractate cu un furnizor de servicii de ter parte; sau prin externalizarea integral a serviciilor IT att sistemele informatice, ct i echipa IT sunt asigurate de o ter parte. Cnd o entitate utilizeaz serviciile IT ale unei tere pri, auditorul va trebui s analizeze existena drepturilor de inspecie i gradul asigurrii de audit, dac exist, care ar putea fi furnizate de auditorii interni sau de auditorii externi ai furnizorului de servicii IT. Pentru o aplicaie IT bine controlat se poate face distincia ntre deintor, utilizatorii sistemului i prestatorii de servicii IT. Deintorul aplicaiei este de obicei utilizatorul iniial al aplicaiei i acesta va fi responsabil pentru formularea i comunicarea cerinelor ctre prestatorii de servicii IT. Auditorul va trebui s verifice dac deintorii au prezentat o declaraie adecvat a cerinelor de control i dac prestatorii IT au reflectat satisfctor cerinele cu privire la modul n care este controlat sistemul IT.

3.2.9 Utilizarea nregistrrilor furnizate de calculator ca prob de audit


Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr -un mediu informatizat. nregistrrile furnizate de calculator sub form de date pe di scuri magnetice sau discuri optice pot oferi auditorului probe de audit. Auditorul poate, de asemenea, s genereze probe de audit utiliznd tehnicile de audit asistat de calculator. Sunt puine precedente care se adreseaz admisibilitii nregistrrilor din calculator la o instan judiciar. n cazurile n care probele informatice au fost depuse n aciuni judiciare, instanele au luat n

Pag. 86 din 214

considerare o expertiz cu privire la eficiena mediului de control IT, nainte de a evalua fiabilitatea datelor informatice. Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator pot s nu fie admise ca probe n justiie dac nu se poate arta c exist controale destul de puternice pentru a nltura dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem.

3.3

Probleme cu impact semnificativ asupra riscului de audit

n cazul informatizrii unei pri semnificative a activitii entitii, se impune evaluarea influenei utilizrii sistemului informatic asupra riscurilor auditului (inerent i de control), avnd n vedere aspectele legate de relevana i credibilitatea probelor de audit. Vom prezenta n continuare o serie de probleme tipice cu impact semnificativ asupra riscului de audit. (a) Complexitatea fluxurilor de prelucrare poate genera lipsa formelor intermediare pe care le parcurge tranzacia, generndu-se n cele mai multe cazuri numai o form final i uneori numai n format electronic sau disponibil numai pentru o perioad scurt de timp . n lipsa unor proceduri de validare adecvate, erorile pot fi dificil de detectat prin proceduri manuale, proba de audit fiind neconcludent. (b) Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice ale funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i duc la obinerea unor rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere volumul mare al tranzaciilor i complexitatea algoritmilor de prelucrare. (c) Concentrarea operrii unor proceduri cu funcionalitate incompatibil la nivelul aceluiai individ, proceduri care, potrivit legislaiei sau reglementrilor interne privind separarea atribuiilor, ar trebui operate de ctre persoane diferite, genereaz executarea unor funcii incompatibile i posibilitatea accesului i alterrii coninutului informaional n funcie de interese personale. O cerin important legat de operarea sistemului informatic este distribuirea aplicaiilor n cadrul entitii i alocarea drepturilor de utilizare n conformitate cu necesitatea separrii atribuiilor, impus de legislaie. (d) Datorit interveniei umane, care nu are ntotdeauna asociate protecii stricte privind autorizarea accesului i intervenia asupra fondului de date, n dezvoltarea, ntreinerea i operarea sistemului informatic, exist un potenial foarte mare de alterare a fondului de date fr o dovad explicit. (e) Ca urmare a gestionrii automate a unui volum mare de date, fr implicare uman, exist riscul nedetectrii pentru o perioad lung de timp a unor erori datorate unor anomalii de proiectare sau de actualizare a unor componente software. (f) n cazul unor proceduri sau tranzacii executate n mod automat, autorizarea acestora de ctre management poate fi implicit prin modul n care a fost proiectat i dezvoltat sistemul informatic i pentru modificrile ulterioare, ceea ce presupune lipsa unei autorizri similare celei din sistemul manual, asupra procedurilor i tranzaciilor. (g) Eficacitatea procedurilor manuale de control este afectat de eficacitatea controalelor IT n situaia n care procedurile manuale se bazeaz pe documente i rapoarte produse n mod automat de sistemul informatic.
Pag. 87 din 214

(h) Extinderea structurii de control intern cu controale specializate, bazate pe utilizarea tehnologiei informaiei, are efecte n planul monitorizrii activitii entitii prin utilizarea unor instrumente analitice oferite de sistemul informatic. (i) Efectuarea testelor de control asupra unui volum mare de date, prin utilizarea tehnicilor i instrumentelor asistate de calculator, este facilitat de existena unor proceduri de prelucrare i analiz oferite de sistemul informatic. (j) Evaluarea riscurilor n cazul misiunilor de audit n mediu informatizat trebuie s aib n vedere probabilitatea obinerii unor informaii eronate cu impact semnificativ asupra auditului ca rezultat al unor deficiene n funcionarea sistemului informatic,. Aceste deficiene pot fi legate att de calitatea infrastructurii hardware i/sau software, de dezvoltarea i ntreinerea aplicaiilor, de operarea sistemului, de securitatea sistemului i a informaiilor, de calitatea personalului implicat n funcionarea sistemului, de calitatea documentaiei tehnice, ct i de interveniile neautorizate asupra aplicaiilor, bazelor de date sau condiiilor procedurale impuse n cadrul sistemului. Evaluarea riscurilor are n vedere urmtoarele tipuri de analize: a) Dac utilizarea sistemului se realizeaz n cadrul unei structuri clar definite, conducerea este informat despre activitatea IT i este receptiv la schimbare, gestionarea resurselor umane se face eficient, monitorizarea cadrului legislativ i a contractelor cu principalii furnizori se desfoar cores punztor, are loc revizuirea funcionalitii, operrii i dezvoltrilor de componente, astfel nct acestea s fie n concordan cu necesitile activitii entitii i s nu expun entitatea la riscuri nejustificate; b) Dac accesul neautorizat la datele sau programele critice este prevenit i controlat, mediul n care opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii; c) Dac aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile i au implementate controale sigure asupra integritii datelor; d) Dac sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate) sau a furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii apariiei unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr-o perioad de timp rezonabil; e) Dac personalul este pregtit i are capabilitile necesare pentru operarea i ntreinerea sistemului; f) Dac sistemul informatic este conform cu cerinele proiectului i cu reglementrile aplicabile n vigoare. n proiectarea procedurilor de audit, se vor lua n considerare restriciile impuse de mediul informatic i se vor alege soluii care s reduc riscul de audit: proceduri manuale de audit, tehnici de audit asistat de calculator, o soluie mixt, n scopul obinerii unor probe de audit de ncredere.

3.4

Model de management al riscurilor IT

Argumentul fundamental al auditrii bazate pe risc este acela c livrarea serviciilor informatice joac un rol semnificativ n toate aspectele activitilor unei organizaii. Impactul asupra unei afaceri, n condiiile n care anumite pri ale livrrii serviciilor IT eueaz, este adesea critic, motivul fiind, n cele mai multe cazuri, lipsa informrii privind riscurile poteniale. Din acest motiv, n manual este prezentat un model care descrie serviciile informatice specifice administraiei publice i riscurile asociate care apar cel mai frecvent. Ceea ce este indispensabil n tratarea riscurilor, pe lng identificarea, evaluarea i analiza acestora, este dezvoltarea unei strategii pentru managementul riscurilor. Pentru completitudine, pe lng evaluarea
Pag. 88 din 214

riscurilor, n lucrare sunt descrise att impactul pe care acestea l au asupra organizaiei ct i strategiile tipice de management al riscurilor recomandate. Sunt necesare informaii pentru a cunoate ce aciuni ar putea evolua ntr -o direcie greit, care sunt cauzele i probabilitatea unui impact posibil, care este probabilitatea ca un risc identificat s apar, ce trebuie fcut pentru a preveni apariia unui risc, ce ar trebui tiut dac acest risc apare, ce ar trebui fcut pentru a diminua impactul riscului, precum i dac aciunile alternative ar putea produce alte riscuri i dac acestea pot fi mai severe. Realizarea efectiv a managementului riscurilor se asigur printr-o secven complex de aciuni care include: a) Stabilirea obiectivelor i contextului (mediul riscurilor) b) Identificarea riscurilor c) Analiza riscurilor identificate d) Evaluarea riscurilor e) Tratarea sau managementul riscurilor f) Monitorizarea i revizuirea cu regularitate a riscurilor i a mediului acestora g) Raportarea riscurilor Acestea sunt trecute n revist pe scurt, urmnd a fi tratate n detaliu n coninutul manualului. a) Stabilirea obiectivelor i contextului (mediul riscurilor) Scopul acestei etape a planificrii este nelegerea mediului n care opereaz afacerea, att mediul de operare extern, ct i cultura intern a organizaiei. Analiza are n vedere stabilirea contextului strategic, organizaional i de management al riscurilor afacerii i identificarea constrngerilor i a oportunitilor mediului de operare. n urma analizei efectuate rezult punctele slabe, oportunitile i prioritile afacerii. De asemenea, se stabilete obiectivul afacerii fa de care se efectueaz evaluarea riscurilor. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: analiza unor documentaii relevante ale organizaiei, examinarea obiectivelor afacerii, analiza planurilor de afaceri, analiza managementului riscurilor, identificarea vulnerabilitilor cu privire la inteniile conducerii n legtur cu atingerea obiectivelor, analize SWOT65 i PEST66. b) Identificarea riscurilor Prin utilizarea informaiilor colectate n legtur cu contextul, se identific riscurile care vor afecta cu cea mai mare probabililtate ndeplinirea obiectivelor afacerii. Intrebrile cheie care trebuie formulate pentru a identifica riscurile sunt: cnd, unde, de ce i cum este probabil apariia riscurilor? care sunt riscurile asociate cu rezultatele fiecreia dintre prioritile organizaiei? care sunt riscurile de a nu atinge aceste prioriti? cine ar putea fi implicat n apariia unor riscuri? Paii care se parcurg n etapa de identificare a riscurilor sunt: inventarierea riscurilor, identificarea surselor de risc, identificarea impactului riscului. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: generarea de scenarii privind posibilele surse de risc liste de verificare ale posibilelor riscuri ale afacerii sau ale posibilelor riscuri de fraud
65 66

SWOT - Strength, Weaknesses, Opportunities and Threats PEST - Political, Economic, Societal and Technological Pag. 89 din 214

analiza riscurilor tipice n fazele proceselor de achiziii scenariul de planificare, ca instrument de evaluare a riscurilor harta proceselor documentaii, rapoarte de audit, rapoarte de evaluare i/sau de cercetare.

c) Analiza riscurilor In etapa de identificare a controalelor asociate riscurilor i a eficacitii acestora asupra riscurilor respective, pentru fiecare risc se stabilesc controale adecvate i eficace pentru prevenirea sau pentru minimizarea impactului acestuia. Eficacitatea controlului se apreciaz prin unul dintre calificati vele: neadecvat, moderat, adecvat. Aceste controale se iau n considerare n strategia de tratare a riscului. Pentru fiecare risc trebuie definit profilul prin definirea probabilitii i a unor criterii privind consecinele. Intrebrile cheie care trebuie formulate pentru definirea probabilitii i a unor criterii privind consecinele apariiei riscurilor sunt: Ct de serioase sunt consecinele dac riscul apare? Care este probabilitatea ca riscul s apar? Care este nivelul de risc acceptat? Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: identificarea controalelor asociate riscurilor i a eficaciti acestora definirea probabilitii i a consecinelor (matricea riscurilor). d) Evaluarea riscurilor In procesul de evaluare a riscului este necesar stabilirea nivelului de risc ca fiind acceptabil sau inacceptabil. Riscul acceptabil va fi stabilit de raportul dintre importana informaiei i sursele de finanare existente pentru obinerea i gestionarea acesteia. Dac riscul este acceptabil nu sunt necesare tratri suplimentare pe lng controalele curente. Riscurile acceptabile trebuie s fie monitorizate i revizuite periodic pentru a avea asigurarea c rmn acceptabile. Dac riscul este inacceptabil este necesar tratarea corespunztoare a acestuia. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: analize comparative analize de costuri modul de percepere a ameninrii analiza efectelor poteniale. e) Tratarea sau managementul riscurilor Obiectivul acestei etape a procesului de evaluare a riscului este de a gsi opiuni cu costuri mici pentru tratarea riscului. Metodele de tratare sunt: prevenirea riscului, reducerea riscului, transferarea riscului ctre alt zon i tratarea propriu-zis a riscului. Pentru fiecare risc se determin opiunile de tratare care vor fi implementate, se determin nivelul de risc, se aloc responsabilitile i se elaboreaz graficul de implementare. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt:

identificarea opiunilor pentru tratarea riscurilor prevenirea riscului reducerea riscului transferarea riscului (de exemplu, externalizarea activitilor) tratarea riscului analiza cost/beneficiu identificarea opiunilor care trebuie implementate pentru tratarea riscului potenial determinarea nivelului int al riscului
Pag. 90 din 214

alocarea responsabilitilor elaborarea graficului de implementare.

f) Monitorizarea riscurilor Riscurile i prioritile asociate nu rmn constante, fiind necesar o monitorizare continu a riscurilor identificate i a riscurilor noi. Pentru monitorizarea riscurilor trebuie stabilite: modul de msurare a prelucrrilor, termene, analize c omparative, cine are responsabilitatea revizuirii, stadiul tratrii riscurilor, frecvena revizuirilor. Metodele i tehnicile utilizate pentru managementul riscurilor, asociate acestei etape sunt: elaborarea i ndeplinirea planurilor de aciuni, analize comparative raportarea riscurilor g) Raportarea riscurilor Este necesar implementarea unui cadru de lucru care s permit persoanelor responsabile s prezinte rapoarte privind: riscurile cheie, modul de gestionare a riscurilor, eficacitatea strategiei de tratare, identificarea unor riscuri noi cu implicaii pentru afacere. Riscurile neacceptabile i strategiile de tratare a acestora trebuie incluse n planurile de afaceri ale orga nizaiei.

3.5

Riscurile generate de existena mediului informatizat

nelegerea aspectelor legate de infrastructura IT, de managementul serviciilor IT, precum i a procedurilor de evaluare i management al riscurilor este fundamental n efectuarea auditului. Evaluarea riscurilor generate de funcionarea sistemului informati c, prin analiza unor factori cu impact n desfurarea activitii entitii auditate, respectiv: dependena de IT, resurse i cunotine IT, ncrederea n IT, schimbri n IT, externalizarea IT, securitatea informaiei, evaluarea sistemelor IT prin prisma respectrii legislaiei n vigoare, este esenial. Pornind de la aceste considerente, auditarea managementului serviciilor IT, bazate pe principiile evalurii i managementului riscurilor este indispensabil pentru dezvoltarea unei strategii adecvate n acest domeniu.

3.5.1 Dependena de IT
Dependena de tehnologiile informaiei este un factor cheie n condiiile n care tendina actual este de a se generaliza utilizarea calculatoarelor n toate domeniile economice i sociale. n scopul evalurii dependenei conducerii de tehnologiile informaiei, auditorul va examina urmtoarele aspecte relevante: gradul de automatizare al entitii, complexitatea sistemelor informatice utilizate i timpul de supravieuire al entitii n lipsa sistemului IT. Factori de risc (a) Gradul de automatizare se determin prin inventarierea echipamentelor i tehnologiilor software existente, aprecierea numrului i importanei sistemelor informatice sau aplicaiilor care funcioneaz i sunt utilizate n cadrul entitii pentru conducerea proceselor, evaluarea ponderii activitilor informatizate n totalul activitilor entitii, precum i a gradului de acoperire a necesitilor n compartimentele fun cionale i la nivelul conducerii.
Pag. 91 din 214

(b) Complexitatea sistemelor IT este determinat de complexitatea i specificul activitii (economic, industrial, social, cultural, de nvmnt, cercetare etc.) i poate fi caracterizat de volumul tranzaciilor gestionate de sistemele informatice, de forma de prezentare (alfanumeric, multimedia, analogic), de tehnologia folosit, de modul de operare (n timp real sau n loturi), de volumul tranzaciilor gene rate automat de ctre aplicaii. (c) Timpul de supravieuire fr IT poate fi un factor de risc major n cazul sistemelor pentru care timpul de rspuns este critic (mai ales pentru sistemele cu funcionare n timp real), al sistemelor care prelucreaz un volum mare de tranzacii, al sistemelor care au la baz algoritmi i modele complexe a cror rezolvare nu se poate efectua manual, precum i n entitile care au ntreaga activitate informatizat iar substituirea procedurilor automate prin proceduri manuale este foarte costisitoare sau imposibil. n unele cazuri, ntrzierile datorate nefuncionrii sistemului informatic se transfer n costuri sem nificative suportate de ctre entitate, cu impact major asupra afacerii.

3.5.2 Resurse i cunotine IT Politica de personal i de instruire


Erorile i omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate de greelile umane, entitatea trebuie s implementeze controale i proceduri n cadrul unor politici de personal adecvate:

o structur organizaional clar, formalizat n organigrama entitii; descrierea posturilor; planificarea personalului; instruirea i dezvoltarea personalului; politici de angajare/concediere (inclusiv coduri de conduit); evaluarea personalului (promovare/retrogradare); contracte speciale; rotaia personalului; concediile personalului.

Factori de risc (a) Aptitudinile curente se constituie n cadrul structurii profesionale a angajailor IT prin aciuni care influeneaz nivelul de pregtire al angajailor IT n raport cu necesitile entitii. Se determin prin evaluarea personalului IT i prin analiza diseminrii cunotinelor la nivelul ntregului personal. Este de dorit ca aceste cunotine s nu fie concentrate la nivelul unui numr restrns de personal. (b) Resursele comparate cu volumul de munc indic gradul de ncrcare a personalului i acoperirea n raport cu cerinele activitii entitii. Este un factor de risc important ntruct repartizarea dezechilibrat a sarcinilor poate genera suprasolicitare i, implicit, insatisfacia personalului. (c) Structura conducerii departamentului IT este determinant n ceea ce privete coordonarea proiectelor informatice i valorificarea rezultatelor implementrii i utilizrii acestora pentru asigurarea succesului afacerii. (d) Fluctuaia personalului se refer la o perioad de un an i este determinat n principal de satisfacia profesional i material i de moralul personalului IT.
Pag. 92 din 214

3.5.3 ncrederea n IT
ncrederea actorilor implicai n utilizarea sistemelor informatice sau n valorificarea rezultatelor furnizate de acestea n cadrul unei entiti (management, utilizatori, auditori) este determinat att de calitatea informaiilor obinute, ct i gradul n care se asigur utilizarea tehnologiilor informatice ca instrumente accesibile i prietenoase n activitatea curent. Factori de risc (a) Complexitatea sistemului i documentaia disponibil. Sunt apreciate prin percepia privind complexitatea calculelor i a proceselor controlate de ctre sistemele IT, prin amploarea automatizrii activitilor desfurate n cadrul entitii, prin calitatea i varietatea interfeelor, prin informaiile docu mentare aferente utilizrii aplicaiilor i sistemului. De asemenea, este relevant opinia utilizatorilor despre dificultatea operrii. Riscurile asociate unor politici neadecvate n ceea ce privete existena i calitatea documentaiei sunt generate de practici de lucru neautorizate adoptate de personalul IT, de creterea numrului de erori pro duse din aceast cauz de personalul IT, la care se adaug i dificultatea ntreinerii sistemului, precum i dificultatea diagnosticrii erorilor. Politica privind documentarea impune n primul rnd pstrarea i utilizarea documentaiei actualizate la ultima versiune i pstrarea unei copii a documentaiei ntr-un loc sigur n afara sediului entitii. (b) Integrarea/fragmentarea aplicaiilor. Opinia privind gradul de integrare a aplicaiilor n sistem decurge din analiza arhitecturii acestuia. n cele mai multe cazuri entitatea nu deine o soluie integrat a sistemului informatic, acesta fiind constituit din implementri de aplicaii insularizate, dedicate unor probleme punctuale (aplicaia financiar-contabil, aplicaii dedicate activitii de baz a entitii etc.). Acest tip de arhitectur prezint dezavantaje la nivelul utilizrii, precum i o serie de impedimente cum ar fi: difi cultatea (sau chiar imposibilitatea) de a asigura interoperabilitatea aplicaiilor i a evita multiplicarea informaiilor. Tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte, informaiile introduse n sistem sunt validate ntr-o manier eterogen, respectiv prin proceduri automate combinate cu pro ceduri manuale, pentru a se asigura detectarea i corectarea erorilor de intrare, precum i detectarea inconsistenei sau redundanei datelor. Lipsa unei soluii integrate se reflect de asemenea n existena unor baze de date diverse, unele instalate pe platforme hardware/software nvechite, existen a unor interfee utilizator diferite i uneori neadecvate, a unor faciliti de comunicaie reduse i a unor probleme de securitate cu riscuri asociate. (c) Erori sistematice/intervenii manuale. Pentru a evalua sigurana n funcionare i pentru a detecta cauzele tipice n situaia fiabilitii sczute a sistemului informatic, este necesar efectuarea unei examinri privind erorile raportate n cadrul utilizrii sistemului i n ce msur este asigurat suportul tehnic pentru analiza i corectarea acestora n mediul de producie, n ce msur datele generate de siste m sufer prelucrri manuale adiionale din partea utilizatorilor, precum i problemele de reconciliere ntre diverse sisteme informatice sau din cadrul sistemului (dac exist). Dup cum am menionat n para graful anterior, gradul ridicat de fragmentare al sistemului informatic implic aciuni frecvente ale utilizatorului n procesul de prelucrare i influene n ceea ce privete respectarea fluxului documentelor, ceea ce crete foarte mult riscul de eroare. (d) Scalabilitatea sistemului. n funcie de soluia arhitectural implementat i de estimrile iniiale privind dimensiunea bazei de date i complexitatea prelucrrilor, un sistem poate "rezista" sau nu la creteri sem nificative ale volumului de tranzacii generate de schimbri majore n activitatea entitii. Estimarea riscului ca, n viitorul apropiat, sistemul informatic s nu poat suporta creterea volumului de tranzacii implic decizii importante la nivelul managementului, n sensul reproiectrii acestuia, i, implicit, privind alocarea unui buget corespunztor.
Pag. 93 din 214

(e) Sisteme depite. Evoluiile remarcate n activitatea organizaiilor, ct i dinamica crescut n evoluia tehnologiilor informaiei se reflect frecvent n dificultatea sau imposibilitatea adecvrii ritmului schim brilor sistemelor informatice cu nivelul tehnologic. Succesul afacerii va avea de suferit n lipsa unui management al schimbrii platformelor hardware/software corespunztor, prin adoptarea unor politici de nlocuire a sistemelor depite i de cretere continu a nivelului tehnologic.

3.5.4 Schimbri n domeniul sistemelor IT/IS


Cu toate c n urma procesului de dezvoltare un sistem nou a fost acceptat, pe durata sa de via el trebuie ntreinut, schimbat sau modificat, fapt care are impact asupra controalelor existente i poate afecta funcionalitatea de baz a acestuia. Revizuirea controalelor schimbrii i schimbarea acestora sunt necesare pentru a asigura continuitatea sistemelor n ceea ce privete funcionalitatea i modul de operare. Factori de risc Controalele privind schimbarea sunt implementate pentru a asigura c toate schimbrile configuraiilor de sisteme sunt autorizate, testate, documentate, controlate, c sistemul opereaz potrivit cerinelor i este implementat un "traseu" adecvat al schimbrilor. Riscurile asociate cu controale ale schimbrii neadecvate sunt:

Schimbri neautorizate accidentale sau deliberate ale sistemelor: de exemplu, modificri neautorizate din partea programatorilor fcute n mediul de producie; Termene depite pentru implementarea unor probleme: de exemplu, schimbarea nu este efectuat la timp pentru a satisface cerinele afacerii (o aplicaie privind plata unor taxe la termene stabilite prin lege); Raportri i prelucrri eronate: sisteme care nu efectueaz prelucrrile conform cerinelor i pot genera: pli eronate, raportri confuze etc.; Insatisfacia utilizatorului: poate genera erori de introducere a datelor, moral sczut al personalului, scderea productivitii, aciuni sindicale; Dificulti de ntreinere: calitatea sczut a sistemelor care genereaz cheltuieli mari de ntreinere, calitatea sczut sau lipsa documentaiei tehnice, schimbrile multiple ale sistemului fr o gestiune a versiunilor instalate n mediul de producie, lipsa unor proceduri privind managementul problemelor; Utilizarea de hardware i software neautorizate: poate conduce la incompatibiliti ntre diferite pri ale sistemului, sau la incidena cu legislaia referitoare la drepturile de autor; Probleme privind schimbrile de urgen: schimbrile de urgen necontrolate n mediul de producie pot conduce la alterarea sau pierderea datelor i a fiierelor.

Pentru evaluarea impactului pe care l au schimbrile sistemului informatic n viaa organizaiei se examineaz urmtoarele aspecte:

Care sunt nivelul i natura activitii departamentului IT i dac sunt n desfurare proiecte semnificative. Dac achiziia i/sau dezvoltarea de programe s-au realizat pe baza cerinelor afacerii. Care este reputaia furnizorilor externi IT i a sistemelor folosite n cazul achiziiei de software, precum i metodologia de dezvoltare intern a aplicaiilor. Dac noua platform hardware/software are n vedere tehnologii de ultim generaie. n ce msur se vor impune n viitorul apropiat modificri n sistemele IT generate de modificri structurale ale proceselor afacerii.
Pag. 94 din 214

3.5.5 Externalizarea serviciilor IT


Externalizarea serviciilor se refer la furnizarea unor servicii IT, sau conexe acestora, de ctre o organizaie independent de entitatea auditat, prin urmtoarele forme: contract cu o ter parte pentru furnizarea complet a serviciilor IT ctre entitatea auditat (outsourcing), contract cu o ter parte pentru utilizarea curent i ntreinerea echipamentelor i a aplicaiilor care sunt n proprietatea entitii auditate, precum i contractarea unor servicii punctuale pe criterii de performan n funcie de necesiti i de costurile pieei, asociat cu diminuarea sau eliminarea anumitor pri din structura departamentului IT, n cazul n care externalizarea funciilor aferente acestora este mai eficient. Contractarea serviciilor IT este folosit pe scar larg n multe organizaii i este n continu cretere. Principalele argumente pentru susinerea opiunii de externalizare a serviciilor sun t:

costurile: furnizorii de servicii IT ofer servicii mai ieftine dect soluia in-house, prin exploatarea extensiv a configuraiilor proprii; ealonarea cheltuielilor: nlocuirea unor echipamente costisitoare genereaz cheltuieli iniiale mari care se vor recupera ntr-un timp ndelungat, n timp ce plata ealonat a serviciilor este suportat mai uor de ctre entitate; recrutarea, formarea i meninerea personalului: entitatea elimin sarcinile legate de managementul resurselor umane; gestionarea capacitii: furnizorul serviciilor IT este capabil s suplimenteze resursele IT n situaii de suprancrcare prin realocarea capacitilor disponibile; furnizarea specialitilor: entitatea poate avea nevoie temporar de specialiti pe anumite domenii, nejustificndu-se angajarea permanent a acestora; experiena i expertiza: furnizorii de servicii IT dispun de o larg experien n multe sectoare de activitate i n multe organizaii, fiind capabili s ofere soluii i idei de perfecionare pentru serviciile IT, care nu s-ar putea formula dac aceste servicii ar rmne in house; responsabilitate: furnizorul este responsabil pentru rezolvarea problemelor care fac obiectul contractului, pentru livrarea serviciilor la standardele i preurile stabilite; implementarea mai rapid a noilor sisteme: furnizorii de servicii, datorit resurselor i experienei personalului implicat n permanen n dezvoltarea sistemelor, sunt capabili s implementeze la timp sisteme noi i s gestioneze problemele care apar, referitoa re la acestea.

Opiunea privind externalizarea serviciilor IT trebuie s se bazeze pe o bun cunoatere a pieei n scopul alegerii celei mai adecvate soluii privind: reputaia furnizorilor, costurile corelate cu calitatea serviciilor. Factori de risc Evaluarea riscurilor achiziionrii serviciilor IT de la un furnizor de servicii se face n funcie de poziia entitii auditate n acest proces: entitatea auditat este furnizorul serviciilor IT sau entitatea auditat achiziioneaz serviciile IT. Examinarea este diferit pentru fiecare caz n parte. Auditorul va revizui controalele specifice n funcie de unghiul de vedere al auditului: controale de acces logice i fizice, controale privind managementul schimbrii etc. (a) Drepturi de acces n auditul extern. Auditorul extern poate avea nevoie s acceseze sistemele furnizorului de servicii pentru a verifica acurateea prelucrrilor informaiilor entitii auditate i c nu sunt factori semnificativi care ar putea s afecteze evaluarea auditorului referitoare la fraud sau erori materiale. Pentru serviciile furnizate intern, evaluarea se va baza pe revizuirea sistemelor de control
Pag. 95 din 214

interne ale entitii auditate. Indiferent de modul de furnizare a serviciilor, auditorul trebuie s neleag sistemele de control intern i fluxul tranzaciilor n sistem. Dac auditorul extern decide c este necesar accesul direct la furnizorul de servicii, n contractul semnat cu furnizorul trebuie s existe o clauz n acest sens. (b) Prelucrarea erorilor. Pentru asigurarea c prelucrrile efectuate de furnizor sunt corecte i complete, clientul poate avea nevoie de proceduri de reconciliere a datelor trimise furnizorului cu datele primite dup ce prelucrarea s-a finalizat. Este necesar stabilirea unei proceduri privind rec oncilierea, pentru cazul cnd sunt depistate erori de prelucrare. (c) Controlul privind securitatea sistemului. Furnizorul de servicii IT este obligat s menin un nivel de securitate corespunztor n ceea ce privete informaiile clientului. Exist riscul ca standardele i procedurile de securitate implementate de furnizor s fie sub nivelul adoptat de client. Pentru a reduce acest risc n contract trebuie incluse clauze care s stipuleze responsabilitatea furnizorului de a asigura securitatea datelor clientului n concordan cu un standard specific. (d) Dependena de furnizorul de servicii IT. Odat cu contractarea furnizrii serviciilor IT, pentru client exist riscul de a deveni dependent de un anumit furnizor de servicii cel puin pe perioada contr actului, majoritatea expertizei IT interne transferndu-se n serviciile furnizorului. Devine dificil renunarea la furnizorul de servicii sau trecerea la un alt furnizor n condiii limit (probleme legale, faliment, lichidare). Pentru a reduce riscul care decurge din dependena de serviciile existente, contractul trebuie s conin clauze care s protejeze clientul, privind predarea lucrrilor dup rezilierea contractului, pentru a uura trecerea la alt furnizor i a permite clientului s continue prelucrarea ntr-o manier satisfctoare. (e) Pierderea flexibilitii. In procesul de contractare, clientul agreeaz cu furnizorul natura serviciilor ce vor fi furnizate. n cazul schimbrilor survenite n activitatea organizaiei beneficiare, furnizorul nu este obligat s admit executarea noilor activiti care, de fapt, nu fac obiectul contractului. Acest aspect se regsete n special n sectorul public unde dinamica schimbrilor este mare, acestea fiind determinate de schimbri de guvern sau de politic. Pentru reducerea riscului, clientul trebuie s includ n contract clauze privind schimbarea sistemului n condiiile schimbrii obiectivelor afacerii. (f) Costul schimbrilor. Dac furnizorul de servicii IT nu are obligaii contractuale n ceea ce privete schimbarea sistemului n concordan cu noile cerine este necesar ncheierea unui act adiional care n multe cazuri conine o valoare mare. Clientul trebuie s -i ia msuri pentru a reduce riscul de a fi forat s plteasc sume mari, ori de cte ori sunt necesare schimbri prin includerea n contract a unor clauze care s specifice costurile adiionale pentru schimbri ale sistemelor, ale coninutului serviciilor sau pentru schimbri n ceea ce privete volumul tranzaciilor prelucrate. (g) Pierderea specialitilor interni proprii i a expertizei n domeniu. Prin contractarea serviciilor IT cu o ter parte, clientul nu mai are nevoie de specialiti IT la care renun, ceea ce i reduce capacitatea de a gestiona problemele tehnice i de a le discuta cu furnizorul de servicii. Pierderea expertizei tehnice determin necesitatea de a reface echipa proprie, ceea ce poate fi dificil de realizat. Acest risc este asumat din momentul lurii deciziei de externalizare a serviciilor. (h) Rezistena personalului. n cazul variantei de externalizare pe criterii de performan, exist riscul reaciilor adverse din partea personalului care este n pericol s -i piard locul de munc. Schimbrile se reflect n: numrul de ore de munc, condiiile de munc, ealonarea plilor, senzaia de frustrare a salariailor, i pot conduce la resentimente ale personalului, la scderea productivitii i a performanelor. Auditorul trebuie s ia n considerare aceste aspecte n evaluarea riscului unor comportamente care s conduc la activiti neautorizate, fraud sau sabotaj.

Pag. 96 din 214

Contractul Reducerea riscurilor n cazul externalizrii serviciilor IT este asigurat de clauzele contractuale care protejeaz ambele pri de efecte nerezonabile. Contractele cu furnizorii de servicii includ clauze referitoare la: durata contractului, condiiile de reziliere, accesul pentru audit, definirea obligaiilor, pena liti, drepturile de proprietate intelectual, proprietatea asupra datelor, condiiile de predare la sfritul/ntreruperea contractului, standarde de securitate, natura i nivelul serviciilor, costuri adiionale/ comi sioane, controlul schimbrii. Contractele specific detalii privind serviciile furnizate i trebuie examinate de ctre auditor. Pentru asigurarea c serviciile sunt livrate n mod satisfctor, clientul trebuie s stabileasc proceduri de monitorizare care s includ ntlniri periodice i la cerere ntre reprezentanii managementului furni zorului i ai clientului pentru a discuta asupra serviciilor livrate i pentru rezolvarea problemelor aprute. n ceea ce privete dezvoltarea de sisteme informatice de ctre utilizatori, auditorul va evalua riscurile care decurg din dezvoltarea intern a sistemelor informatice (resurse de dezvoltare/imple mentare/colarizare etc.). Se vor trata difereniat cazurile n care entitatea are un departament IT care are ca atribuii dezvoltarea de sisteme i aplicaii, fa de situaiile n care dezvoltrile se fac ad-hoc, fr utilizarea unui suport metodologic adecvat i fr participarea unor specialiti cu atribuii definite n acest domeniu.

3.5.6 Focalizarea pe afacere


Lansarea unor investiii n IT, efectuat la nceputul unei afaceri sau schimbrile necesare pe parcursul acesteia vor fi supuse unor analize privind obiectivele investiiilor IT, configuraiile necesare, personalul IT implicat n proiecte, soluiile de achiziie sau de dezvoltare, finanarea proiectelor etc. Deciziile luate de managementul de vrf al entitii n legtur cu direciile de dezvol tare n domeniul IT trebuie formalizate i documentate ntr-un document denumit Strategia IT n care se identific toate proiectele i activitile IT care vor face obiectul finanrilor. Deciziile i schimbrile planificate specificate n strategia IT sunt preluate i detaliate n planurile anuale ale departamentului IT. Dei strategia are un efect minimal pentru auditul efectuat pentru o perioad de un an, ea ofer o imagine n legtur cu o perspectiv mai ndelungat (urmtorii ani) i l avertizeaz pe auditor n ceea ce privete problemele care pot s apar n viitor. Factori de risc Adecvarea strategiei IT la obiectivele afacerii este deosebit de important pentru reducerea riscurilor n atingerea obiectivelor afacerii i are n vedere urmtoarele aspecte:

Strategia IT trebuie s fie o parte a strategiei entitii i s contribuie prin suportul oferit la atingerea obiectivelor acesteia. Sistemele IT vor fi instalate i utilizate ntruct sunt necesare, nu n funcie de dorina personalului; Investiiile IT trebuie s constituie cheltuieli care trebuie justificate prin efectele pe care le au asupra afacerii; Strategia IT se refer n general la o perioad de trei ani, fiind dificil de estimat dinamica schimbrilor tehnologice n domeniu; Ritmul accelerat al schimbrilor n domeniul IT implic revizuirea anual a strategiei IT i actualizarea acesteia dac este nevoie; Personalul trebuie s fie informat asupra principalelor aspecte incluse n strategia IT;
Pag. 97 din 214

Strategia trebuie s includ consideraii despre sistemele financiare; Strategia trebuie s fie aprobat de ctre managementul de vrf.

Factorii de risc privind focalizarea strategiei IT pe obiectivele afacerii se pot sintetiza astfel: (a) Corelaia ntre strategia IT i strategia ntregii afaceri. Se examineaz dac obiectivele departamentului IT sunt consistente cu obiectivele ntregii afaceri, dac planificarea anual a departamentului IT este realizat pe baza prevederilor strategiei. (b) Contientizarea conducerii fa de riscurile IT. Se analizeaz n ce msur conducerea este contient de importana sistemelor IT i de riscurile asociate acestora. (c) Necesiti curente raportate la funcionalitatea IT. Se evalueaz flexibilitatea i adaptabilitatea sistemelor IT i modul n care sistemele informatice acoper necesitile curente ale afacerii.

3.5.7 Securitatea informaiei


Poziia entitii referitoare la securitatea informaiei trebuie exprimat n Politica de securitate IT, care stabilete cu claritate politicile, principiile i standardele specifice privind securitatea, precum i cerinele de conformitate cu acestea, controalele detaliate privind securitatea, responsabilitile i sarcinile personalului n ceea ce privete securitatea IT, modalitile de raportare n caz de incidente. Politica de securitate se exprim ntr-o form concis, narativ, este aprobat de managementul de vrf, trebuie s fie disponibil pentru toi funcionarii responsabili cu securitatea informaiei i trebuie s fie cunoscut de toi cei care au acces la sistemele de calcul. Politica de securitate trebuie s conin urmtoarele elemente:

O definiie a securitii informaiei, obiectivele sale generale i scopul; O declaraie de intenie a managementului prin care acesta susine scopul i principiile securitii informaiei; O detaliere a politicilor, principiilor i standardelor specifice privind securitatea, precum i a cerinelor de conformitate cu acestea: 1. conformitatea cu cerinele legale i contractuale; 2. educaie i instruire n domeniul securitii; 3. politica de prevenire i detectare a viruilor; 4. politica de planificare a continuitii afacerii.

O definire a responsabilitilor generale i specifice pentru toate aspectele legate de securitate; O descriere a procesului de raportare n cazul apariiei incidentelor privind securitatea.

Entitatea trebuie s implementeze metode de monitorizare a conformitii cu politica de securitate i s furnizeze asigurarea c politica este de actualitate. Responsabilitatea pentru securitatea IT este asignat unei funcii de administrare a securitii. Factori de risc (a) Motivaia pentru fraud/infraciuni (intern i extern). Se analizeaz care sunt tipurile de informaii gestionate de ctre sistemele IT, din punctul de vedere al confidenialitii i n ce msur ar fi afectat reputaia entitii n caz de fraud.
Pag. 98 din 214

(b) Senzitivitatea datelor. Avnd n vedere c tentativele de fraud asupra datelor din sistemul informatic sunt stimulate de interesul manifestat pentru informaiile confideniale, se apreciaz ct de confideniale sunt datele gestionate de ctre sistemele IT, pentru a evalua probabilitatea de atac asupra acestora i pentru a stabili dac controalele implicate de politica de securitate sunt suficient de riguroase. (c) Legislaie i regulamente. Se evalueaz modul de aliniere a entitii la contextul legislativ i de reglementare, prin prisma caracterului informaiilor gestionate de sistemele IT (de exemplu, privind protecia datelor cu caracter personal). Riscurile asociate cu controale ale accesului logic neadecvate Cele mai importante riscuri care pot decurge din lipsa controalelor accesului logic sunt:

Dezvluiri neautorizate prin acces la informaii confideniale; Modificri neautorizate; Afectarea integritii sistemului.

Dac sistemul este conectat ntr-o reea de arie larg, cum ar fi reeaua Internet, riscurile sunt cu mult mai mari, iar controalele accesului logic cu mult mai importante pentru a asigura integritatea, disponibilitatea i confidenialitatea sistemului. Atacatorii pot fi hackeri, funcionari, foti funcionari, competitori, spioni, vnztori i consultani. Consecinele violrii securitii accesului logic se pot reflecta ntr-o gam de efecte care pot afecta att afacerea, ct i opinia de audit. Acestea pot fi: a) Pierderi financiare: pot fi directe, decurgnd dintr-o fraud sau indirecte, decurgnd din costurile modificrilor i corectrii datelor i programelor. b) Obligaii legale: entitatea poate avea obligaii legale privind stocarea i dezvluirea datelor. De exemplu, informaiile dezvluite pot intra sub incidena legii proteciei datelor cu caracter personal, sau, pierderea integritii ntr-un mediu bancar poate produce nclcarea regulilor bancare i aciuni disciplinare pentru aceasta. c) Pierderi ale aciunilor pe pia i/sau a credibilitii: sunt foarte grave n special n sectorul serviciilor financiare (bnci, fonduri de investiii) unde pot conduce la pierderea afacerii. d) Distrugerea activitilor afacerii: de exemplu, dac un hacker ptrunde n sistemul de fabricaie asistat de calculator al unei organizaii i schimb toate dimensiunile produselor. e) Calificarea opiniei de audit: intereseaz cel mai mult pe auditorul extern, avnd n vedere c datele din sistemul informatic nu pot fi auditate, ntruct nu ofer probe de ncredere, i pot conine erori materiale datorate alterrii lor. Riscuri asociate reelelor i conexiunilor la Internet Prin conectarea sistemelor entitii n reea apare potenialul unor riscuri majore generate de accesul uno r utilizatori anonimi externi sau al unor funcionari neautorizai care conduce la:

Pierderea datelor prin tergere intenionat sau n timpul transmisiei; Alterarea datelor de ctre utilizatori sau datorate erorilor de transmisie; Fraud generat de surse interne sau externe; Indisponibilitatea sistemului: legturile n reea pot fi deteriorate cu uurin. Liniile de comunicaie se extind n general n afara granielor de control ale entitii (de exemplu, clientul se poate lega pe o reea telefonic local prin linii ISDN (Integrated Services Digital Network); Dezvluirea neautorizat a informaiilor confideniale, accidental sau deliberat;
Pag. 99 din 214

Infectarea cu virui i viermi. Infeciile cu viermi sunt proiectate special pentru a fi rs pndite n reele. Infeciile cu virui sunt cu mult mai posibile ntruct msurile tradiionale de protecie (scanarea) sunt mai puin eficace. Contravenii la legislaia privind drepturile de proprietate intelectual i de protecie a datelor private.

Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei organizaii au la origine o serie de caracteristici ale comunicaiei n reeaua Internet care pot genera riscuri majore pentru securitatea sistemului entitii. Cele mai importante sunt: caracterul anonim al unor utilizatori care vor s contravin principiilor accesului n Internet; vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate n cursul nregistrrii pe anumite site-uri; aciunile hackerilor, pirateria i pornografia; aciunea unui software ru intenionat (virui, programe de tip "cal troian"). Protecia securitii are aspecte specifice acestui tip de comunicaie: educarea utilizatorilor proprii privind consecinele unui comportament neadecvat sau ale neglijrii unor precauii legate de utilizarea reelei Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la Internet, n scopul evitrii expunerii directe a sistemului de calcul propriu la atacuri din reeaua Internet.

3.5.8 Protecia fizic a sistemelor IT


Managementul entitii are responsabilitatea de a asigura existena controalelor adecvate pentru protejarea bunurilor i a resurselor afacerii. n acest scop trebuie s se implice n identificarea ame ninrilor asupra sistemelor, a vulnerabilitii componentelor sistemului i a impactului pe care l pot avea aceste incidente asupra afacerii, s identifice msurile adecvate pentru a reduce riscul la un nivel acceptabil. De asemenea, va balansa riscurile identificate cu costul implementrii controalelor. Politica de securitate a entitii trebuie s includ consideraii privind riscurile accesului fizic i ale deteriorrii mediului n care funcioneaz sistemele de calcul. Vulnerabiliti (a) Lipsa controalelor fizice poate genera urmtoarele ameninri:

Distrugerea sau deteriorarea accidental sau intenionat din partea personalului (personalul IT, personalul care asigur curenia, personalul care asigur securitatea, ali salariai); Furtul calculatoarelor sau al componentelor, care este n continu cretere avnd n vedere tentaia indus de valoarea mare a acestora i gabaritul mic; Vrfurile sau cderile de tensiune care pot produce deteriorarea componentelor i p ierderea sau alterarea informaiilor; Trecerea peste controalele accesului logic (parole de acces), avnd acces fizic la fileserver; Copierea sau vizualizarea unor informaii "sensibile" sau confideniale.

(b) Lipsa controalelor de mediu se refer la urmtoarele ameninri:


Distrugeri provocate de foc, ap sau de alte dezastre naturale; Instabilitatea surselor de curent electric;
Pag. 100 din 214

Cderi ale sistemului datorate creterilor sau scderilor de temperatur sau de umiditate peste/sub limitele normale admise; Distrugeri provocate de bombe, avnd n vedere c terorismul este n cretere n lumea ntreag. Centrele de calcul sunt obiective uor de atacat, iar distrugerea lor poate avea repercusiuni majore la nivel guvernamental; Electricitatea static poate deteriora anumite componente electronice integrate (memorie, procesor central etc.), prin ocurile provocate; Alte cauze (de exemplu, fulgerul).

3.5.9 Operarea sistemelor IT


Rolul i ndatoririle privind operarea sistemelor IT se reflect n urmtoarele activiti: 1. Planificarea capacitii: asigurarea c sistemele de calcul vor continua s asigure servicii cu nivel de performan satisfctor pe o perioad mare de timp. Aceasta implic: personal de operare IT, capacitate de calcul i de memorare, capacitate de ncrcare a reelei. 2. Monitorizarea performanei: monitorizarea zilnic a performanei sistemului n termenii msurrii timpului de rspuns. 3. ncrcarea iniial a programelor: iniializarea sistemelor sau instalarea de software nou. 4. Managementul suporilor tehnici: include controlul discurilor, al benzilor, al discurilor compacte (CD ROM), al dischetelor etc. 5. Programarea proceselor de calcul: include programarea proceselor care se desfoar n paralel cu programele curente i efectueaz n principal actualizri de fiiere. Acestea se execut n general periodic (zilnic, sptmnal, lunar, trimestrial sau anual). 6. Salvri i recuperri n caz de dezastru: salvarea datelor i a programelor se efectueaz regulat de ctre personalul de operare. 7. Asigurarea suportului (Helpdesk) i managementul problemelor: helpdesk reprezint modalitatea de a face legtura ntre utilizatori i personalul din departamentul IT, ori de cte ori apar probleme n operarea calculatorului. Problemele pot s apar n programe individuale (aplicaii i sisteme), hardware, sau telecomunicaii. 8. ntreinerea: se refer att la hardware, ct i la software. 9. Monitorizarea reelei i administrare: majoritatea calculatoarelor utilizate n afaceri sau n administraie funcioneaz n reea. Funcia de operare IT presupune responsabilitatea asigurrii c legturile de comunicaie sunt ntreinute i furnizeaz utilizatorilor accesul n reea la nivelul aprobat. Reelele sunt n mod special importante cnd clientul utilizeaz schimburi electronice de date. Riscuri asociate (a) Aplicaiile nu se execut corect: decurge din operarea greit a aplicaiilor sau utilizarea unei versiuni incorecte, a unor parametri de configurare incoreci introdui de personalul de operare (de exemplu, ceasul sistemului i data setate incorect pot genera erori n calculul dobnzilor, al penalitilor, al salariilor etc.). (b) Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date : poate rezulta dintr-o utilizare greit sau neautorizat a unor programe utilitare.
Pag. 101 din 214

(c) Personalul IT nu tie s gestioneze rezolvarea problemelor sau raportarea erorilor : ncercarea de a le rezolva singuri poate provoca pierderi i mai mari; (d) ntrzieri i ntreruperi n prelucrare: sunt alocate prioriti greite n programarea unor sarcini date; (e) Lipsa salvrilor i a planificrii incidentelor probabile : crete riscul incapacitii de a continua prelucrarea n urma unui dezastru. (f) Lipsa capacitii (resurselor) sistemului: sistemul poate fi incapabil de a prelucra tranzaciile deoarece este suprancrcat. (g) Timpul mare al cderilor de sistem pn la remedierea erorii : cnd sistemele sunt indisponibile se poate construi un jurnal provizoriu care s conin tranzaciile netransmise. (h) Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii Helpdesk.

3.5.10 Dezvoltri efectuate de utilizatorii finali


Dezvoltrile efectuate de utilizatori ntr-un mediu informatizat este o activitate dificil de controlat, ntruct utilizatorii nu adopt standardele sau bunele practici utilizate de specialitii din departamentul IT. Acest mediu necontrolat poate conduce la consum de timp, efort i costuri suplimentare, precum i la ris curi majore n cazul n care utilizatorii care dezvolt programe prelucreaz i tranzacii financiare. n ceea ce privete dezvoltarea de sisteme informatice de ctre utilizatori, auditorul va evalua riscurile care decurg din dezvoltarea intern a sistemelor informatice (resurse de dezvoltare / implementare / colarizare etc.). Se vor trata difereniat cazurile n care entitatea are un departament IT care are ca atribuii dezvoltarea de sisteme i aplicaii, de cele n care dezvoltrile se fac ad -hoc, fr utilizarea unui suport metodologic adecvat i fr participarea unor specialiti cu atribuii definite n acest domeniu. Factori de risc (a) Dezvoltarea programelor de ctre utilizatori este realizat de personal lipsit de experien, neinstruit n dezvoltarea de sisteme software i lipsit de asisten de specialitate din partea departamentului IT, ceea ce genereaz n mod tipic urmtoarele probleme:

Sisteme nesigure care nu efectueaz prelucrrile n conformitate cu cerinele; Sisteme care nu includ controale privind: integritatea datelor, intrrile, prelucrrile sau ieirile; Sisteme netestate i cu rezultate imprevizibile; Sisteme nedocumentate, dificil de ntreinut, dependente de persoana care le -a realizat; Sisteme supuse unor schimbri necontrolate, fr gestionarea versiunilor; Incompatibilitatea i fragmentarea informaiei n cadrul sistemului entitii.

(b) Duplicarea efortului rezult din efectuarea unor sarcini care se execut i n departamentul de informatic pentru rezolvarea aceleiai probleme, n lipsa unei coordonri unitare. Din acest punct apar probleme adiionale privind renunarea la una dintre variante, dublarea efortului de ntreinere i documentare, sau, n unele cazuri, obinerea de rezultate diferite n urma prelucr rii datelor. (c) Inconsistena datelor provine din utilizarea sistemului distribuit care prelucreaz date inconsistente din departamente diferite (tarife de plat pentru colaboratori, uniti de msur, costuri unitare, regii) care, n lipsa unificrii la nivelul departamentului IT, sunt preluate n prelucrri ca atare.

Pag. 102 din 214

(d) Creterea costurilor de utilizare a serviciilor IT se datoreaz mai multor factori: Cerinele de instruire suplimentare; O mai mare solicitare a serviciilor helpdesk; Alte costuri adiionale ascunse (aferente timpului suplimentar pe care utilizatorul l folosete pentru rezolvarea problemelor, comparativ cu specialitii IT), Sistemele dezvoltate de utilizatori au tendina de a utiliza mai puin eficient resursele de calcul (timp de calcul, resurse de comunicaie, timp de imprimare). (e) tergerea informaiilor din sistemul central se produce n cazul unei comunicaii bidirecionale, cnd utilizatorul preia date de pe serverul central pentru examinare sau prelucrare n p rogramul su de aplicaie, i dup prelucrare datele sunt transmise ctre serverul central, unde fiierele originale sunt suprascrise. Admiterea unor astfel de proceduri provoac incertitudine n ceea ce privete ncrederea n fondul de informaii al entitii. (f) Conformitatea cu legislaia. n lipsa unei legturi cu departamentul IT, utilizatorii risc s nu respecte legislaia asociat domeniului IT (utilizarea calculatoarelor, memorarea informaiilor cu caracter personal sau secrete, drepturile de proprietate intelectual) i sunt tentai s utilizeze software neautorizat. (g) Pierderea datelor se poate datora urmtoarelor motive:

n mediul informatizat creat de utilizatori nu sunt aplicate procedurile privind recuperarea n caz de dezastru a datelor i sistemului impuse de departamentul IT (salvri regulate); Lipsa controalelor privind protecia informaiilor creeaz condiii pentru fraud n mediul informatizat creat de utilizator. Creterea portabilitii calculatoarelor personale sub forma calculatoarelor de tip laptop constituie un risc nou generat de furtul sau pierderea calculatorului, i, odat cu acesta, al datelor pe care le conine.

(h) Virusarea calculatoarelor. Calculatoarele personale ale utilizatorilor pot infecta programele de pe servere i celelalte calculatoare din reeaua entitii, fiind o surs potenial de virui preluai de pe supori tehnici de arhivare a datelor, neprotejai de un program antivirus (floppy disk, CD ROM etc.) sau din reeaua Internet. (i) Securitatea accesului logic sau fizic. Majoritatea calculatoarelor personale utilizeaz sisteme de operare proiectate pentru utilizatori individuali, i, n consecin, cu restricii limitate privind controalele accesului logic, cunoscute, n cele mai multe cazuri de ctre utilizator i posibil de depit de utiliz atori neautorizai, cu cunotine n domeniul IT. Accesul fizic la calculatoarele personale, este mai puin controlat. Sistemul informatic al entitii (servere i minicalculatoare) funcioneaz, de regul, ntr -un mediu controlat, cu acces restricionat prin chei, carduri de acces etc., ceea ce nu se ntmpl n cazul calculatoarelor personale. Datele sunt n general memorate pe dischete sau pe CD ROM, putnd fi uor copiate, editate sau terse de utilizatori neautorizai.

Pag. 103 din 214

3.6

Riscuri asociate furnizrii serviciilor IT

n luna octombrie 1999, cu ocazia celei de-a opta ntlniri, INTOSAI Standing Committee on IT Audit a iniiat proiectul The IT Infrastructure Management Project, care a pornit de la necesitatea elaborrii unui instrument de audit orientat pe managementul infrastructurii IT n administraiile publice. Proiectul a fost coordonat de Oficiul Auditorului General al Norvegiei i a avut ca membri SAI -uri din Anglia, Suedia, Japonia, Canada i Rusia. Obiectivul principal al proiectului a fost de a furniza un model de audit pentru managementul infrastructurilor IT, care s poat fi utilizat pentru diferite niveluri ale infrastructurilor IT. Pentru a asigura conformitatea cu aceste obiective, grupul de lucru al proiectului a elaborat liniile directoare pentru un model generic de audit al managementului serviciilor, care include managementul infrastructurii IT. Acesta reprezint un instrument pentru asistarea auditurilor managementului serviciilor IT n administraia public, bazate pe evaluarea riscurilor i pe principiile de management al riscurilor. Premisa a fost constatarea c un numr important de audituri au atribuit ca motiv principal de eec al serviciilor IT lipsa de contientizare n ceea ce privete riscurile. n acest cadru, a fost realizat un portofoliu al riscurilor IT, obinut n urma unei vaste cercetri desfurate pe acest subiect, prin colectarea i capitalizarea informaiilor relevante privind riscurile, furnizate de SAI-uri din ntreaga lume. Managementul serviciilor IT. Infrastructura IT este destinat furnizrii serviciilor IT care s satisfac diferite cerine legate de necesitile afacerii. Aceste servicii pot varia de la aplicaii simple, pn la sisteme complexe, cum ar fi automatizarea ntreprinderii. Serviciile pot fi distribuite pe un numr mare de sisteme hardware, software i de comunicaii i pot fi furnizate intern, de ctre organizaii externe, prin externalizare, precum i ntr-o manier eterogen. Modelul de management al riscurilor prezentat n acest capitol ia n considerare opt arii de risc, corespunztoare arhitecturii de referin privind furnizarea serviciilor IT, elaborate de INTOSAI Standing Committee on IT Audit: 1 Managementul de vrf 2 Strategii i politici 3 Operare 4 Externalizarea serviciilor 5 Servicii suport 6 Cerine externe, constrngeri i reglementri formale 7 Interaciunea utilizatorilor cu serviciile electronice 8 Consecinele furnizrii serviciilor IT asupra instituiilor publice, mediului de afaceri i cetenilor

3.6.1 Managementul de vrf


Planificare Obiectiv: Managementul de vrf trebuie s dezvolte un plan strategic, ca parte integrant a strategiei organizaiei, n scopul utilizrii eficace i eficiente a infrastructurii IT, i s se asigure c acest plan este implementat i produce efecte n sensul atingerii obiectivelor generale ale organizaiei. Elaborarea planului strategic presupune: Recunoaterea oportunitilor i problemelor cu care se confrunt organizaia, n cadrul crora utilizarea serviciilor IT se poate face, n general, cu costuri adecvate; Identificarea resurselor necesare pentru a furniza serviciile IT solicitate; Formularea de strategii pentru achiziionarea resurselor necesare; Stabilirea unor obiective realiste (fezabile) i msurabile.
Pag. 104 din 214

Tabelul 1 Risc 1. Contientizarea slab din partea managementului de vrf cu privire la IT 2. Funcia IT este privit ca o funcie de excelen i nu ca o funcie suport Impact a. Servicii IT de calitate sczut

a. Exagerarea alocrii fondurilor pentru investiii IT asociate unor faciliti care exced funcionalitatea aferent obiectivelor afacerii b. Investiiile nu sunt adecvate sau necesare pentru furnizarea serviciilor IT

3. Nivelul contribuiei tehnologiei informaiei la activitatea cheie nu este apreciat de managementul de vrf 4. Domeniile de activitate privind serviciile IT nu sunt definite, sau examinarea acestora nu este finalizat Alocarea suportului economic, uman i tehnologic este inadecvat 5. Obiectivele serviciilor IT nu susin obiectivele organizaionale 6. Obiectivele stabilite nu pot fi atinse

a. Subestimarea semnificaiei tehnologiei informaiei b. Oportuniti pierdute a. Sunt neglijate sau nu sunt gestionate suficient zone importante (de exemplu, cnd se dezvolt un sistem, conducerea nu ia n considerare reglementri externe sau nu evalueaz consecinele pe care sistemul le-ar avea asupra societii) a. Serviciile livrate nu sunt n concordan cu obiectivele organizaionale a. Motivaie sczut, incertitudine ridicat c infrastructura IT susine componenta organizaional a. Cei responsabili nu pot aprecia ce rezultate se vor obine sau cnd vor fi atinse obiectivele

7. Obiectivele nu sunt msurabile

Organizare Obiectiv: Managementul de vrf trebuie s asigure organizarea eficient i eficace a serviciilor IT pentru a permite ndeplinirea obiectivelor organizaionale stabilite.
Tabelul 2 Risc 1. Ariile de activitate acoperite de serviciile IT care trebuie organizate nu sunt definite sau supravegherea lor nu este realizat 2. Managementul de vrf nu este capabil s comunice autoritilor guvernamentale nevoile financiare n scopul alocrii fondurilor Impact a. Sunt neglijate arii importante

a. Organizaia nu primete finanri suficiente i nu va fi capabil s-i ating obiectivele

Pag. 105 din 214

3. Managementul de vrf nu este capabil s aloce fonduri sau resurse umane n mod adecvat pentru serviciile IT

a. Nu sunt alocate fonduri sau resurse umane suficiente pentru anumite activiti ceea ce va contribui la incapacitatea livrrii satisfctoare a serviciilor IT, n timp ce altele sunt supraestimate. Ambele situaii ar putea avea impact asupra altor activiti dependente a. Nu este disponibil la timp suportul adecvat. Angajarea constant a suportului extern ar putea duce la creterea semnificativ a costurilor a. Serviciile IT nu sunt livrate eficient datorit subevalurii sau supraevalurii capacitii b. Prelucrarea neadecvat a datelor

4. Scderea numrului personalului calificat i cu experien

5. Tehnologie insuficient sau neadecvat

Conducere Obiectiv: Managementul de vrf trebuie s asigure direcionarea dezvoltrii serviciilor IT necesare pentru crearea unui mediu adecvat, capabil s susin prosperitatea, performana i creterea .
Tabelul 3 Risc 1. Motivaie slab a personalului n ceea ce privete receptivitatea fa de serviciile IT Impact a. Obiective conflictuale ale managementului conduc la performana sczut a salariailor b. Reducerea capacitii de a ndeplini obiectivele cheie 2. Personalul ezit s participe la instruiri sau programe de instruire pentru a-i perfeciona abilitile IT 3. Informaii importante nu sunt disponibile managementului a. Lipsa abilitilor IT adecvate n cadrul organizaiei b. Reducerea abilitilor de a ndeplini obiectivele cheie a. Afecteaz capacitatea de a conduce la toate nivelurile b. Impact uman, economic, legal i/sau technologic, la nivel extern i intern 4. Contientizare neadecvat privind tendinele i dezvoltrile tehnice a. Bugetele sunt subestimate, oportunitile de afaceri nu sunt exploatate, satisfacie sczut a clienilor, motivare sczut a personalului

Pag. 106 din 214

Control i monitorizare Obiectiv: Managementul de vrf trebuie s stabileasc proceduri pentru controlul i monitorizarea activitilor de furnizare a serviciilor IT.
Tabelul 4 Risc Activitatea de control i monitorizare Managementul riscurilor 1. Managementul de vrf nu este familiarizat cu teoriile i modelele privind managementul riscurilor a. Este cheltuit o cantitate disproporionat de resurse pentru riscuri care nu au o mare probabilitate de apariie sau un impact major Impact

2. Managementul de vrf nu vede importana sau a. Actori responsabili ar putea implementa proceduri beneficiile oferite de utilizarea procedurilor formale de individuale sau managementul riscurilor ar putea fi management al riscurilor informal Ar putea s nu existe deloc proceduri pentru monitorizarea efectiv a riscurilor aferente ariilor de activitate. b. Lipsa contientizrii i o probabilitate mare de a nu realiza un management echilibrat al entitii. Semnale din multiple surse i motivare sczut n cadrul organizaiei. 3. Managementul de vrf nu promoveaz contientizarea riscurilor 4. Managementul de vrf nu vede importana motivrii celor responsabili cu managementul riscurilor. 5. Managementul de vrf nu reuete s implementeze proceduri eficace i eficiente pentru managementul riscurilor a. Motivare sczut

a. Managementul riscurilor ar putea fi informal sau incomplet. Personalul nu vede punctele n care se consum timp valoros cu managementul riscurilor a. Fundamentarea deciziilor este incorect sau incomplet. Schimbrile necesare nu sunt implementate. Pri sau ntreaga infrastructur IT nu reuesc s contribuie la atingerea obiectivelor organizaionale

Control financiar i monitorizare 6. Managerii de vrf sau, cel mai probabil, mijlocii nu au abiliti de management financiar adecvate 7. Rapoartele i informaiile pentru management financiar sunt incomplete sau incorecte a. Managementul IT se focalizeaz pe livrarea serviciilor IT fr a lua n considerare aspectele financiare Depirea costurilor i valoarea mic a fluxului de numerar nu sunt identificate. Deciziile sunt bazate pe informaii nefiabile, rezultnd activiti importante crora managementul nu le acord suficient atenie ntrzierea sau lipsa informrii. Personalul exagereaz n mod deliberat sau subestimeaz cerinele de finanare. Aceasta poate
Pag. 107 din 214

8. Lipsa sau aplicarea unor proceduri neadecvate pentru instituii bugetare i raportare a costurilor

conduce la stabilirea incorect a costurilor i beneficiilor proiectului, i la prioritizarea incorect a proiectelor Managementul schimbrilor 9. Schimbri politice cu rezultat n schimbarea nivelului finanrii i/sau a prioritilor Managementul de vrf nu este capabil s fac schimbrile necesare ale sistemelor sau proiectelor IT pentru a implementa noile cerine

3.6.2 Strategii i politici


Obiective: 1. 2. 3. 4. nelegerea clar a obiectivelor afacerii i a rolului pe care serviciile IT l au n atingerea acestora nfiinarea unei structuri de management pentru implementarea, monitorizarea costurilor i actualizarea planului strategic IT Identificarea standardelor, metodelor i instrumentelor software care s susin aplicarea planului strategic Revizuirea periodic a rezultatelor planului strategic IT i operarea ajustrilor necesare
Tabelul 5 Risc 1. Unul sau mai multe servicii IT noi nu sunt livrate la timp Impact a. Eec n ndeplinirea obligaiilor statutare sau contractuale b. Pierderea unor oportuniti de afaceri c. Eec n aplicarea la timp a politicii guvernamentale 2. Costurile de dezvoltare a noului serviciu/ale noilor servicii depesc justificarea bugetar sau economic a. Investii inutile (abandonarea posibil a proiectului) b. Deturnarea fondurilor limitate de la proiecte de succes c. Lipsa funcionalitii eseniale a serviciilor datorat necesitii unor economii neprevzute 3. Exist schimbri semnificative ale cerinelor pe parcursul ciclului de via al proiectului/programului IT a. Depirea costurilor proiectului/programului b.Abandonarea proiectelor/programelor din cauza costului excesiv c. Probleme sau riscuri tehnice neprevzute asociate cu schimbarea cerinelor d. ntrzieri n implementarea noilor servicii datorate nevoii de timp adiional pentru dezvoltare e. Costuri operaionale i de ntreinere mai mari dect cele estimate
Pag. 108 din 214

4. Noilor servicii IT le lipsete funcionalitatea important

a. Serviciul IT nu este capabil s satisfac necesiti importante ale afacerii b. Eec n implementarea cerinelor statutare i contractuale c. Eec n producerea unor explicaii acceptabile, n cazul n care nu sunt adresate cerine de justificare importante (de exemplu, piste de audit) d. Eec privind securitatea, n cazul n care c nu sunt adresate erine importante privind securitatea (e.g., controale ale accesului logic puternice) e. Serviciul IT este sub-utilizat sau ignorat de public (avnd ca rezultat pierderea investiiilor, eecul aplicrii politicii guvernamentale etc.)

5. Noul serviciu IT nu este prietenos i este dificil de utilizat

a. Costuri de operare mai mari, datorate productivitii sczute b. Rat de eroare nalt c. Moral sczut al personalului e. Serviciul IT este sub-utilizat sau ignorat de public (avnd ca rezultat pierderea investiiilor, eecul aplicrii politicii guvernamentale etc.)

6. Noul serviciu IT nu este disponibil n mod continuu

a. Nevoia de timp de lucru suplimentar excesiv, materializat n costuri de operare mari b. Serviciul IT este sub-utilizat sau ignorat de public (avnd ca rezultat pierderea investiiilor, eecul aplicrii politicii guvernamentale etc.) c. Cderi ale serviciului datorate suprancrcrii d. Moral sczut al personalului (de exemplu, datorit slbiciunilor sistemului n a suporta activitile i nevoia constant de a rezolva situaii neprevzute)

7. Noul serviciu/noile servicii IT nu ofer satisfacie n ceea ce privete disponibilitatea i/sau utilitatea

a. Moral sczut al personalului (de exemplu, datorit incapacitii sistemului de a susine activitatea, i, nevoii constante de a rezolva situaii neprevzute) b. Imposibilitatea de a satisface termenele programate ale afacerii c. Costuri ridicate ale operrii (de exemplu, datorit necesitii recuperrilor frecvente ale sistemului i relurii unor activiti)

8. Noul serviciu/noile servicii este/sunt dificil de

a. Pierderea unor oportuniti de afaceri


Pag. 109 din 214

ntreinut i/sau de schimbat

b. Incapacitatea de a aplica la timp politica guvernamental c. Operarea serviciilor IT este scump d. Schimbrile de sistem sunt scumpe i vulnerabile la erori i cderi

9. Serviciul/serviciile IT nu este/nu sunt scalabile, pentru a se adapta la extinderea afacerii (de exemplu, mai muli utilizatori i/sau extinderea funcionalitii)

a. Pierderea unor oportuniti de afaceri b. Incapacitatea de a aplica la timp politica guvernamental c. Costuri ale serviciilor de re-inginerie

10. Noul serviciu / noile servicii IT nu este/nu sunt sigure

a. Spargerea, deteriorarea, cderea serviciului b. Frauda c. Indivizi susceptibili de riscuri personale (de exemplu, prin securitate neadecvat a informaiei sau erori software) Investiii pierdute (de exemplu, publicul ignor serviciul din cauza motivelor de securitate)

3.6.3 Operare
Asigurarea dezvoltrii sistemului Obiectiv: Asigurarea c procesele de dezvoltare a sistemului sunt proiectate pentru a susine obiectivele asumate de organizaii.
Tabelul 6 Risc 1. Un proiect IT/proiectele IT nu este/nu sunt n concordan cu planurile organizaiei sau cu strategia IT Impact a. Sistemul IT nu suport obiectivele afacerii b. Ineficacitatea utilizrii resurselor c. Livrarea proiectului nu este acceptat de utilizatori 2. Infrastructura IT nu interacioneaz eficient i eficace cu obiectivele organizaiei a. Organizarea IT nu ia n considerare necesitile organizaiei b. Managementul de vrf are ncredere sczut n importana IT 3. Nivelul de confidenialitate a informaiei nu este luat n considerare a. Expuneri neateptate ale informaiei Interne Externe
Pag. 110 din 214

4. Alocare bugetar nerealist, deliberat sau nu, din punct de vedere al timpului i costului

a. Achiziia i dezvoltarea nu sunt desfurate la timp b. Costuri mai mari dect cele finanate c. Pierderea credibilitii Intern Extern

5. Dreptul de proprietate asupra sistemului nu este stabilit

a. Nu este stabilit responsabilitatea global de zi cu zi asupra securitii sistemului b. Nu este stabilit responsabilitatea global pentru schimbrile de sistem, actualizri etc.

6. Noul serviciu / noile servicii IT nu reuete / nu reuesc s ating performana optim

a. Eec n optimizarea recuperrii investiiei b. Productivitatea la nivelul utilizatorului mai mic dect s-a anticipat c. Costuri de operare i/sau de ntreinere mai mari dect s-a anticipat d. Insatisfacie continu a utilizatorului n ceea ce privete sistemul e. Incapacitatea de a nva (lecii) din greeli pentru viitoarele proiecte

Asigurarea continuitii n livrarea serviciilor IT Obiectiv: Asigurarea continuitii n livrarea serviciilor IT n concordan cu obiectivele strategice ale organizaiei: - Strategii de afaceri - Strategii funcionale - Planuri operaionale

Tabelul 7 Risc 1. Organizaia nu are ncredere n aspecte legate de securitate Impact a. Pierderi ale afacerii. Dac sunt expuse secrete industriale s-ar putea ajunge, n cazul cel mai ru, la compromiterea afacerii a. Expunerea organizaiei nsei la aciuni intenionate de alterare a datelor i la furtul bunurilor organizaiei
Pag. 111 din 214

2. Organizarea departamentului IT nu previne accesul neautorizat la date

b. Expunerea neateptat sau pierderea datelor c. Intruziuni din interiorul sau din exteriorul organizaiei n scopul accesrii datelor d. Schimbarea datelor permanente 3. Funcia IT este incapabil s livreze serviciul datorit lipsei de capacitate a. Activitile nu pot fi realizate b. Cderi de sistem datorate lipsei planificrii capacitilor c. Resursele IT nu sunt utilizate eficient (capacitatea IT nu este utilizat) 4. Procedurile backup i de recuperare nu sunt n concordan cu nivelul serviciilor stabilit de organizaie a. Pierderea datelor b. Organizaia nu poate livra serviciile la timp c. Procedurile backup/recovery trebuie s fie consistente cu nevoile organizaiei (de exemplu, utilizarea rezervei calde cnd nu este necesar) d. Procedurile nu sunt eficiente 5. Nu exist proceduri de management al schimbrilor a. Probleme legate de compatibilitatea sistemului b. Schimbrile conduc la probleme care pot concura cu uurina detectrii sau prevenirii a. Incetinirea vitezei n producie b. Forarea organizaiei s utilizeze soluii alternative cum ar fi agenii de recrutare a personalului temporar c. Pierderea cunotinelor 7. Cderi de reea a. Organizaia poate deveni incapabil s livreze serviciile a. Pierderea datelor b. Date incorecte c. Cderea programului 9. Aplicaiile software sunt utilizate fr licen software legal a. Utilizarea ilegal a software-ului copiat b. Organizaia ar putea fi fcut responsabil din punct de vedere economic pentru utilizarea ilegal a aplicaiilor software

6. Dificulti n recrutarea personalului calificat

8. Sunt utilizate versiuni greite ale programelor.

Pag. 112 din 214

Obinerea nivelului de mentenan cerut Obiectiv: Obinerea nivelului de mentenan cerut pentru a asigura continuitatea serviciilor IT .
Tabelul 8 Risc 1. Organizaia nu reuete s ating un nivel adecvat al disponibilitii serviciilor Impact a. Utilizatori i clieni nesatisfcui b. Pierderea credibilitii organizaiei a. Terii nu-i accept responsabilitile b. Probleme n continuitatea serviciilor c. Organizaia nu are nici o protecie legal dac apar pierderi n cadrul afacerii datorate ntreruperilor n livrrile terilor 3. Componentele critice ale infrastructurii nu sunt identificate i monitorizate 4. Organizaia nu are o abordare uniform n ceea ce privete achiziionarea componentelor hardware i software a. Eec n livrarera serviciilor

2. Rolurile i responsibilitile pentru teri nu sunt definite cu claritate.

a. Dificultatea meninerii infrastructurii b. Rutina ntreinerii scumpe fr a fi necesar, datorit, de exemplu, mai multor contracte mici de ntreinere cu teri, n locul unor contracte mai puine i mai eficiente c. Probleme cu angajamentele vnztorului

Asigurarea suportului tehnic necesar Obiectiv: Asigurarea unui suport tehnic suficient pentru a permite organizaiei s utilizeze serviciile IT furnizate.
Tabelul 9 Risc 1.Utilizatorul final nu poate utiliza aplicaia Impact a. Sarcinile nu pot fi aduse la ndeplinire b. Pierderea datelor datorit utilizatorilor fr experien 2. Nu exist nici o funcie care s informeze utilizatorul final asupra problemelor care apar a. Pierderea credibilitii b. Eec n satisfacerea cerinelor utilizatorilor c. Schimbrile n sistem vor fi fcute de salariai inteligeni datorit lipsei de responsabilizare
Pag. 113 din 214

3.6.4 Managementul resurselor


Managementul resurselor umane Obiectiv: Asigurarea c sunt suficiente resurse umane pentru a dezvolta i ntreine infrastructura.
Tabelul 10 Risc 1. Lipsa abilitilor personalului pentru a asigura continuitatea serviciilor IT Impact a. Probleme n livrarea la timp a seviciilor b. Calitate sczut c. Asupra sistemelor IT relevante d. Rata de nlocuire a personalului e. Personal lipsit de experien f. Nencredere n personalul cheie 2. Infrastructura technologic nu este consistent, iar utilizarea sistemelor incompatibile conduce la creterea costurilor pentru ntreaga organizaie 3. Utilizarea neeficace a resurselor a. Incapacitatea de a livra serviciile b. Costuri de ntreinere mari a. Lipsa suportului personalului b. Pierderea competitivitii 4. Utilizarea neeficace a resurselor datorit lipsei abilitilor utilizatorilor a. Lipsa credibilitii din cauz c utilizatorii nu consider serviciile utile b. Decizie luat greit datorit utilizrii incorecte c. Resursele IT consum prea mult timp pentru a rezolva erori cauzate de lipsa abilitilor utilizatorilor 5. Serviciul operational nu este n conformitate cu cerinele legale i de reglementare a. Serviciul IT nu este n concordan cu obiectivele i scopurile stabilite ale organizaiei b. Pierderea credibilitii c. Costuri ale aciunii de remediere d. Consecine legale posibile datorit prelucrrii tranzaciilor ntr-o manier ilegal

Pag. 114 din 214

Finanare Obiectiv: Organizaia trebuie s primeasc fonduri suficiente pentru a permite dezvoltarea infrastructurii IT, astfel nct s se ating obiectivele organizaionale.
Tabelul 11 Risc 1. Infrastructura IT nu este actualizat Impact a. Organizaia poate s nu ating obiectivele stabilite b. Infrastructura nu contribuie la progresul organizaional i/sau la schimbrile sociale c. Infrastructura IT este dificil i costisitor de ntreinut d. Probleme cu recrutarea personalului calificat care s neleag tehnologia nvechit e. Probleme cu recrutarea personalului necesar, att pentru departamentele sau funciile tehnice ct i pentru cele de afaceri f. Costuri mari de operare pentru exploatarea i ntreinerea sistemelor perimate 2. Dificulti n obinerea acceptrii utilizatorului (de exemplu, beneficiile sunt dificil de msurat sau nu sunt obinute rapid) a. Pierderi ale afacerii sau clieni nesatisfcui b. Dificulti cu acceptana utilizatorilor finali c. Productivitate sczut i scderea moralului personalului 3. Rata de nlocuire a personalului mai mare dect poate tolera organizaia pentru a asigura continuitatea a. Planurile dezvoltrii infrastructurii IT sunt ntrziate sau abandonate b. Creterea incertitudinii n livrarea serviciului IT c. Costuri mai ridicate, datorit instruirii continue a noilor angajai d. Productivitate sczut i scderea moralului personalului datorit lipsei de continuitate 4. Incapacitatea de a identifica, msura sau controla costurile infrastructurii IT a. Alocare bugetar supra/sub evaluat b. Lipsa de ncredere n cadrul organizaiei fa de dezvoltarea IT c. Dificultatea de a msura avantajele noului sistem 5. Investiia n IT nu reuete s ating performana (value for money) - risc al investiiei a. Noile investiii vor fi greu de justificat

Pag. 115 din 214

Exploatarea oportunitilor tehnice Obiectiv: Organizaia trebuie s exploateze oportunitile oferite de noua tehnologie n scopul atingerii obiectivelor organizaionale ntr-o manier eficient i eficace.
Tabelul 12 Risc 1. Managementul de vrf nu este contient de oportunitile de afaceri fcute posibile de dezvoltri ale infrastructurii IT Impact a. Eficacitatea i eficiena infrastructurii IT nu vor fi optimizate b. Obstrucionarea introducerii guvernrii electronice c. Costuri excesive datorate meninerii sistemelor ineficiente i neeconomice bazate pe hrtie sau perimate 2. Noile investiii IT sunt coordonate i conduse de personalul IT a. Risipirea investiiilor pe technic la mod n locul celor legitimate de necesitile afacerii b. Risipirea investiiilor pe nlocuirea sistemelor care nu au ajuns la finalul vieii lor economice c. Sistemele conin funcionalitate excesiv i sunt, n consecin, mai dificil de utilizat i mai scump de ntreinut

3.6.5 Factori externi


Managementul reglementrilor i politicilor formale Obiectiv: Asigurarea c organizaia recunoate reglementrile formale care au un impact asupra infrastructurii serviciilor IT pe care se bazeaz. Organizaiile trebuie s identifice i s analizeze reglementrile formale pentru a evalua gradul n care aceste reglementri au impact asupra serviciilor i infrastructurilor IT care le susin. Reglementrile formale sunt produse de Parlament sau de alte instituii publice i sunt: (a) reglementri comune (referitoare la integritate, secret, arhive, securitate etc.), (b) reglementri IT speciale (achiziii IT, dezvoltare, mentenan, securitate IT, (c) reglementri guvernamentale pentru diferite domenii de aciune (serviciile electronice care se livreaz) i reglementri speciale pentru instituii publice. Riscul eecului n a identifica i a analiza reglementrile este acela de a dezvolta servicii IT care nu sunt conforme cu legislaia. n societate exist o serie de factori externi care influeneaz dezvoltarea i utilizarea serviciilor IT: (a) politica Guvernului de utilizare a serviciilor informatice n administraie (de exemplu, modernizarea Guvernului prin intermediul IT), (b) competiia organizaiilor n dezvoltarea IT i (c) universitile i alte instituii de cercetare care dezvolt bune practici n dezvoltarea infrastructurii IT. Managementul trebuie s promoveze o politic de analiz a reglementrilor care s se focalizeze pe identificarea reglementrilor care au impact asupra serviciilor IT.
Pag. 116 din 214

Managementul cerinelor grupurilor int Obiectiv: Asigurarea c organizaia nelege cine sunt clienii / utilizatorii, precum i care sunt nevoile lor particulare. Organizaiile trebuie s desfoare cercetri nc din faza de nceput a dezvoltrii unui serviciu IT pentru a stabili cerinele afacerii utilizatorului final. Aceast analiz trebuie desfurat periodic pentru a fi actualizat de grupurile int, altfel, serviciile IT vor fi afectate de riscul eecului n atingerea cerinelor formulate de acestea. Managementul trebuie s se asigure c aceast cercetare atent este desfurat pentru a identifica i a prioritiza cerinele utilizatorilor unui nou serviciu. Managementul opiniilor de la tere pri Obiectiv: Asigurarea c organizaia obine opinii relevante de la teri cu privire la serviciile IT n care sunt implicai. Organizaiile utilizeaz frecvent tere pri pentru a livra, dezvolta sau opera, pe baz de contract, pri ale serviciilor electronice. Uneori, o organizaie poate externaliza ntregul serviciu IT unui furnizor de servicii. Organizaiile trebuie s desfoare cercetri sau activiti de revizuire pentru a stabili opinia furnizorului de servicii n legtur cu eficiena serviciului IT, altfel exist riscul ca organizaia s nu poat perfeciona serviciul IT. Managementul trebuie s ncurajeze furnizorii de servicii s fac sugestii pentru perfecionarea furnizrii serviciului IT care face obiectul revizuirii.
Tabelul 13 Risc 1. Managementul de vrf nu reuete s vad domeniul IT ca pe un domeniu al managementului Impact Organizaia nu este capabil s rspund operativ factorilor externi n vederea schimbrii, antrennd: nenelegeri politice ntrziere n implementarea politicii guvernamentale costuri excesive datorit unei nevoi mai mari de timp de lucru suplimentar i nevoii de a utiliza consultani a. Informaia utilizat n luarea deciziilor legate de serviciile IT este incomplet b. Luarea deciziilor este slab, datorit faptului c strategiile de management i politicile legate de infrastructura IT se bazeaz pe informaii nesigure 3. Eec n interpretarea i n nelegerea factorilor de risc extern identificai a. Deciziile privind serviciile IT nu sunt luate sau se bazeaz pe informaie nesigur b. Deciziile necorespunztoare despre strategiile i politicile legate de infrastructura IT operaional se reflect n infrastructur operaional IT i suport insuficiente
Pag. 117 din 214

2. Eec n identificarea i monitorizarea riscurilor externe

4. Eec n ceea ce privete schimbul de cunotine despre factorii externi cu ali manageri

a. Managerii de servicii IT nu sunt contieni de factorii de risc externi, rezultnd decizii bazate pe informaie nesigur

3.6.6 Interaciunea cu utilizatorii


Gestionarea accesibilitii utilizatorului la servicile IT Obiectiv: Asigurarea c utilizatorii interni i externi sunt capabili s acceseze infrastructura de servicii IT.
Tabelul 14 Risc 1. Managementul de vrf nu reuete s identifice riscul generat de interfaa neadecvat a utilizatorului cu serviciile IT Impact a. O interfa neadecvat a utilizatorului cu serviciile IT are ca efecte: un serviciu sub-utilizat (i risipirea investiiei n dezvoltarea sa) productivitate sczut datorit dificultii i problemelor n utilizarea serviciului date nesigure i proces de luare a deciziilor slab deziluzia personalului i moral sczut a. Serviciul este sub-utilizat din cauza lipsei de nelegere asupra a ceea ce se urmrete s se obin. n particular: 1) serviciul nu reuete s ating funcionalitatea cerut; 2) serviciul nu este disponibil pentru a fi utilizat la momentul potrivit; 3) nu sunt furnizate mijloacele preferate de acces; 4) serviciul nu este accesibil pe o arie geografic suficient de mare; 5) serviciul este scump de accesat; 6) serviciul este neprietenos i dificil de utilizat; 7) serviciul nu poate fi utilizat de vorbitori de limbi strine; 8) nu este oferit nici o posibilitate de contact direct (fa n fa) cu utilizatorii finali 3. Livrarea serviciilor electronice nu reuete s ofere creteri semnificative ale calitii a. Investiii pierdute b. Insatisfacia publicului i publicitate advers c. Utilizarea serviciilor ineficient, sub-utilizarea serviciilor 4. Un eec major al proiectrii se produce dup a. Intrziere i pierderea investiiei
Pag. 118 din 214

2. Eec n furnizarea de servicii IT accesibile, focalizate pe utilizator

implementarea livrrii serviciilor electronice n mediul real

b. Publicitate negativ c. Necesitatea de ntoarcere la sisteme ineficiente, perimate sau de perpetuare a unor astfel de sisteme d. Impact negativ asupra moralului personalului. e. Dificulti datorate incapacitii de a respecta condiiile legislative i politice

5. Livrarea serviciilor electronice poate deveni obiectul comparaiei cu alte dezvoltri (nefavorabile)

a. Eec n optimizarea oportunitilor i a ncasrilor din livrarea serviciilor IT b. Comentarii publice nefavorabile c. Dificulti politice

Gestionarea suportului i a instruirii utilizatorului Obiectiv: Asigurarea c utilizatorii interni i externi primesc un nivel adecvat al suportului pentru utilizarea serviciilor i pot utiliza serviciul eficace i eficient.
Tabelul 15 Risc 1. Utilizatorii nu sunt capabili s utilizeze un serviciu ntr-o manier eficace i eficient datorit lipsei instruirii sau a unei instruiri neadecvate Impact a. Productivitate sczut / standard sczut al serviciului b. Utilizatorii evit s utilizeze serviciul, rezultnd pierderi ale investiiei c. Performan sczut n atingerea obiectivelor organizaiei d. Dificulti politice 2. Incapacitatea de a asigura nelegerea a. Ignorana poate conduce la o multitudine de probleme, inclusiv: 1) serviciul fiind sub-utilizat din cauza incapacitii de a nelege ce trebuie fcut sau cum trebuie utilizat pentru a satisface o cerin anume; 2) rate mari de erori i reluarea operaiunilor datorate utilizrii incorecte; 3) oportuniti pierdute datorit incapacitii managerilor afacerii de a exploata serviciul integral, din cauza lipsei de nelegere; 4) disfuncionaliti ale serviciului i cderi ale acestuia datorit operrii incorecte din partea personalului care asigur suportul;
Pag. 119 din 214

4) lipsa de rspuns, proasta funcionare i cderea serviciului datorit ntreinerii tehnice slabe din partea personalului care asigur suportul

Gestionarea calitii comunicrii Obiectiv: Asigurarea c dialogul ntre utilizatori i serviciul IT are calitatea corespunztoare n cadrul comunicrii.
Tabelul 16 Risc 1. Interaciunea ntre utilizator i serviciul IT nu satisface cerinele de calitate ale comunicrii Impact a. Diseminarea n sistem de ctre utilizator a unor informaii de calitate sczut conduce la consecine negative pentru ali actori b. Nencrederea utilizatorilor n rezultatele serviciilor IT

3.6.7 Consecine ale utilizrii serviciilor IT asupra cetenilor, mediului de afaceri i sectorului public
Gestiunea informaiei Obiectiv: Asigurarea c organizaia recunoate c informaia este o resurs vital i o gestioneaz n condiii de securitate i cu cel mai bun efect.
Tabelul 17 Risc 1. Eec n gestiunea eficace a informaiei Impact a. Lucrul interoperabil nu poate fi exploatat datorit: 1) ignoranei despre: unde i cnd au fost obinute datele care trebuie schimbate ntre servicii; ce reprezint datele; cine poate accesa datele n mod legal i le poate utiliza pe cele puse la dispoziie; 2) formate de date incompatible. b. Pierderea rspunderii prin: incapacitatea de a reconstitui, recupera sau de a citi nregistrrile
Pag. 120 din 214

electronice ale afacerii; incapacitatea de a demonstra autenticitatea nregistrrilor electronice ale afacerii.

Managementul schimbrii Obiectiv: Asigurarea c schimbrile asupra serviciului electronic sunt implementate ntr -o manier care s nu genereze probleme. Schimbarea gestionat defectuos poate induce probleme n ceea ce privete funcionalitatea i n modul n care rspunde serviciul electronic, probleme care se manifest prin rate ridicate de eroare i de cdere.
Tabelul 18 Risc 1. Managementul schimbrii este ineficace. Impact a. Schimbarea gestionat defectuos poate induce probleme n ceea ce privete funcionalitatea i n modul n care rspunde serviciul electronic, care se manifest prin rate ridicate de eroare i de cdere. Acestea antreneaz: 1) pierderi ale investiiei prin eec n satisfacerea cerinelor utilizatorului; 2) pierderea unor oportuniti ale afacerii prin inabilitatea de a rspunde rapid i eficace la schimbrile necesitilor i obiectivelor afacerii 3) costuri mari de operare (datorate necesitii de a recupera sistemul, de reluare a unor operaii) i pierderi n producie; 4) insatisfacie n rndul personalului din cauza lipsei de fiabilitate a sistemelor; 5) insatisfacia publicului i neplceri politice rezultnd din disfuncionaliti ale serviciului i/sau eec n furnizarea unui nivel adecvat al serviciului.

Managementul securitii informaiei Obiectiv: Protejarea confidenialitii, integritii i disponibilitii pentru utilizarea datelor organizaiei ntr -o manier a eficienei costurilor capabil s inspire ncredere n rndul comunitii utilizatorilor. O securitatea a informaiei ineficace poate avea un impact dramatic asupra operaiilor afacerii. Poate avea, de asemenea, un impact semnificativ asupra percepiei publicului n ceea ce privete serviciile electronice (n mod particular, atunci cnd implic fraud), avnd drept consecin o pierdere general a ncrederii.

Pag. 121 din 214

Tabelul 19 Risc 1. Securitate a informaiei ineficace Impact a. O securitate a informaiei ineficace poate avea impact dramatic asupra operaiilor afacerii. Poate avea, de asemenea, un impact semnificativ asupra percepiei publicului n ceea ce privete serviciile electronice (n mod particular, cnd implic fraud), rezultnd ntr-o pierdere general a ncrederii. Impactul specific include: 1) dezvluirea neautorizat a informaiei sensibile despre afacere i/sau personale, care ar putea avea ca rezultat impactul distrugtor ulterior asupra afacerii i asupra indivizilor); 2) manipularea neautorizat a informaiei, care poate avea impact i poate avea ca rezultat frauda i corupia datelor personale (ex. datorate erorilor software sau atacurilor viruilor); 3) pierderea disponibilitii serviciului, de exemplu, datorit unei capaciti neadecvate de reluare a funcionrii n urma cderilor sau din lipsa unui plan al continuitii eficace, n eventualitatea unei cderi prelungite; 4) deteriorarea fizic a componentelor IT datorat securitii fizice i de mediu inadecvate.

b. Eecul n meninerea unei securiti adecvate a informaiei poate avea ca rezultat, de asemenea, impact legal cnd cderile conduc la compromiterea cerinelor contractuale, statutare (de exemplu, protecia datelor) sau a cerinelor de reglementare.

Managementul mediului de lucru Obiectiv: Promovarea unei productiviti ridicate i a principiilor morale prin dezvoltarea unui mediu de lucru sigur i sntos.

Pag. 122 din 214

Tabelul 20 Risc 1. Eec n gestionarea mediului de lucru sntate i siguran Impact a. Absene pe caz de boal b. Cereri pentru compensaii c. Urmrire pentru nclcarea reglementrilor d. Productivitate sczut e. Moral sczut

2. Eec n gestionarea mediului de lucru teleworking

a. Urmrirea / penalizarea pentru nclcarea cerinelor legale b. Costuri de operare crescute c. Cderi ale securitii IT d. Productivitate sczut e. Ieiri cu calitate nesatisfctoare

3. Redundana abilitilor

a. omaj b. Scderea moralului personalului

Managementul efectelor asupra cetenilor, societii i organizaiilor Obiective: Focalizarea i contientizarea consecinelor intenionate i neintenionate care decurg din dezvoltarea i schimbrile serviciilor electronice.
Tabelul 21 Risc 1.Cetenii nu au ncredere n livrarea serviciilor electronice i n avantajele acestora. Impact a. Noile servicii sunt sub-utilizate. b. Pierderi ale investiiei. c. Eec n atingerea nivelului de eficien. d. Obiectivele strategice ale Guvernului legate de aceste servicii nu sunt atinse.
Pag. 123 din 214

2. Cetenilor le lipsete abilitatea de a exploata serviciile electronice furnizate

a. Serviciile electronice livrate sunt sub-utilizate. b. Pierderi ale investiiei. c. Eec n atingerea nivelului de eficien. d. Obiectivele strategice ale Guvernului legate de aceste servicii nu sunt atinse.

3. Excluziune social

a. Cetenii sund exclui n mod discriminatoriu de la a accesa serviciile ectronice; de exemplu, prin disabiliti fizice, bariere de limb, izolare geografic, lips de educaie b. Servicii sub-utilizate c. Implicaii legale posibile (de exemplu, prin legislaia "drepturilor egale")

4. Informaia nu poate fi inter-schimbat prompt n interiorul i ntre diferite organizaii ale sectorului public.

a. Infrastructura IT nu reuete s suporte mbuntirile n elaborarea politicii, livrarea serviciilor electronice i lucrul mai eficient

5. Cadrul de Interoperabiliate a sistemelor este sau devine ineficace

Informaia nu poate fi schimbat prompt n i ntre diferite organizaii ale sectorului public

6. Livrarea serviciilor electronice sufer de un nivel inacceptabil al erorilor de sistem i al cderilor serviciului.

a. Costuri mari de operare b. Sisteme care nu rspund solicitrilor c. Securitatea informaiei neadecvat sau ineficace d. Moral sczut n rndul personalului care asigur suport, datorit confruntrii continue cu numeroasele plngeri ale clienilor e. Insatisfacia publicului, frustrare i publicitate advers f. Neplceri politice g. Implicaii legale posibile (de exemplu, privind protecia datelor, libera circulaie a informaiei)

Pag. 124 din 214

7. Livrarea serviciilor electronice poate face obiectul comparaiei cu alte dezvoltri (nefavorabile)

a. Eec n optimizarea oportunitilor i n obinerea economiilor din livrarea serviciilor electronice b. Comentarii nefavorabile din partea publicului c. Neplceri politice

Pag. 125 din 214

Capitolul 4. Proceduri de audit IT


Prezentul capitol stabilete un cadru metodologic i procedural orientat pe fluxul activitilor care se desfoar n cadrul unei misiuni de audit IT, misiunea avnd ca scop investigarea i evaluarea conformitii proceselor care au loc n cadrul unei entiti cu cerinele unui cadru de reglementare, respectiv un set de standarde, bune practici, legislaie, metodologii. Rezultatele evalurilor se materializeaz n constatri i concluzii care reflect opiniile auditorului prin prisma obiectivelor misiunii de audit. n cazul constatrii unor neconformiti, auditorul formuleaz recomandri pentru remedierea acestora i perfecionarea activitii entitii. Subiectele abordate sunt urmtoarele: (a) problematica general specific auditului IT (domeniul de aplicare, documente de referin (reglementri) aplicabile n domeniul auditului IS/IT, obiective generale i obiective specifice ale auditului IT / IS, criterii de evaluare generice, determinarea naturii i volumului procedurilor de audit, revizuirea controalelor IT n cadrul misiunilor de audit financiar), (b) etapele auditului sistemelor informatice (planificarea auditului, efectuarea auditului, raportarea i revizuirea), c) evaluarea sistemelor informatice financiar-contabile, d) cadrul procedural pentru evaluarea sistemului informatic (obinerea informaiilor de fond privind sistemele IT ale entitii auditate (Procedurile A1 A7), evaluarea controalelor generale IT, (Procedurile B1 B8), evaluarea controalelor aplicaiei (Procedurile CA1 CA13), precum i evaluarea riscurilor asociate implementrii i utilizrii sistemului informatic, e) elaborarea raportului de audit i valorificarea constatrilor consemnate n acesta.

4.1

Auditul sistemelor informatice

n concordan cu cadrul de lucru INTOSAI i cu standardele asociate, n ceea ce privete tipul i coninutul aciunilor de verificare desfurate de Curtea de Conturi a Romniei (aciuni de control, misiuni de audit financiar i misiuni de audit al performanei), n condiiile extinderii accentuate a informatizrii instituiilor publice, auditul sistemelor informatice poate constitui o component a acestor aciuni sau se poate desfura de sine stttor, de regul prin misiuni de audit al performanei implementrii i utilizrii de sisteme, soluii informatice sau servicii electronice care fac obiectul unor programe naionale sau proiecte complexe de impact pentru societate, avnd efecte n planul moderniz rii unor domenii sau activiti. Aciunile specifice de audit al sistemelor informatice din ansamblul competenelor atribuite CCR, se desfoar pe baza programului anual de activitate, aprobat de Plenul Curii de Conturi. Aceste aciuni se refer la auditul IT / IS, respectiv auditul arhitecturilor i infrastructurilor IT, precum i auditul sistemelor, aplicaiilor i serviciilor informatice i reprezint o activitate de evaluare a sistemelor informatice prin prisma optimizrii managementului resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti, servicii, resurse umane etc.), n scopul atingerii obiectivelor entitii, prin asigurarea unor criterii de: eficien, confidenialitate, integritate, disponibilitate, siguran n funcionare i conformitate cu un cadru de referin (standarde, bune practici, cadru legislativ etc.). Prin intermediul rapoartelor de audit al sistemelor informatice, Curtea de Conturi furnizeaz prilor interesate (Parlament, Guvern, entiti auditate, instituii interesate i ceteni), informaii privind performana implementrii i utilizrii infrastructurilor bazate pe tehnologia informaiei i efectele obinute n planul modernizrii activitii prin informatizarea acesteia, precum i ncrederea pe care sistemul o asigur utilizatorului (instituii publice, ceteni). Generic, acestea se materializeaz n reducerea timpului de acces la informaie, prevenirea pierderii ori nlocuirii informaiei, creterea gradului de securitate a
Pag. 126 din 214

informaiilor, protecia datelor personale, reducerea birocraiei i a blocajelor la ghieu, promovarea culturii informatice n rndul cetenilor, reducerea real a costurilor administrative, furnizarea i utilizarea de informaii n timp real prin extinderea serviciilor electronice bazate pe implementarea tehnologiilor web, asigurarea compatibilitii i interoperabilitii cu sistemele similare disponibile n rile Uniunii Europene.

4.1.1 Domeniul de aplicare


Armonizarea abordrilor cu tendinele strategice stabilite la nivelul INTOSAI, precum i stabilirea direciilor strategice n domeniul auditului IT / IS n cadrul Curii de Conturi a Romniei se raporteaz att la abordrile instituiilor supreme de audit de prestigiu din cadrul INTOSAI i ale unor instituii cu tradiie n auditul extern, ct i la cerinele standardelor i bunelor practici internaional e (INTOSAI, ISA, ISO 27000, ISACA, COBIT, ITIL). Abordarea auditului IT / IS n cadrul Curii de Conturi a Romniei este n concordan cu direciile de dezvoltare incluse n Planul de lucru pentru perioada 2008-2011 al Grupului de lucru EUROSAI IT-WG i, implicit, n conformitate cu abordarea impus de cadrul de auditare INTOSAI. De asemenea, aceast abordare este consistent cu obiectivele strategice ale CCR i contribuie la realizarea acestora. Cadrul conceptual, metodologic i procedural pentru auditul IT / IS implementat n cadrul Curii de Conturi a Romniei este armonizat cu punctul de vedere asupra auditului n medii informatizate, formulat de Grupul special de lucru EUROSAI IT Working Group, care acord o atenia special auditului sistemelor IT i problematicii asociate i recomand ca auditul IT s devin o parte integrant a tuturor auditurilor desfurate de Instituiile Supreme de Audit. Potrivit cadrului INTOSAI, obiectul auditului sistemelor informatice poate fi focalizat pe programe, proiecte, sisteme informatice sau resurse informatice create sau utilizate n instituiile publice. Acestea pot fi auditate la nivel strategic, operaional sau la nivel de aplicaie. Auditarea se poate desfura pe ntreg ciclul de via al sistemului sau numai pe anumite etape: proiectare, dezvoltare, implementare, producie, livrare, interoperabilitate, acces, utilizare. Auditarea include, de asemenea, i evaluarea conformitii cu legislaia n vigoare. n cadrul misiunilor de audit al sistemelor informatice se va efectua evaluarea componentei aferente controalelor IT / IS implementate n sistemul de control intern al entitii auditate. Constatrile vor evidenia punctele tari i punctele slabe ale sistemului informatic i vor meniona aspectele care tr ebuie remediate. Pe baza acestora se vor formula recomandri privind perfecionarea structurii de procese, controale i proceduri IT existente. Principalele constatri, concluzii i recomandri formulate pe parcursul misiunii de audit vor fi sintetizate i vor fi naintate conducerii entitii auditate, constituind obiectul valorificrii raportului de audit. Modul de implementare a recomandrilor i stadiul implementrii acestora vor fi revizuite periodic, la termene comunicate entitii auditate. Curtea de Conturi desfoar urmtoarele tipuri de audit IT: Evaluarea unui sistem informatic n scopul furnizrii unei asigurri rezonabile privind funcionarea acestuia, asigurare necesar inclusiv misiunilor de audit financiar sau de audit al performanei la care este supus entitatea; Evaluarea performanei implementrii i utilizrii sistemelor informatice; Misiuni de audit mixte, prin integrarea celor trei tipuri de audit: auditul financiar, auditul performanei i auditul IT / IS, acestea urmnd a se desfura n cadrul unor misiuni comune, n funcie de obiectivele stabilite; Auditul unor soluii informatice dezvoltate i implementate pentru a contribui la prevenirea i combaterea corupiei i a evaziunii fiscale;
Pag. 127 din 214

Auditul sistemelor e-guvernare i e-administraie, precum i al serviciilor electronice asociate (sistemul e-licitaie, serviciul electronic declaraii fiscale online etc.), raportat la condiiile prevzute de Directiva 2006/123/CE); Evaluarea unui sistem IT / IS integrat i/sau a unor aplicaii individuale utilizate ca suport pentru asistarea deciziei (sisteme IT / IS utilizate pentru eviden, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de raportare) n cadrul entitii auditate.

n cadrul Curii de Conturi, auditul sistemelor informatice este un audit de tip multidisciplinar cu caracter transversal, interdepartamental. Curtea de Conturi va desfura orice misiuni de audit IT menite s creeze condiiile optime pentru derularea eficient a celorlalte forme de control i audit i s ofere suportul tehnic pentru aceste misiuni. Extinderea utilizrii tehnologiei informaiei n toate domeniile, inclusiv n cel al sistemelor financiar-contabile, care presupune att extinderea controalelor IT n cadrul sistemului de control intern al entitilor auditate/controlate, ct i existena unor programe i proiecte de mare anvergur finanate din fonduri publice, materializate n investiii IT cu valori foarte mari, genereaz necesitatea perfecionrii modelelor tradiionale de auditare i extinderea auditului sistemelor informatice n activitatea Curii de Conturi. In cadrul aciunilor de control i audit financiar desfurate de ctre structurile Curii de Conturi, auditorii publici externi vor efectua evaluri ale sistemelor informatice existente la entitile auditate, pentru a determina dac sistemele i aplicaiile furnizeaz informaii de ncredere pentru aciuni le respective. Pentru misiunile de audit financiar este de o deosebit importan identificarea riscurilor care rezult din utilizarea unui sistem contabil bazat pe tehnologii informatice. Aceste riscuri mresc probabilitatea apariiei unor prezentri semnificativ eronate n situaiile financiare, fapt ce ar trebui luat n considerare de management i de auditori. Riscurile cheie specifice mediilor bazate pe tehnologii informatice sunt: dependena de funcionarea echipamentelor i programelor informatice, vizibilitatea pi stei de audit, reducerea implicrii factorului uman, erori sistematice versus erori incidentale, accesul neautorizat, pierderea datelor, externalizarea serviciilor IT / IS, lipsa separrii sarcinilor, absena autorizrii tradiionale, lipsa de experien n domeniul IT.

4.1.2 Documente de referin (reglementri) aplicabile n domeniul auditului IS / IT


Constituia Romniei; Legea nr. 94/1992 privind organizarea i funcionarea Curii de Conturi, cu modificrile i completrile ulterioare; Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti; Cadrul metodologic i procedural elaborat de structura de specialitate a Curii de Conturi a Romniei, convergent cu standardele de audit generale i specifice adoptate de Curtea de Conturi, n baza standardelor internaionale de audit INTOSAI, ISA, ISACA i a standardelor de securitate. Cadrul conceptual, metodologic i procedural pentru auditul IT / IS implementat n cadrul Curii de Conturi a Romniei este armonizat cu punctul de vedere asupra auditului n medii informatizate, formulat de Grupul special de lucru EUROSAI IT Working Group, care acord o atenia special auditului sistemelor IT i problematicii asociate i recomand ca auditul IT s devin o parte integrant a tuturor auditurilor desfurate de Instituiile Supreme de Audit; Manualul de auditul performanei, elaborat de Curtea de Conturi a Romniei, ediia 2005.
Pag. 128 din 214

4.1.3 Obiective generale i obiective specifice ale auditului IT / IS


Obiectivele misiunii de audit au un rol determinant n abordarea auditului, din acestea decurgnd cerine i restricii privind desfurarea activitilor n toate etapele misiunii de audit: planificarea auditului, efectuarea auditului, raportare, revizuire. Abordarea general a auditului IT / IS se bazeaz pe evaluarea riscurilor. Pentru auditul performanei implementrii i utilizrii sistemelor informatice se asociaz i abordarea pe rezultate. Auditul se poate efectua pentru ntreg ciclul de via al sistemelor i aplicaiilor informatice sau se poate raporta numai la anumite componente specificate sau la anumite etape de dezvoltare a sistemului . Formularea obiectivelor generale se face n funcie de scopul evalurii: evaluarea performanei unei activiti bazate pe tehnologia informaiei, evaluarea unui program sau a unui sistem bazat pe tehnologia informaiei, evaluarea tehnic a unui sistem sau a unor aplicaii, evaluarea unor componente ale sistemului dintr-un punct de vedere precizat. Scopul generic al misiunilor de audit al sistemelor informatice este obinerea unei asigurri rezonabile asupra implementrii i funcionrii sistemului, n conformitate cu prevederile legislaiei n vigoare, cu reglementrile n domeniu, cu standardele internaionale i ghidurile de bune practici, precum i evaluarea sistemului din punctul de vedere al furnizrii unor servicii informatice de calitate sau prin prisma performanei privind modernizarea administraiei i asigurarea ncrederii n utilizarea mijloacelor electronice. n funcie de tematica auditului, auditorul public extern are sarcina de a clarifica obiectivele auditului, de a identifica referenialul pentru efectuarea auditrii (standarde, bune practici, reglementri, reg uli, proceduri, dispoziii contractuale etc.) i de a examina gradul n care cerinele care decurg sunt aplicate i contribuie la realizarea obiectivelor entiti. n principiu, exist dou categorii de probleme care pot constitui obiective generale ale auditului: stabilirea conformitii rezultatelor entitii cu un document de referin, conformitate asupra creia trebuie s se pronune auditorul; evaluarea eficienei cadrului procedural i de reglementare i a focalizrii acestuia pe obiectivele entitii. Pornind de la obiectivul general, se formuleaz obiective specifice care determin direciile de audit, cerinele concrete i criteriile care vor sta la baza evalurilor. Ca obiective specifice generice, se vor avea n vedere: Evaluarea soluiilor arhitecturale i de implementare a sistemului informatic; Evaluarea infrastructurii hardware i software: echipamente, sisteme, aplicaii; Evaluarea implicrii managementului de la cel mai nalt nivel n perfecionarea guvernanei IT; Evaluarea calitii personalului utilizator al sistemelor i aplicaiilor informatice; Evaluarea securitii sistemului informatic; Evaluarea disponibilitii i accesibilitii informaiilor; Evaluarea managementului schimbrilor i al continuitii sistemului; Evaluarea sistemului de management al documentelor; Evaluarea utilizrii serviciilor electronice disponibile; Evaluarea schimbului de informaii i a comunicrii cu alte instituii; Conformitatea cu legislaia n vigoare; Identificarea i analiza riscurilor decurgnd din utilizarea sistemului informatic, precum i a impactului acestora; Evaluarea efectelor implementrii i utilizrii infrastructurii IT n modernizarea activitii entitii auditate.
Pag. 129 din 214

4.1.4 Criterii de evaluare generice


Misiunea de audit al sistemelor informatice are n vedere urmtoarele criterii de evaluare generice: Dac sistemul informatic asigur un cadru adecvat, bazat pe integrarea tehnologiilor informatice pentru desfurarea continu a activitii; Dac activitile desfurate pe parcursul derulrii proiectelor IT / IS sunt conforme cu obiectivele i termenele de realizare, aprobate la nivel instituional, la fundamentarea acestora; Dac pe parcursul proiectelor s-au nregistrat dificulti tehnice, de implementare sau de alt natur; Dac implementarea proiectelor conduce la modernizarea activitii entitii, contribuind la integrarea unor noi metode de lucru, adecvate i conforme cu noile abordri pe plan european i internaional; Dac soluia tehnic este fiabil i susine funcionalitatea cerut n vederea creterii calitii activitii; Dac sistemul informatic funcioneaz n conformitate cu cerinele programelor i proiectelor informatice privind integralitatea, acurateea i veridicitatea, precum i cu standardele specifice de securitate; Dac pregtirea utilizatorilor atinge nivelul performanei cerute de aceast nou abordare, analizat prin prisma impactului cu noile tehnologii; Dac exist i au fost respectate standarde privind calitatea suportului tehnic i metodologic. Aceste criterii vor fi utilizate pe parcursul misiunii de audit IT, din perspectiva crerii, la nivelul instituiilor auditate, a unor arhitecturi de sistem coerente, bazate pe creterea partajrii informaiei i a sistemelor n administraia public, reducerea costurilor totale prin reutilizare i evitarea duplicrii aplicaiilor i sistemelor, reducerea timpului de implementare a proiectelor, mbuntirea manierei de administrare a proiectelor i de implementare a soluiilor (portofoliul de proiecte), stabilirea politicilor de migrare pentru proiectele existente. Criteriile de audit pot fi diferite de la un audit la altul, n funcie de obiectivele specifice ale misiunii de audit.

4.1.5 Determinarea naturii i volumului procedurilor de audit


Natura i volumul procedurilor de audit necesare pentru evaluarea controalelor aferente mediului informatizat variaz n funcie de obiectivele auditului i de ali factori care trebuie luai n considerare: natura i complexitatea sistemului informatic al entitii, mediul de control al entitii , precum i conturile i aplicaiile semnificative pentru obinerea situaiilor financiare. Auditorul public extern cu atribuii de evaluare a sistemului IT i auditorul public extern cu atribuii de auditare a situaiilor financiar contabile trebuie s coopereze pentru a determina care sunt activitile care vor fi incluse n procesul de revizuire. Cnd auditul sistemului informatic este o parte din misiunea de audit financiar, evaluarea controalelor IT face parte dintr-un efort consistent att de evaluare a controalelor, ct i de evaluare a fiabilitii datelor financiare raportate.

Pag. 130 din 214

4.1.6 Revizuirea controalelor IT n cadrul misiunilor de audit financiar


Misiunile de audit financiar au un rol central n furnizarea unor informaii financiare mai fiabile i mai utile factorilor de decizie i n perfecionarea sistemului de control intern pentru a fi adecvat cu sistemele de management financiar. Controalele IT reprezint un factor semnificativ n atingerea acestor scopuri i n nelegerea de ctre auditor a structurii controlului intern al entitii. Acestea trebuie luate n considerare pe parcursul ntregului ciclu de via al auditului.

4.2

Etapele auditului sistemelor informatice

Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea i revizuirea auditului. Structura de specialitate care efectueaz misiunea de audit al sistemelor informatice ntiineaz, prin adresa de notificare, entitile incluse n programul de activitate, aprobat de plenul Curii de Conturi, asupra misiunii de audit ce urmeaz a se realiza la acestea. Misiunea de audit al sistemelor informatice se deschide n cadrul unei ntlniri cu conducerea entitii auditate, organizate la sediul acesteia, iniiate de structura de specialitate a Curii de Conturi care desfoar auditul. Din partea Curii de Conturi, la ntlnire pot s participe eful departamentului / directorul din cadrul departamentului sau directorul / directorul adjunct al camerei de conturi, dup caz, i echipa de audit desemnat. n cadrul ntlnirii de deschidere a auditului se prezint echipa de audit, tema i obiectivele auditului, se stabilesc persoanele de contact, precum i alte detalii necesare realizrii auditului i se clarific aspectele legate de asigurarea unor spaii de lucru adecvate i a suportului logistic corespunztor. Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui s aib suficiente cunotine n domeniul tehnologiei informaiei i comunicaiilor, care s -i permit nelegerea strategiilor, politicilor i activitilor care fac obiectul auditului. De asemenea, auditorul public extern trebuie s dein cunotinele necesare pentru identificarea riscurilor induse de funcionarea sistemului informatic, precum i pentru evaluarea m etodelor de tratare a acestor riscuri (gradul de adecvare al sistemelor de control intern, inclusiv infrastructura de securitate i controalele aferente). nelegerea acestui domeniu i va permite auditorului s determine natura, durata i ntinderea procedurilor de audit, s stabileasc efectul dependenei entitii de sistemul informatic i s evalueze capacitatea entitii de a asigura continuitatea activitii. Auditorul trebuie s planifice i s efectueze auditul astfel nct s obin o asigurare rezonabil privind existena sau absena unor anomalii, deficiene de implementare sau erori semnificative. Metodologia care trebuie utilizat pentru evaluarea controalelor IT / IS presupune att evaluarea controalelor generale aferente mediului de implementare a sistemului informatic la nivelul entitii, ct i evaluarea controalelor de aplicaie, asupra datelor de intrare, a prelucrrilor i a datelor de ieire asociate cu aplicaiile individuale. Controalele generale vizeaz strategiile, politicile i procedurile care se aplic tuturor sistemelor informatice ale entitii sau numai asupra unui segment al acestora, cum ar fi de exemplu protecia datelor, protecia programelor, prevenirea accesului neautorizat, asigurarea continuitii sistemului.

Pag. 131 din 214

Eficacitatea controalelor generale este un factor semnificativ n determinarea eficacitii controalelor de aplicaie. Fr un sistem de controale generale fiabil, controalele de aplicaie nu pot fi eficace din cauza nesiguranei n ceea ce privete protecia fa de tentativele de alterare sau de distrugere a informaiilor i programelor sau fa de atacurile fizice asupra sistemului de calcul. Controalele de aplicaie sunt specifice fiecrei aplicaii i ofer asigurarea c tranzaciile sunt valide, autorizate, prelucrate i raportate complet. Acest tip de controale include tehnici de control automate sau revizuiri manuale ale rapoartelor (situaiilor) generate de calculator i identificarea articolelor eronate sau neuzuale. Att controalele generale ct i controalele de aplicaie trebuie s fie eficace pentru a contribui la obinerea unei asigurri c informaia critic obinut n urma prelucrrilor pe calculator este fiabil, adecvat, disponibil i protejat n ceea ce privete confidenialitate a.

4.2.1 Planificarea auditului


Planificarea este prima etap din ciclul de via al auditului, corectitudinea acesteia asigurnd eficiena i execuia efectiv a tuturor celorlalte etape ale auditului. Planificarea presupune obinerea de informaii privind entitatea auditat i de informaii despre sistemul de control intern al acesteia. De asemenea, i foarte important, planificarea trebuie s includ o evaluare a riscurilor care decurg din funcionarea acestor sisteme. Planificarea auditului are la baz o strategie de audit, care se formuleaz pornind de la definirea abordrii auditului i precizeaz elemente legate de coordonarea misiunii de audit, echipa implicat n aceast misiune, atribuiile n cadrul echipei, orizontul de timp i direciile principale de aciune. Scopul planificrii auditului IT / IS este acela de a obine o nelegere a mediului n care funcioneaz sistemul informatic n cadrul entitii auditate, de a evalua riscul de eroare sau de fraud, de a elabora o abordare eficient a auditului prin care s se colecteze probe suficiente i de ncredere n scopul formrii unei opinii, i de a aloca resursele necesare pentru realizarea acestor activiti. Planificarea activitilor are n vedere minimizarea costurilor auditului. Planificarea auditului sistemelor informatice trebuie s includ toate fazele necesare atingerii obiectivelor misiunii auditului, respectiv: documentarea privind activitatea auditat, programul sau sistemul care face obiectul auditului, stabilirea strategiei de audit, stabilirea procedurilor de audit i a tehnicilor aferente, a metodelor de sintetizare, analiz i interpretare a probelor de audit, identificarea i evaluarea riscurilor generate de furnizarea serviciilor electronice. n cazul auditrii sistemelor informatice financiar-contabile, trebuie analizat impactul acestor sisteme asupra planului misiunii de audit. Aceast analiz are la baz urmtoarele activiti: cunoaterea relaiei dintre situaiile financiare i sistemele informatice care le susin; evaluarea necesitii implicrii n audit a specialitilor n audit IT / IS; luarea n considerare a impactului implementrii i utilizrii sistemului informatic asupra riscului, att la nivelul entitii ct i pentru domeniul financiar-contabil; luarea n considerare a posibilitilor de utilizare a tehnicilor de audit asistat de calculator pentru susinerea auditului, inclusiv identificarea celor mai adecvate mijloace de accesare i analiz a datelor aferente tranzaciilor; analiza modului de includere a evalurii controalelor IT n abordarea auditului; identificarea sistemelor informatice financiar-contabile n curs de dezvoltare care vor necesita implicarea auditului.

Pag. 132 din 214

Aceste activiti fac parte din evaluarea IT / IS pe care auditorii trebuie s o finalizeze ca parte integrant a planificrii auditului. Dac sistemele au un grad de complexitate ridicat, este indicat s se utilizeze un specialist n audit IT / IS pentru a finaliza sau a asigura consultan pentru finalizarea ntregii analize sau a unei pri din aceasta. Dac exist o evaluare anterioar finalizat, aceasta poate fi actualizat i se va pune accent pe revizuirea aplicaiilor noi i pe schimbrile majore ale sistemelor existente. Sistemul informatic constituie suportul furnizrii informaiei i devine indispensabil n condiiile Societii Informaionale. Datorit extinderii misiunilor de audit financiar i a aciunilor de control care se desfoar n medii informatizate, se accentueaz necesitatea asigurrii convergenei metodelor i standardelor de audit financiar cu metodele i standardele de audit IT. Pentru a verifica satisfacerea cerinelor pentru informaie (eficacitate, eficien, confidenialitate, integritate, disponibilitate, conformitate i ncredere), se va avea n vedere, auditarea sistemului informatic care furnizeaz informaia financiar -contabil. Documentarea n auditul sistemelor informatice Pentru stabilirea unei strategii de audit, auditorul trebuie s obin informaii i cunotine legate de entitatea auditat i de mediul n care aceasta opereaz. Activitatea de documentare are ca scop cunoaterea obiectivelor entitii cu privire la performana tehnologiei informaiei, precum i a principalelor aspecte legate de coordonarea, structura i funcionalitatea sistemelor, serviciilor i aplicaiilor care susin obiectivele, n vederea alegerii celor mai adecvate metode, tehnici i proceduri de audit. n faza de planificare, auditorul obine o nelegere a operaiilor i controalelor IT i a riscurilor asociate. Prin prisma acestor riscuri, auditorul decide care controale sunt cel mai probabil s fie eficace. n situaia n care controalele au o probabilitate mare de a fi eficace i dac sunt relevante pentru obiectivele misiunii de audit, auditorul trebuie s determine natura i volumul procedurilor de audit necesare pentru a confirma ipotezele. n situaia n care controalele nu au o probabilitate mare de a fi eficace, auditorul trebuie s obin o nelegere suficient a riscurilor de control asociate pentru a formula constatri adecvate i recomandri asociate privind aciuni corective. De asemenea, auditorul trebuie s determine natura, ntinderea i volumul testelor necesare, n vederea alegerii celor mai adecvate metode, tehnici i proceduri de audit. Metodele utilizate pentru colectarea informaiilor n faza de documentare sunt: o prezentri n cadrul unor discuii preliminare cu reprezentanii managementului entitii auditate; o consultarea unor materiale documentare relevante privind activitatea entitii; o consultarea legislaiei aferente tematicii; o consultarea documentaiilor tehnice; o documentare n domeniul standardelor i bunelor practici; o interviuri cu persoanele implicate n coordonarea, monitorizarea, administrarea, ntreinerea i utilizarea sistemului informatic; o participarea la demonstraii privind utilizarea sistemului; o studiul documentar realizat prin accesarea pe Internet a unor informaii publicate pe website -ul entitii auditate. Cunoaterea suficient a entitii, respectiv a sistemului informatic este fundamental pentru planificarea i efectuarea procedurilor de audit, precum i pentru definirea criteriilor, metodelor i tehnicilor de evaluare a rezultatelor i a indicatorilor de performan. Pe baza acesteia, auditorul realizeaz o evaluare preliminar a sistemului i identific punctele critice care vor fi testate n detaliu n cadrul auditului. In faza de cunoatere a entitii, auditorul va lua n considerare identificarea i analiza factorilor care pot influena procesul de audit: o componentele sistemului; o activitile, problematica i nivelele de decizie; o atribuiile entitii, pe nivele de implicare;
Pag. 133 din 214

o o o o o

coordonarea i monitorizarea proiectelor IT; normele metodologice i standardele n domeniu; cadrul legislativ i de reglementare n care entitatea i desfoar activitatea; soluia organizatoric privind implementarea sistemului informatic (desfurare n teritoriu, etapizarea activitilor, alocarea sarcinilor i responsabilitilor, selecia person alului); arhitectura sistemului informatic: platforma hardware / software (soluii de implementare, echipamente, arhitecturi de reea, licene, desfurare n teritoriu, locaii funcionale, versiuni operaionale); fluxuri de colectare / transmitere / stocare a informaiilor (documente text, coninut digital, tehnici multimedia); factorii care influeneaz funcionalitatea sistemului: complexitatea componentelor software, sistemul de constituire, achiziie, validare, utilizare a fondului documentar (documen te text, coninut digital, tehnici multimedia), operarea sistemului, interfaa utilizator, schimbul de date ntre structuri, interoperabilitate, anomalii n implementare, modaliti de raportare i operare a coreciilor, sigurana n funcionare, rata cderilor, puncte critice, instruirea personalului utilizator, documentaie tehnic, ghiduri de operare, forme i programe de instruire a personalului, asigurarea suportului tehnic; raportarea i soluionarea problemelor tehnice, organizatorice, de personal.

n cadrul documentrii se vor identifica punctele critice care acumuleaz potenialul unor riscuri generate de implementarea i utilizarea sistemului informatic:

slaba implicarea a managementului; obiective neatinse sau ndeplinite parial; iniiative nefundamentate corespunztor; sisteme interne de control organizate sau conduse necorespunztor; pierderi importante cauzate de calamiti naturale, furturi etc.; lipsa ncrederii n tehnologia informaiei; lipsa de interes fa de planificarea continuitii sistemului (proceduri de salvare a datelor, securitatea sistemului informatic, recuperare n caz de dezastru); calitatea necorespunztoare a serviciilor furnizate utilizatorilor sistemului; cheltuieli nejustificate: intranet, Internet, resurse umane; costuri i depiri semnificative ale termenelor; existena unor reclamaii, observaii, contestaii.

Pentru toate tipurile de audit, se va realiza o evaluare a controalelor generale IT pe baza Listei de verificare a controalelor generale IT, care conine urmtoarele categorii de obiective de control: managementul funciei IT; securitatea fizic i controalele de mediu; securitatea informaiei i a sistemelor; continuitatea sistemelor; managementul schimbrii i dezvoltarea de sistem; auditul intern. Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului. De asemenea, se va analiza modul n care aceste controale afecteaz eficacitatea sistemului de control intern al entitii. Evaluarea riscurilor Dup obinerea unei nelegeri asupra mediului informatizat al entitii, auditorul va evalua riscul inerent i riscul de control, factori care se iau n considerare la determinarea riscului de audit. Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat n termenii urmtoarelor trei componente:
Pag. 134 din 214

Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra resurselor controlate de sistemul informatic: furt material, distrugere, dezvluire, modificri neautorizate, incompatibilitate, n lipsa controalelor interne asociate. Riscul de control, care reprezint riscul ca erorile materiale din datele entitii s nu fie prevenite sau detectate i corectate n timp util de structura controlului intern al entitii. Riscul de nedetectare, care reprezint riscul ca auditorul s nu detecteze erorile existente n sistem.

Factori care afecteaz riscul inerent Operaiile informatizate pot introduce factori adiionali de risc inerent. Auditorul trebuie s ia n considerare aceti factori i s evalueze impactul prelucrrilor pe calculator asupra riscului inerent. Pentru sistemele informatice financiar-contabile, cei mai relevani factori indui de mediul informatizat sunt menionai n continuare. Prelucrarea uniform a tranzaciilor: favorizeaz propagarea erorilor pentru tranzaciile similare i reduce substanial posibilitatea prelucrrii selective a erorilor. Prelucrarea automat: probele aferente acestor operaiuni pot sau nu pot fi vizibile. Potenial crescut de nedetectare a greelilor: se datoreaz implicrii umane n prelucrare mai puin dect n sistemele manuale, ceea ce crete potenialul obinerii a ccesului neautorizat al indivizilor la informaiile sensibile i al alterrii datelor fr probe vizibile. Datorit formatului electronic, schimbrile programelor i datelor sunt dificil de detectat. De asemenea, este probabil ca utilizatorii s poat interveni mai uor asupra formei electronice dect asupra rapoartelor manuale. Existena, completitudinea i volumul parcursului auditului: parcursul auditului financiar reprezint proba care demonstreaz modul n care a fost iniiat, prelucrat i agregat o tranzacie specific i reprezint o cerin fundamental. Anumite sisteme informatice sunt proiectate pentru a reine parcursul auditului numai pentru o perioad scurt, numai n format electronic i numai ntr-o form sintetic. De asemenea, informaia generat poate fi prea voluminoas pentru a putea fi analizat cu eficacitate. Tranzaciile pot rezulta dintr -o agregare a informaiei din numeroase surse. Fr utilizarea unor produse software de regsire i prelucrare, extragerea tranzaciilor ar putea deveni extrem de dificil. Fr un parcurs al auditului, poate s nu fie fezabil formularea unei opinii categorice privind situaiile financiare. Sistemele financiare trebuie s permit auditorului s urmreasc tranzaciile ncepnd cu intrarea iniial, tranzaciile generate de sistem i tranzaciile cu alocare intern; pn la reflectarea lor corect n situaiile financiare. Toate datele relevante i informaiile de parcurs al auditului financiar trebuie reinute un timp suficient pentru finalizarea aud itului. Documentele surs trebuie de asemenea s fac parte din parcursul auditului financiar, i acestea trebuie i ele s fie pstrate pn la finalizarea auditului. Natura configuraiei hardware i software utilizate: tipul de prelucrare (local, online, distribuit); dispozitivele periferice, interfeele sistem sau conexiunea la Internet; reelele distribuite, furnizarea serviciilor IT. Riscurile tipice sunt: accesul neautorizat la resursele sistemului, posibila alterare a datelor, dezvluirea informaiilor sensibile, dependena de furnizorul de programe. Tranzacii neuzuale: Programele dezvoltate pentru prelucrarea tranzaciilor neuzuale sau la o cerere special a managementului pentru extragerea unor informaii specifice se plaseaz n afara sistemului standard.

Pag. 135 din 214

Factori care afecteaz riscul de control n anul 1992, The Committee of Sponsoring Organizations of the Treadway Commission (COSO) a identificat urmtoarele componente interrelaionate ale sistemului de control intern care au fost adoptate de AICPA67: Mediul de control, care include: integritatea, valorile etice i competena personalului entitii; viziunea managementului i stilul de operare i modul n care managementul i manifest autoritatea, i organizeaz i dezvolt resursele umane. Evaluarea riscurilor: identificarea i analiza riscurilor relevante pentru atingerea obiectivelor entitii, n scopul formrii unei baze pentru determinarea modului n care acestea pot fi gestionate. Activitile de control: politicile i procedurile care ofer asigurarea c deciziile managementului sunt aduse la ndeplinire. Acestea includ activiti care presupun: aprobri, verificri, reconcilieri, revizuiri ale performanei i separarea atribuiilor. Informarea i comunicarea, care presupun identificarea, capturarea i comunicarea informaiei pertinente ctre indivizi, ntr-o form adecvat i ntr-un timp care s le permit ndeplinirea responsabilitilor. Monitorizarea: se refer la activitile viitoare care presupun evaluarea continu a perfor manei controlului intern i asigurarea c deficienele identificate sunt raportate manage mentului de vrf. Atunci cnd evalueaz sistemul de control intern, auditorul trebuie s ia n considerare factorii specifici mediului informatizat. De exemplu, auditorul trebuie s ia n considerare atitudinea i contientizarea managementului n ceea ce privete operaiile informatizate: Considerarea riscurilor i beneficiilor aplicaiilor informatice; Comunicarea politicilor privind funciile informatizate i responsabilitile; Supervizarea politicilor i procedurilor referitoare la dezvoltarea, modificarea, ntreinerea i utilizarea programelor i fiierelor, precum i pentru controlul accesului la acestea; Considerarea riscului inerent i a riscului de control aferente calculatoarelor i datelor electronice; Reacia la recomandrile i cerinele anterioare; Planificarea operativ i eficace a activitilor IT / IS; Contientizarea dependenei de sistemul informatic n luarea deciziei.

Riscurile generice asociate sistemului informatic, detectate pe parcursul unei misiuni de audit al sistemelor informatice vor fi clasificate n trei categorii: a) Riscuri privind planificarea, dezvoltarea i introducerea sistemelor i serviciilor informatice Aceste riscuri decurg din: Lipsa unei planificri strategice; Insatisfacia utilizatorilor; ignorarea explorrii profilului utilizatorilor; Neglijarea aspectelor legate de asigurarea calitii; Lipsa unor evaluri privind eficacitatea costurilor; Nendeplinirea atribuiilor privind crearea cadrului necesar legal i organizaional; Implicarea sporadic i inconsecvent n elaborarea i implementarea reglementrilor i standardelor IT i de securitate; Furnizarea neadecvat a infrastructurii tehnice; Dependena de companiile IT;
67

AICPA - American Institute of Certified Public Accountants Pag. 136 din 214

Lipsa reglementrii drepturilor privind reeaua Internet; Lipsa unor evaluri ale proiectelor raportate la evoluiile tehnologiilor informaiei i comunicaiilor .

b) Riscuri n funcionarea sistemelor i serviciilor informatice Aceste riscuri decurg din: Politici de securitate IT tehnic i organizaional neadecvate, care afecteaz integritatea, autenticitatea, confidenialitatea i disponibilitatea informaiilor; securizarea transferului de date; Capabilitile de auditare a informaiilor; Securitatea tranzaciilor; Redundan, discontinuiti media i interoperabilitate neadecvat. c) Riscuri i efecte n plan economic Aceste riscuri decurg din: Decizii neadecvate, datorate pierderilor sau alterrii informaiilor furnizate de sistemul informatic; Pierderi datorate unor disfuncionaliti generate de indisponibilitatea informaiilor n timp real; Dezvoltarea i implementarea necontrolat a unor componente informatice eterogene; Cheltuieli dispersate, nejustificate; Scderea eficienei serviciilor informatice furnizate. Procedurile de audit vor furniza elemente pentru fundamentarea opiniei de audit privind gestionarea resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti, resurse umane etc.), n scopul atingerii obiectivelor entitii, prin asigurarea eficienei, confidenialitii, integritii, disponibilitii, siguranei n funcionare i conformitii cu un cadru de referin (standarde, bune practici, cadru legislativ etc.). Aceast opinie trebuie s includ, n cazul neconformitilor, nivelul de risc (minor, mediu, major) i s contribuie prin recomandrile formulate la remedierea acestora. Evaluarea riscurilor se va efectua n conformitate cu urmtoarele criterii generale:

Utilizarea sistemului informatic se realizeaz n cadrul unei structuri clar definite; conducerea la cel mai nalt nivel este informat despre activitatea IT i este receptiv la schimbare; gestionarea resurselor umane se face eficient; monitorizarea cadrului legislativ i a contractelor cu principali i furnizori se desfoar corespunztor; are loc revizuirea funcionalitii, operrii i dezvoltrilor de componente, astfel nct acestea s fie n concordan cu necesitile activitii entitii i s nu expun entitatea la riscuri nejustificate. Accesul neautorizat la datele sau programele critice este prevenit i controlat; mediul n care opereaz sistemele este sigur din punct de vedere al confidenialitii, integritii i credibilitii. Aplicaiile sunt disponibile atunci cnd este nevoie, funcioneaz conform cerinelor, sunt fiabile i au implementate controale sigure asupra integritii datelor. Sunt luate msurile necesare pentru diminuarea riscului deteriorrii (accidentale sau deliberate) sau al furtului echipamentelor IT, se acioneaz corespunztor pentru reducerea probabilitii apariiei unor defeciuni majore i sunt stabilite msurile necesare pentru ca, n cazul indisponibilizrii facilitilor de procesare, entitatea s i reia n mod eficient activitatea, ntr -o perioad de timp rezonabil. Sistemul este conform cu reglementrile legale n vigoare.

n evaluarea riscurilor IT se va utiliza Lista de verificare privind evaluarea riscurilor generate de funcionarea sistemului informatic. Aceasta conine urmtoarele categorii de probleme generatoare de riscuri:
Pag. 137 din 214

dependena de sistemul informatic; resursele i cunotinele de tehnologia informaiei; ncrederea n sistemul informatic; schimbrile n sistemul informatic; externalizarea serviciilor de tehnologia informaiei; focalizarea pe activitate; securitatea informaiei i a sistemului; managementul tehnologiei informaiei.

Aceast list nu exclude adugarea altor categorii de probleme considerate semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului. Descrierea riscurilor identificate de auditorii publici externi trebuie s includ informaii privind cauzele i impactul posibil al acestora, precum i nivelul de risc (mic, mediu sau mare) evaluat de auditorul public extern pe baza raionamentului profesional. Elaborarea Planului de audit Planul de audit ofer cadrul general pentru atingerea obiectivelor auditului ntr -un mod eficient i oportun. Pe parcursul desfurrii auditului, se admit ajustri ale planului de audit, justificate de apariia unor elemente noi fa de evaluarea contextului iniial, care necesit adncirea unor investigaii i aplicarea unor proceduri de audit mai detaliate. Planul de audit conine informaii privind natura, durata i programarea procedurilor de audit, precum i resursele necesare (de personal, financiare, tehnice, documentare etc.). Elaborarea planului de audit se concentreaz pe urmtoarele direcii: definirea ariei de acoperire a auditului, descrierea modului n care se va desfura auditul, furnizar ea unui mijloc de comunicare a informaiilor despre audit ntregului personal implicat n auditare. Planul de audit conine urmtoarele seciuni: 1. Informaii despre entitatea auditat: obiective, structur, dotare hardware i software, volumul operaiilor prelucrate automat; 2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul auditorului IT; 3. Evidenierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat; 4. Criteriile de audit stabilite; 5. Etapele misiunii de audit i tipurile de evaluri aferente: procedurile de audit prin care se obin probele de audit, metodele i tehnicile de analiz, sintez i interpretare a probelor de audit; 6. Resurse necesare: personal, timp, resurse tehnice i financiare. Planul de audit se avizeaz de directorul din cadrul departamentului de specialitate / directorul adjunct al camerei de conturi i se aprob de eful de departament / directorul camerei de conturi. Planul de audit al sistemelor informatice poate fi actualizat pe parcursul desfurrii misiunii de audit de ctre membrii echipei, cu aprobarea conducerii structurilor de specialitate ale Curii de Conturi, n situaii temeinic justificate. Auditorii publici externi trebuie s comunice cu entitatea auditat ntr-o manier constructiv, pe tot parcursul desfurrii misiunii de audit, prin organizarea unor ntlniri sau prin mijloace electronice. In scopul ndeplinirii obiectivelor din Planul de audit, auditorii publici externi vor elabora proceduri de audit pentru categoriile de probleme specifice sistemelor informatice: evaluarea calitii managementului,
Pag. 138 din 214

securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului informatic, continuitatea sistemului, managementul schimbrii i al dezvoltrii sistemului, funcionalitatea aplicaiilor, calitatea auditului intern cu privire la sistemul informatic, evaluarea riscurilor generate de funcionarea sistemului informatic. Aceste proceduri au asociate instruciuni metodologice, liste de verificare, machete i chestionare, dup caz. Procedurile de audit se refer la obinerea probelor de audit, la analiza probelor de audit i la sintetizarea rezultatelor.

4.2.2 Efectuarea auditului


Obinerea probelor de audit Probele de audit specifice sistemelor informatice pot fi ncadrate n urmtoarele categorii: a) Probe de audit fizice - rezultate din demonstraii ale aplicaiilor, documentaii tehnice, diagrame, scheme de arhitectur i alte elemente echivalente acestora. b) Probe de audit verbale rspunsuri la interviuri, sondaje. c) Probe de audit documentare documente, documentaii, manuale n form scris sau n format electronic. d) Probe de audit analitice rezultate obinute n urma evalurilor i analizei fondului de informaii (indicatori, tendine). Auditorii publici externi vor colecta probe de audit suficiente i adecvate. n cazul n care probele de audit nu sunt suficiente i/sau adecvate, auditorii publici externi vor extinde procedurile de colectare cu teste suplimentare, aprofundate asupra sistemului informatic. n cadrul auditului se vor efectua teste asupra controalelor specializate pentru identificarea unor elemente sau aciuni care constituie factori de risc i se va face o analiz a impactului acestora asupra activitii entitii. Alterarea probelor de audit poate fi cauzat de existena unor anomalii sau erori sistematice ale funcionrii programelor, care afecteaz prelucrarea ntregului fond de date i conduc la obinerea unor rezultate eronate, greu de corectat prin proceduri manuale, avnd n vedere volumul mare al tranzaciilor i complexitatea algoritmilor de prelucrare. Ca urmare a gestionrii automate a unui volum mare de date, fr implicare uman, exist riscul nedetectrii pentru o perioad lung de timp a unor erori datorate unor anomalii de proiectare sau de actualizare a unor componente software. Tehnici de audit Pentru obinerea probelor de audit se vor utiliza, n principal, urmtoarele tehnici de audit:

Realizarea de interviuri cu persoane cheie implicate n proiect (coordonatori, utilizatori, administratori de sistem IT etc.); Utilizarea chestionarelor i machetelor; Examinarea unor documentaii tehnice, economice, de monitorizare i de raportare: grafic e de implementare, coresponden, rapoarte interne, situaii de raportare, rapoarte de stadiu al proiectului, registre de eviden, documentaii de monitorizare a utilizrii, contracte, sinteze statistice, metodologii, standarde; Participarea la demonstraii privind utilizarea sistemului ; Evaluarea portalului i a serviciilor electronice; Utilizarea tehnicilor i instrumentelor de audit asistat de calculator ( IDEA, TeamMate, ACL sau alte aplicaii utilizate);
Pag. 139 din 214

Documentarea pe Internet n scopul informrii asupra unor evenimente, comunicri, evoluii legate de sistemul IT sau pentru consultarea unor documentaii tehnice.

Colectarea i inventarierea probelor de audit Colectarea i inventarierea probelor de audit se refer la constituirea fondului de date n format electronic i / sau n format tiprit pe baza machetelor, chestionarelor i a listelor de verificare completate, precum i la organizarea i stocarea acestora. Natura probelor de audit este dependent de scopul auditului i de modelul de auditare utilizat. Dei modelele de auditare pot diferi n ceea ce privete detaliile, ele reflect i acoper cerina comun de a furniza o asigurare rezonabil c obiectivele i criteriile impuse n cadrul unei misiuni de audit (de exemplu, audit financiar) sunt satisfcute. Documentarea probelor de audit Obinerea probelor de audit i nscrierea acestora n documentele de lucru reprezint activiti eseniale ale procesului de audit. Documentele de lucru se ntocmesc pe msura desfurrii activitilor din toate etapele auditului. Documentele de lucru trebuie s fie ntocmite i completate cu acuratee, s fie clare i inteligibile, s fie lizibile i aranjate n ordine, s se refere strict la aspectele semnificative, relevante i utile din punctul de vedere al auditului. Aceleai cerine se aplic i pentru documentele de lucru utilizate n format electronic. Documentarea corespunztoare a activitii de audit are n vedere urmtoarele considerente:

Confirm i susine opiniile auditorilor exprimate n raportul de audit; mbuntete performana activitii de audit; Constituie o surs de informaii pentru pregtirea raportului de audit sau pentru a rspunde oricror ntrebri ale entitii auditate sau ale altor pri interesate; Constituie dovada respectrii de ctre auditor a standardelor i a manualului de audit; Faciliteaz monitorizarea auditului; Furnizeaz informaii privind expertiza n audit.

Documentele de lucru, elaborate n format tiprit, vor fi organizate n dosare, iar documentele elaborate n format electronic vor fi organizate n colecii de fiiere i / sau baze de date. Documentele trebuie s fie prezentate ntr-o manier inteligibil, coerent, consistent cu obiectivele auditului. Pentru descrierea sistemelor entitii auditate se utilizeaz urmtoarele tipuri de documente: diagra me de tip flowchart, prezentri narative, machete i chestionare. Alegerea acestor tehnici variaz n funcie de practicile locale de audit, de preferina personal a auditorului i de complexitatea sistemelor auditate. Diagramele flowchart exprim n mod grafic descrierea sistemului auditat. Diagramele flowchart nregistreaz ciclul de via al unei tranzacii, de la iniiere pn la stocarea acesteia i evideniaz controalele i procedurile automate i manuale. Descrierea narativ a ciclului de prelucrare a tranzaciilor este utilizat, de asemenea, n documentarea sistemelor. Se utilizeaz n conjuncie cu alte metode de documentare a sistemelor. Descrierea narativ include: obiectivele sistemului i intele, procesele i procedurile, legturi i interfee cu alte sisteme, controale, proceduri pentru condiii speciale. Listele de verificare n cazul evalurilor efectuate pentru auditarea infrastructurii IT, se vor utiliza urmtoarele liste de verificare:
Pag. 140 din 214

Lista de verificare privind evaluarea controalelor generale IT; Lista de verificare privind evaluarea riscurilor generate de funcionarea sistemului IT.

Aceste liste de verificare se vor utiliza i n cadrul misiunilor de audit financiar sau de audit al performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de funcionarea sistemului informatic. Listele de verificare generice nu exclud adugarea altor categorii de probleme considerate semnificative de ctre auditor, n funcie de obiectivele specifice ale auditului. n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar-contabil pentru a formula o opinie privind ncrederea n informaiile furnizate de sistemul informatic, auditorul public extern va elabora Lista de verificare pentru testarea controalelor IT specifice aplicaiei financiar-contabile, care conine urmtoarele categorii de controale de aplicaie: controale privind integritatea fiierelor; controale privind securitatea aplicaiei; controale ale datelor de intrare; controale de prelucrare; controale ale ieirilor; controale privind reeaua i comunicaia; controale ale fiierelor cu date permanente.

n Anexa 5 este prezentat o list de verificare generic pentru testarea controalelor IT specifice aplicaiei financiar-contabile. Aceasta poate fi extins de auditor, n condiiile n care sunt necesare teste de audit suplimantare. n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar. n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca suport pentru asistarea deciziei, constituind sisteme IT / IS utilizate pentru evidena, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de raportare. Din acest motiv, o categorie special de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare. Cerinele legislative i de reglementare includ: Legislaia din domeniul finanelor i contabilitii; Legislaia privind protecia datelor private i legislaia privind protecia datelor personale; Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice; Reglementri financiare i bancare; Legile cu privire la proprietatea intelectual.

n cazul sistemelor complexe sau desfurate la scar naional (de exemplu, Sistemul Electronic Naional) se folosesc liste de verificare specializate elaborate n cadrul Curii de Conturi a Romniei: lista de verificare pentru evaluarea guvernanei sistemelor de tip e-guvernare, lista de verificare pentru evaluarea portalului web, lista de evaluare a perimetrului de securitate, liste de verificare pentru evaluarea serviciilor electronice, liste de verificare pentru evaluarea cadrului de interoperabilitate, precum i alte liste de verificare a cror necesitate decurge din obiectivele auditului. Avnd n vedere specificul i complexitatea ridicat a unor astfel de misiuni de audit, cadrul de auditare asociat necesit o tratare separat. Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare urmtoarele aspecte:
Pag. 141 din 214

Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii; Modul n care managementul adecvat al configuraiilor IT contribuie la creterea valorii adugate prin utilizarea sistemului informatic, reflectat n economii privind costurile de achiziie i creterea calitii serviciilor; Creterea semnificativ a productivitii unor activiti de rutin foarte mari consumatoare de timp i resurse, care, transpuse n proceduri electronice (tehnoredactare, redactarea automat a docu mentelor, cutri n arhive electronice, reutilizarea unor informaii, accesarea pachetelor software legislative), se materializeaz n reduceri de costuri cu aceste activiti; Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii unor proceduri pentru remedierea acestora; Eliminarea paralelismelor i integrarea proceselor, care se reflect n creterea eficienei activitii prin eliminarea redundanelor; Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului de rspuns; Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i dezvoltarea de noi aptitudini; Reducerea costurilor administrative.

Chestionarele Chestionarele conin ntrebri despre sistemele entitii auditate i constituie suportul pentru colectarea informaiilor despre acestea. Chestionarele conin, n general, opinii ale actorilor implicai n sistem referitoare la: acceptarea sistemului, calitatea instruirii, efectele sistemului asupra activitii entitii, calitatea documentaiei tehnice, ncrederea n sistemul informatic, dificultatea utilizrii sistemului, efectele n planul modernizrii activitii, necesitatea extinderii sistemului. n cazul n care chestionarele sunt proiectate pentru efectuarea unor analize statistice, acestea conin ntrebri formulate astfel nct s poat fi agregate i analizate n funcie de criterii stabilite. Rspunsurile pot fi de tip DA/NU, note, ponderi, i altele. De asemenea, sunt admise aprecieri personale i comentarii. Pe baza informaiilor colectate se pot elabora diagrame i grafice care s exprime sugestiv concluzii referitoare la percepia unei populaii despre efectele implementrii i utilizrii sistemului inform atic supus evalurii. Machetele Machetele sunt elaborate de auditorii publici externi i constituie suportul pentru colectarea informaiilor legate de: bugetul IT / IS, configuraia hardware / software, infrastructura de reea, sistemul aplicativ, instruirea personalului, utilizarea sistemului informatic, costuri, furnizori. Sintetizarea, analiza i interpretarea probelor de audit Auditorii publici externi vor face o evaluare a sistemelor informatice i a aplicaiilor, prin analiza, interpretarea i sinteza informaiilor obinute n cadrul interviurilor sau colectate din sursele documentare i prin intermediul machetelor, chestionarelor i listelor de verificare. Aceste operaiuni se bazeaz n principal pe elaborarea i/sau utilizarea unor tabele sintetice, repre zentri grafice, indicatori de performan, matrici de corelaie etc. n acest scop se utilizeaz, pe scar din ce n ce mai larg, instrumentele i tehnicile bazate pe calculator.

Pag. 142 din 214

Formularea constatrilor i recomandrilor Evaluarea i revizuirea sistemului informatic se fac prin analiza constatrilor rezultate i interpretarea acestora. n funcie de impactul pe care l au neconformitile constatate, se formuleaz recomandri pentru remedierea acestora i reducerea nivelului riscurilor. Aceste recomandri reflect opiniile auditorului asupra entitii auditate prin prisma obiectivelor misiunii de audit. Sintetic, constatrile se vor referi la urmtoarele aspecte: evaluarea complexitii sistemelor informatice, evaluarea general a riscurilor entitii n cadrul mediului IT, evaluarea riscurilor n cadrul fiecrei aplicaii, precum i un punct de vedere al auditorului privind fezabilitatea unui demers de audit bazat pe controale.

4.2.3 Elaborarea raportului de audit i valorificarea constatrilor consemnate


Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate de auditor i aducerea lor la cunotina entitii auditate prin intermediul raportului de audit i al unei scrisori care conine sinteza principalelor constatri i recomandri. Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp i aria de acoperire ale activitii de auditare efectuate. Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit i va include cele mai semnificative constatri, recomandri i concluzii care au rezultat n cadrul misiunii de audit cu privire la stadiul i evoluia implementrii i utilizrii sistemelor informatice existente n entitatea auditat. Raportul va include, de asemenea, opinia auditorilor cu privire la natura i extinderea punctelor slabe ale controlului intern n cadrul entitii auditate i impactul posibil al acestora asupra activitii entitii. Recomandrile formulate n raportul de audit nu trebuie s detalieze modul de implementare, aceasta fiind o responsabilitate a managementului entitii auditate. Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind toate constatrile relevante, inclusiv cele pozitive, s fie constructiv i s prezinte concluziile i recomandrile formulate de echipa de audit. Pentru punerea de acord cu entitatea auditat cu privire la proiectul raportului de audit, are loc reconcilierea care const ntr-o dezbatere ntre echipa de audit i conducerea entitii auditate cu privire la constatrile, concluziile i recomandrile formulate n cadrul misiunii de audit. Proiectul raportului de audit, mpreun cu anexele la acesta, se transmit entitii auditate, nsoit de o adres de naintare n care se precizeaz data la care va avea loc reconcilierea. Alturi de echipa de audit, la conciliere poate participa i conducerea departamentului / camerei de conturi. Entitatea auditat formuleaz punctul de vedere cu privire la constatrile i recomandrile coninute n proiectul raportului de audit i l transmite, n termen de 10 zile, structurii care a efectuat auditul. n situaia n care exist diferene de opinii ntre auditorii publici externi i conducerea entitii auditate cu privire la coninutul proiectului raportului de audit al sistemelor informatice, care nu pot fi soluionate cu ocazia reconcilierii, echipa de audit prezint n raportul de audit al sistemelor informatice, punctul de vedere al entitii auditate i explic cu claritate motivele care au stat la baza nensuirii acestora, dac este cazul. Dup discuiile purtate cu entitatea auditat, auditorii publici externi pot modifica proiectul raportului de audit al sistemelor informatice, dac entitatea auditat aduce probe de noi care s justifice modificarea constatrilor.

Pag. 143 din 214

Recomandrile formulate de auditorii publici externi n urma misiunii de audit al sist emelor informatice consemnate n actele ntocmite vor putea fi mbuntite de conducerea structurilor de specialitate ale CCR n a cror competen de verificare intra domeniul respectiv. n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la legalitate i regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea legii penale sau nerealizarea obiectivelor propuse de entitate n legtur cu programul / procesul / activitatea auditat () datorit nerespectrii principiilor economicitii, eficienei i eficacitii n utilizarea fondurilor publice i n administrarea patrimoniului public i privat al statului / unitilor administrati v - teritoriale, se ntocmesc proces verbal de constatare, precum i celelalte tipuri de acte prevzute la pct. 354 din Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, aceste acte constituind anexe la raportul de audit al sistemelor informatice. Raportul final de audit al sistemelor informatice este semnat de auditorii publici externi care au efectuat auditul i va fi naintat entitii auditate, nsoit de o adres de naintare, pentru a fi nregistrat. Raportul de audit al sistemelor informatice, nregistrat la entitatea auditat va fi evideniat n registrul de intrri ieiri de la nivelul structurilor de specialitate respective, n Registrul special privind evidena actelor ntocmite i modul de valorificare a constatrilor consemnate n acestea i n aplicaia INFOPAC. Sinteza principalelor constatri, concluzii i recomandri ale auditului , nsoit de o adres semnat de eful departamentului / directorul camerei de conturi se transmite entitii auditate nsoit de o adres n care se specific termenul la care entitatea auditat va transmite Curii de Conturi informaii privind msurile i modul de implementare a recomandrilor cuprinse n raportul de audit. Raportul de audit al sistemului informatic sau o sintez a principalelor constatri, concluzii i recomandri ale acestuia pot fi transmise, dup caz, i instituiilor publice interesate, Guvernului, comisiilor de specialitate din cadrul Parlamentului, prin intermediul departamentului n a crui competen de verificare intr domeniul respectiv. n situaia n care misiunea de audit al sistemelor informatice este coordonat de ctre un departament de specialitate, aspectele semnificative cuprinse n rapoartele de audit al sistemelor informatice ntocmite la nivelul camerelor de conturi vor fi incluse n raportul de audit al sistemelor informatice ntocmit la nivelul departamentului coordonator. Valorificarea constatrilor consemnate n raportul de audit al sistemelor informatice i n anexele la acesta se face prin emiterea unei decizii de ctre eful de departament / directorul camerei de conturi, potrivit competenelor stabilite n Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti. Decizia va conine msurile propuse de Curtea de Conturi pentru intrarea n legalitate, conform procedurii prevzute la pct. 171 din Regulamentul privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor rezultate din aceste activiti, precum i pentru creterea performanei programului / proiectului / procesului / activitii auditat (e). Recomandrile formulate de auditorii publici externi vor sta la baza formulrii msurilor din decizie.

4.2.4 Revizuirea auditului sistemelor informatice


Revizuirea auditului se realizeaz n cadrul unei noi misiuni de audit, care are ca obiectiv evaluarea modului n care au fost implementate recomandrile formulate n raportul de audit anterior aferent misiunii de audit al sistemelor informatice. Rezultatele se consemneaz ntr -un nou raport de audit care conine concluzii, constatri i recomandri relative la stadiul implementrii recomandrilor formulate n raportul de audit iniial.
Pag. 144 din 214

4.3

Evaluarea sistemelor informatice financiar-contabile

n conformitate cu standardul ISA 400, Evaluarea Riscului i Controlului Intern, auditorul va analiza dac mediul de control i procedurile de control aplicate de entitate activit ilor proprii desfurate n mediul informatizat, n msura n care acestea sunt relevante pentru aseriunile situaiilor financiare, este un mediu sigur. n cazul sistemelor informatice, atunci cnd procedurile sunt automatizate, cnd volumul tranzaciilor este mare sau cnd probele electronice nu pot fi urmrite pe tot parcursul fluxului de prelucrare, auditorul poate decide c nu este posibil s reduc riscul de audit la un nivel acceptabil dect prin utilizarea testelor detaliate de audit. n astfel de cazuri sunt frecvent utilizate tehnici de audit asistat de calculator. De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de importante urmtoarele aspecte ale controlului intern: (a) meninerea integritii procedurilor de control n mediul informatizat i (b) asigurarea accesului la nregistrri relevante pentru a satisface necesitile entitii, precum i n scopul auditului. Auditorul va analiza exhaustivitatea, acurateea i autorizarea informaiilor furnizate pentru nregistrarea i procesarea nregistrrilor financiare ale entitii (integritatea tranzaciei). Natura i complexitatea aplicaiilor influeneaz natura i amploarea riscurilor referitoare la nregistrarea i procesarea tranzaciilor electronice. Procedurile de audit referitoare la integritatea informaiei, aferente tranzaciilor electronice, se axeaz n mare parte pe evaluarea credibilitii sistemelor utilizate pentru prelucrarea tranzaciilor. Utilizarea serviciilor informatice iniiaz, n mod automat, alte se cvene de prelucrare a tranzaciei fa de sistemele tradiionale. Procedurile de audit pentru sistemele informatice trebuie s se concentreze asupra controalelor automate referitoare la integritatea tranzaciilor, pe msur ce acestea sunt nregistrate i apoi procesate imediat. ntr-un mediu informatic, controalele referitoare la integritatea tranzaciei sunt n majoritatea cazurilor proiectate pentru a asigura, printre altele: validarea intrrilor i prevenirea duplicrii sau a omiterii tranzaciilor. n general, tranzaciile electronice nu au asociate nregistrri scrise i pot fi mult mai uor de distrus sau de alterat dect cele scrise, fr a lsa nici o urm a distrugerii sau alterrii. Auditorul trebuie s stabileasc dac politicile de securitate a informaiei i controalele de securitate ale entitii sunt implementate adecvat pentru prevenirea modificrilor neautorizate ale nregistrrilor contabile, ale sistemului contabil sau ale sistemelor care furnizeaz date sistemului contabil. Aceasta se poate realiza prin testarea controalelor automate, cum ar fi verificrile de integritate a datelor, tampile de dat electronic, semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul poate considera necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzaciilor sau a soldurilor conturilor cu tere pri68. Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i nregistra aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt mult mai nclinai s efectueze activiti informatice neautorizate daca nu pot fi identificai i fcui rspunztori. Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor aciuni ostile ale acestor a. Riscul poate fi redus prin obligativitatea autentificrii la accesarea sistemului i prin introducerea unor controale suplimentare, sub form de semnturi electronice.
68

ISA 505 - Confirmri Externe Pag. 145 din 214

Avnd n vedere faptul c datele tranzaciilor electronice se regsesc ntr -o form intangibil pe diverse medii de stocare, acestea pot fi modificate fr a lsa nici o urm. Auditorii trebuie s evalueze existena i eficiena controalelor care previn efectuarea de modificri neautorizate . Controale neadecvate pot conduce la situaia ca auditorul s nu poat acorda ncredere nregistrrilor din calculatoare sau integritii parcursului auditului. Programul de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin utilizarea de controale adecvate ale accesului fizic i logic. Plile prin calculator, ca i transferurile electronice de fonduri, sunt mult mai uor de modificat dect instrumentele de plat pe hrtie i de aceea trebuie sa aib o protecie adecvat. Integritatea tranzaciilo r electronice poate fi protejat prin tehnici precum criptarea datelor, semnturi electronice sau prin utilizarea unui algoritm de dispersare a datelor. Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n mod deosebit important. Sistemele utilizatorului trebuie s ncorporeze controale care s detecteze i s previn procesarea de tranzacii duble. Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a totalurilor de control. Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin implementarea unor controale ale accesului fizic. Mijloace similare de protecie pot fi utilizate pentru protecia dispozitivelor de stocare a datelor (CD-ROM, benzi magnetice i dischete). Dac datele sunt accesibile pe o reea de calculatoare, atunci apare un grad de incertitudine cu privire la cine are acces la software i la fiierele de date. Conectarea sistemelor de calculatoare la reeaua global Internet mrete substanial riscul de acces neautorizat de la distan i de atacuri cu virui sau alte forme de alterare a informaiei sau de distrugere a unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi dificil de realizat i necesit controale de nivel nalt, specializate. Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de operare pot fi mrite prin controale suplimentare de identificare i autorizare n cadrul fiecrei tranzacii. n ambele cazuri, eficiena controalelor de acces depinde de proceduri de identificare i autentificare i de o bun administrare a sistemelor de securitate. Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru auditor. Auditorii pot vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire la ceea ce se ntmpl pe parcurs. Aceast slbiciune poate fi exploatat de programe nea utorizate ascunse n programele autorizate. Ameninarea modificrilor neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al modificrilor, inclusiv controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i o separare eficient a sarcinilor ntre actorii implicai n sistem. n cazul tranzaciilor electronice, n care parcursul auditului se reconstituie din nregistrri stocate pe un calculator, auditorul trebuie s se asigure c datele privind tranzaciile sunt pstrate un timp suficient i c au fost protejate fa de modificri neautorizate. Capacitatea limitat de stocare a unor calculatoare poate restriciona cantitatea de date istorice aferente tranzaciilor care trebuie pstrate. n aceste cazuri, auditorul trebuie s impun arhivarea regulat a evidenelor contabile i acestea s fie pstrate ntr -un mediu sigur. Auditorul poate, de asemenea, s analizeze impactul posibil al regulilor de arhivare a datelor clientului atunci cnd planific auditul. Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice dispozitive de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie financiar pe un calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din alt cldire sau
Pag. 146 din 214

chiar din alt ar. Procesarea datelor distribuite complic evaluarea de ctre auditor a controalelor de acces fizic i logic. Mediul de control poate fi foarte bun ntr -un anumit loc, dar foarte slab n alt loc, iar eterogenitatea mediului informatic crete riscul de audit. Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr -un mediu informatic. nregistrrile din calculator furnizeaz auditorului o asigurare de audit. Auditorul poate, de asemenea, s genereze probe de audit utiliznd tehnicile de audit asistat de calculator. Din studiul literaturii de specialitate, rezult c sunt puine precedente care s ilustreze admisibilitatea nregistrrilor din calculator la o instan de judecat. n cazurile n care probele informatice au fost depuse n aciuni judectoreti, instanele au luat n considerare o expertiz cu privire la eficiena mediului de control IT, nainte de a evalua fiabilitatea datelor informatice. Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la calculator pot s nu fie admisibile ca probe n justiie dac nu se poate demonstra c exist controale destul de puternice care s nlture dubiul rezonabil privind autenticitatea i integritatea datelor coninute n sistem. n ceea ce privete tranzaciile electronice, aceste controale sunt deosebit de complexe. Evaluarea sistemelor IT cuprinde trei pri: A Colectarea informaiilor de fond privind sistemele IT ale entitii auditate impun auditorului sa culeag informaii de fond privind sistemele IT hardware i software ale clientului. Informaii privind dimensiunea, tipul i complexitatea tehnic a sistemelor informatice permit auditorilor s evalueze dac este necesar sprijinul unui auditor IT specialist. De asemenea, auditorul identific sistemele financiare n curs de dezvoltare, care necesit n continuare implicarea auditului. Colectarea informaiilor de fond privind sistemele IT ale entitii auditate trebuie s fie finalizat nainte ca auditorul s realizeze o evaluare a mediului de control IT sau a procedurilor de control ale aplicaiei. B Evaluarea mediului de control IT i evaluarea riscului entitii este utilizat pentru a evalua controalele i procedurile care opereaz n cadrul mediului de control IT. Punctele slabe identificate n mediul de control IT pot submina eficacitatea procedurilor de control n cadrul fiecrei aplicaii financiare. C Evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile : auditorul trebuie s utilizeze evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile pentru a examina procedurile de control, sistemele de control intern i riscurile de audit n cadrul fiecrei aplicaii financiare.

4.3.1 Informaii de fond privind sistemele IT / IS ale entitii auditate


Prima parte a evalurii sistemelor informatice se refer la colectarea informaiilor de fond privind sistemele IT ale entitii auditate. Aceast etap va fi finalizat nainte de evaluarea detaliat a contr oalelor IT, informaiile colectate fiind utilizate de auditorul care va realiza analiza mediului de control IT i a procedurilor de control ale aplicaiei. Pe baza acestei analize, auditorul obine o nelegere preliminar a situaiei cu care va fi con fruntat pe parcursul evalurii IT. De asemenea, sunt furnizate indicaii cu privire la documentaiile tehnice care trebuie consultate nainte de vizitarea entitii auditate, de exemplu documentaii privind sistemele de operare i aplicaiile de contabilitate.

Pag. 147 din 214

n funcie de concluziile acestei etape, referitoare la complexitatea sistemului care face obiectul auditului, auditorul poate s stabileasc dac este oportun sau nu s implice specialiti n audit IT n echipa de audit. Factorii care vor afecta aceast decizie includ: abilitile i experiena IT proprie a auditorului auditorii nu trebuie s realizeze evaluri IT dac consider c nu au abilitile necesare sau experiena necesar; dimensiunea (volumul) operaiilor clientului operaiile informatice de volume mari tind s fie mai complexe att n ceea ce privete sistemele propriu -zise, ct i din punctul de vedere al structurilor organizatorice; complexitatea tehnic a echipamentului IT i a reelei sistemele mai complexe, care ncorporeaz tehnologii noi, vor necesita asistena specialitilor IT pentru a identifica i a evalua riscurile de audit; cazul n care utilizatorii sistemului dezvolt i utilizeaz aplicaii sau au capacitatea de a modifica pachetele contabile standard n general, exist un risc crescut de audit n situaia n care utilizatorii dezvolt sau personalizeaz aplicaiile contabile; antecedente de probleme IT n cazul n care auditorii au avut n trecut probleme cu sistemele IT ale clientului, de exemplu, unde exist antecedente legate de erori ale utilizatorului, greeli de programare, fraud informatic sau nclcri grave ale securitii; n cazul n care sistemele informatice sau tranzaciile pe care le proceseaz furnizeaz informaii sensibile; sisteme n curs de dezvoltare auditorul poate fi solicitat s formuleze puncte de vedere cu privire la specificaiile i planurile de implementare ale noilor sisteme financiare.

n aceast etap sunt furnizate de asemenea detalii administrativ e, precum contractele personalului din cadrul departamentelor financiar-contabil i IT ale entitii auditate.

4.3.2 Controale IT generale


Controalele IT generale se refer la infrastructura IT a entitii auditate, la politicile IT aferente, la procedurile i practicile de lucru. Acestea trebuie s se concentreze, din punctul de vedere al auditorului, pe examinarea departamentului IT sau a compartimentului cu atribuii similare i nu sunt specifice pachetelor de programe sau aplicaiilor. Categoriile principale de controale generale sunt:

Organizare i management (politici IT i standarde); Separarea sarcinilor (atribuiilor); Controale fizice (al accesului i de mediu); Controale ale accesului logic; Dezvoltarea sistemului i managementul schimbrii; Controale privind planificarea continuitii sistemului i recuperarea n caz de dezastru; Controale privind personalul IT (inclusiv programatori, analiti de sistem i personal de operare a calculatoarelor); Controale privind disponibilitatea configuraiilor hardware/software; Controale privind operarea sistemului.
Pag. 148 din 214

n cadrul evalurii controalelor de nivel nalt, adoptate de management pentru a se asigura c sistemele informatice funcioneaz corect i satisfac obiectivele afacerii, auditorul poate determina dac activitile IT sunt controlate adecvat iar controalele impuse de entitatea auditat sunt suficiente. n cadrul evalurii este necesar examinarea urmtoarelor aspecte:

Detectarea riscurilor asociate controalelor de management neadecvate; Structura organizaional IT; Strategia IT i implicarea managementului de vrf; Politici de personal i de instruire; Documentaie i politici de documentare (politici de pstrare a documentelor); Politici de externalizare; Implicarea auditului intern; Politici de securitate IT; Conformitatea cu reglementrile n vigoare; Separarea atribuiilor.

Politicile IT de nivel nalt, procedurile i standardele sunt foarte importante n stabilirea unui cadru de control intern adecvat. Auditorul trebuie s fie capabil s identifice componentele controlului intern, aferente mediului informatizat, fiecare avnd obiective diferite:

Controalele de aplicaie; Controale operaionale: funcii i activiti care asigur c activitile operaionale contribuie la obiectivele afacerii; Controale administrative: asigur eficiena i conformitatea cu politicile de management, inclusiv controalele operaionale.

Obiectivele de control aferente mediului informatizat se axeaz pe: evaluarea calitii managementului, securitatea fizic i controalele de mediu, securitatea informaiei i a sistemului IT, continuitatea sistemului, managementul schimbrii i al dezvoltrii sistemului, funcionalitatea aplicaiilor, calitatea auditului intern cu privire la sistemul IT. Controalele IT generale includ: politici, structuri organizaionale, practici, reguli i proceduri, proiectate pentru a furniza o asigurare rezonabil c obiectivele afacerii vor fi atinse i evenimentele neprevzute vor fi prevenite sau detectate i corectate. Exist unele considerente speciale care trebuie avute n vedere atunci cnd se realizeaz evaluarea controalelor IT:

examinarea iniial a sistemelor IT ale clientului se realizeaz pe zone contabile diferite, tranzaciile procesate de o aplicaie putnd parcurg e diverse fluxuri de prelucrare n cadrul sistemului IT, fiecare dintre acestea fiind supus unor riscuri de audit diferite. importana sistemelor informatice n raport cu producerea situaiilor financiare i cu contribuia la obiectivele afacerii. aplicabilitatea i oportunitatea auditului bazat pe/asistat de calculator. Aceasta va permite identificarea procedurilor de control ale aplicaiei i o evaluare iniial a oportunitii lor. relaia controalelor IT cu mediul general de control. Se va avea n vedere ca existena controalelor manuale, care diminueaz punctele slabe ale sistemului IT, s fie luat integral n considerare.
Pag. 149 din 214

Evaluarea mediului de control IT


Evaluarea controalelor IT generale vizeaz identificarea punctelor tari, a punctelor slabe i a riscurilor n cadrul mediului general de control IT. Riscurile identificate n mediul general de control IT pot submina eficiena controalelor n aplicaiile care se bazeaz pe acestea i deci pot fi descrise ca riscuri la nivelul entitii. Evaluarea IT va fi utilizat de auditor pentru a identifica extinderea i natura riscurilor generale de audit IT asociate cu utilizarea de ctre client a sistemelor informatice n domeniul financiar -contabil. Evaluarea ncepe cu ntrebri privind cadrul procedural implementat de entitatea auditat. Aceasta permite auditorului s examineze oportunitatea strategiei IT, a managementului, auditului intern i politicilor de securitate ale clientului. Rspunsurile la aceste ntrebri n faza iniial vor da auditorului o vedere preliminar rezonabil asupra mediului de control IT. Experiena a artat c entitile cu reguli IT puine sau necorespunztoare nu sunt n msur s aib un mediu de control intern adecvat. Analiza include, de asemenea, o evaluare a controalelor generale n cadrul departamentului IT, referitoare la configuraia hardware, software i de comunicaii, precum i la resursele umane care au atribuii n domeniul IT: controlul privind accesul fizic, controlul privind accesul logic, controlul operaion al, procedurile de management al schimbrilor, planificarea recuperrii dup dezastru, utilizarea de prestatori externi de servicii IT, controlul asupra aplicaiilor dezvoltate i rulate de utilizatorii nii, separarea sarcinilor. Punctele slabe identificate n mediul general de control IT vor influena eficacitatea tuturor controalelor din cadrul aplicaiilor care ruleaz pe configuraia respectiv. De exemplu, auditorul acord puin ncredere comenzilor de intrare pentru o tranzacie rulat de aplica ie chiar n situaia n care baza de date suport a fost neprotejat fa de modificrile neautorizate. Odat finalizat, analiza va permite auditorului s fac o evaluare a riscurilor n cadrul mediului general de control IT al clientului. n general, pentru o entitate cu un mediu de control IT insuficient, evaluarea riscurilor IT va conduce n mod normal la o concluzie de risc nalt de audit. Dac mediul general de control IT este evaluat ca insuficient, poate fi nc posibil s se acorde o oarecare ncre dere controalelor de compensare sau controalelor foarte puternice n cadrul aplicaiilor. Este de asemenea posibil ca o aplicaie financiar s aib controale foarte slabe cu toate c mediul de control IT suport are controale puternice.

4.3.3 Evaluarea aplicaiei i evaluarea riscurilor


Controalele de aplicaie Aplicaiile reprezint unul sau mai multe programe de calculator care realizeaz o funcionalitate orientat ctre un scop precizat. Aplicaiile pot fi dezvoltate special pentru un client, respectiv sisteme la comand, sau pot fi cumprate sub form de pachete / soluii software de la furnizorii externi. Cele mai rspndite pachete de aplicaii ntlnite de auditorii financiari sunt: pachete integrate de contabilitate, sisteme state de plat / personal / pensii, registre de active fixe, sisteme de management al mprumuturilor nerambursabile. Toate aplicaiile financiare trebuie s conin controale proprii care s asigure integritatea, disponibilitatea i confidenialitatea, att a datelor tranzaciei, ct i a datelor permanente. n realitate, sistemele nu conin toate controalele posibile pentru fiecare component. Entitatea trebuie s evalueze riscurile pentru fiecare aplicaie i s aib instalate controale adecvate, eficiente din punct de vedere al costurilor pentru a reduce riscurile la un nivel acceptabil. Acest princip iu trebuie avut n vedere cnd se formuleaz recomandrile auditului.
Pag. 150 din 214

Controalele de aplicaie sunt particulare pentru o aplicaie i pot avea un impact direct asupra prelucrrii tranzaciilor individuale. Ele se refer, n general, la acele controale incluse n aplicaie pentru a asigura c numai tranzaciile valide sunt prelucrate i nregistrate complet i corect n fiierele aplicaiei, precum i la controalele manuale care opereaz n corelaie cu aplicaia. O mare parte a controalelor de aplicaii sunt versiuni automatizate ale controalelor manuale. De exemplu, autorizarea prin intermediul calculatorului de ctre supervizor este similar cu utilizarea semnturii pe documente tiprite. Exist i controale de aplicaie manuale, cum ar fi: analiza formatelor rapoartelor de ieire, inventarierea situaiilor de ieire etc.. Controalele de aplicaie sunt proceduri specifice de control asupra aplicaiilor, care furnizeaz asigurarea c toate tranzaciile sunt autorizate i nregistrate, prelucrate complet, corect i la termenul stabilit. Controalele de aplicaie pot fi constituite din proceduri manuale efectuate de utilizatori (controale utilizator) i din proceduri automate sau controale efectuate de produse software.

Proprietarii aplicaiei, administratorii i utilizatorii aplicaiei


n special n cazul aplicaiilor financia re exist trei tipuri de utilizatori: proprietarii aplicaiei, administratorii i utilizatorii aplicaiei care ndeplinesc urmtoarele sarcini:

Proprietarii aplicaiilor sunt n mod normal coordonatorii administrativi ai departamentului n care funcioneaz aplicaia i au responsabilitatea privind contribuia strategic a sistemului de a satisface obiectivele afacerii. Proprietarii aplicaiei fac parte din managementul entitii i asigur, de asemenea, funcionarea sistemului n concordan cu cerinele i operarea acestuia de ctre personalul desemnat Administratorul aplicaiei are urmtoarele sarcini tipice: menine lista utilizatorilor autorizai ai aplicaiei, adaug sau terge utilizatori din profilele de securitate a aplicaiei, asigur c departamentul IT a salvat datele n concordan cu politicile de back-up, rezolv cerine ale utilizatorilor aplicaiei, identific, monitorizeaz i raporteaz proprietarului aplicaiei sau departamentului IT problemele semnificative care apar, deine i distribuie documentaia aplicaiei, menine legtura cu departamentul IT, cu ali administratori de aplicaii sau cu furnizori de software. n cazul aplicaiilor financiar-contabile, administratorul nu trebuie s fac parte din acest departament, dect numai dac nu are cunotine despre procedurile manuale specifice domeniului, avnd n vedere principiul separrii atribuiilor. Utilizatorii aplicaiei asigur operarea zilnic a aplicaiei avnd acces numai la acele resurse ale sistemului aferente sarcinilor proprii. Instruirea lor privind sistemul este limitat, de asemenea, la funciile necesare realizrii sarcinilor proprii.

ncrederea n controalele de aplicaie


n etapa de studiu preliminar, auditorul trebuie s obin o nelegere suficient a sistemului pentru a determina dac sistemul de control intern este de ncredere i furnizeaz informaii corecte despre acurateea nregistrrilor. n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s testeze controalele pentru a evalua riscul asupra obiectivelor auditului. n acest scop auditorul poate utiliza tehnici i metode de testare variate. Acestea pot fi bazate pe programe de test al conformitii care conin informaii privind: descrierea controlului care va fi testat,
Pag. 151 din 214

proba de audit estimat pentru satisfacerea condiiilor, teste extinse (inclusiv bazate pe eantionare), descrierea funcionrii eronate a controlului, cte eecuri pot fi tolerate. Probele de audit se colecteaz prin combinarea unor tehnici cum ar fi observarea, interviul, examinarea i eantionarea, cu tehnici de auditare asistat de calculator. Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot sintetiza astfel: (a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul aplicaiei i, n consecin, nu furnizeaz probe de audit explicite. (b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea acionnd pe o durat foarte scurt a ciclului de via al tranzaciei (de exemplu, pe durata introducerii datelor). (c) Rezervele auditorilor fa de controalele de aplicaie IT, datorate eventualitii ca acestea s fie alterate de ctre persoane interesate n inducerea n eroare a auditorului. (d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura controalelor IT, care nu prezint garanii privind funcionarea corect. Relaia ntre controalele generale i controalele de aplicaie O modalitate de a privi relaia dintre controalele generale i cele de aplicaie este aceea de a aloca adecvat controalele generale pentru a proteja aplicaiile i bazele de date i pentru a asigura resursele necesare funcionrii continue. Cele mai uzuale controale de aplicaie n cazul unei aplicaii financiar-contabile sistemul de controale are urmtoarele nivele:

Examinarea situaiilor financiare pentru a determina dac reflect corect operaiile efectuate asupra tranzaciilor: nregistrarea corect n conturi a unor tranzacii de test, reflectarea acestor tranzacii n situaiile contabile, respectarea formatelor cerute de lege pentru situaiile contabile etc. Controale ale ieirilor, care au ca scop verificarea c fiierele temporare generate pentru listare (n spooler) naintea transmiterii ctre imprimant pot fi alterate, n lipsa unei protecii adecvate, nainte de a fi listate. Controale ale prelucrrilor, care sunt implementate pentru verificarea prelucrrii corecte a ratelor de schimb, a comisioanelor, a aplicrii unor cote de regie, a utilizrii unor tarife etc.. Controale ale intrrilor, care au ca scop verificarea c documentele contabile se refer la perioada contabil aferent, c se utilizeaz corect planul de conturi, c aplicaia permite efectuarea automat a egalitilor contabile etc. Prevenirea accesului neautorizat n sistem Asigurarea c pe calculatoare este instalat versiunea corect a programului de contabilitate i nu versiuni netestate care pot conine erori de programare. Controale privind sistemul de operare, care asigur verificarea c accesul la aplicaia financiar-contabil este controlat i autorizat pentru utilizatorii care o opereaz. Controale ale accesului n reea, care asigur c utilizatorii neautorizai nu pot avea acces n sistemele conectate la reea. Auditarea sistemului de securitate al sistemelor i al conexiun ilor la Internet, care verific existena i atribuiile ofierului de securitate al sistemelor, precum i sistemul de controale
Pag. 152 din 214

specifice, n scopul identificrii riscurilor i al adoptrii unor msuri de reducere a acestora la un nivel acceptabil.

Selecia i instruirea personalului, care furnizeaz asigurarea c procedurile de selecie i de instruire a personalului reduc riscul erorilor umane. Controalele fizice i de mediu, care asigur protejarea fizic a sistemelor de calcul. Politicile de management i standardele; acestea se refer la toate categoriile de controale.

Cele mai uzuale evaluri ale controalelor de aplicaie se refer la urmtoarele aspecte:

Existena procedurilor de generare automat de ctre aplicaie a situaiilor de ieire; Existena funciei de export al rapoartelor n format electronic, n cadrul sistemului; Validitatea i consistena datelor din baza de date a aplicaiei; Existena discontinuitilor i a duplicatelor; Existena procedurii de pstrare a datelor pe suport tehnic pe o perioad prevzut de lege; Asigurarea posibilitii n orice moment, de a reintegra n sistem datele arhivate; Procedura de restaurare folosit; Existena procedurii de remprosptare periodic a datelor arhivate; Existena interdiciei de modificare, inserare sau tergere a datelor n condiii precizate (de exemplu, pentru o aplicaie financiar-contabil, interdicia se poate referi la tergerea datelor contabile pentru o perioad nchis); Existena i completitudinea documentaiei produsului informatic; Contractul cu furnizorul aplicaiei din punctul de vedere al clauzelor privind ntreinerea i adaptarea produsului informatic; Organizarea gestiunii versiunilor, modificrilor, corecturilor i schimbrilor de sistem informatic, produse program i sistem de calcul; Reconcilierile fcute n urma migrrii datelor, ca urmare a schimbrii sistemului de calcul sau a modului de prelucrare a datelor; Alte controale decurgnd din specificul aplicaiei.

O categorie special de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare. Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ:

Reglementri financiare i bancare; Legislaia privind protecia datelor private i legislaia privind protecia datelor personale; Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice; Legile cu privire la proprietatea intelectual.

Testarea aplicaiei financiar-contabile n ceea ce privete determinarea volumului de teste necesare pentru obinerea asigurrii privind funcionarea controalelor, auditorul i bazeaz decizia pe o combinaie ntre raionamentul profesional i o modelare statistic pe care o poate opera n acest scop. Dac auditorul i propune s planifice ca testele de control s se efectueze pe un numr mare de tranzacii, atunci va aplica metoda eantionrii datelor i va stabili dimensiunea eantionului. n ceea ce privete controlul asupra informaiilor de intrare, ieire sau memorate n baza de date, pentru o aplicaie financiar-contabil verificrile uzuale privind satisfacerea cerinelor legislative sunt:

Pag. 153 din 214

Conformitatea conturilor cu Planul de conturi; Denumirea n limba romn a informaiilor coninute n documentele de intrare i n situaiile de ieire; Interdicia deschiderii a dou conturi cu acelai numr; Interdicia modificrii numrului de cont n cazul n care au fost nregistrate date n acel cont; Interdicia suprimrii unui cont n cursul exerciiului curent sau aferent exerciiului precedent, dac acesta conine nregistrri sau sold; Respectarea formatului prevzut de lege pentru documentele i situaiile generate de aplicaia contabil; Acurateea balanei sintetice, pornind de la balana analitic; generarea balanei pentru orice lun calendaristic; Reflectarea corect a operaiunilor n baza de date, n documente i n situaii de ieire; Existena i corectitudinea situaiilor prevzute de lege ca fiind obligatorii; Alte controale decurgnd din specificul aplicaiei.

Analiza riscului ntr-un mediu informatizat Mediul informatizat introduce riscuri noi, pe lng alte categorii de riscuri cu care se confrunt organizaia. n vederea asigurrii proteciei informaiilor i sistemelor IT este necesar dezvoltarea unui flux continuu activiti privind identificarea, analiza, evaluarea i gestionarea riscurilor specifice. Riscurile generate de funcionarea sistemului informatic pot fi puse n eviden prin analiza unor factori cu impact n desfurarea activitii entitii auditate, respectiv: dependena de sistemul i nformatic, resursele i cunotinele n domeniul tehnologiei informaiei, ncrederea n sistemul informatic, schimbri ale sistemului informatic, externalizarea activitilor de tehnologia informaiei, securitatea informaiei, respectarea legislaiei n vigoare. Erorile i omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate de acestea, entitatea trebuie s implementeze controale i proceduri care s contribuie la diminuarea / eliminarea efectelor generate de ignorarea unor aspecte care determin modul de utilizare a angajailor, calitatea acestora, motivarea n activitatea desfurat, fluctuaia personalului, structura conducerii, volumul de munc. n cele mai multe cazuri entitatea nu deine o soluie integrat a sistemului informatic, acesta fiind constituit din implementri de aplicaii insularizate, dedicate unor probleme strict focalizate (aplicaia financiar-contabil, aplicaii dedicate activitii de baz a entitii etc.). Acest tip de arhitectur prezint dezavantaje la nivelul utilizrii, precum i o serie de alte impedimente cum ar fi cele legate de dificultatea sau imposibilitatea asigurrii interoperabilitii aplicaiilor sau de multiplicarea informaiilor. La aceasta se adaug i faptul c tranzaciile sunt procesate n cadrul unor aplicaii informatice distincte iar informaiile introduse n sistem sunt validate ntr-o manier eterogen: proceduri automate combinate cu proceduri manuale, pentru a se asigura detectarea i corectarea erorilor de intrare, precum i detectarea inconsistenei sau a redundanei datelor. Lipsa unei soluii integrate se reflect , de asemenea, n existena unor baze de date diverse, unele aparinnd unor platforme hardware/software nvechite, interfee utilizator diferite i uneori neadecvate, faciliti de comunicaie reduse i probleme de securitate cu riscuri asociate. Gradul ridicat de fragmentare a sistemului informatic implic aciuni frecvente ale utilizatorului n procesul de prelucrare i atrage efecte negative n ceea ce privete respectarea fluxului documentelor, ceea ce crete foarte mult riscul de eroare. n funcie de soluia arhitectural implementat i de estimrile iniiale privind dimensiunea bazei de date i complexitatea prelucrrilor, un sistem poate "rezista" sau nu la creteri semnificative ale volumului de tranzacii care pot rezulta din schimbri majore n activitatea entitii. Estimarea riscului ca, n viitorul apropiat, sistemul informatic s nu poat suporta creterea volumului de tranzacii implic decizii
Pag. 154 din 214

importante la nivelul managementului, n sensul reproiectrii sistemului, i, implicit, privind alocarea unui buget corespunztor. Schimbrile configuraiilor de sisteme trebuie s fie autorizate, testate, documentate, controlate. ntr-un mediu informatizat, amploarea riscurilor capt o alt dimensiune, natura riscurilor fiind influenat de o serie de factori specifici utilizrii tehnologiei informaiei: a) Densitatea informaiei este mult mai mare dect n sistemele clasice, bazate pe hrtie. b) Absena documentelor de intrare datele pot fi introduse n sistem fr a avea la baz documente justificative este cazul tranzaciilor din sistemele on-line. c) Lipsa unor urme vizibile ale tranzaciilor Dei n practica prelucrrii manuale orice tranzacie poate fi urmrit plecnd de la documentul primar, apoi n registrele contabile, co nturi n prelucrarea automat traseul unei tranzacii poate exista o perioad limitat, ntr-un format electronic. d) Lipsa unor ieiri vizibile anumite tranzacii sau rezultate, n special cnd acestea reprezint detalii, se pot regsi memorate doar n fiierele aplicaiei (nu i ntr-o form tiprit). e) Transparena documentelor privind desfurarea unor operaiuni. Dischetele, discurile optice i alte suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informaii, nsumnd zeci de mii de pagini de hrtie, pot fi subtilizate mult mai discret genernd astfel fraude sau cel puin afectnd confidenialitatea acestor informaii. f) Autorizarea tranzaciilor. ntr-un mediu informatizat se poate include i capacitatea calculatorului de a iniia i executa automat unele tranzacii; altfel spus, este vorba de modul de proiectare a aplicaiei informatice care poate avea ncorporate anumite autorizri implicite i funcii de generare automat. g) Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod uniform tranzacii similare, pe baza acelorai instruciuni program. n felul acesta, erorile de redactare a documentelor asociate unei procesri manuale sunt n mod virtual eliminate. n schimb, erorile de programare pot conduce la procesarea incorect a tranzaciilor, astfel nct auditorii i vor concentra atenia asupra acurateei i consistenei ieirilor. h) Accesul neautorizat la date i fiiere se poate efectua cu o mai mare uurin, ceea ce implic un mare potenial de fraud i eroare. i) Remanena suporturilor de memorare a datelor, dup ce au fost terse, poate constitui o cale sigur ca persoane interesate, neautorizate s intre n posesia unor informaii de valoare. j) Agregarea datelor. Noile sisteme de prelucrare automat a datelor, precum sunt cele de asistare a deciziei, au condus la valorificarea unor informaii importante ale entitii, genernd prognoze i strategii ntr-un anumit domeniu. Astfel, informaiile capt valene suplimentare. Evoluia tehnologiei informaiei a cunoscut n ultimii ani un ritm accelerat, dar nu acelai lucru se poate spune despre progresele nregistrate n domeniul securitii datelor. Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt doar un exemplu n acest sens, dar se poate afirma c aceast evoluie a deschis i mai mult apetitul specialitilor n ceea ce privete frauda informaional. Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al noului mediu de lucru; n acest sens modificarea datelor, adugarea sau chiar tergerea lor au devenit operaii mult mai uor de realizat, dar, n acelai timp, destul de greu de depistat. Obiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica modalitile prin care datele i, implicit, sistemul informatic care le conine, sunt expuse la risc. Elementele prezentate n paragraful anterior conduc la ideea c mediul informatizat genereaz noi riscuri i c orice organizaie, n vederea asigurrii unei protecii eficiente a informaiilor, este necesar s dezvolte un proces complex de studiu i analiz a riscurilor.
Pag. 155 din 214

Riscul implicat de utilizarea tehnologiei informaiei se manifest prin intermediul componentelor proprii ale acestei tehnologii: ameninri, vulnerabiliti i impact. Ameninrile exploateaz vulnerabilitile unui sistem cauznd impactul i, n esen, combinaia celor trei elemente determin mrimea riscului. Riscul la nivelul unei organizaii nu poate fi eliminat, el va exista ntotdeauna, managementul organizaiei fiind responsabil de reducerea acestuia la un nivel acceptabil. Anomalii frecvente n operarea sistemului Cele mai frecvente efecte ale operrii necorespunztoare a sistemului pot avea ca surs disfuncionaliti la nivelul infrastructurii IT sau pot fi generate de personalul care gestioneaz sistemul sau de ctre teri, n cazul serviciilor externalizate.

Aplicaiile nu se execut corect datorit operrii greite a aplicaiilor sau utilizrii unor versiuni incorecte, precum i datorit unor parametri de configurare incoreci introdui de personalul de operare (de exemplu, ceasul sistemului i data setate incorect pot genera erori n calculul dobnzilor, al penalitilor, al salariilor etc.). Pierderea sau alterarea aplicaiilor financiare sau a fiierelor de date poate rezulta dintr-o utilizare greit sau neautorizat a unor programe utilitare. Personalul IT nu tie s gestioneze rezolvarea sau escaladarea problemelor sau raportarea erorilor, iar ncercarea de a le rezolva pe cont propriu poate provoca pierderi i mai mari; ntrzieri i ntreruperi n prelucrare din cauza alocrii unor prioriti greite n programarea sarcinilor; Lipsa salvrilor i a planificrii reaciei la incidentele probabile crete riscul de pierdere a capacitii de a continua prelucrarea n urma unui dezastru; Lipsa capacitii (resurselor) sistemului, sistemul devenind incapabil de a prelucra tranzaciile din cauza suprancrcrii; Timpul mare al cderilor de sistem pn la remedierea erorii; Probleme ale utilizatorilor nerezolvate datorit funcionrii defectuoase a facilitii de asisten tehnic (Helpdesk).

Sisteme n curs de dezvoltare Sistemele informatice financiar-contabile n curs de dezvoltare ale entitii auditate nu sunt susceptibile s aib un impact asupra auditului situaiilor financiare curente. ns, un sistem financiar greit conceput sau implementat ar putea conduce la un audit al evidenelor informatizate scump sau imposibil de realizat n anii urmtori. Aceast seciune trateaz implicarea auditorilor externi n formularea unor cerine pentru sistemele financiare care urmeaz s fie achiziionate de la furnizori sau dezvoltate n cadrul entitii. Revine entitii auditate, i n particular auditului intern, s stabileasc dac demersul de dezvoltare propus de auditor este susceptibil s conduc la un sistem care s satisfac necesitile activitii. Nu este rolul auditorilor s avizeze demersul sau aspectele particulare ale acestuia. Trebuie, ns, ca auditorul intern s fac observaii asupra aspectelor demersului care ar putea duce la dificulti n emiterea unei opinii asupra situaiilor financiare i pentru a putea evita dificultile de audit extern ulterioare. Auditul sistemelor financiare n curs de dezvoltare este o zon cu caracter tehnic, complex i care comport multe aspecte care necesit o analiz.

Pag. 156 din 214

Documente i informaii solicitate entitii auditate n cadrul misiunii de audit IT, n mod uzual, se solicit urmtoarele documente i informaii privind sistemele, proiectele i aplicaiile existente n cadrul entitii auditate. a) Referitor la managementul tehnologiei informaiei: 1. 2. 3. 4. 5. 6. 7. 8. Structura organizaional. Fie de post pentru persoanele implicate n proiectele informatice; Strategia IT i stadiul de implementare a acesteia; Politici i proceduri incluse n sistemul de control intern; Legislaie i reglementri care guverneaz domeniul; Documente referitoare la coordonarea i monitorizarea proiectelor IT; Raportri ctre management privind proiectele IT; Buget alocat pentru proiectele informatice; Lista furnizorilor i copiile contractelor pentru hardware i software (furnizare, service, mente nan etc.); 9. Rapoarte de audit privind sistemul IT n ultimii 3 ani; 10. Raportarea indicatorilor de performan. b) Referitor la infrastructura hardware / software i de securitate a sistemului 11. Infrastructura hardware, software i de comunicaie. Documentaie de prezentare; 12. Politica de securitate. Proceduri generale. Proceduri operaionale IT (back -up, managementul capacitii, managementul configuraiilor, managementul schimbrii proceselor, managementul schimbrilor tehnice, managementul problemelor etc.); 13. Proceduri i norme specifice, inclusiv cele legate de administrare i securitate, n vederea creterii gradului necesar de confidenialitate i a siguranei n utilizare, n scopul bunei desfurri a procedurilor electronice i pentru asigurarea proteciei datelor cu caracter personal ; 14. Arhitectura de sistem. Categorii de servicii i tehnologii utilizate; 15. Arhitectura de reea. Tipuri de conexiuni; 16. Personalul implicat n proiecte. Numr, structur, calificare; 17. Manuale, documentaie de sistem i orice alt documentaie referitoare la aplicaiile informatice . c) Referitor la continuitatea sistemului 18. Plan de continuitate a activitii care face obiectul proiectelor IT; 19. Plan de recuperare n caz de dezastru. d) Referitor la dezvoltarea sistemului 20. Lista aplicaiilor i proiectelor IT (scurt prezentare a portofoliului de proiecte); 21. Stadiul actual, grafice de implementare i rapoarte de utilizare; 22. Perspective de dezvoltare. e) Referitor la sistemul de monitorizare i raportare 23. Raportri ale managementului IT referitoare la proiectele informatice; 24. Rapoarte de monitorizare a modului de implementare a proiectelor informatice.

Pag. 157 din 214

4.4

Cadrul procedural pentru evaluarea sistemelor informatice

n aceast seciune se prezint cadrul procedural pentru evaluarea sistemelor informatice , n general, cu exemplificri pentru sistemele financiar-contabile. Auditorii trebuie s recurg la raionamentul propriu pentru a stabili ce controale ar fi rezonabile, avnd n vedere mrimea, complexitatea i importana sistemelor informatice financiar-contabile ale entitii auditate. Scopurile unei evaluri a sistemelor informatice financiar-contabile sunt: s identifice configuraiile hardware i aplicaiile informatice implicate n pregtirea situaiilor financiare ale entitii auditate; s permit auditorilor s evalueze gradul de complexitate a sistemului informatic; s identifice riscurile generate de mediul IT; s permit auditorilor s obin o nelegere suficient a sistemelor de controale informatice interne pentru a planifica auditul i a dezvolta o abordare de audit eficient. Structurarea cadrului procedural este prezentat n tabelul urmtor. Seciune A Denumirea seciunii Informaii de fond privind sistemele IT ale entitii auditate Privire general asupra entitii auditate Principalele probleme IT rezultate din activitile anterioare de audit Dezvoltri informatice planificate Echipament informatic [hardware] i programe informatice [software] Cerine pentru specialitii n auditul informatic Activitatea necesar pentru revizuirea sistemelor Contacte cheie B Evaluarea mediului de control IT Controale IT generale Management IT Separarea atribuiilor Securitatea fizic i controalele de mediu Securitatea informaiei i a sistemelor Continuitatea sistemelor Externalizarea serviciilor IT Managementul schimbrii i al dezvoltrii de sistem Audit intern CA Evaluarea controalelor de aplicaie nelegerea sistemului informatic Posibilitatea de efectuare a auditului Utilizarea tehnicilor de audit asistat de calculator (CAAT) Determinarea rspunderii Evaluarea documentaiei aplicaiei Evaluarea securitii aplicaiei Evaluarea controalelor la introducerea datelor Evaluarea controalelor transmisiei de date Evaluarea controalelor prelucrrii CA1 CA2 CA3 CA4 CA5 CA6 CA7 CA8 CA9
Pag. 158 din 214

Procedura

A1 A2 A3 A4 A5 A6 A7

B1 B2 B3 B4 B5 B6 B7 B8

Evaluarea controalelor datelor de ieire Evaluarea controalelor fiierelor cu date permanente Evaluarea conformitii cu legislaia n vigoare Efectuarea testelor de audit

CA10 CA11 CA12 CA13

4.4.1 Informaii de fond privind sistemele IT ale entitii auditate


Scop: Scopul acestei evaluri este de a obine informaii privind mrimea, tipul i complexitatea sistemelor financiare informatizate ale clientului. Auditorul poate apoi clasifica sistemele dup complexitate i aprecia dac evaluarea IT trebuie realizat de un auditor IT specialist .

PROCEDURA A1 - Privire general asupra entitii auditate


Auditorul va obine informaii din analizele anterioare, avnd ca surs rapoarte de audit, cunotine anterioare i fiiere curente de audit, sau pe baza unei documentri preliminare, privind natura activitilor entitii supuse auditului. Pentru colectarea datelor se poate folosi Macheta 1. De asemenea, se vor analiza urmtorii indicatori de baz: Pli / cheltuieli anuale; ncasri / venituri anuale; Total active; Valoarea activelor IT; Bugetul anual IT;

PROCEDURA A2 - Principalele probleme IT rezultate din activitile anterioare de audit


Auditorul va obine informaii din analizele anterioare, avnd ca surse rapoarte de audit sau referiri la scrisori ctre conducere, evaluri ale sistemelor contabile, evaluri ale riscurilor i altele.

PROCEDURA A3 - Dezvoltri informatice planificate


Auditorul va obine informaii legate de principalele proiecte de dezvoltare a sistemelor IT: cnd vor intra n exploatare, locul instalrii, dac au fost identificate probleme, ce efecte ar putea avea noile sisteme asupra activitii de audit prezente i viitoare. n situaia n care apar probleme tehnice dificil de neles i tratat, auditorul trebuie s aib n vedere contactarea unui auditor IT specialist (utilizat de regul n faza de specificare a sistemelor sau nainte de intrarea n funcie a sistemelor).

PROCEDURA A4 - Configuraia hardware (echipamente), software (programe informatice) i personalul IT


Pentru colectarea datelor auditorul poate folosi Machetele 2, 3 i 4 care pot fi adaptate n funcie de complexitatea i specificul sistemului informatic, ntruct n instituiile publice exist o mare diversitate de configuraii IT, pornind de la entiti (de exemplu, primrii) care au n dotare un singur calculator i ajungnd la entiti cu sisteme complexe i configuraii mari, desfurate la nivel naional. Auditorul va colecta informaii privind: Echipamentul informatic (hardware) i de comunicaii (topologie, cablare, protocol de comunicaii, modem-uri, gateways, routere);

Pag. 159 din 214

Programe informatice (software): sistemul de operare, software de securitate, software de gestionare a bazelor de date, software de audit, generatoarele de rapoarte, software de programare i altele; Software de aplicaie (denumire, furnizor, versiune, platform, l imbaj de programare / dezvoltare, numr de utilizatori, data instalrii, pachet la cheie sau dezvoltat la comand, module, prelucrare offline / online, utilizare EDI); Informaii privind personalul implicat n proiectele IT.

PROCEDURA A5 - Cerine pentru specialitii n auditul sistemului informatic


Auditorii trebuie s decid dac ei nii au abiliti IT i de audit IT necesare i suficiente pentru a realiza evaluarea la un standard adecvat de competen. Factorii luai n considerare n acest sens includ: mrimea departamentului IT care face obiectul auditului, utilizarea reelelor de comunicaii n cadrul entitii auditate, procesarea de date distribuite, utilizarea de tehnologii noi, sisteme n curs de dezvoltare, cunoaterea problemelor IT anterioare ale clientului i dac este de dorit o abordare a auditului bazat pe controale.

PROCEDURA A6 - Activitatea necesar pentru evaluarea sistemelor


Auditorul va inventaria care sunt sistemele / componentele / serviciile informatice care trebuie s fie evaluate n funcie de obiectivele auditului i va decide asupra cerinelor pentru auditul IT.

PROCEDURA A7 - Contacte cheie


Conducerea entitii va stabili persoanele de contact din cadrul entitii auditate, din domeniile financiar i IT (nume, funcie, locaie, nr. telefon), care vor colabora cu auditorul pe parcursul misiunii de audit.

4.4.2 Evaluarea mediului de control IT Controale generale IT


Scop: Identificarea naturii i impactului riscurilor generate de utilizarea de ctre ent itate a tehnologiei informaiei asupra situaiilor financiare ale organizaiei, precum i a capacitii auditorilor de a le evalua. O evaluare a controalelor IT la nivelul entitii este realizat prin derularea unei evaluri a mediului informatic n care se afl aplicaiile financiare. Punctele slabe ale mediului informatic pot afecta negativ integritatea i viabilitatea tuturor aplicaiilor informatice i a datelor contabile prelucrate de acestea. Obiectivul unei evaluri a mediului de control IT este de a examina i de a evalua riscurile, controalele i procedurile care exist n cadrul mediului IT al unei entiti. O evaluare a mediului de control IT este focalizat pe controalele care asigur integritatea i disponibilitatea programelor i aplicaiilor fina nciare, n timp ce evaluarea unei aplicaii se concentreaz pe integritatea i disponibilitatea tranzaciilor procesate de respectiva aplicaie. Termenul de mediu de control IT se refer la configuraia hardware, la programele informatice de sistem, la mediul de lucru. Dimensiunea unei configuraii IT poate varia de la un sistem mare, amplasat ntr -o construcie special destinat, deservit de un personal numeros, pn la un simplu calculator personal (PC) din cadrul unui birou de contabilitate. Mediul de control IT trebuie s aib controale adecvate pentru: a asigura un mediu de procesare sigur i sistematic; a proteja aplicaiile i fiierele de date de baz fa de ac ces, modificare sau tergere neautorizate;
Pag. 160 din 214

a asigura c pierderea facilitilor de calcul nu afecteaz capacitatea organizaiei de a produce situaii financiare care pot fi supuse auditului.

Auditorul trebuie s determine ce controale ar fi rezonabile n cadrul fiecrei configuraii de calcul. Cnd evalueaz un mediu de control IT auditorul trebuie s aib n vedere diferii factori, inclusiv natura activitii clientului, mrimea departamentului IT, istoricul erorilor i ncrederea acordat sistemelor informatice. Auditorul poate obine informaii privind mediul general IT prin interviuri i discuii cu personalul implicat, prin analize ale documentaiei sistemului, precum i prin legtura cu auditul intern i observaia direct. Pentru evaluarea controalelor IT generale se folosete Lista de verificare privind evaluarea controalelor generale IT. n seciunile urmtoare sunt prezentate proceduri reprezentative pentru auditul sistemelor informatice.

PROCEDURA B1 - Managementul sistemului informatic


Pe baza testelor efectuate asupra controalelor implementate n cadrul entitii se poate aprecia dac utilizarea tehnologiilor informaiei de ctre entitatea auditat se desfoar n cadrul unei structuri bine definite, dac este efectuat o informare operativ a conducerii legat de activitatea IT i conducerea este receptiv la schimbare, dac funcionarea sistemului informatic este eficient di n punct de vedere al costurilor i al gestionrii resurselor umane, dac monitorizarea cadrului legislativ i a contractelor cu principalii furnizori se desfoar corespunztor. B.1.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind managementul i organizarea departamentului IT al entitii (responsabilitatea de ansamblu, structura formal, organizarea i desfurarea activitii IT, implicarea conducerii entitii auditate n coordonarea activitilor legate de funcionarea sistemului informatic) Examinarea controalelor privind managementul i organizarea departamentului IT al entitii presupune urmtoarele activiti din partea auditorului: Revizuirea modului n care se regsete domeniul IT n structura organizaional de ansamblu i dac unul dintre membrii conducerii are responsabiliti IT; Verificarea existenei unei structuri organizatorice formale n care tot personalul s-i cunoasc rolurile i responsabilitile, pe baza fielor de descriere a postului, scrise i semnate; Evaluarea formelor de implicare a conducerii entitii n coordonarea activitilor legate de funcionarea sistemului informatic i a faptului c msurile corective sunt adecvate i sunt aplicate consecvent. Se va verifica de asemenea dac au loc ntlniri regulate cu persoanele cu atribuii n implementarea, utilizarea, administrarea i ntreinerea sistemului, dac este stabilit o direcie unitar de dezvoltare, cu precizarea clar a obiectivelor, dac se asigur elaborarea unor linii directoare; Evaluarea implicrii conducerii n elaborarea i implementarea unei politici formale, consistente privind serviciile informatice i n comunicarea acesteia utilizatorilor; Revizuirea modului n care se realizeaz managementul riscurilor: identificarea, planificarea i managementul riscurilor implicate de implementarea i utilizarea sistemului IT, analiza beneficiilor poteniale; Verificarea implicrii conducerii n elaborarea strategiilor i politicilor bazate pe o evaluare a riscurilor (riscuri n etapa de implementare, riscuri n etapa de furnizare a serviciilor informatice), a implicrii conducerii instituiei n coordonarea activitilor IT - ntlniri regulate ntre conducerea instituiei i persoanele cu atribuii n implementarea, administrarea i ntreinerea sist emului, precum i n analiza activitilor n raport cu strategia de implementare.
Pag. 161 din 214

Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea entitii i cu persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor privind ntlnirile organizate de conducerea entitii (minute, procese verbale, adrese etc.). Auditorul va evalua soluia organizatoric prin prisma criteriilor menionate i va colecta probe privind: subordonarea departamentului IT, nivelele de monitorizare a proiectului, existena unei politici de angajri, instruirea profesional i evaluarea periodic a performanei personalului tehnic implicat proiect i a utilizatorilor sistemului, analiza dependenei de persoanele cheie. Pentru personalul implicat n activiti legate de sistemul informatic, va verifica existena fielor de post semnate i dac acestea conin atribuiile specifice utilizrii tehnologiilor informaiei.

B.1.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele referitoare la planificarea activitilor privind utilizarea tehnologiilor informaiei Existena unui plan corespunztor i documentat pentru coordonarea activitilor legate de implementarea i funcionarea sistemului informatic, corelat cu strategia instituiei ; Documentarea n planificarea entitii a rezultatelor scontate / intelor i etapelor de dezvoltare i implementare a proiectelor; ntocmirea i aprobarea de ctre conducere a unui plan strategic adecvat prin care obiectivele cuprinse n politic s aib asociate aciuni, termene i resurse; Desfurarea unor aciuni legate de sistemele de achiziie a informaiilor electronice (colectarea informaiilor i migrarea acestora n mediul electronic);

Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu conducerea entitii i cu persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor privind planificarea i monitorizarea proiectelor IT. B.1.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind managementul costurilor Elaborarea unei strategii de finanare pentru proiectele aferente serviciilor IT, astfel nct nivelele de finanare s fie consistente cu obiectivele; Existena unui buget separat pentru investiii i cheltuieli legate de IT. Stabilirea responsabilitilor privind ntocmirea, aprobarea i urmrirea bugetului; Implementarea sistemelor pentru monitorizarea i calculul cheltuielilor; Efectuarea analizei activitilor fa de Strategia IT a entitii.

Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n coordonarea operativ a sistemului informatic i pe baza analizei documentelor privind modul de alocare i gestionare a bugetului proiectului, n concordan cu obiectivele i strategia entitii. n cazul auditului performanei implementrii i utilizrii sistemului informatic, analiza ponderii diferitelor categorii de costuri n bugetul total al proiectului, raportate la rezultatele obinute, poate furniza informaii privind eficiena utilizrii fondurilor. Urmrirea gestionrii bugetului alocat proiectului se reflect n evidenele operative ale entitii (procese verbale privind ndeplinirea sarcinilor furnizorilor, documente coninnd rezultatele unor inspecii, documente privind analize i raportri periodice ale activitilor i stadiului proiectului, n raport cu strategia de implementare).
Pag. 162 din 214

B.1.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind managementul programelor i al proiectelor, precum i raportarea ctre conducerea instituiei (cu scopul de a evalua problematica i de a ntreprinde msuri corective pentru remedierea unor deficiene sau de a efectua evaluri ale efectelor utilizrii sistemului n raport cu obiectivele activitii entitii ) Managementul portofoliilor de proiecte; Managementul proiectelor este cuprinztor, riguros i sistematic; Monitorizarea activitilor i progresului proiectelor n raport cu planurile elaborate n acest domeniu; Nominalizarea unui colectiv i a unui responsabil care supravegheaz desfurarea activitilor n concordan cu liniile directoare; Informarea personalului n legtur cu politicile, reglementrile, standardele i procedurile legate de IT; Raportarea regulat ctre conducerea instituiei a activitilor legate de implementarea IT.

Evaluarea se va face pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n managementul proiectelor i pe baza analizei documentelor privind modul de monitorizare i de gestionare a acestora. Auditorul va constata modul n care se face raportarea ctre management , prin colectarea unor probe care decurg din analiza documentelor de raportare care ofer informaii privind coninutul i periodicitatea raportrilor, privind organizarea unor ntlniri ntre actorii implicai n proiect pentru semnalarea problemelor aprute i alegerea cilor de rezolvare a problemelor semnalate. De asemenea, este evaluat modul n care sunt analizai i adui la cunotina conducerii entitii, n mod oficial, indicatorii de performan ai sistemului informatic. B.1.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind c alitatea serviciilor furnizate utilizatorilor interni (care se reflect n succesul proiectului, un obiectiv important al conducerii, avnd efecte inclusiv n planul ncrederii personalului n noile tehnologii) Nivelul calitii serviciilor furnizate utilizatorilor interni se menioneaz ntr-un document care prevede clauzele referitoare la acestea - SLA (Service Level Agreement). Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n managementul proiectelor i pe baza analizei documentelor privind clauzele referitoare la asigurarea calitii pentru ntreg ciclul de via al proiectului (specificarea cerinelor, dezvoltarea sistemului, implementarea sistemului, elaborarea i predarea documentaiei, instruirea personalului la toate nivelurile, ntreinerea sistemului, asigurarea suportului tehnic etc.), care trebuie s fac parte din contractele cu furnizorii. B.1.6 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind respectarea reglementrilor n domeniu i a cerinelor proiectului Stabilirea responsabilitii pentru asigurarea c sistemul implementat este actualizat n conformitate cu ultima versiune furnizat, c pachetele software au fost furnizate conform clauzelor contractuale, c au fost furnizate licenele n cadrul contractelor, c documentaia a fost furnizat conform contractului.

Auditorul va face evaluarea pe baza concluziilor rezultate n urma interviurilor cu persoanele implicate n managementul proiectelor i pe baza analizei documentelor care se refer la existena unor politici sau proceduri formale prin care se atribuie responsabilitatea monitorizrii mediului legislativ c are poate avea impact asupra sistemelor informatice, precum i a asigurrii conformitii cu clauzele contractuale privind:

Pag. 163 din 214

Responsabilitatea asigurrii c sistemul implementat este actualizat n conformitate cu ultima versiune furnizat; Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, documentaie; Livrarea i instalarea configuraiilor hardware / software pe baza unui grafic, conform clauzelor contractuale, pe etape i la termenele stabilite; Respectarea obligaiilor privind instruirea i suportul tehnic, stabilite prin contract; Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenei i valabilitii licenelor furnizate n cadrul contractului; Asigurarea suportului tehnic (prin telefon, e-mail sau utiliznd un portal care poate avea seciuni distincte pentru suport tehnic, specializat pe categorii relevante de probleme / anomalii sau pentru instruirea continu a utilizatorilor); Existena unor proceduri scrise privind analiza i acceptarea produselor i serviciilor furnizate n cadrul contractului, precum i recepia cantitativ i calitativ; Furnizarea documentaiei tehnice conform contractului: coninutul (lista, numrul manualelor, limba) i formatul (tiprit, n format electronic, on-line); Existena specificaiilor funcionale, a manualelor de utilizare i administrare pentru proiectele de dezvoltare software; Existena manualelor de utilizare pentru echipamentele livrate.

PROCEDURA B2 - Separarea atribuiilor


Separarea atribuiilor este o modalitate de a asigura c tranzaciile sunt autorizate i nregistrate i c patrimoniul este protejat. Separarea atribuiilor are loc atunci cnd o persoan efectueaz o verificare privind activitatea altei persoane. Se previne n acest fel desfurarea unei activiti, de ctre aceeai persoan, de la nceput pn la sfrit, fr implicarea altei persoane. Separarea atribuiilor reduce riscul de fraud i constituie o form de verificare a erorilor i de control al calitii. Separaia atribuiilor include: separarea responsabilitii privind controlul patrimoniului de responsabilitatea de a menine nregistrrile contabile pentru acesta; separarea funciilor n mediul informatizat. Separarea atribuiilor se aplic att mediului controalelor generale, ct i programelor i aplicaiilor specifice. n mediul controalelor generale, anumite funcii i roluri trebuie s fie separate. De exemplu, un programator nu trebuie s aib acces la mediul de producie pentru a-i ndeplini sarcinile. Personalul care face programare nu trebuie s aib autoritatea de a transfera software nou ntre mediile de dezvoltare, testare i producie. Segregarea atribuiilor ntre programatori i personalul de operare reduce riscul ca acetia, cu cunotinele de programare pe care le dein, s poat efectua modificri neautorizate n programe. n multe cazuri activitatea departamentului IT se mparte n dou tipuri distincte: programare (sisteme i aplicaii) i operarea calculatoarelor. Personalul nu poate avea atribuii care s se plaseze n ambele tipuri de activiti. Personalul care face programare nu trebuie s aib acces la fiiere i programe din mediul de producie. Sub presiunea reducerii costurilor funciilor IT numrul de personal este de multe ori redus, ceea ce limiteaz separarea atribuiilor. n cazul limitrii separrii atribuiilor, auditorul trebuie s identifice controale compensatorii, care de obicei se plaseaz n sfera securitii sistemelor sau n cea a reconcilierii utilizatorilor finali, pe care s le recomande entitii (de ex. verificri i inspecii regulate ale conducerii, utilizarea parcursurilor de audit i a controalelor manuale).
Pag. 164 din 214

B.2.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind separarea atribuiilor (sarcinilor) Existena unei structuri organizatorice formale / cunoaterea de ctre personal a modului de subordonare i a limitelor de responsabilitate proprii i ale restului de personal. Aceasta va face mai dificil s se efectueze aciuni neautorizate fr a fi detectate. Includerea cu claritate a atribuiilor personalului n fia postului, n scopul reducerii riscului efecturii de ctre acesta a unor aciuni dincolo de limitele autorizate. Separarea sarcinilor realizat prin intermediul sistemului informatic, prin utilizarea de profile de securitate individuale i de grup, preprogramate. Interdicia ca personalul care are sarcini n departamentul IT s aib sarcini i n departamentul financiar-contabil sau de personal. Existena unei separri fizice i manageriale a atribuiilor, pentru a reduce riscul de fraud. Separarea funciilor IT de utilizatori, pentru a reduce riscul de efectuare de ctre utilizatori a unor modificri neautorizate ale programelor sau ale datelor financiar-contabile, avnd n vedere c persoanele cu sarcini att n domeniul financiar-contabil, ct i n domeniul IT au oportuniti mai mari de a efectua activiti neautorizate prin intermediul aplicaiilor informatice, fr a fi depistate. Existena unui cadru formal de separare a sarcinilor n cadrul departamentului IT, pentru urmtoarele categorii de activiti: o Proiectarea i programarea sistemelor; o ntreinerea sistemelor; o Operaii IT de rutin; o Introducerea datelor; o Securitatea sistemelor; o Administrarea bazelor de date; o Managementul schimbrii i al dezvoltrii sistemului informatic. Separarea sarcinilor de administrator de sistem de cele de control al securitii sistemului . Asigurarea unei separri adecvate a sarcinilor pentru a reduce riscurile ca personalul cu cunotine semnificative despre sistem s efectueze aciuni neautorizate i s nlture urmele aciunilor proprii. Existena unei separri eficiente a sarcinilor ntre dezvoltat orii de sisteme, personalul de operare a calculatoarelor i utilizatorii finali. Interdicia ca programatorii s aib acces la mediul de producie (introducere de date, fiiere permanente date de ieire, programe etc.) pentru a-i ndeplini sarcinile. Interdicia ca personalul care face programare s aib permisiunea de a transfera software nou ntre mediile de dezvoltare, testare i producie. Interdicia ca personalul cu cunotine de programare s aib atribuii de operare care s permit efectuarea de modificri neautorizate n programe. Separarea responsabilitii privind operarea aplicaiei de control al patrimoniului de responsa bilitatea de a menine nregistrrile contabile privind patrimoniul. Utilizarea separrii sarcinilor ca form de revizie, detectare a erorilor i control al calitii. Contientizarea personalului.

Auditorul trebuie s determine prin interviu, prin observare direct i prin analiza documentelor relevante (organigram, fia postului, decizii ale conducerii, contracte etc.) dac personalul IT are responsabiliti n departamentele utilizatorilor, dac funciile IT sunt separate de funciile de utilizare (financiar, gestiunea stocurilor etc.) pentru a nu se opera schimbri neautorizate, de obicei dificil de detectat, dac alte funcii incompatibile, potrivit aspectelor menionate mai sus, sunt separate.
Pag. 165 din 214

PROCEDURA B3 - Securitatea fizic i controalele de mediu


Obiectivul controalelor fizice i de mediu este de a preveni accesul neautorizat i interferena cu serviciile IT n scopul diminurii riscului deteriorrii accidentale sau deliberate sau a furtului echipamentelor IT i al informaiilor. Aceste controale trebuie s asigure, pe de o parte, protecia mpotriva accesului personalului neautorizat, iar pe de alt parte, protecia n ceea ce privete deteriorarea mediului n care funcioneaz sistemul (cauzat de foc, ap, cutremur, praf, cderi sau creteri brute ale curentului electric). n concordan cu rezultatele raportate de ISACA (Information Systems Audit and Control Association), cauzele generatoare de erori produse de dezastre naturale se plaseaz pe locul 2 (erorile produse de utilizatori pe locul 1, frauda pe locul 3 i cderile hardware pe locul 4). Restricionarea accesului la sistemul de calcul se poate realiza pe baza a dou tipuri de controale, privitoare la accesul fizic i, respectiv, la accesul logic. Controale fizice: Asigurarea securitii zonei (delimitarea clar a perimetrului afectat facilitilor IT i informarea personalului n legtur cu "graniele" acestuia); Accesul n aria securizat trebuie controlat pe nivele de control, prin controale fizice explicite: chei, card-uri de acces, trsturi biometrice (amprent, semntur, voce, imagine etc.), coduri de acces sau implicite: atribuii specificate n fia postului, care necesit prezena n zona de operare IT. Controalele administrative:

Uniforma personalului sau utilizarea ecusoanelor; tergerea drepturilor de acces la plecarea persoanei din organizaie i informarea personalului care asigur paza n legtur cu acest lucru. Pentru aceast situaie trebuie s existe proceduri de identificare a celor care pleac i de asigurare c accesul fizic al acestora n zona de operare IT nu mai este permis; Identificarea vizitatorilor i primirea acestora; Proceduri pentru evenimente neateptate: plecarea temporar din birou a unor salariai pentru a lua masa, sau la o solicitare expres. Msurile pentru aceste situaii pot include: ncuierea laptop-urilor n sertare sau dulapuri, blocarea tastaturii, ncuierea suporilor tehnici care conin date.

Controalele specifice de mediu Se refer la urmtoarele aspecte: Prevenirea, detectarea i stingerea incendiilor: politica de interzicere a fumatului, nlturarea unor materiale inflamabile din spaiile care gzduiesc calculatoare, utilizarea detectoarelor de fum i de cldur, dotarea cu stingtoare de incendii manuale i automate, utilizarea dispozitivelor de alarm, instruirea personalului; Protecia mpotriva inundaiilor i a excesului de umiditate : amplasarea calculatoarelor la etajele superioare, dotarea cu detectoare de umiditate conectate la dispozitive de alarm ; Protecia i controlul surselor de alimentare: utilizarea unor dispozitive de protecie la suprasarcin, surse de tensiune neintreruptibile (UPS), generatoare electrice de rezerv, cablare alternativ; Asigurarea condiiilor de nclzire, ventilaie i aer condiionat: asigurarea unui mediu ambiental controlat prin instalarea echipamentelor de aer condiionat; ntreinere i curenie: asigurarea condiiilor de curenie adecvate cerinelor acestor tipuri de echipamente.
Pag. 166 din 214

B.3.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind controlul accesului fizic Alocarea unor spaii adecvate pentru camera serverelor; Implementarea unor proceduri formale de acces n locaiile care gzduiesc echipamente IT importante care s stabileasc: persoanele care au acces la servere, modul n care se controleaz accesul la servere (de exemplu, cartele de acces, chei, registre), procedura de alocare a cartelelor ctre utilizatori i de monitorizare a respectrii acesteia, cerina ca vizi tatorii s fie nsoii de un reprezentant al entitii; Existena unor msuri pentru a asigura c se ine o eviden exact a echipamentului informatic i a programelor informatice (marcarea sau etichetarea echipamentele pentru a ajuta identificarea), pentru a preveni pierderea intenionat sau neintenionat de echipamente i a datelor coninute n acestea.

Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n care sunt amplasate echipamentele) dac exist dotrile necesare pentru asigurarea controlului accesului fizic n zona de securitate definit. De asemenea, trebuie s verifice existena i modul de implementare a procedurilor asociate. B.3.2 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind protecia mediului Asigurarea c n camera serverelor exist dotrile necesare pentru protecia mediului: sisteme de prevenire a incendiilor; dispozitive pentru controlul umiditii; aer condiionat; dispozitive UPS; senzori de micare; camere de supraveghere video. Amplasarea n rackuri speciale i protejarea serverelor, protejarea elementelor active ale reelei i a cablurilor de reea, etichetarea cablurilor.

Auditorul trebuie s determine prin interviu i prin observare direct (inspecie n slile n care sunt amplasate echipamentele) dac exist dotrile necesare pentru protecia mediului (sisteme de prevenire a incendiilor, dispozitive pentru controlul umiditii, aer condiionat, dispozitive UPS, senzori de micare, camere de supraveghere video). De asemenea, trebuie s verifice existena i modul de implementare a procedurilor asociate.

PROCEDURA B4 - Securitatea informaiei i a sistemelor


Securitatea informaiei i a sistemelor se realizeaz prin implementarea unor proceduri care s previn obinerea accesului neautorizat la date sau programe critice i s asigurare confidenialitatea, integritatea i credibilitatea n mediul n care aceste sisteme opereaz. Controalele privind securitatea informaiei i a sistemelor sunt urmtoarele: Existena unei politici de securitate IT formale (distribuit tuturor utilizatorilor, cu semntura c au luat cunotin), existena unei persoane care are responsabilitatea actualizrii acestei politici, precum i aplicarea msurilor pentru a crete contientizarea n cadrul entitii cu privire la securitate (cursuri, prezentri, mesaje pe e-mail).

Pag. 167 din 214

Desemnarea unei persoane cu atribuii privind administrarea securitii, desemnarea unui responsabil (ofier) pentru securitate i definirea n mod formal a atribuiilor acestora, asigurarea segregrii responsabilitilor pentru aceste funcii, asigurarea c politicile de securitate acoper toate activitile IT ntr-un mod consistent. Controlul accesului logic (administrarea utilizatorilor, existena i implementarea regulilor pentru parole, controlul asupra conturilor cu drepturi depline, existena unor utilitare de sistem cu funcii specializate, accesul IT, revizuirea jurnalelor de operaii). Revizuirea jurnalelor de operaii presupune monitorizarea i analiza periodic a jurnalelor de operaii, alocarea responsabilitilor i specificarea metodelor care se aplic. Administrarea utilizatorilor are asociate proceduri formale privind administrarea drepturilor utilizatorilor, acordarea, modificarea i revocarea drepturilor de acces. Regulile pentru parole. Se stabilesc proceduri formale care implementeaz controale relative la: lungimea parolei, existena unor reguli referitoare la coninutul parolei, stabilirea unei perioade de valabilitate a parolei, numrul de ncercri prevzute pn la blocarea contului, existena unei persoane cu atribuii n deblocarea conturilor blocate, numrul de parole reinute de ctre sistem, schimbarea parolei la prima accesare. Controlul asupra conturilor cu drepturi depline / utilitare de sistem. Se au n vedere controale privind: stabilirea dreptului de administrare a sistemului, de alocare i autorizare a conturilor cu drepturi depline, de monitorizare a activitilor utilizatorilor cu drepturi depline. Acces IT. Se au n vedere controale privind: drepturile de acces ale programatorilor la mediile de producie, drepturile de acces ale departamentului IT la datele celorlalte departamente. Conexiuni externe. Controalele se refer la: protejarea conexiunilor externe mpotriva atacurilor informatice, existena unor proceduri de control al accesului de la distan, msurile de securitate aplicate pentru a controla accesul de la distan.

B.4.1 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind Politica de securitate Existena unei politici de securitate IT formale; Se verific dac aceasta este distribuit tuturor utilizatorilor, dac utilizatorii semneaz c au luat cunotin de politica de securitate IT; Aplicarea unor msuri pentru a crete contientizarea n cadrul entitii cu privire la securitate (cursuri, prezentri, mesaje pe e-mail); Se analizeaz coninutul documentului pentru a evalua domeniile acoper ite de politica de securitate i cadrul procedural asociat; Se verific dac politica de securitate este actualizat periodic i dac este alocat responsabilitatea cu privire la actualizarea politicii de securitate.

Auditorul trebuie s determine prin interviu, prin analiza politicii de securitate i a procedurilor asociate i prin observare direct dac Politica de securitate este distribuit tuturor utilizatorilor, dac utilizatorii au semnat c au luat cunotin de politica de securitate IT, dac exist o persoan care este responsabil de actualizarea acestei politici, dac s-au aplicat msuri pentru a crete contientizarea n cadrul entitii cu privire la securitate (cursuri, prezentri, mesaje pe e-mail).

Pag. 168 din 214

B.4.2 Controlul accesului logic Organizaiile, prin utilizarea aplicaiilor informatice, iniiaz tranzacii, efectueaz prelucrri i elaboreaz rapoarte legate de specificul afacerii. O problem deosebit de important este protejarea informaiilor i a resurselor aferente sistemelor IT, care nu pot fi controlate uor numai prin intermediul controalelor fizice. Problema este cu att mai complicat, cu ct calculatoarele sunt conectate n reele locale sau n reele distribuite geografic. Controalele logice de acces pot exista att la nivelul sistemului, ct i la nivelul aplicaiei. Controalele la nivelul sistemului pot fi utilizate pentru restricionarea accesului utilizatorilor la anumite aplicaii i date i pentru a restriciona folosirea neautorizat a utilitilor sistemelor. Cont roalele logice de acces sunt adesea utilizate mpreun cu controalele fizice de acces pentru a reduce riscul modificrii neautorizate a programelor i a fiierelor de date. Monitorizarea continu a documentelor (jurnalelor) care nregistreaz evenimentele care se refer la accesul logic constituie un factor de cretere a eficienei controalelor implementate. Eficiena rapoartelor ctre conducere i a registrelor produse de calculatoare este semnificativ redus dac nu sunt analizate i verificate regulat de ctre conducere. Msurile de acces logice se reflect n regulamente sau norme interne care trebuie s conduc la adoptarea controalelor specifice. Fr un regulament este dificil s se constate dac msurile aplicate sunt adecvate. Controalele logice de acces neadecvate nu vor asigura protecia sistemului fa de utilizatorii neautorizai. De exemplu, accesul neautorizat la editoarele de fiiere poate conduce la modificarea fiierelor aplicaiei . Pentru a identifica utilizatorii care ncearc s desfoare activiti neautorizate se aloc acestora coduri unice de identificare. Codul unic de identificare al utilizatorului poate asigura un parcurs al auditului, cu condiia ca acesta s fie nregistrat n sistem i n aplicaie. Utilizarea de controale logice de acces suplimentare reduce riscul accesului neautorizat i riscul de manipulare a datelor i crete ansele de detectare. Parola constituie, de asemenea, un control puternic al accesului logic. Reguli neadecvate privind parolele pot conduce la lipsa acestora sau la identificarea lor cu uurin i, n consecin, sistemele pot fi mai uor accesate de utilizatori neautorizai. Personalul de dezvoltare cu acces la datele reale i la programe constituie, de asemenea, un factor de risc cu grad ridicat, ntruct aceast categorie de personal poate s fac modificri accidentale sau / i tie cum s opereze modificri de rea credin sau frauduloase. Un risc major l constituie i controlul neadecvat asupra utilizatorilor puternici (administratori, ingineri de sistem), care crete riscul modificrilor neautorizate ale programelor i ale datelor financiare. Controalele accesului logic sunt constituite dintr-un ansamblu de msuri i proceduri implementate prin soluii organizatorice sau prin programe software, avnd ca scop protejarea resurselor de calcul (date, programe i echipamente) mpotriva accesului neautorizat. n ceea ce privete securitatea accesului logic, se au n vedere urmtoarele elemente: o Identificarea utilizatorului prin intermediul numelui sau a unui identificator; o Autentificarea utilizatorului prin intermediul parolelor, al codurilor PIN (pentru card-ul bancar), al semnturii sau al caracteristicilor biometrice (amprente, voce etc.); o Protecia resurselor (fiiere, directoare, uniti periferice). Protecia resurselor are n vedere asigurarea necesitilor fiecrui utilizator i restricionarea accesului numai la resursele asociate cu drepturile care decurg din cerinele sarcinilor sale. Resurse, fiiere i faciliti care necesit protecie Principalele resurse, fiiere i faciliti care necesit protecie sunt:
Pag. 169 din 214

Fiierele de date (fiiere cu tranzacii sau baze de date): acestea trebuie protejate, existnd riscul modificrilor neautorizate sau chiar al tergerii datelor. Aplicaiile. Accesul nerestricionat la aplicaii crete riscul modificrilor neautorizate, care pot conduce la fraud, pierdere de date sau alterare a datelor. Anumite modificri n aplicaii pot rmne nedetectate o perioad ndelungat, producnd consecine greu de estimat. Fiierele de parole protejate neadecvat pot fi citite de ctre persoane care vor avea acces la toate conturile din sistem, inclusiv la cele privilegiate, putnd produce pagube considerabile. Software-ul de sistem i utilitarele (editoare, compilatoare, programe de depanare) trebuie protejate pentru a nu fi utilizate ca instrumente de modificare a fiierelor de date i a aplicaiilor software sau terse. Jurnalele de operaii (Log files) reprezint documente coninnd contabilitatea sistemului, acestea nregistrndu toate aciunile utilizatorilor (cine s-a conectat la sistem, cnd, ce resurse a utilizat). Pentru schimbarea datelor financiare, aplicaia nregistreaz utilizatorul care a operat modificarea, ce date au fost modificate, valorile nainte i dup modificare. Accesul neautorizat la jurnalul de operaii, combinat cu modificarea neautorizat a datelor financiar -contabile constituie fraud care poate fi mascat prin tergerea sau editarea aciunilor din jurnalul de operaii, n scopul ascunderii interveniei neautorizate n sistem. Fiierele temporare care memoreaz informaii pentru o perioad scurt (de exemplu , fiierele create naintea transmiterii ctre imprimant): acestea pot fi alterate n lipsa unei protecii adecvate, nainte de a fi prelucrate (n cazul listrii fiierelor generate de sistem pentru a fi transmise la imprimant, acestea pot fi afiate n prealabil i chiar modificate).

Cadrul de securitate a accesului Asigurarea unor controale adecvate care s se adreseze oricrui risc identificat pentru sistemele informatice este responsabilitatea managementului. Managementul trebuie s decid asupra sistemului de controale logice ale accesului, stabilind pentru entitate politica de securitate a accesului, care poate conine:

Definirea sistemului de securitate i, n mod specific, a termenilor confidenialitate, integritate i disponibilitate; Declaraii privind securitatea (de exemplu, "nivelul de protecie va fi comensurat cu nivelul riscului i cu valoarea patrimoniului"); Responsabiliti: vor fi definite responsabilitile tuturor utilizatorilor (grupuri de utilizatori: utilizatori obinuii, proprietarul sistemului, managementul securitii, auditul IT).

Controalele accesului logic se vor detalia pe baza declaraiilor de nivel nalt cuprinse n politica de securitate IT a entitii. Aspectele care se iau n considerare atunci cnd se examineaz controalele pr ivind controlul accesului logic: Revizuirea logurilor (jurnalelor de operaii) o Asigurarea c logurile aplicaiilor importante sunt monitorizate i analizate periodic (cine, cnd, cum, dovezi). Administrarea utilizatorilor o Existena unei proceduri pentru administrarea drepturilor utilizatorilor. Se verific modul de implementare; o Includerea n procedura de mai sus a msurilor ce trebuie luate n cazul n care un angajat pleac din cadrul instituiei;
Pag. 170 din 214

o Existena unui document (formular pe hrtie sau n format electronic) pentru crearea i tergerea conturilor de utilizator i pentru acordarea, modificarea i revocarea drepturilor de acces care s fie aprobat de conducere; o Acordarea tuturor drepturilor de acces, n baza acestui formular; o Verificarea periodic a utilizatorilor activi ai sistemului n concordan cu lista de angajai furnizat de departamentul resurse umane. Reguli pentru parole o Definirea regulilor pentru parole de acces n subsistemele IT; o Trebuie avute n vedere urmtoarele elemente: lungimea parolei; reguli referitoare la coninutul parolei; perioada de valabilitate a parolei; numrul de ncercri pn la blocarea contului; cine poate debloca un cont; numrul de parole precedente reinute de ctre sistem; utilizatorii sunt forai s schimbe parola la prima accesare.

Control asupra conturilor cu drepturi depline / utilitare de sistem o Alocarea dreptului de administrare pentru aplicaiile / subsistemele de baz; o Alocarea i autorizarea conturilor cu drepturi depline; o Monitorizarea activitilor utilizatorilor cu drepturi depline. Acces IT o Verificarea drepturilor de acces la datele reale pentru programatori; o Verificarea drepturilor de acces la datele celorlalte structuri ale entitii pentru compartimentul IT. Controale privind accesul la aplicaii i la sistemul de operare Controalele accesului logic pot exista pe dou niveluri: nivelul sistemului i nivelul aplicaiilor i, n consecin, controalele accesului pot fi construite n sistemul de operare i / sau n fiecare aplicaie. La fiecare nivel, controalele accesului logic sunt implementate de administratori diferii. La nivelul instalrii, responsabilul cu administrarea va controla cine se poate lega la reea i care sunt aplicaiile i fiierele de date pe care le poate accesa. La nivelul aplicaiilor, administratorul aplicaiei va fi responsabil cu alocarea drepturilor de acces la funciile i la informaiile fiecrei aplicaii n parte. Administratorul de sistem din departamentul IT trebuie s cunoasc sistemul de operare, resursele acestuia i care sunt aplicaiile i utilitarele performante ale sistemelor , care necesit s fie protejate fa de persoane din afar sau fa de personalul IT neautorizat. Aceast abordare asigur separarea atribuiilor ntre administratorul de sistem i administratorul de aplicaie. Protecia resurselor Protecia resurselor presupune un nivel adiional de controale , necesar pentru a restriciona accesul utilizatorilor numai la anumite resurse ale sistemului.

Pag. 171 din 214

Controalele de meniu pot fi prezente n sistemul de operare, n software-ul utilitar sau n aplicaii. Administratorul de sistem poate configura sistemul astfel nct s menin active numai funciile din meniu la care utilizatorul are acces. Ca form de prezentare, denumiril e acestora au o culoare intens, n timp ce funciile neautorizate sunt colorate n "gri". Securizarea fiierelor i a programelor. Accesul la funciile sistem trebuie s fie acordat numai utilizatorilor autorizai de ctre management, avnd n vedere con siderente privind asigurarea integritii i confidenialitii datelor n concordan cu obiectivele afacerii. Permisiile pentru fiiere se refer la autorizarea difereniat a funciilor de introducere i actualizare sau de modificare a acestora n funcie de drepturile alocate utilizatorilor. Not: Atributele tipice privind accesul la fiiere sau la alte resurse ale sistemului sunt: citire, scriere, creare, actualizare, tergere, execuie i copiere. Alte controale ale accesului logic sunt: limitarea numrului de sesiuni concurente, limitarea intervalului de lucru (ntre anumite ore), blocarea accesului la introducerea repetat a parolei greite, ieirea automat din sistem dac ntr-un interval de timp nu s-a detectat nici o activitate, restricionarea accesului pentru anumite terminale specificate. Jurnalele de operaii ale sistemului Controalele menionate n seciunea anterioar au un caracter preventiv, fiind proiectate pentru a asigura c accesul persoanelor neautorizate n sistem este prevenit. O alt categorie de controale presupune detectarea tentativelor i a activitilor de acces neautorizat. Aceste evenimente sunt nregistrate automat n jurnalele de operaii ale sistemului: jurnalul de operaii privind securitatea i jurnalul de operaii al tranzaciilor. Jurnalul de operaii privind securitatea conine informaii privind: accesul nereuit, utilizarea sistemelor utilitare i a aplicaiilor, identificarea utilizatorului care a iniiat accesul. ntruct nregistrarea tuturor evenimentelor privind securitatea presupune un efort i un consum de resurse semnificative, iar efortul de revizuire a acestora este mare consumator de timp, maniera de tratare a evenimentelor constituie obiectul unei decizii care trebuie s aib la baz balana ntre evenimentele legate de securitate i senzitivitatea sistemului. O soluie eficient n acest caz este utilizarea unor instrumente de raportare prin excepie a celor mai semnificative evenimente. De asemenea, trebuie implementate controale privind protecia jurnalului de operaii pentru a preveni tergerea sau suprascrierea acestuia n scopul distrugerii dovezilor n cazul tentativelor de fraud. Jurnalul de operaii al tranzaciilor nregistreaz traseul tranzaciilor n procesul de prelucrare, n interiorul sistemului. Auditorul trebuie s determine prin consultarea documentelor, prin interviu i prin observare direct (la staiile de lucru) dac este implementat cadrul procedural pentru asigurarea controlului accesului logic i modul de monitorizare a acestuia: trebuie s verifice modul de implementare a regulamentului de control al accesului i dac acesta este documentat i actualizat. trebuie s evalueze msurile de acces logic existente pentru a restriciona accesul la sistemul de operare, la fiierele de date i la aplicaii i s aprecieze dac acestea sunt corespunzatoare: meniuri restricionate pentru utilizatori, coduri unice de identificare i parole pentru utilizator, revizuirea drepturilor de acces ale utilizatorului, profilul utilizatorului i al grupului.

Pag. 172 din 214

va evalua ct de adecvate sunt regulile privind parolele ale entitii (lungimea parolei, durata / datele de expirare, procedurile de modificare, componena parolei, dezafectarea codului de identificare al celor ce pleac din instituie, criptarea parolei, nregistrarea i alocarea de parole noilor utilizatori, punerea n aplicare a regulilor privind parolele. va efectua teste privind modul de implementare a unor tipuri suplimentare de controale de acces logic: jurnale de operaii, restricionarea ncercrilor de acces, proceduri i registre de acces, acces specific n funcie de terminal, registre de ncercri neautorizate, limitarea acceselor multiple, timp automat de expirare, acces restricionat la utiliti i nregistrarea folosirii utilitilor sistemului i a instrumentelor de audit, controlul staiilor de lucru neutilizate. va evalua msurile pentru restricionarea accesului personalului de dezvoltare a siste mului la datele reale (din mediul de producie) i la mediul de producie (programatori, firma dezvoltatoare de software). va evalua modul de alocare, autorizare, control i monitorizare a utilizatorilor privilegiai (administratori, ingineri de sistem i programatori de sistem i de baze de date).

B4.3 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind administrarea securitii Alocarea responsabilitii cu privire la administrarea securitii IT i definirea n mod formal a sarcinilor administratorului securitii Asigurarea separrii responsabilitilor pentru administratorul securitii Se verific dac aplicarea politicilor de securitate acoper toate activitile IT ntr -un mod consistent.

Auditorul trebuie s determine, prin consultarea documentelor i prin interviu , dac este implementat cadrul procedural pentru asigurarea controlului administrrii securitii (examinarea documentelor din care rezult responsabilitile i sarcinile cu privire la administrarea securitii IT, separarea atribuiilor, reflectarea acestora n politica de securitate). B.4.4 Aspectele care se iau n considerare atunci cnd se examineaz controalele privind conexiuni externe Existena unei persoane desemnate pentru administrarea ree lei IT Msurile luate pentru monitorizarea reelei din punct de vedere al securitii i performanei Modul de protejare a conexiunilor externe mpotriva atacurilor informatice (virui, acces neautorizat) Dac este permis accesul la sistem unor organizaii externe (ex. Internet, conexiuni on-line) Se verific existena unor proceduri de control privind accesul de la distan i msurile de securitate aplicate

Controale de acces slabe mresc riscul atacurilor din partea hackerilor, al viermilor i al viruilor care afecteaz integritatea i disponibilitatea evidenelor financiare. Managementul inadecvat al reelei poate expune organizaia ameninrilor interne i externe cu privire la integritatea datelor. O reea slab securizat poate, de exemplu, s fie vulnerabil la difuzarea viruilor informatici. Auditorul trebuie s determine, prin consultarea documentelor i prin interviu , dac este implementat cadrul procedural pentru asigurarea controlului reelei: existena unei persoane desemnate pentru administrarea reelei IT, msurile luate pentru monitorizarea securitii reelei, pentru protejarea conexiunilor externe mpotriva atacurilor informatice (virui, acces neautorizat) , reglementarea accesului
Pag. 173 din 214

la sistem din partea unor organizaii externe (de exemplu, Internet, conexiuni on-line), existena unor proceduri de control privind accesul de la distan i msurile de securitate aplicate . B.4.5 Aspectele care se iau n considerare atunci cnd se examineaz controalele de reea i de utilizare a Internetului ntruct conectarea sistemelor n reele comport riscuri specifice, reeaua trebuie controlat astfel nct s poat fi accesat numai de ctre utilizatorii autorizai, iar datele transmise s nu fie pierdute, alterate sau interceptate. n ultimii ani, extinderea reelei Internet a scos n eviden i a impus cerine, concepte i riscuri noi, care au avut consecine privind securitatea sistemelor i controalele asociate. a) Controalele privind erorile de transmisie i de comunicaie: se refer la erorile care pot s apar n fiecare stadiu al ciclului comunicaiei, de la introducerea datelor de ctre utilizator, continund cu transferul pn la destinaie. Controalele de reea cele mai relevante pe care entitile trebuie s le implementeze, sunt: Politica de securitate a reelei, care poate face parte din politica general de securitate IT; Standardele de reea, procedurile i instruciunile de operare, care trebuie s se bazeze pe politica de securitate a reelei i s fie documentate. Copii ale acestei documentaii trebuie s fie disponibile pentru personalul implicat n securitatea sistemului; Documentaia reelei, care descrie structura logic i fizic a reelei; Controalele accesului logic: procedura de conectare, reguli privind parolele, permisiile de acces la resursele sistemului; Restriciile privind utilizarea resurselor externe (de exemplu este restricionat accesul n reeaua Internet); Reeaua trebuie s fie controlat i administrat de personal cu instruire i experien ade cvate, monitorizat de management; Anumite evenimente trebuie nregistrate automat n jurnalele de operaii de ctre sistemul de operare al reelei. Jurnalele de operaii trebuie revizuite periodic pentru a se depista activitile neautorizate; Utilizarea unor instrumente utilitare pentru managementul i monitorizarea reelei (pachete software sau echipamente hardware), disponibile pentru administratorii de reea. Acestea pot monitoriza utilizarea reelei i a capacitii acesteia i pot inventaria produsel e software utilizate de ctre fiecare utilizator; Accesul furnizorilor de servicii i al consultanilor trebuie s fie monitorizat; Terminalele pot fi restricionate prin intermediul codurilor de terminal sau a al adresei de reea; Criptarea datelor pentru protejare n cazul interceptrii n reea; Utilizarea liniilor private sau dedicate pentru reducerea riscului de intercepie; Utilizarea comunicaiei digitale n locul celei analoge. Legturile digitale au o capacitate mai mare, nu au nevoie de modem-uri i nu au erori din cauza conversiei digital - analog. b) Controalele Internet Implicaiile privind securitatea i controlul, care decurg din conectarea la Internet a unei entit sunt: Implicaiile privind securitatea decurg dintr-o serie de caracteristici ale comunicaiei n reeaua Internet, care pot genera riscuri majore pentru securitatea sistemului entitii. Cele mai importante sunt: caracterul anonim al unor utilizatori care vor s contravin principiilor accesu lui n Internet, vulnerabilitatea confidenialitii prin interceptarea parolei cu ajutorul unor programe specializate
Pag. 174 din 214

n cursul nregistrrii pe anumite site-uri, aciunile hackerilor, pirateria i pornografia, software ru intenionat (virui, programe "cal troian"). Protecia securitii are aspecte specifice acestui tip de comunicaie: educarea utilizatorilor proprii privind consecinele unui comportament neadecvat sau ale neglijrii unor precauii legate de utilizarea reelei Internet, utilizarea serviciilor unui provider n locul conexiunii fizice la Internet, n scopul evitrii expunerii directe a sistemului de calcul propriu la atacuri din reeaua Internet.

Auditorul trebuie s determine, prin consultarea documentelor i prin interviu , dac este implementat cadrul procedural pentru asigurarea c reeaua este controlat astfel nct s poat fi accesat numai de ctre utilizatorii interni sau externi autorizai, iar datele transmise s nu fie pierdute, alterate sau interceptate: implementarea unei politici de securitate a reelei, utilizarea standardelor de reea, a procedurilor i a instruciunilor de operare asociate acestei politici, existena i disponibilitatea documentaiei aferente cadrului procedural i a documentaiei reelei (care descrie structura logic i fizic a reelei), implementarea controalelor accesului logic (procedura de conectare, reguli privind parolele, permisiile de acces la resursele sistemului), stabilirea unor reguli privind utilizarea resurselor externe, existena unui personal cu instruire i experien adecvate, nregistrarea automat n jurnalele de operaii i revizuirea periodic a acestora pentru a se depista activitile neautorizate, utilizarea unor instrumente software/hardware pentru managementul i monitorizarea reelei, monitorizarea accesului furnizorilor de servicii i al consultanilor, criptarea datelor. Controale de baz n reeaua Internet Cea mai bun politic pentru minimizarea consecinelor negative generate de conexiunea direct la Internet conine urmtoarele aspecte: Izolarea fizic a calculatorului de sistemul de calcul al entitii; Desemnarea unui administrator cu experien i de ncredere pentru supravegherea calculatoarelor cu acces la Internet; Prevenirea accesului anonim sau, dac trebuie s fie permis, eliminarea efectelor negative ale acestuia; tergerea de pe calculatorul cu acces la Internet a tuturor datelor i programelor care nu sunt necesare; Monitorizarea atacurilor prin nregistrarea lor; Transferul fiierelor din sistemul informatic al entitii pe calculatorul legat la Internet dup ce acesta a fost verificat cu atenie i innd seama de faptul c fiierele pot fi transferate utiliznd serviciul de e-mail; Crearea unui numr ct mai mic posibil de conturi de ut ilizator pe calculatorul cu acces la Internet i schimbarea regulat a parolelor. Protecii "Firewall". Dac necesitile cer conectarea direct la Internet cu riscuri minime, se utilizeaz includerea n configuraie a unei protecii de tip "firewall" pentru a facilita controlul traficului ntre reeaua entitii i Internet i pentru a stopa penetrarea pachetelor externe neautorizate. Acesta const ntr-o combinaie de calculatoare (router i gateway) care asigur i servicii adiionale privind: autentificarea, ncriptarea i nregistrarea n jurnalul de operaii. Politica privind parolele. O politic adecvat privind parolele poate avea o contribuie semnificativ pentru securitatea calculatoarelor conectate la Internet. Politicile privind parolele aferente calculatoarelor neconectate la Internet rmn valabile i pentru acest tip de acces. Controlul accesului conine, n afara politicilor privind parolele aferente calculatoarelor neconectate la Internet, proceduri specifice: utilizarea parolelor ascunse, utilizarea unui algoritm nestandard de ncriptare a parolelor.
Pag. 175 din 214

Criptarea este o form de protecie asigurat prin codificarea informaiilor transmise n reeaua Internet. Serviciile de pot electronic perfecionate sunt dezvoltate pentru a asigura confidenialitatea i integritatea mesajelor transmise, prin ncriptare i prin semnare. Instrumentele de evaluare a securitii sunt instrumente disponibile pe Internet utilizate pentru analiza i evaluarea securitii reelelor, raportnd slbiciunile acestora n ceea ce privete controlul accesului sau regulile pentru parole. Auditorul trebuie s determine, prin consultarea documentelor i prin interviu, dac este implementat o politic pentru minimizarea consecinelor negative generate de conexiunea direct la Internet, care s abordeze aspectele prezentate mai sus: protecie firewall, administrator cu experien i de ncredere pentru supravegherea calculatoarelor cu acces la Internet, politica privind parolele, ncriptarea, Instrumentele de evaluare a securitii utilizate, serviciile de pot electronic perfecionate , monitorizarea atacurilor.

PROCEDURA B5 - Continuitatea sistemelor


Managementul continuitii sistemelor are ca obiectiv principal meninerea integritii datelor entitii prin intermediul unor servicii operaionale i al unor faciliti de prelucrare i, dac este necesar, furnizarea unor servicii temporare pn la reluarea serviciilor ntrerupte. n scopul eliminrii riscului unor defeciuni majore generate de sistemul IT, trebuie implementate controale adecvate, astfel nct entitatea s poat relua n mod eficient operaiunile, ntr -o perioad de timp rezonabil, n cazul n care funciile de prelucrare nu mai sunt disponibile. Aceasta presupune , n principal, ntreinerea i gestionarea copiilor de siguran ale datelor i sistemelor, implementarea unor politici pentru managementul problemelor, planificarea continuitii, protecia mpotriva viruilor. B.5.1 Meninerea copiilor de siguran (backup) ale datelor i sistemelor Este o cerin esenial pentru asigurarea continuitii sistemelor informatice, ntruct deteriorarea fondului de date sau a programelor ar compromite ntregul sistem i, implicit, activitile care se bazeaz pe rezultatele furnizate de acesta. Pentru eliminarea acestui risc este necesar elaborarea i aplicarea unei proceduri formale de salvare / restaurare, i de conservare a copiilor, care s precizeze: coninutul copiei, tipul suportului, frecvena de actualizare, locul de stocare. De ase menea, se impune elaborarea unor proceduri de testare a copiilor de rezerv i de recuperare a sistemului n caz de incident, precum i evaluarea timpului necesar restaurrii datelor / sistemelor n caz de incident. Auditorul va examina procedurile i modul de implementare a controalelor referitoare la urmtoarele obiective de control: Implementarea unei proceduri formale de salvare (back-up) care s specifice: - tip de copie (automat/manual); - frecvena copiilor de siguran; - coninutul copiei (date, aplicaii, sisteme, complet/incremental); - locul de stocare a copiei/copiilor; - tipul de suport; - alte comentarii. Existena unei proceduri de testare a copiilor de siguran. Frecvena i modul de evideniere; Implementarea unei proceduri de recuperare / restaurare; Efectuarea de ctre entitate a unor analize cu privire la timpul necesar restaurrii datelor/apli caiilor/sistemului.
Pag. 176 din 214

B.5.2 Managementul capacitii Managementul capacitii se bazeaz pe analiza capacitii configuraiei disponibile de a face fa cerinelor sistemelor sau aplicaiilor prin prisma unor criterii de performan stabilite. Concluziile formulate constituie suport pentru decizii privind: msuri referitoare la eliminarea ngustrilor de trafic, optimizarea configurrii reelelor i/sau sistemelor, reproiectri ale fluxurilor, elaborarea unor grafice de utilizare, extinderea configuraiilor sau nlocuirea acestora. Auditorul va examina procedurile i modul de implementare a controalelor referitoare la urmtoarele obiective de control: Efectuarea de ctre entitate a unor analize privind capacitatea pentru hardware i pentru reea , precum i periodicitatea acestor analize; Efectuarea de ctre entitate a unor analize privind performana i capacitatea aplicaiilor IT i indicatorii avui n vedere; Efectuarea de ctre entitate a unor analize privind gtuirile de trafic. Detalierea problemelor.

B.5.3 Managementul problemelor Managementul problemelor are ca scop depistarea i soluionarea problemelor aprute n funcionarea sistemului informatic pe ntreaga durat de via a acestuia prin asigurarea unui cadru procedural care s impun: (a) modul de detectare, semnalare, comunicare, nregistrare, rezolvare i urmrire a problemelor, (b) analiza i verificarea modului de rezolvare, etapele care se parcurg, precum i (c) documentele utilizate (registrul problemelor, lista problemelor rmase deschise sau care se repet frecvent). Auditorul va examina procedurile i modul de implementare a controalelor referitoare la urmtoarele obiective de control: Implementarea unui cadru procedural care s trateze urmtoarele aspecte: Modul n care se semnaleaz compartimentului IT apariia problemelor; Cum se ine evidena problemelor n cadrul compartimentului IT (registru al problemelor sau o alt form de eviden); - Implementarea funciei helpdesk; - Etapele care trebuie urmate pentru rezolvarea problemelor; - Verificarea i analiza listei de probleme de ctre conducere; - Implementarea unei proceduri de urmrire a problemelor rmase deschise; - Implementarea unei proceduri pentru situaia nerezolvrii problemei; Responsabilitatea documentrii i aducerii la cunotina celor direct implicai a ace stor proceduri. -

B.5.4 Planificarea continuitii Planificarea continuitii proceselor IT presupune existena unui plan documentat corespunztor de conti nuitate a afacerii i, n particular, a operaiunilor IT. Planul de continuitate a afacerii reprezint un control corectiv semnificativ. Pentru elaborarea unui plan extensiv, care s rspund gamei largi de probleme asociate continuitii proceselor IT sunt necesare att aptitudini ct i disponibilitatea unei metodologii care s ofere cadrul procedural pentru toat problematica abordat: definirea obiectivelor, agrearea bugetului, definirea proceselor, alocarea resurselor, stabilirea termenelor i a responsabilitilor, aprobare.

Pag. 177 din 214

Elaborarea planului are la baz o analiz detaliat a impactului pe care l-ar genera lipsa sistemului IT asupra afacerii, n scopul reducerii riscurilor. Sunt examinate, de asemenea, msurile de prevenire a dezastrului pentru a opera perfecionarea acestor msuri. Pe baza analizelor i informaiilor preliminare, se realizeaz dezvoltarea planului de continuitate, care va fi implementat, testat prin simulri periodice i actualizat n funcie de schimbrile impuse de rezultatele simulrilor. Planul de continuitate trebuie s fie fcut cunoscut personalului implicat n pro cesele IT. Coninutul unui plan de continuitate poate varia n funcie de circumstane, dar, n general, include urm toarele seciuni: seciunea administrativ, contracte suport, operarea calculatoarelor privind recuperarea proceselor cheie IT, infrastructura IT necesar recuperrii i procedurile asociate, locaia de back-up, identificarea locului unde sunt stocate arhivele cu supori tehnici care conin salvrile i procedura de obinere a accesului la acestea, personalul implicat n procesul de recuperare n caz de dezastru (personal propriu sau extern), stabilirea sediului provizoriu (pentru cazul n care dezastrul a fost extensiv i a necesitat evacuri), revenirea la normal (lista detaliat a responsabilitilor echipelor implicate n restabilirea condiiilor normale de activitate). Auditorul va examina procedurile i controalele privind existena, implementarea, urmrirea i testarea cu regularitate a planului privind asigurarea continuitii activitii entitii i, n particular, a operaiunilor IT. B.5.5 Managementul operaiunilor IT Managementul operaiunilor IT se realizeaz pe baza unor proceduri elaborate i documentate. n cadrul misiunii de audit se verific existena controalelor privind implementarea acestor proceduri i atribuirea responsabilitilor legate de aplicarea i actualizarea acestora. Procedurile operaionale IT furnizeaz asigurarea c sistemele de aplicaii sunt disponibile la momentele programate, opereaz n concordan cu cerinele, iar rezultatele prelucrrilor sunt produse la timp. Controalele operaionale reduc riscurile adoptrii unor practici de lucru necorespunztoare ntr -un departament IT. Practicile de lucru necorespunztoare pot afecta auditul financiar ntruct utilizarea calcu latorului constituie baza pentru ntocmirea situaiilor financiare. Punctele slabe din mediul de operare ar putea fi exploatate pentru a rula programe neautorizate i a efectua modificri ale datelor financiare. Operarea pe calculator trebuie s asigure o procesare exact, corespunztoare a datelor financiare. Controlul neadecvat asupra operatorilor la calculator crete riscul aciunilor neautorizate. Operatorii nesupravegheai pot face uz de utilitile sistemului pentru a efectua modificri neautorizate ale date lor financiare. Experiena i pregtirea neadecvat a personalului mrete riscul comiterii de greeli n departamentul IT. Greelile pot conduce la orice efect, de la cderea sistemului, pn la tergerea datelor unei perioade. ntreinerea neadecvat a echipamentului informatic poate cauza probleme de disponibilitate a aplicaiilor, iar disfunciile sistemului pot conduce la date eronate. Registrele de procesare pot reduce riscurile unei activiti neautorizate. Pot fi utilizate de asemenea pentru determinarea extensiei erorilor de procesare. Documentaia slab sau lipsa acesteia pot cauza probleme cum ar fi: indisponibilitatea sistemului, pierderea integritii datelor sau ntrzieri n recuperarea acestora dup eliminarea defectelor din sistem. n general, sunt implementate urmtoarele tipuri de proceduri operaionale: proceduri de recuperare sau de restartare; proceduri pentru instalarea de software i hardware; proceduri la nceput de zi/sfrit de zi, dac este cazul; proceduri privind raportarea incidentelor; proceduri privind rezolvarea problemelor.
Pag. 178 din 214

Auditorul va examina procedurile i modul de implementare a controalelor privind operaiunile IT: existena unui manager de reea, existena unui acord privind nivelul de servicii ntre departamentul informatic i restul organizaiei, respectiv cu utilizatorii sistemului (care s acopere disponibilitatea serviciilor, standardele de servicii etc.), existena unor proceduri i msuri de supraveghere a personalului de operare a calculatoarelor i care asigur suport tehnic, pregtirea i experiena personalului de operare, modalitatea i calitatea ntreinerii calculatoarelor (ntreinere prin mijloace poprii sau de ctre furnizori externi), existena, utilizarea i monitorizarea jurnalelor de operaii (pentru a detecta activiti neuzuale sau neautorizate sau pentru a monitoriza utilizarea facilitilor sistemului de operare), documentarea adecvat a procedurilor (proceduri de supraveghere, proceduri de procesare, proceduri de operare, managementul incidentelor, managementul suporilor de memorare (benzi, discuri, CD, DVD). Protecia mpotriva viruilor se asigur prin existena politicilor i procedurilor privind: soluia antivirus folosit, configuraiile pe care se aplic, modul de actualizare a fiierului de definiii, permisiunea pentru dezactivarea software-ului antivirus pe staiile proprii de lucru pentru utilizatori, opiuni privind scanarea software-ului de ctre programul antivirus (toate fiierele, pe server i staiile de lucru, automat, periodic). Auditorul va examina procedurile i controalele privind existena i implementarea procedurilor operaionale IT i a proteciei antivirus: Implementarea unui cadru procedural care s conin urmtoarele proceduri operaionale: Proceduri la nceput de zi/sfrit de zi, dac este cazul; Proceduri de recuperare sau restaurare; Instalare de software i hardware; Raportarea incidentelor; Rezolvarea problemelor.

Stabilirea unui responsabil cu actualizarea procedurilor operaionale IT Protecia mpotriva viruilor - Implementarea unei proceduri privind utilizarea unei soluii antivirus care s ofere asigurarea privind: o Aplicarea soluiei antivirus tuturor serverelor i staiilor de lucru; o Actualizarea fiierului de definiii antivirus; o Interdicia dezactivrii software-ul antivirus de ctre utilizatori la staia proprie de lucru; o Software-ul antivirus scaneaz toate fiierele (pe server i pe staiile de lucru) automat, n mod periodic.

Managementul configuraiilor presupune asigurarea contextului hardware / software stabil care s susin funcionalitatea continu a sistemului informatic i, implicit, activitile entitii auditate. Se verific dac este prevzut i este operaional meninerea configuraiilor echipamentelor IT i ale aplicaiilor, n mod formal, n alte locaii dect sediul sistemelor. Auditorul va examina procedurile i controalele privind existena i implementarea procedurilor specifice managementului configuraiilor: Meninerea n mod formal a configuraiilor echipamentelor IT i ale aplicaiilor i n alte locaii dect sediul sistemelor de producie; utilizarea unor msuri de protecie; Implementarea unor proceduri care s ofere asigurarea c sunt ndeplinite urmtoarele condiii: - Configuraiile sunt actualizate, comprehensive i complete; - Manualele de instalare/utilizare sunt actualizate n concordan cu ultima versiune de sistem;
Pag. 179 din 214

Se realizeaz o gestiune a versiunilor programelor i documentaiei, iar personalul utilizator tie care sunt cele mai noi versiuni ale programelor i ale documentaiei.

PROCEDURA B6 - Externalizarea serviciilor IT


Avnd n vedere c activitatea IT nu este activitatea principal ntr -o entitate i c managementul se concentreaz n primul rnd pe obiectivele afacerii, tendina principal privind asigurarea serviciilor IT este de a utiliza furnizori externi de servicii IT, soluie care n majoritatea cazurilor contribuie i la reducerea costurilor. Necesitatea unor colaborri, a furnizrii unor servicii de tehnologia informaiei (Internet, instruire, asisten tehnic, ntreinere etc.) determin externalizarea acestor activiti prin ncheierea de contracte semnate cu furnizorii acestor servicii. Avnd n vedere c astfel de relaii contractuale sunt purttoare de riscuri (att sub aspect valoric, ct i la nivelul funcionalitii i securitii sistemului), auditorul trebuie s evalueze implicaiile ce decurg din clauzele contractuale privind confidenialitatea, formele de asigurare a suportului i asistenei tehnice, valorile contractuale pentru asisten tehnic i ntreinere, dependena fa de furnizor, innd seama de natura serviciilor. Auditorul va examina n primul rnd politicile i procedurile care asigur securitatea datelor entitii. Clauzele existente n contractele semnate cu furnizorii ofer o prim imagine privind eventualitatea apariiei unor riscuri n cazul neincluderii unor controale adecvate. De asemenea, auditorul va evalua modul n care organizaia monitorizeaz prestaia furnizorilor externi de servicii, att n ceea ce privete aspectele legate de securitate, ct i cele legate de calitatea serviciilor. Monitorizarea neadecvat mrete riscul ca procesarea inexact sau incomplet s rmn nedetectat. Examinarea contractelor de prestri servicii va acoperi toate problemele importante: performana (SLAs), securitatea, proprietatea asupra datelor, accesul la datele clientului, disponibilitatea serviciului, planificarea pentru situaiile de urgen. Auditorul trebuie s obin asigurarea c furnizorul extern de servicii IT a realizat o procesare exact i complet. Auditorul va putea obine asigurarea prin inspecie personal sau prin obinerea asigurrii unei tere pri independente.

PROCEDURA B7 - Managementul schimbrii i al dezvoltrii de sistem


Schimbarea sistemului pe durata ciclului su de via are un impact semnificativ asupra controalelor existente i poate afecta fundamental funcionalitatea sistemului. Controalele schimbrii sunt necesare pentru a asigura continuitatea sistemului n conformitate cu cerinele impuse i pot varia considerabil de la un tip de sistem la altul. Schimbrile se refer la hardware (calculatoare, periferice, reele) , la software (sisteme de operare, utilitare) i la aplicaiile individuale. Scara schimbrilor poate diferi considerabil : de la proceduri aferente unor funcii dedicate, la instalarea unor versiuni noi de aplicaii sau sisteme de operare. Indiferent de mrimea sau scara schimbrilor, efectele asupra operrii sistemului trebuie s fie minime pentru a nu perturba activitatea curent a entitii. Controalele managementului schimbrilor sunt implementate pentru a se asigura c modificrile aduse unui sistem informatic sunt corespunztor autorizate, testate, acceptate i documentate. Contro alele slabe pot antrena din schimbri care pot conduce la modificri accidentale sau de rea credin aduse programelor i datelor. Schimbrile de sistem insuficient pregtite pot altera informaiile financiare i pot ntrerupe parcursul de audit.

Pag. 180 din 214

Schimbrile pot fi solicitate pentru urmtoarele motive:


Pentru mbuntirea funcionalitii sistemului n ceea ce privete timpul de rspuns, existena unor discontinuiti n meniuri, prezena erorilor de program; Pentru uurarea operrii sistemului: perfecionri privind administrarea bazei de date i a reelei, asistena de tip helpdesk etc.; Pentru perfecionri privind planificarea capacitii: resurse adiionale cerute de sistem, componente de capacitate crescut; Pentru corectarea erorilor semnalate: frecvena crescut a incidentelor helpdesk care au asociate probleme de sistem; Pentru perfecionarea securitii sistemului i a informaiilor: identificarea punctelor slabe n sistemul de securitate i corectarea acestora; Actualizri de rutin: impuse de dezvoltatorii de software la schimbarea versiunii sistemului (clientul trebuie s instaleze n permanen versiunea curent); Schimbri la nivelul cerinelor impuse sistemului generate de: schimbri de legislaie, schimbri ale cerinelor sau orientrii afacerii.

Proceduri de control al schimbrii Procedurile de control al schimbrii trebuie s includ: Proceduri privind autorizarea de ctre management; Testarea software-ului modificat nainte de a fi utilizat n mediul de producie; Examinri din partea managementului ale efectelor schimbrilor; ntreinerea unor evidene adecvate; Pregtirea unui plan de recuperare (de revenire la situaia iniial), chiar dac sistemul funcioneaz corect; Elaborarea i implementarea procedurilor privind schimbrile n caz de urgen. Elaborarea sistemului de proceduri de control al schimbrii trebuie pregtit prin colectarea, inventarierea i clasificarea cerinelor privind schimbarea, urmat de acordarea unor prioriti care semnific urgena care se impune pentru fiecare schimbare n parte. Prioritate schimbrii este determinat prin evaluarea costurilor schimbrii i a impactului asupra afacerii i a resurselor aferente acesteia. Categoriile tipice de schimbri sunt: Schimbrile de urgen: se refer la cderea complet a sistemului, astfel nct trebuie asigurate funciile critice (indisponibile) ale afacerii; Schimbri cu impact potenial asupra tuturor utilizatorilor sistemului : pot fi generate de nlocuirea sistemului sau de instalarea unei noi versiuni a sistemului de operare; Schimbri cu impact potenial asupra tuturor utilizatorilor unui serviciu sau a unei aplicaii : pot fi generate de instalarea unei noi versiuni a unei aplicaii; Schimbri cu impact potenial asupra tuturor utilizatorilor unui serviciu: se refer la reorganizarea unei baze de date sau corectarea unei erori; Schimbri minore care necesit reiniializarea sistemului: sunt schimbri de configuraie (adugare de noi componente n sistem), potrivirea ceasului electronic; Schimbri minore: se refer, de exemplu, la schimbarea definiiilor reelei, la iniializarea unui nou hard disk.

Pag. 181 din 214

Decizia privind operarea efectiv a schimbrilor trebuie s ia n considerare o serie de factori:


Impactul potenial asupra sistemelor IT i asupra serviciilor furnizate utilizatorilor: capacitate, securitate, timpul de rspuns al sistemului, performan; Efectul nonimplementrii schimbrii; Resursele necesare pentru implementarea schimbrii (costuri, personal); Cerine pentru resursele viitoare dac se va implementa schimbarea.

n urma aprobrii de ctre management, gestionarea schimbrii trebuie transferat ctre personalul tehnic (programatori, operatori, tehnicieni pentru reele etc.) pentru a asigura implementarea acesteia. n cazul schimbrilor aplicaiilor, programatorii vor face dezvoltrile ntr-un mediu de dezvoltare controlat, la care are acces numai personalul autorizat pentru efectuarea schimbrii. Versiunea modificat i documentat este transferat pentru validare n mediul de test. Transferul programelor actualizate n mediul de producie este realizat de o alt echip, nu de ctre programatorii sau analitii care au participat la dezvoltare sau testare. Orice schimbare a sistemului software necesit actualizarea documentaiei n concordan cu schimbrile operate. Dup o perioad predefinit, schimbarea trebuie revizuit pentru a determina: Dac schimbarea s-a finalizat cu rezultatele planificate; Dac utilizatorii sunt mulumii n ceea ce privete modificarea produsului; Dac au aprut probleme sau efecte neateptate; Dac resursele cerute pentru implementarea i operarea sistemului actualizat au fost cele planificate. Schimbrile de urgen sunt schimbri care sunt necesare n anumite situaii neprevzute, nu pot atepta parcurgerea fluxului normal al procedurilor de control al schimbrii i trebuie implementate cu o ntrziere minim. Pentru acestea trebuie utilizate proceduri de control al schimbrilor de urgen. Natura schimbrilor de urgen se reflect n timpul necesar efecturii i testrii schimbrii. Auditorul va verifica dac aceste proceduri sunt rezonabile i includ forme de control suficiente i adecvate. Avnd n vedere c acest tip de schimbri se realizeaz sub presiune, trebuie avute n vedere riscurile generate care sunt majore n astfel de cazuri.

Controlul versiunilor Procedurile de control al versiunilor sunt foarte importante pentru a asigura utilizatorul c opereaz asupra versiunii de program corecte. Creterea gradului de distribuire a sistemelor implic o dificultate crescut a gestiunii versiunilor, ceea ce implic necesitatea implementrii unor proceduri de control al versiunilor. Pe baza acestor premise, managementul schimbrii i al dezvoltrii sistemului se poate sintetiza dup cum se descrie n continuare: Dezvoltatorii de software utilizeaz pe scar larg instrumente automate de control al versiunilor pentru a nregistra schimbrile succesive efectuate asupra programelor surs. Managementul schimbrii i al dezvoltrii sistemului are ca obiectiv important implementarea unor politici, proceduri i controale n scopul asigurrii c sistemele sunt disponibile cnd sunt necesare, funcioneaz conform cerinelor, sunt fiabile, controlabile i necostisitoare, au un control sigur al integritii datelor i satisfac nevoile utilizatorilor.
Pag. 182 din 214

Politicile implementate privind schimbarea sau dezvoltarea sistemului se refer la urmtoarele aspecte: Managementul schimbrii proceselor afacerii. Procedurile i controalele cele mai relevante se refer la urmtoarele aspecte: iniierea modificrii sau dezvoltrii sistemului IT, alocarea corect a investiiilor n hardware, software i servicii IT, asigurarea c se realizeaz armonizarea necesitilor afacerii cu schimbrile IT, documentarea procedurilor i a activitilor (formular pentru cereri, evidena modificrilor efectuate) i competenele de aprobare. Implementarea controalelor privind managementul schimbrilor tehnice se refer la modul n care se gestioneaz schimbrile tehnice pariale sau integrale ale sistemului informatic: integrarea de componente noi, nlocuirea unor componente, schimbarea versiunii sistemului etc., precum i asupra procedurilor de implementare a schimbrilor tehnice n mediul de test, de producie, de dezvoltare sau de implementare a modificrilor solicitate n regim de urgen. Metodologia de dezvoltare constituie un element esenial pentru succesul implementrii schimbrilor tehnice ntruct ofer suportul procedural pentru procesele de dezvoltare a siste mului informatic i un cadru standardizat pentru implementarea componentelor informatice. Procedurile trebuie s se aplice ntr-un mod consistent tuturor proiectelor de dezvoltare, avnd ataate i cazuri predefinite de testare. Lipsa unei metodologii de dezvoltare a proiectelor implic un risc ridicat asupra sistemului. n ceea ce privete managementul proiectelor este necesar implementarea unor proceduri i controale privind: metodologia de management al proiectelor utilizat, existena proce durilor specifice proiectelor IT, monitorizarea periodic a stadiului proiectelor IT. Lipsa acestora genereaz riscuri pe toat durata de via a proiectului. Implicarea utilizatorilor n etapele procesului de dezvoltare a proiectului, n funcie de nivelul profesional al acestora, poate genera de asemenea riscuri privind: specificarea cerinelor, testarea programelor, acceptarea sistemului, instruirea personalului, elaborarea documentaiei etc.. Managementul calitii are un impact semnificativ asupra componentelor informatice dezvoltate, asupra sistemului n general i, implicit, asupra activitii entitii. Documentarea procedurilor i a funcionrii sistemului este esenial att pentru facilitate a operrii de ctre utilizatori la nivel de aplicaie, ct i pentru asigurarea funcionalitii la nivel de sistem. Existena manualelor de utilizare reprezint o cerin minimal.

Utilizarea unor proceduri inadecvate de control al modificrilor poate crete riscul ca sistemul s nu proceseze corect tranzaciile financiare. Fr o testare adecvat, att conducerea entitii, ct i auditorii au o asigurare slab c sistemul va efectua ceea ce s-a intenionat. Implicarea neadecvat a utilizatorilor crete riscul ca informaiile rezultate din aplicaii s nu corespund cu realitatea. Documentaia neadecvat face ca sistemul s fie dificil de ntreinut. Fr standarde adecvate, poate fi dificil s se respecte documentaia. O documentare bun a schimbrilor poate ajuta la identificarea erorilor sistem ului. Utilizarea metodologiilor standard de proiectare reduce riscul ca un sistem nou s nu corespund cerinelor utilizatorului. Modificrile de urgen care nu au fost aprobate pot cauza probleme neprevzute n alte zone ale sistemului informatic. Existena unor controale neadecvate poate conduce la utilizarea n mediul de producie a unor programe neautorizate. Modificrile neautorizate n sistem pot fi utilizate pentru fraudarea clientului. Acestea pot de asemenea s afecteze disponibilitatea sistemelor i pot deforma datele financiare. Utilizarea neautorizat
Pag. 183 din 214

a unor faciliti poate fi utilizat pentru a ocoli procedurile de management al modificrilor stabilite i favorizeaz dezvoltarea de aplicaii neautorizate. Auditorul va examina urmtoarele aspecte: Politicile i procedurile de autorizare existente pentru modificarea aplicaiilor financiare: cine autorizeaz modificrile, dac se folosesc studii de fezabilitate pentru a determina impactul potenial al modificrilor, cum este monitorizat i analizat derularea proiectului de ctre conducere, reaciile generate, metodologii i instrumente standard de dezvoltare adoptate, documentaii referitoare la modificare, analiza post-modificare; n ce msur sunt testate actualizrile sistemului i ale aplicaiei nainte de transferul n mediul operaional (de producie); Dac procedurile de testare sunt adecvate, independente i documentate; Implicarea utilizatorilor n testarea dezvoltrii, achiziiei i recepiei sistemelor informatice; Dac evidenele modificrilor sunt la zi, cuprinztoare i complete; Dac manualele de utilizare sunt actualizate i este disponibil cea mai recent versiune a documentaiei; Efectuarea modificrilor de urgen; Controale existente pentru a asigura c numai modificrile autorizate sunt transferate d in mediul de testare n mediul de producie; Modul de tratare a deficienele de funcionare a software-ului i a problemelor utilizatorilor (funcie help-desk, statistici help-desk disponibile, rezolvarea practic a incidentelor); Controale pentru prevenirea accesului persoanelor neautorizate la programele din biblioteca sursa de programe pentru a face modificri.

PROCEDURA B8 - Auditul intern IT


Responsabilitatea managementului privind implementarea sistemului de controale interne se reflect n politicile i procedurile implementate. Asigurarea c sistemul de controale este implementat corespunztor i reduce n mod rezonabil riscurile identificate este furnizat de auditorii interni care examineaz politicile, procedurile i controalele implementate i efectele funcionrii acestora asupra activitii entitii. Auditorii externi privesc funcia de audit intern a entitii ca fiind o parte din structura general de control a acesteia, o evalueaz i formuleaz o opinie privind ncrederea n activitatea auditului intern. De asemenea, auditorii externi evalueaz dac personalul din structura de audit intern este capabil s efectueze evaluri competente ale sistemului de calcul al entitii, dac utilizeaz metodologii sau standarde de audit IT adecvate. Structura mediului de control IT al unei entiti conine controale specifice IT care se refer la urmtoarele categorii de elemente: Mediul controalelor generale: include controalele asociate politicilor de nivel nalt, valorilor etice, culturii afacerii i resurselor umane. Evaluarea riscurilor: presupune evaluarea ameninrilor, vulnerabilitilor i a impactului acestora asupra afacerii. Informaie i comunicaii: constau n controale care permit personalului s primeasc i s controleze informaiile legate de afacere.
Pag. 184 din 214

Activiti de control: asigur c afacerea continu s opereze n maniera ateptat de managementul de vrf. Monitorizare: asigur c politicile i procedurile continu s funcioneze i sunt adecvate.

Auditul intern trebuie s se concentreze asupra existenei i eficacitii controalelor speciali zate IT pentru toate categoriile menionate mai sus, n concordan cu specificul activitii i n scopul evitrii expunerii afacerii la riscuri nejustificate. Specializarea unor auditori n domeniul auditului IT i utilizarea unor metodologii adecvate s au includerea unor experi n domeniu n echipa de audit, n situaii n care se justific prezena acestora, reprezint o cerin pentru evaluarea unor sisteme informatice complexe. n funcie de stadiul n care acioneaz, exist trei categorii de controale: Controale preventive proiectate pentru a preveni producerea de erori, omisiuni sau aciuni ru intenionate. Un exemplu de control preventiv este utilizarea parolelor pentru accesul n sistem. Controale de detectare proiectate pentru a detecta erori, omisiuni sau aciuni ru intenionate care au loc i pentru a raporta apariia acestora. Un exemplu de control detectiv este meninerea jurnalelor de operaii ale sistemului i ale aplicaiilor. Controale corective proiectate pentru a reduce impactul sau pentru a corecta erorile odat ce au fost detectate. Planul de continuitate a afacerii este considerat cel mai semnificativ control corectiv.

4.4.3 Analiza controalelor aplicaiei i evaluarea riscurilor asociate


Seciunile urmtoare se refer la problematica specific aplicaiilor informatice financiar -contabile, din perspectiva auditului. Scop: S consolideze cunotinele privind sistemul informatic al clientului, obinute prin evaluarea controalelor generale aferente mediului informatizat, s permit auditorului financiar s identifice, s documenteze i s evalueze orice proceduri i controale care opereaz n cadrul fiecrei aplicaii financiare, s permit auditorului s evalueze nivelul general al riscului de audit asociat fiecrei aplicaii i s identifice riscurile specifice care pot influena realizarea conformitii i riscurile asociate programelor informatice. Cele mai importante obiective de control specifice aplicaiilor69 sunt: 1. Pregtirea i autorizarea surselor de date: asigur faptul c documentele surs sunt pregtite de personal autorizat i calificat, folosind proceduri anterior stabilite, demonstrnd o separare adecvat a ndatoririlor cu privire la generarea i aprobarea acestor documente. Erorile i omisiunile pot fi minimizate printr-o bun proiectare a intrrilor. Detecteaz erorile i neregulile spre a fi raportate i corectate. 2. Colectarea surselor de date si introducerea n sistem: stabilete faptul c intrrile (datele de intrare) a u loc la timp, fiind fcute de ctre personal autorizat i calificat. Corectarea i retrimiterea datelor care au intrat n sistem n mod eronat trebuie s aib loc fr a trece peste nivelurile iniiale de autorizare privind tranzaciile (intrrile). Cnd este nevoie s se reconstituie intrarea, trebuie reinut sursa iniial pentru o perioad suficient de timp. 3. Verificri privind: acurateea, completitudinea i autenticitatea: asigur faptul c tranzaciile sunt precise (exacte), complete i valabile. Valideaz datele introduse i le editeaz sau le trimite napoi spre a fi corectate ct mai aproape posibil de punctul de provenien.

69

Conform cadrului de lucru COBIT Pag. 185 din 214

4. Integritatea i validitatea procesului: menine integritatea i validitatea datelor de-a lungul ciclului de procesare. Detectarea tranzaciilor compromise din punct de vedere al erorilor nu ntrerupe procesarea tranzaciilor valide. 5. Revizuirea rezultatelor, reconcilierea i tratarea erorilor: stabilete procedurile i responsabilitile asociate pentru a asigura c rezultatul este utilizat ntr-o manier autorizat, distribuit destinatarului potrivit i protejat n timpul transmiterii sale, precum i faptul c se produc: verificarea, detectarea i corectarea exactitii rezultatului i c informaia oferit n rezultatul procesrii este utilizat. 6. Autentificarea i integritatea tranzaciilor: nainte de a transmite datele tranzaciei de la aplicaiile interne ctre funciile operaionale ale afacerii (sau ctre exteriorul organizaiei), trebuie verificate: destinaia, autenticitatea sursei i integritatea coninutului. Menine autenticitatea i integritatea transmiterii sau ale transportului. Pentru evaluarea controalelor de aplicaie se utilizeaz Lista de verificare privind evaluarea controalelor de aplicaie. Aspectele teoretice referitoare la evaluarea riscurilor au fost tratate n detaliu n Capitolul 3. Pentru evaluarea riscurilor se utilizeaz Lista de verificare privind evaluarea riscurilor.

PROCEDURA CA1 - nelegerea sistemului informatic financiar - contabil


Auditorul trebuie s neleag toate etapele pe care le parcurg tranzaciile, de la iniiere i pn la reflectarea lor n situaiile financiare. n foarte multe cazuri, cnd activitatea este parial informatizat, aplicaiile informatice reflect parial fluxul unei tranzacii, prelucrarea fiind completat prin proceduri manuale. n acest context, auditorul este cel care trebuie s reconstituie parcursul tranzaciei , de la iniiere pn la includerea n situaiile financiare. n cadrul evalurii aplicaiilor, auditorul trebuie s identifice toate echipamentele informatice asociate mediului IT implicate n introducerea, prelucrarea, stocarea sau producerea rezultatelor de ieire aferente sistemului informatic financiar-contabil (SIFC). De asemenea, va identifica toate aplicaiile IT care contribuie la obinerea situaiilor financiare. Pentru fiecare aplicaie financiar auditorul trebuie s prezinte n documentele de lucru, sub forma de schem logic sau descriptiv, urmtoarele elemente:

interfeele dintre operaiile manuale i operaiile informatizate; echipamentele i aplicaiile informatice care contribuie la obinerea situaiilor financiare verificate; valoarea i volumul tranzaciilor procesate de fiecare aplicaie; modulele de introducere, prelucrare, ieire i stocare ale aplicaiilor relevante; fluxul tranzaciilor de la iniierea tranzaciei pn la reflectarea acestora n situaiile financiare.

Creterea gradului de complexitate a sistemelor informatice prin integrarea aplicaiilor la nivelul sistemului informatic al entitii, permite procesarea mai multor tipuri de tranzacii, provenind din aplicaii diferite: aplicaii care proceseaz tranzacii privind veniturile, tranzacii de cheltuieli, state de plat lunare, evidena stocurilor, costul lucrrilor i activele fixe i altele. Este deci posibil ca o aplicaie s proceseze tranzacii din zone contabile diferite. La definirea zonelor contabile, auditorul va trebui s identifice fluxul principal de tranzacii din f iecare aplicaie i s reconstituie parcursul prelucrrii n funcie de aplicaia analizat. De asemenea, trebuie s detecteze i s reconstituie fluxurile care apar n situaia transferului de informaii ntre aplicaii. Auditorul trebuie s evalueze riscul de audit n cadrul fiecrui proces, utiliznd urmtorii trei factori: (a) ameninrile la adresa integritii i disponibilitii informaiilor financiare; (b) vulnerabilitatea informaiilor financiare la ameninrile identificate;
Pag. 186 din 214

(c) impactul posibil n ceea ce privete obiectivele auditului. Auditorul va colecta informaii referitoare la aplicaia financiar -contabil: descrierea aplicaiei, funciile pe care le realizeaz aplicaia, arhitectura aplicaiei (platforma hardware / software, produsele software de tip instrument, sistemul de gestiune a bazelor de date, sistemul de comunicaie) , proprietarul aplicaiei, administratorul aplicaiei, numrul utilizatorilor aplicaiei i cine sunt acetia, volumul i valoarea tranzaciilor procesate lunar de aplicaia financiar-contabil, puncte slabe sau probleme cunoscute.

PROCEDURA CA2 - Posibilitatea de efectuare a auditului


Posibilitatea efecturii auditului pe baza sistemului informatic financiar-contabil depinde de posibilitatea colectrii unor probe suficiente i competente, pentru efectuarea auditului. n cazul n care situaiile financiare au fost produse de un sistem informatic, trebuie s fie ndeplinite urmtoarele condiii:

evidenele tranzaciilor s fie stocate i s fie complete pentru ntreaga perioad de raportare; evidenierea unei tranzacii s conin suficiente informaii pentru a stabili un parcurs de audit; totalurile tranzaciilor s se regseasc n situaiile financiare.

Dac oricare din aceste criterii nu primete un rspuns afirmativ, auditorul trebuie s decid dac sistemul informatic ofer ncredere n situaiile financiare generate de acest sistem. n condiiile n care concluzia auditorului este c nu poate avea ncredere n sistemul informatic, auditorul trebuie s analizeze ce msuri trebuie luate pentru a continua misiunea de audit financiar. Auditorul trebuie s constate dac exist evidene contabile alternative manuale i dac este posibil s se efectueze auditul pe baza acestora (pe lng sistemul informatic).

PROCEDURA CA3 - Utilizarea tehnicilor de audit asistat de calculator (CAAT)


Utilizarea tehnicilor de auditare asistat de calculator, ca instrumente de auditare, acoper, n principal, procesele i activitile prezentate n continuare: a) Gestionarea documentelor de lucru electronice; b) Regsirea i analiza informaiei; c) Estimarea riscurilor generate de utilizarea tehnicilor de auditare asistat de calculator ; d) Detectarea fraudei; e) Securitatea i performana reelei de calculatoare; f) Securitatea n reeaua Internet; g) Monitorizarea continu; h) Raportarea auditului. Tehnicile de auditare asistat de calculator utilizate cel mai frecvent n auditul financiar se mpart n dou categorii: (a) tehnici pentru regsirea datelor prin interogarea fiierelor de date; prin utilizarea unor module de audit incluse n sistemul informatic auditat. (b) tehnici pentru verificarea controalelor sistemului utilizarea datelor de test; utilizarea facilitilor de testare integrate;
Pag. 187 din 214

simulare paralel; compararea codului programului; revizuirea codului programului.

n ambele cazuri se pun urmtoarele probleme: (1)- identificarea informaiilor care vor fi necesare pentru prelucrare n scopul obinerii probelor de audit, (2)- obinerea datelor ntr-un format adecvat pentru a fi prelucrate, (3)- stocarea datelor ntr-o structur care s permit prelucrrile impuse de necesitile auditului. Utilizarea tehnicilor de auditare asistat de calculator presupune: cunoaterea scopului care trebuie atins; nelegerea modului n care opereaz sistemul (identificarea fiierelor care conin datele de interes i a structurii acestora); cunoaterea structurii nregistrrilor, pentru a le putea descrie n programul de interogare; formularea interogrilor asupra fiierelor / bazelor de date; cunoaterea modului de operare a sistemului; determinarea criteriilor de selecie a nregistrrilor n funcie de metoda de eantionare i de tipurile de prelucrri; interogarea sistemului i obinerea probelor de audit.

In permanen trebuie obinut asigurarea privind versiunea de programe utilizat i corectitudinea surselor de date. De asemenea, trebuie adoptat cea mai adecvat form de pr ezentare a rezultatelor. In scopul utilizrii adecvate a informaiilor supuse analizei de ctre programul de auditare asistat de calculator selectat, al asigurrii accesibilitii pentru auditor i al asigurrii compatibilitii cu configuraia hardware utilizat de auditor, este necesar specificarea formatelor fiierelor de date i a metodei (structurii) de memorare. Datele trebuie s fie furnizate ntr-o form care s permit utilizarea lor n mod direct de ctre programul de auditare asistat de calculator sau ntr-un format standard compatibil cu versiunea sofware utilizat de auditor (fiiere Windows, Lotus, Excel, Dbase, text cu separatori etc.); Datele trebuie s fie furnizate n format electronic, pentru a permite importul direct n baza de date a auditorului, pe suport magnetic, optic sau prin reea (Internet, intranet). In toate cazurile trebuie analizate implicaiile infectrii cu virui. Implementarea auditului bazat pe calculator sau asistat de calculator constituie o etap deosebit de important, n care se pot automatiza integral sau parial o serie de activiti ntre care: managementul proiectului, colectarea datelor, elaborarea de statistici, elaborarea de proceduri de eantionare, evaluare i testare, elaborarea documentelor de lucru (machete, chestionare, liste de verificare), redactarea raportului de audit, analiza. Utilizarea programelor software pentru auditare proiectate special pentru acest scop permite auditorilor s interogheze surse de date ale entitii auditate, s opereze prelucrri cu ajutorul instrumentelor asociate i s prezinte rezultatele n formatele dorite de auditor. In cazul auditului financiar, sunt oferite faciliti specifice pentru prelucrarea i analiza unor colecii mari de date, prin efectuarea unor teste i utilizarea unor proceduri adecvate, cum ar fi: Teste ale detaliilor tranzaciilor i soldurilor (recalcularea dobnzii, extragerea din nregistrrile bazei de date a entitii a facturilor care depesc o anumit valoare sau dat calendaristic sau care ndeplinesc alte condiii);
Pag. 188 din 214

Proceduri analitice (identificarea neconcordanelor sau a fluctuaiilor semnificative); Teste ale controalelor generale (testarea setrii sau a configurrii sistemului de operare, verificarea faptului c versiunea programului folosit este versiunea aprobat de conducere); Programe de eantionare pentru extragerea datelor n vederea efecturii testelor de audit; Teste ale controalelor aplicaiilor (testarea conformitii aplicaiei cu condiiile impuse de legislaia n vigoare); Refacerea calculelor efectuate de sistemele contabile ale entitii.

Pentru a obine probe de audit de calitate i pentru efectuarea unor prelucrri adiionale, auditorul poate efectua investigaii privind informaiile generate de calculator, prin utiliza rea tehnicilor de audit asistat de calculator, n particular, utilizarea programului IDEA. Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin aplicarea unor proceduri analitice automatizate, precum i a performanei procedurilor de audit. Tehnicile de testare a datelor sunt folosite uneori pe parcursul unui audit prin introducerea de date (de exemplu, un eantion de tranzacii) ntr-un sistem informatic al unei entiti i compararea rezultatelor obinute cu rezultatele predeterminate. Un auditor poate folosi testarea datelor pentru: verificarea controalelor specifice n sistemele informatice, cum ar fi controale de acces la date, parole; prelucrarea tranzaciilor selectate dintre cele prelucrate de sistemul informatic sau create de auditor pentru a testa facilitile aplicaiilor informatice ale entitii, separat de datele procesate n mod obinuit de entitate; prelucrarea tranzaciilor de test n timpul execuiei normale a programului de prelucrare, de ctre auditorul integrat n sistem ca fiind un utilizator fictiv. In acest caz, tranzaciile de test trebuie s fie eliminate ulterior din nregistrrile contabile ale entitii.

PROCEDURA CA4 Determinarea rspunderii


Pentru a determina rspunderea utilizatorilor n ceea ce privete operaiile efectuate asupra tranzaciilor, sistemele informatice trebuie s fie capabile s identifice ce utilizator a efectuat o anumit operaie i cnd. Implementarea unor controale care identific i raporteaz aciunile utilizatorilor i nregistreaz informaiile ntr-un registru de audit, fac ca astfel de utilizatori s fie mai reticeni n realizarea de operaii neautorizate. nregistrarea activitilor utilizatorilor n registrul de audit este, prin ea nsi, insuficient pentru a reduce riscul realizrii de activiti neautorizate. Conducerea trebuie s examineze n mod regulat rapoartele de excepii extrase din registrul de audit i s ia msuri de urmrire ori de cte ori sunt identificate discrepane. Registrele de audit sunt utile numai dac nu pot fi modificate. Trebuie s existe controale adecvate pentru a asigura c personalul care introduce sau proceseaz tranzacii nu poate s modifice i nregistrrile aferente activitilor lor. Integritatea registrelor de audit poate fi asigurat prin criptarea datelor sau prin copierea registrului ntr-un director sau fiier protejat. Auditorul va verifica dac exist controale adecvate pentru a asigura c personalul care introduce sau proceseaz tranzacii nu poate s modifice i dac sunt nregistrate activitilor lor.

Pag. 189 din 214

PROCEDURA CA5 Evaluarea documentaiei aplicaiei


O bun documentaie a aplicaiei reduce riscul comiterii de greeli de ctre utilizatori sau al depirii atribuiilor autorizate. Documentaia trebuie s fie cuprinztoare, actualizat la zi, pent ru ca examinarea acesteia s ajute auditorul s obin o nelegere a modului n care funcioneaz fiecare aplicaie i s identifice riscurile particulare de audit. Documentaia trebuie s includ:

prezentarea general a sistemului; specificaia cerinelor utilizatorului; descrierea i listingul programului surs (dup caz); descrierile intrrilor / ieirilor; descrierea coninutului fiierelor; manualul utilizatorului; instruciuni de operare.

Auditorul va evalua dac documentaia aplicaiei este adecvat, este cuprinztoare i actualizat, dac personalul ndreptit are copii ale documentaiei relevante sau acces la aceasta, dac exist instruciuni de lucru pentru procedurile zilnice i pentru rezolvarea unor probleme frecvente, dac se pstreaz copii de rezerv ale documentaiei aplicaiei n scopul recuperrii dup dezastru i al relurii rapide a procesrii.

PROCEDURA CA6 Evaluarea securitii aplicaiei


Dup evaluarea controalelor generale IT, auditorul va trebui s obin o nelegere a controalelor asupra accesului la calculatoarele pe care funcioneaz aplicaiile, n condiiile n care utilizatorii selecteaz o aplicaie anume. O analiz a securitii aplicaiei ia n considerare controalele de acces ca fiind o faz anterioar operrii aplicaiei i vizeaz modul n care sunt controlai utilizatorii cnd acceseaz o anumit aplicaie. De exemplu, tot personalul din departamentul finane va avea acces, prin controalele sistemului, la aplicaia financiar online. Pentru controlul accesului la diferite categorii de informaii (la registrul de vnzri, la registrul de cumprri, la statele de plat etc.) se introduc controalele de aplicaie suplimentare care reglementeaz drepturile de acces la fiecare categorie n parte. Auditorul va evalua proteciile fizice n vigoare pentru a preveni accesul neautorizat la aplicaie sau la anumite funcii ale acesteia, n funcie de atribuii, pentru punerea n aplicare a separrii sarcinilor i a respectrii atribuiilor. De asemenea, va evalua controalele existente n cadrul aplicaiei pentru identificarea aciunilor utilizatorilor individuali (utilizarea de identificri unice, jurnale de operaii, utilizarea semnturii electronice). Auditorul va testa controalele logice de acces utilizate pentru a restriciona accesul la aplicaie sau la anumite funcii ale acesteia pentru punerea n aplicare a separrii sarcinilor i a respectrii atribuiilor , precum i controalele logice existente pentru restricionarea activitii utilizatorilor dup ce a fost obinut accesul la o aplicaie (de exemplu, meniuri restricionate).

PROCEDURA CA7 Evaluarea controalelor privind introducerea datelor


n vederea prelucrrii, datele pot fi introduse ntr-o varietate de formate. Pe lng informaiile introduse direct de la tastatur, aplicaiile informatice accept pe scar din ce n ce mai larg documente electronice provenind din prelucrri anterioare n alte sisteme sau create prin utilizarea dispozitivelor electronice de recunoatere a caracterelor. Oricare form de introducere a datelor ar fi utilizat, obiectivele generale ale controlului intrrii rmn aceleai. Acestea trebuie s asigure c:
Pag. 190 din 214

toate tranzaciile sunt introduse exact i complet; toate tranzaciile sunt valabile; toate tranzaciile sunt autorizate; toate tranzaciile sunt nregistrate n perioada financiar corect.

Controalele fizice i logice de acces trebuie s ofere asigurarea c numai tranzaciile valabile sunt acceptate pentru introducere. Controalele fizice de acces includ mecanisme de acces protejate la uile ctre biroul financiar i terminalele calculatorului (nchidere cu mecanisme de blocare sau cu cheia). Controalele logice de acces se refer la capacitatea sistemelor informatice de a identifica utilizatorii individuali i de a raporta identitatea lor fa de o list predeterminat de funcii pe care fiecare dintre acetia este autorizat s le execute. Dup identificare i autentificare, aplicaia poate fi n msur s controleze drepturile fiecrui utilizator. Aceasta se realizeaz pe baza profilului i a drepturilor i privilegiilor de acces necesare pentru fiecare utilizator individual sau grup de utilizatori. De exemplu, unui utilizator i se poate atribui profilul de operator n registrul de vnzri i ca atare acestuia i va fi interzis s realizeze activiti n registrul de cumprri sau n orice alt modul din cadrul aplicaiei. O asigurare suplimentar poate fi obinut prin separarea sarcinilor impus prin calculator. Utilizatorii pot avea un profil care s asigure c sistemul va procesa datele introduse numai dup ce au fost autorizate de un alt membru nominalizat al personalului. Profilul utilizatorului trebuie s fie suficient de detaliat pentru a asigura c un membru al personalului nu poate accesa sau procesa o tranzacie financiar de la nceput la sfrit. Asigurarea c introducerea datelor este complet poate fi obinut prin gruparea tranzaciilor pe loturi i verificarea numrului i valorii tranzaciilor introduse cu totalurile calculate ind ependent. Dac aplicaiile nu utilizeaz controalele de lot pentru a introduce tranzacii, auditorul trebuie s caute alte dovezi ale completitudinii. Se poate include o examinare a documentelor surs pentru a se confirma c acestea au dat natere datelor de intrare. Aplicaiile pot confirma validitatea intrrii prin compararea datelor introduse, cu informaii deja deinute in sistem (de obicei din nomenclatoare sau cataloage). De exemplu, un sistem utilizat de validare a adreselor dintr-un registru de vnzri sau cumprri implic introducerea numrului cldirii i a codului potal. Calculatorul va cuta adresa n fiierele sale i apoi operatorul o compar cu adresa din documentele de intrare. Numerele de cont i alte cmpuri cheie pot ncorpora cifre de control. Cifrele de control sunt calculate prin aplicarea unui algoritm la coninutul cmpului i pot fi utilizate pentru a verifica dac acel cmp a fost introdus corect. Cmpurile financiare pot face obiectul verificrii unui set de date pentru a ev ita introducerea de sume neautorizate sau nerezonabile. Datele introduse care ncalc limitele prestabilite vor fi respinse i evideniate ntr-un registru de audit. Utilizarea numerelor de ordine ale tranzaciilor poate releva tranzaciile lips, ajut la evitarea tranzaciilor duble sau neautorizate i asigur un parcurs de audit. Controalele precizate mai sus nu sunt valide n condiiile n care este posibil ca acestea s fie ocolite prin aciuni de introducere sau modificare a datelor, din afara aplicaiei.

Pag. 191 din 214

Auditorul trebuie s urmreasc existena unor verificri automate ale aplicaiei care s detecteze i s raporteze orice modificri externe ale datelor, de exemplu modificri neautorizate efectuate de personalul de operare al calculatorului, direct n baza de date aferent aplicaiei. Auditorul trebuie s examineze i rezultatele analizelor efectuate de sistem, pentru a se asigura c utilizarea facilitilor de modificare ale sistemului, precum editoarele, este controlat corespunztor. Auditorul va evalua procedurile/controalele existente care s asigure c introducerea datelor este autorizat i exact, precum i controalele care asigur c toate tranzaciile valabile au fost introduse (verificri de completitudine i exactitate), c exist proceduri pentru tratarea tranzaciilor respinse sau eronate. Va verifica aciunile care se ntreprind de ctre conducere pentru monitorizarea datelor de intrare.

PROCEDURA CA8 Evaluarea controalelor privind transmisia de date


Sistemele informatice sunt conectate fie la reeaua local, fie la alte reele externe (LAN sau WAN), care le permit s primeasc i s transmit date de la calculatoare aflate la distan. Cele mai utilizate medii de transmitere a datelor includ liniile telefonice, cablurile coaxiale, unde infraroii, fibre optice i unde radio. Indiferent de mijloacele de transmisie utilizate, trebuie s existe controale adecvate care s asigure integritatea datelor tranzaciei transmise. Aplicaiile care transmit informaii prin reele pot fi supuse urmtoarelor riscuri: datele pot fi interceptate i modificate fie n cursul transmisiei, fie n cursul stocrii n site -uri intermediare; n fluxul tranzaciei se pot introduce date neautorizate utiliznd conexiunile de comunicaii; datele pot fi deformate n cursul transmisiei. Auditorul trebuie s se asigure c exist controale care s previn i s detecteze introducerea de tranzacii neautorizate. Aceasta se poate realiza, de exemplu, prin controlul asupra proiectrii i sta bilirii legturilor de comunicaii, sau prin ataarea semnturilor digitale la fiecare transmisie. Integritatea datelor transmise poate fi compromis datorit defectelor de comunicaie. Auditorul trebuie s se asigure c funcioneaz controale adecvate, fie n cadrul reelei, fie n aplicaiile financiare, pentru detectarea datelor deformate. Este posibil ca protocolul de comunicaii al reelei, respectiv regulile predeterminate care determin formatul i semnificaia datelor transmise, s ncorporeze faciliti automate de detecie i corecie. Avnd n vedere uurina interceptrii datelor transmise n reelele locale sau n alte reele externe, protecia neadecvat a reelei mrete riscul modificrii, tergerii i dublrii neautorizate a datelor. Exist un numr de controale care pot fi utilizate pentru a trata aceste probleme:

se pot utiliza semnturi digitale pentru a verifica dac tranzacia provine de la un utilizator autorizat i coninutul tranzaciei este intact; se pot utiliza tehnici de criptare a datelor pentru a preveni interpretarea i / sau modificarea tranzaciilor interceptate; secvenierea tranzaciilor poate ajuta la prevenirea i detectarea tranzaciilor dublate sau terse i pot ajuta la identificarea tranzaciilor neautorizate.

Auditorul va evalua controalele implementate pentru a sigurarea c transferul de date n reea este att complet ct i exact (utilizarea semnturii digitale, criptarea datelor, secvenierea tranzaciilor), precum i metodele de identificare i tratare a riscurilor asociate transferului de date n reea (adoptate de organizaie).

Pag. 192 din 214

PROCEDURA CA9 Evaluarea controalelor prelucrrii


Implementarea controalelor prelucrrii trebuie s asigure c: procesarea tranzaciilor este exact; procesarea tranzaciilor este complet; tranzaciile sunt unice (respectiv, nu sunt duplicate); toate tranzaciile sunt valabile; procesele din calculator sunt auditabile. Controalele prelucrrii n cadrul unei aplicaii informatice trebuie s asigure c se utilizeaz numai date i versiuni de program valabile, c procesarea este complet i exact i c datele prelucrate au fost nscrise n fiierele corecte. Asigurarea c prelucrarea a fost complet i exact poate fi obinut prin efectuarea unei comparaii a totalurilor deduse din tranzaciile introduse cu totalurile din fiierele de date meninute de calculator. Auditorul trebuie s se asigure c exist controale pentru detectarea procesrii incomplete sau inexacte a datelor de intrare. Procesele aplicaiei pot s efectueze i alte validri ale tranzaciei, prin verificarea datelor cu privire la dublarea unor tranzacii i la concordana cu alte informaii deinute de alte componente ale sistemului. Procesul poate s verifice integritatea datelor pe care le pstreaz prin utilizarea sumelor de verificare deduse din date. Scopul acestor controale este de a detecta modificrile externe aduse datelor datorit anomaliilor sistemului sau a utilizrii neautorizate a unor faciliti de modificare ale sistemului, precum editoarele. Sistemele informatice financiar-contabile trebuie s menin un registru al tranzaciilor procesate. Registrul de tranzacii, care poate fi denumit fiierul parcursului de audit, trebuie s conin informaii suficiente pentru a identifica sursa fiecrei tranzacii i fluxul de prelucrare al acesteia. n mediile care se prelucreaz loturi de date, erorile detectate n cursul procesrii trebuie s fie aduse la cunotina utilizatorilor. Loturile respinse trebuie nregistrate i napoiate expeditorului. Sistemele online trebuie s ncorporeze controale de monitorizare i raportare a tranzaciilor neprocesate sau neclare (precum facturi pltite parial). Trebuie s existe proceduri care s permit conducerii s identifice i s examineze toate tranzaciile neclarificate peste un anumit termen. Aplicaiile trebuie sa fie proiectate pentru a face fa perturbaiilor, precum cele cauzate de defecte de alimentare cu curent electric sau de echipament (salvarea strii curente n caz de incident). S istemul trebuie sa fie capabil s identifice toate tranzaciile incomplete i s reia procesarea acestora de la punctul de ntrerupere. Auditorul va evalua controalele existente care s asigure c toate tranzaciile au fost procesate, pentru a reduce riscul de procesare a unor tranzacii incomplete, eronate sau frauduloase , controalele existente care s asigure c sunt procesate fiierele corecte (controalele pot fi de natur fizic sau logic i previn riscul de procesare necorespunztoare a unor tranzacii), precum i existena controalelor care s asigure exactitatea procesrii i a controalelor pentru detectarea / prevenirea procesrii duble. Se va verifica, de asemenea, modul n care aplicaia i personalul trateaz erorile de procesare.

PROCEDURA CA10 Evaluarea controalelor privind datele de ieire


Implementarea controalelor datelor de ieire trebuie s asigure c rezultatele furnizate de sistemul informatic ndeplinesc urmtoarele condiii:
Pag. 193 din 214

sunt complete; sunt exacte; au fost distribuite corect.

Pentru a obine o asigurare c avut loc o prelucrare complet i exact, se implementeaz un mecanism de raportare a tuturor mesajelor de eroare detectate n cursul procesrii sau de furnizare a unor totaluri de control care s se compare cu cele produse n cursul introducerii, pus la dispoziia persoanelor responsabile cu introducerea i autorizarea datelor tranzaciei. Aceasta poate lua forma unui registru de operaii. Completitudinea i integritatea rapoartelor de ieire depinde de restricionarea capacitii de modificare a ieirilor i de ncorporarea de verificri de completitudine, cum ar fi numerotarea paginilor , i de prezentarea unor sume de verificare. Fiierele de ieire trebuie s fie protejate pentru a reduce riscul modificrilor neautorizate. Motivaii posibile pentru modificarea datelor de ieire includ acoperirea procesrii neautorizate sau manipularea rezultatelor financiare nedorite. De exemplu, fiierele de ieire neprotejate n cadrul unui sistem de plat a notelor de plat ar putea fi exploatate prin alterarea sumelor cecurilor sau a ordinelor de plat i a detaliilor beneficiarului. O combinaie de controale fizice i logice poate fi utilizat pentru protejarea integritii datelor de ieire. Datele de ieire dintr-un sistem IT pot constitui date de intrare n alt sistem, nainte ca acestea s fie reflectate n situaiile financiare; de exemplu, datele de ieire dintr-un sistem care transfer statele de plat, ca date de intrare, n registrul general. Acolo unde se ntlnete acest caz, auditorul trebuie s verifice existena controalelor care s asigure c datele de ieire sunt transferate exact de la o faz de procesare la alta. Un alt exemplu ar fi n cazul n care datele de ieire dintr -o balan de verificare sunt utilizate ca date de intrare ntr-un pachet de procesare de tabele care reformateaz datele pentru a produce situaiile financiare. Auditorul va verifica existena controalelor care s asigure c ieirile de la calculator sunt stocate corect i, atunci cnd sunt transmise, acestea ajung la destinaie, va verifica existena controalelor corespunztoare privind caracterul rezonabil, exactitatea i completitudinea ieirilor.

PROCEDURA CA11 Evaluarea controalelor privind fiierele de date permanente


Implementarea controalelor privind fiierele de date permanente trebuie s ofere asigurarea c: modificrile aduse datelor sunt autorizate; utilizatorii sunt rspunztori de modificri; integritatea este pstrat. Controalele de acces, de identificare i autentificare puternice, pot sta la baza asigurrii c datele permanente sunt create, modificate, recuperate sau terse numai de personal autorizat. Aceste controale sunt foarte eficiente atunci cnd sunt implementate n sistemul de operare, deoarece vor prentmpina utilizarea neautorizat a facilitilor sistemului pentru a modifica datele n afara mediului de control al aplicaiei. Fiierele de date permanente trebuie s fie protejate pentru a evita ca tranzacii valabile s fie procesate incorect. De exemplu, modificarea unor detalii referitoare la furnizori poate conduce la situaia ca o plata valabil s fie efectuat unui beneficiar neautorizat. Controalele de acces trebuie s asigure c exist o separare a sarcinilor ntre cei care pstreaz datele permanente i cei care introduc tranzacii. Registrele
Pag. 194 din 214

de audit trebuie s nregistreze informaii, precum data i ora la care s -a fcut modificarea, identificarea persoanei responsabile i cmpurile de date afectate. Fiierele importante de date permanente trebuie s aib copii de rezerv ori de cte ori se fac modificri importante. Aplicaiile care controleaz permisiunile de acces ale utilizatorului stocheaz detalii ale acestor permisiuni n fiierele de date permanente. Aceste fiiere trebuie s fie protejate la modificr i neautorizate. Conducerea trebuie s probeze c se realizeaz verificri independente , care s asigure c administratorul sistemului de control al accesului aplicaiei nu abuzeaz de privilegiile sale. Organizaiile pot lista periodic coninutul fiierelor de date permanente (de exemplu profilele de securitate ale utilizatorilor) pentru verificri operative. Auditorul va verifica existena controalelor i va testa controalele privind autorizarea accesului i a modificrilor datelor permanente.

PROCEDURA CA12 - Evaluarea conformitii aplicaiilor cu legislaia n vigoare


n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca suport pentru asistarea deciziei, constituind sisteme IT utilizate pentru evidena, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de raportare. Din acest motiv, o categorie special de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare. Cerinele legislative i de reglementare variaz de la o ar la alta. Acestea includ: Legislaia privind protecia datelor private i legislaia privind protecia datelor personale; Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice; Reglementri financiare i bancare; Legile cu privire la proprietatea intelectual. Respectarea reglementrilor n domeniu se refer la existena unor politici sau proceduri formale prin care se atribuie responsabilitatea monitorizrii mediului legislativ c are poate avea impact asupra sistemelor informatice, precum i responsabilitatea asigurrii conformitii cu clauzele contractuale privind:

Responsabilitatea asigurrii c sistemul implementat este actualizat n conformitate cu ultima versiune furnizat; Respectarea termenelor privind distribuirea ultimelor versiuni de echipamente, software, documentaie; Livrarea i instalarea configuraiilor hardware / software pe baza unui grafic, conform clauzelor contractuale, pe etape i la termenele stabilite; Respectarea obligaiilor privind instruirea i suportul tehnic, stabilite prin contract; Furnizarea pachetelor software conform clauzelor contractuale. Verificarea existenei i valabilitii licenelor furnizate n cadrul contractului; Asigurarea suportului tehnic (prin telefon, e-mail sau utiliznd un portal; portalul poate avea seciuni distincte foarte utile pentru suport tehnic specializat pe categorii relevante de probleme/anomalii sau pentru instruirea continu a utilizatorilor; Existena unor proceduri scrise privind analiza i acceptarea produselor i serviciilor furnizate n cadrul contractului, precum i recepia cantitativ i calitativ; Furnizarea documentaiei tehnice conform contractului: coninutul (lista, numrul manualelor, limba) i formatul (tiprit, n format electronic, on-line);
Pag. 195 din 214

Existena specificaiilor funcionale, a manualelor de utilizare i administrare pentru proiectele de dezvoltare software; Existena manualelor de utilizare pentru echipamentele livrate .

PROCEDURA CA13 - Efectuarea testelor de audit


n etapa de studiu preliminar, auditorul trebuie s obin o nelegere suficient a sistemului pentru a determina dac sistemul de controale interne este de ncredere i furnizeaz informaii corecte despre acurateea nregistrrilor. n cazul n care sistemul de controale interne nu pare a fi suficient de robust, auditorul trebuie s testeze controalele pentru a evalua riscul asupra obiectivelor auditului. n acest scop, auditorul poate utiliza tehnici i metode de testare variate. Aces tea pot fi bazate pe programe de test al conformitii care conin informaii privind: descrierea controlului care va fi testat, proba de audit estimat pentru satisfacerea condiiilor, teste extinse (inclusiv bazate pe eantionare), descrierea funcionrii eronate a controlului, cte eecuri pot fi tolerate. Probele de audit se colecteaz prin combinarea unor tehnici tradiionale, cum ar fi observarea, interviul, examinarea i eantionarea, cu tehnici de auditare asistat de calculator. Problemele care pot aprea cu privire la ncrederea n controalele de aplicaie se pot sintetiza astfel: (a) Controalele IT nu furnizeaz un istoric al operrii din cauza scufundrii lor n corpul aplicaiei i, n consecin, nu furnizeaz probe de audit explicite. (b) Perioada de timp n care acioneaz controalele de aplicaie IT este limitat, acestea acionnd, n general, pe o durat foarte scurt a ciclului de via al tranzaciei (de exemplu, pe durata introducerii datelor). (c) Rezervele auditorilor fa de controalele de aplicaie IT datorate eventualitii alterrii acestora de ctre persoane interesate n inducerea n eroare a auditorului. (d) Rezervele auditorilor fa de controlul preventiv asigurat, decurgnd din natura controalelor IT, care nu prezint garanii privind funcionarea corect. Majoritatea ntreprinderilor folosesc produse informatice pentru gestiune i contabilitate. Ca urmare a cerinelor impuse informaiei contabile de ctre utilizatorii acesteia, produsele informatice trebuie s ndeplineasc, la rndul lor, o serie de cerine specifice. In Romnia exist o multitudine de dezvoltri ale unor astfel de produse, care ar trebui s se raporteze la o serie de criterii i cerine minimale reglementate, n principal, prin norme metodologice ale Ministerului Finanelor Publice. Aceste norme se refer n principal la urmtoarele aspecte: a) Pentru controlul intern b) c) d) e) f) Actualizrile sistemului informatic n concordan cu modificrile legislative; Cunoaterea funcionrii sistemului informatic de ctre utilizatori (personalul de operare); Accesul la date (confidenialitate, utilizare de parole de acces la date i la sistem); Opiuni pentru alegerea tipului de suport magnetic pentru copiile de siguran; Posibiliti de depistare i rezolvare a erorilor.

c) Pentru controlul extern a) Posibiliti de verificare complet sau prin sondaj a procedurilor de prelucrare; b) Posibiliti de verificare complet sau prin sondaj a operaiunilor nregistrate n contabilitate; c) Posibiliti de verificare complet sau prin sondaj a fluxului de prelucrri prin teste de control.

Pag. 196 din 214

c) Criterii minimale pentru produsele informatice de gestiune i contabilitate a) b) c) d) e) f) g) h) i) j) k) l) m) n) o) p) q) r) s) t) u) v) w) Concordana cu legislaia n vigoare; Precizarea tipului de suport care s asigure prelucrarea n siguran a informaiilor; Identificarea complet a fiecrei informaii nregistrate; Respectarea criteriului cronologic n liste, cu imposibilitatea actualizrii ulterioare a listei; Transferul automat al soldurilor precedente pentru perioada curent; Conservarea datelor (arhivarea) conform Legii contabilitii nr. 82/1991; Posibilitatea restaurrii datelor arhivate; Imposibilitatea actualizrii datelor pentru perioadele de gestiune precedente; Preluarea informaiilor eseniale pentru identificarea operaiunilor: dat, denumire jurnal, numr pagin sau numr nregistrare, numr document; Acces parolat; Identificarea n liste a unitii patrimoniale, a paginrii cronologice, a tipului de document, a perioadei de gestiune, a datei de listare i a versiunii de produs p rogam; Listarea documentelor de sintez necesare conducerii ntreprinderii; Respectarea coninutului informaional pentru formularele cu regim special; Asigurarea concordanei ntre cartea mare a fiecrui cont i jurnalul de nregistrare; S respecte cerinele de normalizare a bazelor de date cu privire la conturi i documente; S existe posibilitatea actualizrii conturilor fr afectarea situaiilor patrimoniale i a celei de gestiune; S existe documentaie tehnic asociat caracteristicilor produselor program (mono / multi post, mono / multi societate, portabilitatea fiierelor, arhitectura de reea, aplicaii) care s permit utilizarea optim a produselor informatice n cauz; Stabilirea tipului de organizare pentru culegerea datelor (pe loturi cu control ulterior, n timp real cu control imediat, combinat); S nu fie limitat volumul informaiilor contabile; S asigure securitatea datelor i fiabilitatea; S existe clauze de actualizare a procedurilor de prelucrare a informaiilor financiar -contabile; S asigure continuitatea sistemului n cazul ncetrii activitii de dezvoltare software, inclusiv arhivarea i restaurarea datelor; S funcioneze gestiunea versiunilor.

Volumul de teste de control n ceea ce privete determinarea volumului de teste necesare pentru obinerea asigurrii privind funcionarea controalelor, auditorul i bazeaz decizia pe o combinaie ntre raionamentul profesional i o modelare statistic pe care o poate efectua n acest scop. Dac auditorul i propune s planifice ca testele de control s se efectueze pe un numr mare de tranzacii, atunci va aplica metoda eantionrii datelor i va stabili dimensiunea eantionului. Auditorul va efectua urmtoarele teste: Va verifica criteriile i cerine minimale reglementate, n principal, prin norme le metodologice ale Ministerului Finanelor Publice; Va verifica existena evidenelor complete ale tranzaciilor aferente aplicaiei; Va evalua fezabilitatea colectrii probelor de audit relevante i suficiente; Va evalua dac parcursul (pista) de audit se poate reconstitui din fluxul de prelucrare ;
Pag. 197 din 214

Va evalua dac aplicaia este disponibil atunci cnd este nevoie, funcioneaz conform cerinelor, este fiabil i are implementate controale sigure asupra integritii datelor; Va detalia procedura de actualizare a aplicaiei n concordan cu modificrile legislative ; Va evalua aplicaia din punct de vedere al gestionrii resurselor informatice disponibile (date, funcionalitate, tehnologii, faciliti, resurse umane etc.); Va evalua cunoaterea funcionrii aplicaiei de ctre utilizatori; Va efectua teste de verificare a parametrilor i funcionalitii aplicaiei din punct de vedere operaional i al conformitii cu legislaia n vigoare; Va efectua teste de verificare la nivel de funcie pentru procedurile critice din punctul de vedere al performanei (lansarea, derularea i abandonarea procedurilor, accesul la informaii n funcie de perioada de nregistrare / raportare, restaurarea bazei de date); Se vor efectua teste privind corectitudinea ncrcrii / actualizrii informaiilor n baza de date. Se vor meniona metodele de depistare i rezolvare a erorilor. Se vor testa funciile de regsire i analiz a informaiei; Va evalua interoperabilitatea aplicaiei cu celelalte aplicaii din sistemul informatic; Va evalua sistemul de raportare propriu aplicaiei i sistemul de raportare global; Se vor efectua teste privind modul de accesare a aplicaiei la nivel de reea, la nivelul staiei de lucru i la nivel de aplicaie; Se vor testa funciile de conectare ca utilizator final i de operare n timp real, pe tranzacii de test; Se va evalua funcionalitatea comunicrii cu nivelele superioare i inferioare; Se va analiza soluia de gestionare a documentelor electronice; Se va efectua verificarea prin teste a proteciilor aferente aplicaiei.

Aceast list nu este exhaustiv. n funcie de obiectivele auditului i de specificul sistemului / aplicaiei auditate, auditorul poate decide efectuarea i a altor teste care pot furniza concluzii relevante pentru formularea unei opinii corecte.

Pag. 198 din 214

Capitolul 5. Liste de verificare, machete i chestionare


Pentru obinerea probelor de audit se vor utiliza liste de verificare, machete i, dup caz, chestionare i se vor realiza interviuri cu: persoane din conducerea instituiei auditate, personalul de specialitate IT, utilizatori ai sistemelor/aplicaiilor. Machetele constituie suportul pentru colectarea informaiilor cantitative referitoare la infrastructura IT. Acestea sunt transmise entitii auditate, spre completare. n condiiile n care se colecteaz informaii care reflect performana sistemului, se utilizeaz chestionare proiectate de auditor, pe baza crora, n urma centralizrii i prelucrrilor statistice vor rezulta informaii legate de satisfacia utilizatorilor, modernizarea activitii, continuitatea serviciilor, creterea calitii activitii ca urmare a informatizrii i altele. Machetele i chestionarele completate vor fi semnate de conducerea entitii i predate echipei de audit. Machetele utilizate pentru colectarea datelor referitoare la infrastructura IT i la personalul IT sunt urmtoarele: Macheta 1 - Bugetul privind investiiile IT; Macheta 2 - Sisteme / aplicaii utilizate; Macheta 3 - Evaluarea infrastructurilor hardware, software i de comunicaie; Macheta 4 - Informaii privind personalul implicat n proiectele IT. Listele de verificare constituie un suport valoros pentru realizarea interviurilor. Aceste documente de lucru, respectiv listele de verificare, nu se pun la dispoziia entitii auditate. n timpul interviului, auditorul consemneaz rspunsurile celui intervievat, precum i comentarii personale i alte constatri. Cele mai importante liste de verificare specifice auditului IT / IS, sunt: Lista de verificare pentru evaluarea controalelor generale IT Lista de verificare pentru evaluarea riscurilor IT Lista de verificare privind evaluarea controalelor de aplicaie (pentru sistemele informatice financiar-contabile) Lista de verificare pentru evaluarea site-urilor web Aceste liste de verificare sunt aplicabile pentru auditul n medii informatizate, n cadrul misiunilor de audit financiar sau de audit al performanei, pentru evaluarea controalelor generale IT i a riscurilor generate de funcionarea sistemului informatic. n cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar-contabil, pentru a formula o opinie privind ncrederea n informaiile furnizate de sistemul informatic auditorul public extern va utiliza lista de verificare pentru testarea controalelor IT specifice aplicaiei financiar-contabile. n cazul n care sistemul nu pare a fi suficient de robust, auditorul trebuie s evalueze riscul funcionrii necorespunztoare a sistemului asupra obiectivelor misiunii de audit financiar. n cadrul entitilor auditate, sistemele informatice care fac obiectul evalurii sunt utilizate ca suport pentru asistarea deciziei, constituind sisteme IT/IS utilizate pentru evidena, prelucrarea i obinerea de rezultate, situaii operative i sintetice la toate nivelele de raportare. Din acest motiv, o categorie special de controale IT se refer la conformitatea sistemului informatic cu cerinele impuse de cadrul legislativ i de reglementare.
Pag. 199 din 214

Cerinele legislative i de reglementare includ: Legislaia din domeniul finanelor i contabilitii; Legislaia privind protecia datelor private i legislaia privind protecia datelor personale; Legislaia privind utilizarea improprie a calculatoarelor, n sensul criminalitii informatice; Reglementri financiare i bancare; Legislaia cu privire la proprietatea intelectual. n cazul sistemelor complexe sau desfurate la scar naional (de exemplu, Sistemul Electronic Naional) se folosesc liste de verificare specializate elaborate n cadrul Curii de Conturi a Romniei: - Lista de verificare pentru evaluarea guvernrii IT, personalizat pentru sistemele de tip e-guvernare; - Lista de verificare pentru evaluarea portalului web; - Lista de evaluare a perimetrului de securitate; - Liste de verificare pentru evaluarea serviciilor electronice; - Liste de verificare pentru evaluarea cadrului de interoperabilitate, precum i alte liste de verificare a cror necesitate decurge din obiectivele auditului. Auditul performanei implementrii i utilizrii sistemelor informatice va lua n considerare urmtoarele aspecte: Modul n care funcionarea sistemului contribuie la modernizarea activitii entitii; Modul n care managementul adecvat al configuraiilor IT contribuie la creterea valorii adugate prin utilizarea sistemului informatic, reflectat n economii privind costurile de achiziie i creterea calitii serviciilor; Creterea semnificativ a productivitii unor activiti de rutin foarte mari consumatoare de timp i resurse, care, transpuse n proceduri electronice (tehnoredactare, redactarea automat a documentelor, cutri n arhive electronice, reutilizarea unor informaii, accesarea pachetelor software legislative), se materializeaz n reduceri de costuri cu aceste activiti; Scurtarea timpului de prelucrare prin reducerea numrului de erori i evitarea relurii unor proceduri pentru remedierea acestora; Eliminarea paralelismelor i integrarea proceselor care se reflect n eficientizarea activitii prin eliminarea redundanelor; Scderea costurilor serviciilor, creterea disponibilitii acestora i scderea timpului de rsp uns; Creterea gradului de instruire a personalului n utilizarea noilor tehnologii i dezvoltarea de noi aptitudini; Reducerea costurilor administrative. Pentru evaluarea gradului n care implementarea i utilizarea sisemului informatic a produs efecte n planul modernizrii activitii, n creterea calitii serviciilor publice i n ceea ce privete satisfacia utilizatorilor se pot proiecta i utiliza chestionare prin intermediul crora se vor colecta informaii care s reflecte reaciile actorilor implicai (management, funcionari publici, utilizatori, personal IT, ceteni). Prezentarea coninutului machetelor i listelor de verificare pentru ntreg fluxul aferent misiunii de audit va fi detaliat n ghidul asociat acestui manual.

Pag. 200 din 214

Glosar de termeni
Acceptarea riscului - Decizie luat de management de acceptare a unui risc. Analiza riscului - Utilizarea sistematic a informaiei pentru a identifica ameninrile i pentru a estima riscul. Aria de aplicabilitate a unui audit Domeniul acoperit de procedurile de audit care, n baza raionamentului auditorului i a Standardelor Internaionale de Audit, sunt considerate ca proceduri adecvate n mprejurrile date pentru atingerea obiectivului unui audit. Asigurare rezonabil (n contextul unei misiuni de audit) - Un nivel de asigurare adecvat, ridicat dar nu absolut, reflectat n raportul auditorului ca fiind o asigurare rezonabil cu privire la faptul c informaiile auditate nu conin greeli semnificative. Audit extern Un audit efectuat de un auditor extern. Autenticitate Proprietate care determin c iniiatorul unui mesaj, fiier etc. este n mod real cel care se pretinde a fi. Audit online - Auditare prin consultarea online a bazelor de date ale entitilor auditate, aflate la distan. Audit continuu - Tip de auditare n care auditorul are acces permanent la sistemul informatic al entitii auditate, diferena de timp ntre momentul producerii evenimentelor urmrite de auditor i obinerea probelor de audit fiind foarte mic. Autentificare Actul care determin c un mesaj nu a fost schimbat de la momentul emiterii din punctul de origine. Un proces care verific identitatea pretins de un individ. Autoritate de certificare O organizaie investit pentru a garanta autenticitatea unei chei publice (PKI). Autoritatea de certificare cripteaz certificatul digital. Backup O copie (de exemplu, a unui program software, a unui disc ntreg sau a unor date) efectuat fie n scopuri de arhivare, fie pentru salvarea fiierelor valoroase pentru a evita pierderea, deteriorarea sau distrugerea informaiilor. Este o copie de siguran. Browser - Prescurtare pentru Web Browser, program care permite utilizatorilor s navigheze pe Web. Cele mai populare browsere sunt Microsoft Internet Explorer, Opera, Mozilla. BSI (British Standards Institution) Instituia care a publicat standardele naionale britanice care au constituit baza evoluiei standardelor ISO 9001 (BS5750 sisteme de management al calitii) i ISO 17799 (BS 7799 managementul securitii informaiei). CAAT - Computer Assisted Audit Techniques (Tehnici de audit asistat de calculator) - Software care poate fi utilizat pentru interogarea, analiza i extragerea de fiiere de date i pentru producerea de probe de tranzacii pentru testele de detaliu. CISA (Certified Information Systems Auditor) - Auditor de Sisteme Informatice Certificat) - calificare profesional oferit de Information Systems Audit and Control Association (ISACA) (Asociaia de Audit i Control al Sistemelor Informatice). Cloud Computing (configuraie de nori) - Stil de utilizare a calculatoarelor n care capabilitile IT se ofer ca servicii distribuite i permit utilizatorului s acceseze servicii bazate pe noile tehnologii, prin intermediul Internetului, fr a avea cunotine, expertiz sau control privind infrastructura tehnologic suport a acestor servicii. Confidenialitate Proprietate a informaiei care asigur c aceasta nu este fcut disponibil sau dezvluit persoanelor, entitilor sau proceselor neautorizate. Continuitatea afacerii - Un plan formal sau un set de planuri integrate, proiectate pentru a permite proceselor cheie ale afacerii s continue operarea n urma unor cderi majore sau dezastre. Controale generale n sistemele informaionale computerizate - Politici i proceduri care se refer la sistemele informatice i care susin funcionarea eficient a controalelor aplicaiilor contribuind astfel la asigurarea unei funcionri adecvate i continue a sistemelor informatice. Controalele informatice
Pag. 201 din 214

generale includ, n mod obinuit, controale asupra securitii accesului la date i reele, precum i asupra achiziiei, ntreinerii i dezvoltrii sistemelor informatice. Controlul accesului - Proceduri proiectate s restricioneze accesul la echipamente, programe i datele asociate. Controlul accesului const n autentificarea utilizatorului i autorizarea utilizatorului. Autentificarea utilizatorului se realizeaz, n general, prin intermediul unui nume de utilizator unic, al un ei parole, al unui card de acces, al datelor biometrice. Autorizarea utilizatorului se refer la regulile de acces pentru a determina resursele informatice la care poate avea acces fiecare utilizator. Control intern - Procesul proiectat i efectuat de cei care sunt nsrcinai cu guvernarea, de ctre conducere i de alte categorii de personal, pentru a oferi o asigurare rezonabil n legtur cu atingerea obiectivelor entitii cu privire la credibilitatea raportrii financiare, la eficacitatea i eficiena operaiilor i la respectarea legilor i reglementrilor aplicabile. Controlul intern este compus din urmtoarele elemente: (a) Mediul de control; (b) Procesul de evaluare a riscurilor entitii; (c) Sistemul informatic, inclusiv procesele de afaceri aferente, relevante pentru raportarea financiar i comunicare; (d) Activitile de control; i (e) Monitorizarea controalelor. Controale de aplicaie n sistemele informatice - Proceduri manuale sau automate care opereaz de obicei la nivelul proceselor ntreprinderii. Controalele de aplicaie pot fi de natur preventiv sau de detectare i sunt proiectate s asigure integritatea informaiilor. n mare parte, controalele de aplicaie se refer la procedurile folosite pentru a iniia, nregistra, procesa i raporta tranzaciile sau alte date financiare. Controlul dezvoltrii programelor - Proceduri menite s previn sau s detecteze modificrile inadecvate aduse programelor informatice care sunt accesate cu ajutorul terminalelor conectate online. Accesul poate fi restricionat prin controale cum ar fi folosirea unor programe operaionale separate sau a unor pachete de programe specializate dezvoltate special pentru acest scop. Este important ca modificrile efectuate online asupra programelor s fie documentate, controlate i monitorizate n mod adecvat. CRAMM (The CCTA Risk Analysis and Management Method) - Metod de management i analiz a riscului - este o metod structurat pentru identificarea i justificarea msurilor de protecie care vizeaz asigurarea unui nivel adecvat de securitate n cadrul sistemelor IT. Criptare (criptografie) - Procesul de transformare a programelor i informaiilor ntr-o form care nu poate fi neleas fr accesul la algoritmi specifici de decodificare (chei criptografice). Certificat digital - Conine semnturi digitale i alte informaii care confirm identitatea prilor implicate ntr-o tranzacie electronic, inclusiv cheia public. Declaraie de aplicabilitate - Declaraie documentat care descrie obiectivele de control i msurile de securitate care sunt relevante i aplicabile SMSI al organizaiei. Obiectivele de control i msurile sunt bazate pe rezultatele i concluziile analizei de risc i pe procesele de tratare a riscului, cerine legale sau de reglementare, obligaii contractuale i cerinele afacerii organizaiei pentru securitatea informaiei. Determinarea riscului - Pprocesul global de analiz i evaluare a riscului Disponibilitate Capacitatea de a accesa un sistem, o resurs sau un fiier atunci cnd este formulat o cerere n acest scop. Proprietatea informaiei de a fi accesibil i utilizabil la cerere de ctre o entitate autorizat Documentarea misiunii de audit - nregistrarea procedurilor de audit aplicate, a probelor de audit relevante, precum i a concluziilor la care a ajuns auditorul (termen cunoscut uneori i ca documente de lucru sau foi de lucru). Documentaia unei misiuni specifice este colectat ntr-un dosar de audit. Documentele de lucru - Materialele ntocmite de auditor i pentru uzul auditorului, sau obinute i pstrate de acesta, n corelaie cu derularea auditului. Documentele de lucru pot fi pe suport de hrtie, pe film, pe suport magnetic, electronic sau pe alte tipuri de suport pentru stocarea datelor. e-audit - Tip de audit pentru care prezena fizic a auditorului nu este necesar la entitatea auditat, acesta avnd la dispoziie toate informaiile oferite de o infrastructur ITC pentru audit. EDI - Electronic Data Interchange este termenul generic pentru transmisia structurat a tranzaciilor sau informaiilor comerciale de la un sistem la altul.
Pag. 202 din 214

e-guvernare - Schimbul online al informaiei autoritilor publice i a guvernului cu, i livrarea serviciilor ctre: ceteni, mediul de afaceri i alte agenii guvernamentale. Guvernarea electronic presupune furnizarea sau obinerea de informaii, servicii sau produse prin mijloace electronice ctre i de la agenii guvernamentale, n orice moment i loc, oferind o valoare adugat pentru prile participante. e-sisteme - Sisteme bazate pe Internet i tehnologii asociate care ofer servicii electronice cetenilor, mediului de afaceri i administraiei: e-government, e-health, e-commerce, e-learning etc. EFT - Electronic Funds Transfer systems (sisteme electronice de transfer de fonduri) sunt utilizate pentru a transfera fonduri dintr-un cont bancar n alt cont bancar utiliznd echipamente electronice n locul mediilor pe hrtie. Sistemele uzuale EFT includ BACS (Bankers Automated Clearing Services) i CHAPS (Clearing House Automated Payment System). Eantionarea n audit - Aplicarea procedurilor de audit la mai puin de 100% din elementele din cadrul soldului unui cont sau al unei clase de tranzacii, astfel nct toate unitile de eantionare s aib o ans de selectare. Aceasta i va permite auditorului s obin i s evalueze probe de audit n legtur cu unele caracteristici ale elementelor selectate pentru a formula o concluzie sau a ajuta la formularea unei concluzii n legtur cu populaia din care este extras eantionul. Eantionarea n audit poate utiliza fie o abordare statistic, fie una nonstatistic. Evaluarea riscului - Proces de comparare a riscului estimat cu criteriile de risc agreate n vederea stabilirii importanei riscului. Eveniment de securitate a informaiilor - situaie identificat n legtur cu un sistem, un serviciu sau o reea care indic o posibil nclcare a politicii de securitate a informaiilor, un eec al ms urilor de protecie sau o situaie ignorat anterior, dar relevant din punct de vedere al securitii. Firewall - Combinaie de resurse informatice, echipamente sau programe care protejeaz o reea sau un calculator personal de accesul neautorizat prin intermediul Internetului, precum i mpotriva introducerii unor programe sau date sau a oricror alte programe de calculator neautorizate sau care produc daune. Frequently Asked Questions (FAQ) - Un termen care se refer la o list de ntrebri i rspunsuri furnizat de companii referitoare la produsele de software, web site etc. Frauda - Act intenionat ntreprins de una sau mai multe persoane din cadrul conducerii, din partea celor nsrcinai cu guvernarea, a angajailor sau a unor tere pri, care implic folosirea unor neltorii pentru a obine un avantaj ilegal sau injust. Gateway - Interconexiunea ntre dou reele cu protocoale de comunicare diferite. Guvernare (guvernare corporativ) - Descrie rolul persoanelor crora le este ncredinat supervizarea, controlul i conducerea unei entiti. Cei nsrcinai cu guvernarea sunt, n mod obinuit, rspunztori pentru asigurarea ndeplinirii obiectivelor entitii, pentru raportarea financiar i raportarea ctre prile interesate. n cadrul celor nsrcinai cu guvernarea se include conducerea executiv doar atunci cnd aceasta ndeplinete astfel de funcii. Guvernarea electronic - Schimbul online al informaiei guvernului cu, i livrarea serviciilor ctre: ceteni, mediul de afaceri i alte agenii guvernamentale (definiie INTOSAI). HelpDesk - Punctul principal de contact sau interfaa dintre serviciile sistemului informatic i utilizatori. Help desk este punctul unde se colecteaz i se rezolv problemele utilizatorului. Home Page - Pagina prin care un utilizator intr n mod obinuit pe un web site. Aceasta conine i legturile (linkurile) cele mai importante ctre alte pagini ale acestui site. Hypertext - Un sistem de scriere i de afiare a textului care permite ca textul s fie accesat n moduri multiple, s fie disponibil la mai multe nivele de detaliu i care conine legturi la documente aflate n relaie cu acesta. Hypertext Mark-Up Language (HTML) - Limbajul utilizat pentru generarea documentelor de tip hipertext (inclusiv pentru scrierea paginilor pentru http://www). Acest limbaj permite textului sa includ coduri care definesc font-ul, layout-ul, grafica inclus i link-urile de hypertext. Internet - Un ansamblu de calculatoare conectate n reea (la scar mondial) care asigur servicii de tiri, acces la fiiere, pota electronic i instrumente de cutare i vizualizare a resurselor de pe Internet. Internet Service Provider (ISP) - Un furnizor comercial al unei conexiuni la Internet.
Pag. 203 din 214

Incident - Un eveniment operaional care nu face parte din funcionarea standard a sistemului. Incident privind securitatea informaiei - un eveniment sau o serie de evenimente de securitate a informaiei care au o probabilitate semnificativ de a compromite activitile organizaiei i de a aduce ameninri la securitatea informaiei. Integritate - Proprietatea de a pstra acurateea i deplintatea resurselor. Instituia Suprem de Audit - Organismul public al unui stat care, indiferent de modul n care este desemnat, constituit sau organizat n acest scop, exercit n virtutea legii cea mai nalt funcie de audit n acel stat. Intranet - Versiunea privat a Internetului, care permite persoanelor din cadrul unei organizaii s efectueze schimburi de date, folosind instrumentele obinuite ale Internetului, cum sunt browserele. Log (jurnal de operaii) - O eviden sau un jurnal al unei secvene de evenimente sau activiti. Managementul configuraiei - Procesul de identificare i definire a componentelor de configuraie ntr-un sistem, de nregistrare i raportare a strii componentelor din configuraie i a solicitrilor de modificare i verificare a integritii i corectitudinii componentelor de configuraie. Managementul riscului - Activiti coordonate pentru ndrumarea i controlul unei organizaii lund n considerare riscurile. Managementul schimbrilor - Procesul de control i gestionare a solicitrilor de modificare a oricrui aspect al sistemului informatic (hardware, software, documentaie, comunicaii, fiiere de configurare a sistemului). Procesul de management al schimbrilor va include msuri de control, gestionare i implementare a modificrilor aprobate. Mediu de control - Include funciile de guvernare i de conducere, precum i atitudinile, contientizarea i aciunile celor nsrcinai cu guvernarea i conducerea entitii referitoare la controlul intern al entitii i la importana acestuia n entitate. Mediul de control este o component a controlului intern. Mediu informatizat - Politicile i procedurile pe care entitatea le implementeaz i infrastructura informatic (echipamente, sisteme de operare etc.), precum i programele de aplicaie utilizate pentru susinerea operaiunilor ntreprinderii i realizarea strategiilor de afaceri. Se consider c un astfel d e mediu exist n cazul n care n procesarea de ctre entitate a informaiilor financiare semnificative pentru audit este implicat un calculator, de orice tip sau dimensiune, indiferent dac acest calculator este operat de ctre entitate sau de o ter parte. Metode biometrice - Metode automate de verificare sau de recunoatere a unei persoane bazate pe caracteristici comportamentale sau fizice (de exemplu, amprente digitale, scrisul de mn i geometria facial sau retina), utilizate n controlul accesului fizic. Modem - O pies de echipament utilizat pentru convertirea unui semnal digital dintr -un calculator, n semnal analog pentru transmiterea ntr-o reea analogic (precum sistemul public de telefoane). Un alt modem aflat la captul de primire convertete semnalul analog n semnal digital. Networks [reele] - Interconectarea prin faciliti de telecomunicaie a calculatoarelor i a altor dispozitive. Ofier de securitate - Persoana responsabil s asigure c regulile de securitate ale organizaiei sunt implementate i funcioneaz. Pista de audit Un set cronologic de nregistrri care furnizeaz n mod colectiv proba documentar a prelucrrii, suficient pentru a permite reconstituirea, revizuirea i examinarea unei activiti. Planificarea continuitii - Planificarea efectuat pentru a asigura continuitatea proceselor cheie ale afacerii dup dezastre, cderi majore ale sistemelor sau n cazul imposibilitii procesrilor de rutin. Politica de securitate - Setul de reguli i practici care reglementeaz modul n care o organizaie gestioneaz, protejeaz i distribuie informaiile sensibile. Probe de audit - Totalitatea informaiilor folosite de auditor pentru a ajunge la concluziile pe care se bazeaz opinia de audit. Protocol - Standarde i reguli care determina nelesul, formatul i tipurile de date care pot fi transferate ntre calculatoarele din reea. Resurse - Orice prezint valoare pentru organizaie.
Pag. 204 din 214

Risc rezidual - Riscul care rmne dup tratarea riscului. Reea de arie larg (WAN) - O reea de comunicaii care transmite informaii pe o arie extins, cum ar fi ntre locaii ale ntreprinderii, orae sau ri diferite. Reelele extinse permit, de asemenea, accesul online la aplicaii, efectuat de la terminale situate la distan. Mai multe reele locale (LAN) pot fi interconectate ntr-o reea WAN. Reea local (LAN) - O reea de comunicaii care deservete utilizatorii dintr-o arie geografic bine delimitat. Reelele locale au fost dezvoltate pentru a facilita schimbul de informaii i utilizarea n comun a resurselor din cadrul unei organizaii, inclusiv date, programe informatice, depozite de date, imprimante i echipamente de telecomunicaii. Componentele de baz ale unei reele locale sunt mijloacele de trans misie i programele informatice, staiile de lucru pentru utilizatori i echipamentele periferice utilizate n comun. Router - Un dispozitiv de reea care asigur c datele care se transmit printr-o reea urmeaz ruta optim. Sectorul public Guvernele naionale, guvernele regionale (spre exemplu, cele la nivel de stat, provincie sau teritoriale), administraiile locale (spre exemplu, la nivel de ora, municipiu) i entitile guvernamentale aferente (spre exemplu, agenii, consilii, comisii i ntreprinderi). Secure Socket Layer (SSL) - O tehnologie bazat pe web care permite unui calculator s verifice identitatea altui calculator i permite conexiunile securizate. Securitatea informaiei - Pstrarea confidenialitii, integritii i a disponibilitii informaiei; n p lus, alte proprieti precum autenticitatea, responsabilitatea, non-repudierea i fiabilitatea pot fi de asemenea implicate. Server - O unitate de calcul plasat ntr-un nod al reelei care asigur servicii specifice utilizatorilor reelei (de exemplu, un print server asigur faciliti de imprimare n reea, iar un file server stocheaz fiierele utilizatorului). Servere de tip blade (lam) Servere bazate pe o tehnologie de mare densitate i pe o soluie constructiv de tip lam (construite pe o singur plac). Service level agreements - Acorduri sau contracte scrise ntre utilizatori i prestatorii de servicii, care documenteaz livrarea convenit a serviciilor IT. Acestea includ, de obicei, orele pentru prestarea serviciului, disponibilitatea serviciului, produsul, timpii de rspuns, restricii i funcionalitate. Sistem de management al securitii informaiei (SMSI) - Partea din ntreg sistemul de management, bazat pe o abordare a riscului afacerii, folosit pentru a stabili, implementa, funciona, monitoriza, revizui, menine i mbunti securitatea informaiei. Sistemul de management include structuri organizaionale, politici, activiti de planificare, responsabiliti, practici, proceduri, procese i resurse. Sisteme informaionale relevante pentru raportarea financiar O component a controlului intern care include sistemul de raportare financiar i const din procedurile i nregistrrile stabilite pentru a iniia, nregistra, procesa i raporta tranzaciile entitii (precum i evenimentele i condiiile) i pentru a menine responsabilitatea pentru activele, datoriile i capitalurile proprii aferente. Software social - Software de tip social (social networking, social collaboration, social media and social validation) este avut n vedere de organizaii n procesul integrrii ntreprinderii. t-guvernare - Utilizarea tehnologiei comunicrii informaiei pentru a asigura (a permite) transformarea modului de lucru al guvernului, ntr-o manier centrat pe client. Tehnologii informatice verzi (ecologice) Sunt asociate cu evoluia blade server, prin reorientarea ctre produse din ce n ce mai eficiente care pot permite funcionarea n manier ecologic, avnd n vedere impactul asupra reelei electrice i a emisiilor de carbon. Test de parcurgere Un test de parcurgere implic urmrirea ctorva tranzacii pe parcursul ntregului sistem de raportare. TCP/IP - Transmission Control Protocol/Internet Protocol [Protocol de control al transmisiei / Protocol Internet]: un standard utilizat pe larg pentru transferul de date ntre calculatoarele n reea, inclusiv cele conectate la Internet. Tratarea riscului - Proces de selecie i implementare a unor msuri n vederea reducerii riscului.

Pag. 205 din 214

Trojan horse (cal troian) - Program de calculator care realizeaz aparent o funcie util, dar realizeaz i funcii ascunse neautorizate (de exemplu, un program neautorizat care este ascuns ntr -un program autorizat i exploateaz privilegiile de acces ale acestuia). User profile (profilul utilizatorului) - O list de drepturi de acces ale unui anumit utilizator al sistemului. Virus - Sunt programe de calculator ru intenionate, autopropagabile care se ataeaz programelor executabile gazd. Worms (viermi) - Viermii sunt programe de calculator ru intenionate, care se pot replica fr ca programul gazd s poarte infecia. Reelele sunt vulnerabile la atacurile viermilor, un vierme care intra n nodul unei reele cauzeaz probleme locale n nod i trimite copii ale sale nodurilor vecine.

Pag. 206 din 214

Referine bibliografice
[1] European Commission, Directiva 1999/93/CE privind un cadru comunitar pentru semntura electronic, http://www.eur-lex.europa.eu [2] European Commission, Directiva 2000/31/CE privind aspecte juridice ale serviciilor societii informaionale, n special ale comerului electronic, http://www.eur-lex.europa.eu [3] European Commission, Directiva 2002/19/CE privind accesul la reele de comunicaii electronice i la infrastructura asociat precum i interconectarea acestora, http://www.eur-lex.europa.eu [4] European Commission, Directiva 2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii i comunicaiilor electronice, http://www.eur-lex.europa.eu [5] European Commission, Directiva 460/2004/CE privind instituirea Ageniei Europene pentru Securitatea reelelor informatice i a datelor, http://www.eur-lex.europa.eu [6] European Commission, Directiva 854/2005/CE de instituire a unui program comunitar multianual de promovare a utilizrii n condiii de mai mare siguran a Internet-ului i a noilor tehnologii online, http://www.eur-lex.europa.eu [7] European Commission, Directiva 2006/123/CE privind serviciile pe piaa intern (Directiva Servicii), http://www.eur-lex.europa.eu [8] European Commission, Regulamentul (CE) nr. 808/2004 al Consiliului European din 21 aprilie 2004, privind Statisticile Comunitare referitoare la Societatea Informaional, http://www.eur-lex.europa.eu [9] European Commission, Regulamentul (CE) nr. 1099/2005 al Comisiei din 13 iulie 2005 de punere n aplicare a Regulamentului (CE) nr. 808/2004 al Parlamentului European i al Consiliului privind statisticile comunitare referitoare la Societatea Informaional, http://www.eur-lex.europa.eu [10] HG nr. 58/1998 pentru aprobarea Strategiei naionale de informatizare i implementare n ritm accelerat a societii informationale i a Programului de aciuni privind utilizarea pe scara larga i dezvoltarea sectorului tehnologiilor informatiei n Romnia [11] HG nr. 271/ 2001 privind nfiinarea grupului de lucru "Grupul de Promovare a Tehnologiei Informatiei n Romnia" [12] HG nr. 1007/2001 pentru aprobarea Strategiei Guvernului privind informatizarea administraiei publice [13] Legea nr. 455/ 2001 privind semntura electronic [14] HG nr. 1259/2001 privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr. 455/2001 privind semnatura electronic [15] Legea nr. 365/2002 republicat privind comerul electronic [16] Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date [17] Legea nr. 544/2001 privind liberul acces la informaiile de interes public [18] Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei - TITLUL II: Transparena n administrarea informaiilor i serviciilor publice prin mijloace electronice

Pag. 207 din 214

[19] Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei - TITLUL III: Prevenirea i combaterea criminalitatii informatice. [20] HG nr. 1085/ 2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional [21] HG nr. 538/ 2004 privind modificarea i completarea Hotrrii Guvernului nr. 1.085/2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional [22] HG nr.1362/2004 privind nfiinarea Centrului Informatic Naional al Ministerului Administraiei i Internelor i operationalizarea Sistemului e-administraie [23] Legea nr. 506/ 2004 privind prelucrarea datelor cu caracter personal i protectia vieii private n sectorul comunicaiilor electronice [24] HG nr. 1016/2004 privind msurile pentru organizarea i realizarea schimbului de informaii n domeniul standardelor i reglementrilor tehnice, precum i al regulilor referitoare la serviciile societii informaionale ntre Romnia i statele membre ale Uniunii Europene,precum i Comisia European [25] OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management/control intern la entitatile publice i pentru dezvoltarea sistemelor de control managerial [26] Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul electronic [27] OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i finanelor nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de transmitere la distan [28] OUG nr.49/2009 privind libertatea de stabilire a prestatorilor de servicii i libertatea de a furniza servicii n Romnia [29] HG nr. 444/ 2009 privind aprobarea Strategiei guvernamentale de dezvoltare a comunicaiilor electronice n band larg n Romnia pentru perioada 2009-2015 [30] HG nr. 195 din 9 martie 2010 privind aprobarea Strategiei naionale "e-Romnia" [31] Beate Schulte, Ulrike Peter, Jutta Croll, Iris Cornelssen, Methodologies to identify best practice in barrier-free web design, European Journal of ePractice No. 3 May 2008, ISSN: 1988-625X, www.e-practicejournal.eu [32] Cristiano Codagno, Trond Arne Undheim, Benchmarking eGovernment: tools, theory, and practice, European Journal of ePractice No. 4 August 2008, ISSN: 1988-625X, www.e-practicejournal.eu [33] Capgemini, The User Challenge Benchmarking The Supply Of Online Public Services 7th Measurement, 10 April 2008, http://ec.europa.eu/information_society/eeurope/i2010/docs/benchmarking/egov_benchmar k_2007.pdf [34] European Commission, eGovernment progress in EU 27+: Reaping the benefits, (2007), Brussels, August 2008, http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=3635 [35] European Commission, i2010 eGovernment Action Plan: Accelerating eGovernment in Europe for the Benefit of All, COM(2006), 173 final, Brussels
Pag. 208 din 214

[36] European Commission, Facing the Challenge: The Lisbon Strategy for Growth and Employment, Report of the High Level Group, Brussels. Retrieved 15 August 2008, http://ec.europa.eu/growthandjobs/pdf/kok_report_en.pdf [37] European Commission, eEurope 2005, An information society for all: An Action Plan to be presented in view of the Seville European Council, COM(2002) 263 final, Brussels. [38] Robert Deller and Veronique Guilloux, Determining relevance of best practice based on interoperability in European eGovernment initiatives, Journal of ePractice No. 4 August 2008, ISSN: 1988-625X, www.e-practicejournal.eu [39] ENISA, Work programme 2005 Information sharing is protecting ENISA EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY, Brussels, 25 February 2005 [40] European Commission, eEurope 2005: An information society for all. An Action Plan presented in view of the Sevilla European Council, 21/22 June 2002 [41] European Commission, Ministerial Conference - "ICT for an Inclusive Society, Ministerial declaration, Riga, Latvia June 2006 [42] European Commission, IDABC Work Programme, Fourth revision (2007), SECTION I Project of common interest. Horizontal measures [43] European Commission, I2010 e-Government Action Plan, Analysis of European target groups related to inclusive eGovernment, 2006 [44] OMB, Report to Congress on the benefits of the presidents e-government initiatives, Fiscal Year 2007, OMB, USA [45] Capgemini (2004) Online availability of public services: how is Europe progressing? web based survey on electronic public services report of the 5th measurement - october 2004, For: European Commission Directorate General for Information Society and Media 3 march 2005 [46] Capgemini (2006), Online Availability of Public Services: How Is Europe Progressing? - Web Based Survey on Electronic Public Services Report of the 6th Measurement - June 2006 [47] Cabinet Office (2002). Public Service Agreement Target Technical Note, Target 3, (http://www.cabinetoffice.gov.uk/reports/service-delivery/sda4.asp#target3) [48] Cabinet Office (2005). Transformational Government - Enabled by Technology http://www.cio.gov.uk/ [49] CapGemini (2007), The User Challenge Benchmarking The Supply Of Online Public Services; 7th Measurement (European Commission, Brussels) http://ec.europa.eu/informationsociety/eeurope/i2010/docs/benchmarking/egov_benchmark _2007.pdf [50] Commission of the European Communities (2005). i2010 A European Information Society for growth and employment SEC 717 [51] OECD (2003), The eGovernment imperative (OECD, Paris) [52] European Commission, Benchmarking eInclusion-Bruxelles-21 June 2006-i2010 BENCHMARKING http://europa.eu.int/information_society/eeurope/i2010/benchmarking/index_en.htm [53] Planul National de Dezvoltare, Guvernul Romniei, (National Strategic Reference Framework 2007 2013 draft April 2006) [54] Programul Complement ICT 2007-2013 www.mcti.ro

Pag. 209 din 214

[55] XXX, Programul Operaional Sectorial Creterea competitivitii economice (POS CCE), Ministerul Economiei i Comerului,2006 [56] Carl Claunch and Dave Cearley, Top 10 Strategic Technology Areas for 2009, Gartner Symposium/2008 ITxpo, Orlando, 2008 [57] Sam Lubbe, ISACA, Documentation Standards for E-commerce Organisations, ISSN (1526-7407), INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 5, 2003, [58] Sam Lubbe, Documentation Standards for E-commerce Organisations, p.24, ISACA, INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 5, 2003, ISSN (1526-7407) [159 Morten Fangel, Managing Director & Chief Consultant, Fangel Consultants Ltd, Denmark, Systematic Planning and Evaluation of the Project Management Effort [60] David Mc Namee, Business Risk Assesment, The Institute of Internal Auditors, USA, 1998, www.theiia.org [61] Cristopher Fox, Paul Zonneveld, IT Control Objectives for Sarbanes Oxley: The Role of IT in the Design and Implementation of Internal Control over Financial Reporting, ISACA ITGI, 2006 [62] David Coderre, CAATs and other BEASTs for Auditors, 2005, www.isaca.org/esentialsbooks [63] The Institute of Internal Auditors, Applying COSOs Enterprise Risk Management Integrated Framework, Executive summary, September, 2004, www.theiia.org [64] E-government in an audit perspective, Report final version, www.eurosai-it.org [65] e-Procurement and its effect on future audit approach, EUROSAI - ITWG, 2004, www.eurosai-it.org [66] Perspectives on the information exchange, into IT, nr. 39, www.intosai.org [67] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp [68] Risk Management Principles for Electronic Banking, Basel Committee on Banking Supervision, 2003, www.bis.org [69] ECBS, Security Guidelines for e-Banking. Application of Basel Risk Management Principles, European Committee for Banking Supervision, 2004, www.ecbs.org [70] ITGI, Measuring and Demonstrating the Value of IT, IT Governance domain practices and competencies, 2007, ITGI, ISBN 1-933284-12-9 [74] ITGI, Board Briefing on IT Governance, 2007, ITGI, ISBN 1-893209-64-4 [75] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public Sector, 2004 [76] C.A.F.R., Audit financiar 2006 Standarde. Codul privind conduita etic i profesional, 2006 [77] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea riscurilor i controlul intern caracteristici i considerente privind CIS [78] ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de audit asistat de calculator [79] GAO, Government Auditing Standards, GAO, United States Government Accountability Office, by the Comptroller General of the United States, July 2007 Revision, [80] THE IIA, Systems Assurance and Control (SAC), The IIA Research Foundation, http:/www.theiia.org/eSAC [83] NIST, NIST 800-30 Risc Management Guide for Information Technology Systems, http://www.csrc.nist.gov/publications
Pag. 210 din 214

[84] Dale Johnstore and Ellis Chung Yee Wong, Practicing Information Technology Auditing for Fraud, INFORMATION SYSTEMS CONTROL JOURNAL, VOLUME 1, 2008, ISSN (1526-7407) Referine tehnice [1] ISACA, IS Standards, Guidelines and Procedures for Auditing and Control Professionals, ediia februarie 2010, www.isaca.org [2] ITGI, COBIT Control Objectives, Ediia 4.0, www.isaca.org [3] ITGI, IT Assurance Guide using COBIT, www.isaca.org [4] ITGI, COBIT Mapping Papers, www.isaca.org [5] ITGI, Aligning COBIT 4.1, ITIL V3, ISO/IEC 27001 for Business Benefit, www.isaca.org [6] ITGI, Implementation Guide: Using COBIT and Val IT, 2nd Edition. [7] ITGI, IT Assurance Guide: Using COBIT [8] COBIT mappings, www.isaca.org : COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.1 COBIT Mapping: Mapping of COSO Enterprise Risk Management With COBIT 4.1 COBIT Mapping: Mapping of ISO/IEC 17799:2000 with COBIT, 2nd Edition COBIT Mapping: Mapping of ISO/IEC 17799:2005 with COBIT 4.1 COBIT Mapping: Mapping of ITIL With COBIT 4.1 COBIT Mapping: Mapping of ITIL V3 With COBIT 4.1 COBIT Mapping: Mapping of PMBOK With COBIT 4.1 COBIT Mapping: Mapping of PRINCE2 With COBIT 4.1 COBIT Mapping: Mapping of SEIs CMM for Software With COBIT 4.1 COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.1 COBIT Mapping: Overview of International IT Guidance, 2nd Edition [9] ITGI, Val IT Framework 2.0, www.isaca.org [10] ITGI, Value Management Guidance for Assurance Professionals, www.isaca.org [11] ITGI, Using Val IT 2.0, www.isaca.org [12] ITGI, Val IT Getting Started with Value Management, www.isaca.org [13] ITGI, The Business Case Guide: Using Val IT 2.0, www.isaca.org [14] ITGI, Optimising Value Creation From IT Investments, www.isaca.org [15] The Institute of Internal Auditors, Applying COSOs Enterprise Risk Management Integrated Framework, Executive summary, September, 2004, www.theiia.org [16] Best practice Why IT Projects Fail, www.nao.gov.uk/intosai/edp
Pag. 211 din 214

[17] ITGI, Measuring and Demonstrating the Value of IT, IT Governance domain practices and competencies, 2007, ITGI, ISBN 1-933284-12-9 [18] ITGI, Board Briefing on IT Governance, 2007, ITGI, ISBN 1-893209-64-4 [19] INTOSAI, INTOSAI GOV 9100 Guidelines for Internal Control Standards for the Public Sector, 2004 [20] ISA, Declaraia internaional privind practica de audit 1008 - Evaluarea riscurilor i controlul intern caracteristici i considerente privind CIS [21] ISA, Declaraia internaional privind practica de audit 1009 - Tehnici de audit asistat de calculator [22] GAO, Government Auditing Standards, GAO, United States Government Accountability Office, by the Comptroller General of the United States, July 2007 Revision [23] THE IIA, Systems Assurance and Control (SAC), The IIA Research Foundation, http:/www.theiia.org/eSAC [24] NIST, NIST 800-30 Risc Management Guide for Information Technology Systems, http://www.csrc.nist.gov/publications [25] www.isaca.org/cobit [26] www.isaca.org/valit [27] www.isaca.org/riskit [28]www.itgi.org

Pag. 212 din 214

Anexa 1 - Legislaia pentru Societatea Informaional


Cadrul legislativ din Romnia HG nr. 58/1998 pentru aprobarea Strategiei naionale de informatizare i implementare n ritm accelerat a societii informationale i a Programului de aciuni privind utilizarea pe scara larg i dezvoltarea sectorului tehnologiilor informaiei n Romnia HG nr. 271/ 2001 privind nfiinarea grupului de lucru "Grupul de Promovare a Tehnologiei Informaiei n Romnia" HG nr. 1007/2001 pentru aprobarea Strategiei Guvernului privind informatizarea administraiei publice Legea nr. 455/ 2001 privind semntura electronic HG nr. 1259/2001 privind aprobarea Normelor tehnice i metodologice pentru aplicarea Legii nr. 455/2001 privind semnatura electronic Legea nr. 365/2002 republicat privind comerul electronic Legea nr. 677/ 2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date Legea nr. 544/2001 privind liberul acces la informaiile de interes public Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei - TITLUL II: Transparena n administrarea informaiilor i serviciilor publice prin mijloace electronice Legea nr. 161/ 2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionar ea coruptiei - TITLUL III: Prevenirea i combaterea criminalitatii informatice. HG nr. 1085/ 2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afaceri, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional HG nr. 538/ 2004 privind modificarea i completarea Hotrrii Guvernului nr. 1.085/2003 pentru aplicarea unor prevederi ale Legii nr. 161/2003 privind unele msuri pentru asigurarea transparenei n exercitarea demnitatilor publice, a funciilor publice i n mediul de afacer i, prevenirea i sancionarea coruptiei, referitoare la implementarea Sistemului Electronic Naional HG nr.1362/2004 privind nfiinarea Centrului Informatic Naional al Ministerului Administraiei i Internelor i operationalizarea Sistemului e-administraie
Pag. 213 din 214

Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protectia vieii private n sectorul comunicaiilor electronice HG nr. 1016/2004 privind msurile pentru organizarea i realizarea schimbului de informaii n domeniul standardelor i reglementrilor tehnice, precum i al regulilor referitoare la serviciile societii informaionale ntre Romnia i statele membre ale Uniunii Europene,precum i Comisia European OMF nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management/control intern la entitatile publice i pentru dezvoltarea sistemelor de control managerial Legea 121/2006 pentru modificarea i completarea Legii nr. 365/2002 privind comerul electronic OMF nr. 847/2009 pentru modificarea i completarea Ordinului ministrului economiei i finanelor nr. 858/2008 privind depunerea declaraiilor fiscale prin mijloace electronice de transmitere la distan OUG nr.49/2009 privind libertatea de stabilire a prestatorilor de servicii i libertatea de a furniza servicii n Romnia HG nr. 444/ 2009 privind aprobarea Strategiei guvernamentale de dezvoltare a comunicaiilor electronice n band larg n Romnia pentru perioada 2009-2015 HG nr. 201/2010 privind organizarea i funcionarea Punctului de Contact Unic electronic (PCU electronic), HG nr. 195/ 2010 privind aprobarea Strategiei naionale "e-Romnia"

Directivele Parlamentului European


Directiva 1999/93/CE privind un cadru comunitar pentru semntura electronic; Directiva 2000/31/CE privind aspecte juridice ale serviciilor societii informaionale, n special ale comerului electronic; Directiva 2002/19/CE privind accesul la reele de comunicaii electronice i la infrastructura asociat, precum i interconectarea acestora; Directiva 2002/58/CE privind prelucrarea datelor personale i protejarea confidenialitii i comunicaiilor electronice; Directiva 460/2004/CE privind instituirea Ageniei Europene pentru Securitatea reelelor informatice i a datelor; Directiva 854/2005/CE de instituire a unui program comunitar multianual de promovare a utilizrii n condiii de mai mare siguran a Internet-ului i a noilor tehnologii online; Directiva 2006/123/CE privind serviciile pe piaa intern (Directiva Servicii).

Pag. 214 din 214

ISSAI 5310

Standardele Internaionale ale Instituiilor Supreme de Audit, ISSAI, sunt distribuite de ctre Organizaia Internaional a Instituiilor Supreme de Audit, INTOSAI. Informaii pe site: www.issai.org

INTOSAI

Metodologia de revizuire a Securitii Sistemelor Informatice

IN TO S A I P ro f es si o n al St a n d a rd s C o mm i tt ee
PSCSecretariat

Rigsrevisionen Landgreven 4 P.O. Box 9009 1022 Copenhagen K Denmark Tel.:+45 3392 8400 Fax:+45 3311 0415 E-mail: info@rigsrevisionen.dk

INTOSAI

EXPERIENTIA MUTUA OMNIBUS PRODEST

INTOSAI General Secretariat RECHNUNGSHOF (Austrian Court of Audit) DAMPFSCHIFFSTRASSE 2 A-1033 VIENNA AUSTRIA Tel.: ++43 (1) 711 71 Fax: ++43 (1) 718 09 69

E-MAIL: intosai@rechnungshof.gv.at; WORLD WIDE WEB: http://www.intosai.org

INTOSAI

Metodologie de revizuire a securitii sistemelor informatice

Ghid pentru revizuirea securitii sistemelor informatice n organizaiile guvernamentale

Emis de Commitetul de Audit pentru Prelucrarea Datelor Electronice Organizaia International a Instituiilor Supreme de Audit Octombrie 1995

Cuprins

Volumul 1: Prezentare.............................................................................................................. 6 1.1 1.2 1.3 1.4 1.5 1.6 1.7 Prezentare ......................................................................................................... 7 Ce este securitatea Sistemului Informatic ............................................................. 7 Cadrul de lucru pentru securitatea informaiei ....................................................... 8 Abordare pe dou niveluri a revizuirii SSI ............................................................. 9 Abordarea top-down pentru revizuirea securitii informaiilor ............................... 10 Metoda detaliat privind securitatea sistemului informatic .................................... 11 Cum se utilizeaz abordarea pe dou niveluri pentru revizuirea

sistemului informatic .................................................................................................... 12 1.8 1.9 Cnd i cum se utilizeaz abordarea revizuirii top-down ...................................... 13 Cnd i cum se pot folosi metodele de securitate a informaiilor detaliate .............. 13 O abordare top-down ..................................................................................... 15

Volumul 2 2.1 2.2

Introducere ...................................................................................................... 16 Procesul de evaluare a securitii sistemelor informatice ..................................... 16 Evoluia managementului informaiei................................................................ 16 Managementul securitii ................................................................................. 17 Echipa de securitate ......................................................................................... 17 Procesul ........................................................................................................... 17

2.2.1 2.2.2 2.2.3 2.2.4 2.3

Completarea formularului Declaraie privind sensibilitatea informaiilor i

clasificarea securitii ................................................................................................. 18 2.4 Completarea formularului Evaluarea ameninrilor i a impactului

asupra afacerii ........................................................................................................... 19


4

2.4.1 2.4.2 2.4.3 2.5 2.6 2.7

Evaluarea ameninrilor i a riscurilor .............................................................. 19 Evaluarea impactului asupra afacerii................................................................ 20 Estimarea expunerii securitii ........................................................................ 20

Rezumatul evalurilor securitii ........................................................................ 21 Decizii privind securitatea i aciuni recomandate ................................................ 22 Etapele evalurii securitii sistemelor informatice .............................................. 22

ANEXA A Evoluia managementului informaiei ........................................................... 25 ANEXA B Procesul de evaluare a securitii sistemelor informatice............................... 26 ANEXA C - Declaraia privind sensibilitatea informaiilor i clasificarea securitii .............. 27 ANEXA F Diagrama ratei expunerii ............................................................................ 32 ANEXA H - Ameninri de baz i msuri de securitate .................................................. 33 ANEXA I - Cteva definiii ............................................................................................ 66 Volumul 3: O metod detaliat de securitate a sistemului informatic .............................. 70 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 Prezentare ....................................................................................................... 71 Infrastructura.................................................................................................... 72 Limite .............................................................................................................. 73 Echipa ............................................................................................................. 73 Ameninri / Vulnerabiliti ................................................................................. 74 Evaluare .......................................................................................................... 75 Cerina de securitate......................................................................................... 77 Contramsuri ................................................................................................... 77 Administrarea securitii .................................................................................... 78

Glosar succint .......................................................................................................................... 79

Metodologie de revizuire a securitii sistemelor informatice

Ghid pentru revizuirea securitii sistemelor informatice n organizaiile guvernamentale

Volumul 1: Prezentare

1.1

Prezentare

Utilizatorii ar trebui s citeasc aceast prezentare nainte de a se referi la alte volume referitoare la ghidul metodologic de revizuire a Sistemului de Securitate a Informaiei (SSI), publicat de INTOSAI. Scopul acestei prezentri de ansamblu este de a explica modul n care aceast metodologie este organizat i n ce mprejurri poate fi folosit: Ghidul metodologic de evaluare a SSI se aplic la orice mediu (mainframe, microcalculator sau reeaua local de microcalculatoare). Ghidul metodologic de revizuire a SSI este, de asemenea, aplicabil oricrui mediu informatizat (calculator mare, microcalculator sau reea local de microcalculatoare).

Ghidul metodologic de revizuire a SSI propune o abordare pe dou niveluri. Nivelul 1 furnizeaz Instituiilor Supreme de Audit (ISA), o metod de a face o revizuire manual simpl a sistemului informatic, n special atunci cnd resursele sun t limitate sau nevoile de raportare nu cer altceva (Volumul 2). Nivelul 2 furnizeaz o metod mult mai sofisticat, bazat pe valoarea financiar a expunerilor asociate cu securitatea informaiei (Volumul 3). Obiectivul principal al acestui ghid este de a asista ISA care au un astfel de mandat pentru a revizui programele implementate de diferite organizaii guvernamentale, sub aspectul sistemului de securitate a informaiei. Acesta poate fi, de aseme nea, utilizat de ctre ISA pentru a stabili programe de securitate eficiente i cuprinztoare, care s acopere sistemele informatice cheie n propria organizaie (ISA). Acesta nu este un ghid detaliat de audit de securitate: este o descriere a unei abordri structurate pentru evaluarea i gestionarea riscurilor n sistemele informatice.

1.2

Ce este securitatea Sistemului Informatic

Obiectivul unui program de securitate a sistemului informatic este acela de a proteja informaia organizaiei, prin reducerea riscului de pierdere a confidenialitii, integritii i disponibilitii informaiilor la un nivel acceptabil. Un bun program de securitate a informaiilor implic dou elemente majore: analiza de risc i managementul riscurilor. n faza de analiz de risc, se realizeaz un inventar al tuturor sistemelor informatice. Pentru fiecare sistem, se stabilete valoarea acestuia n cadrul organizaiei i se determin gradul n care organizaia este expus riscului. Managementul riscurilor, pe de alt parte, implic selectarea controalelor i msurilor de securitate care reduc expunerea organizaiei la risc la un nivel acceptabil.
7

Pentru a fi eficace, eficient i pentru a reflecta acceptarea unor semnificaii comune, managementul riscurilor trebuie s se fac ntr-un cadru de securitate, caz n care msurile de securitate a informaiei sunt completate de msuri referitoare la calculatoare, personal, activitatea administrativ, precum i msuri privind securitatea fizic (a se vedea Figura 1). Managementul riscurilor devine o problem a conducerii de vrf. Trebuie asigurat un echilibru ntre valoarea informaiei n cadrul organizaiei, pe de o parte, i costul msurilor de securitate privind personalul, activitile administrative i tehnologice, pe de alt parte. Msurile de securitate puse n aplicare trebuie s fie mai puin costisitoare dect daunele poteniale cauzate de pierderea confidenialitii, integritii i disponibilitii informaiei. Multe metodologii formale de analiz de risc existente pe pia necesit expertiz tehnic n domeniul tehnologiei informaiei i al controalelor relevante, precum i n ceea ce privete disponibilitatea spectrului de ameninri specifice, care ar putea fi dincolo de cunoaterea din cadrul multor oficii de audit, cel puin la nceput. Obiectivul este de a const itui, de-a lungul timpului, expertiza necesar i resursele.

Sisteme informatice Hardware / Software Administrativ Personal (Resurse umane) Nivel fizic

Figura 1. Nivele complementare n securitatea informaiei

1.3

Cadrul de lucru pentru securitatea informaiei

Securitatea informaiei este un element al unei infrastructuri de securitate i, ca atare, nu trebuie s fie examinat individual. Trebuie s existe un cadru de politici de securitate care se ocup de toate aspectele legate de securitatea fizic, securitatea personalului i de securitatea informaiilor. Trebuie s existe roluri i responsabiliti clare pentru utilizatori, ofieri de
8

securitate i Comitetul de direcie pentru sisteme informatice. Un program de securitate a informaiilor ar trebui s includ toate aspectele legate de sensibilitatea informaiilor organizaiei, inclusiv confidenialitatea, integritatea i disponibilitatea. Trebuie s existe un program de contientizare privind securitatea, care s informeze ntreg personalul cu privire la riscurile posibile i la expuneri, precum i la responsabilitile care i revin n calitate de deintor al informaiilor organizaiei. Referindu-ne la Figura 1, securitatea informaiilor este un set de msuri implementate la urmtoarele niveluri: fizic, personal, administrativ, calculator (hardware i software) i la nivelul sistemului informatic. Acestea trebuie s funcioneze n mod integrat. Securitatea informaiilor presupune un bun control al managementului i al deficienelor la orice nivel pentru a preveni ameninarea securitii la celelalte niveluri. n cazul n care politicile de securitate pentru personal, de exemplu, nu sunt bine concepute i puse n aplicare, securitatea informaiilor ar putea deveni foarte costisitoare sau aproape imposibil de susinut. Pe de alt parte, msurile minime de la toate nivelurile ar trebui s asigure un nivel minim de protecie a informaiilor, cu condiia ca riscul de securitate s fie rezonabil i acceptat de ctre conducere. Exist, de asemenea, situaii n care msurile de securitate la un anumit nivel s poat compensa deficiene de securitate din alt zon. Criptarea, de exemplu, adaug un strat suplimentar de protecie pentru confidenialitatea datelor i integritate chiar i n cazurile n care msurile de securitate fizic, de personal sau administrative pot fi slabe. Criptarea rmne una dintre ultimele forme de aprare care poate ajuta la prevenirea breelor care afecteaz confidenialitatea sau integritatea. n planificarea securitii informaiilor, valoarea informaiei pentru management i volumul acestor informaii relativ la alte tipuri de informaii trebuie s fie echilibrat n raport cu limitrile securitii de baz ale mediului. n multe departamente guvernamentale, dac nu sunt cerine extreme pentru manipularea de informaii cu caracter secret deosebit, pe un laptop protejat n mod adecvat, informaiile ar trebui s fie pur i simplu create i transportate ntr-o alt manier. Pentru acele departamente, costurile i constrngerile controalelor de securitate corespunztoare i msurile nu pot fi acceptabile, avnd n vedere volumul mic de informaii care are nevoie de o astfel de protecie.

1.4

Abordare pe dou niveluri a revizuirii SSI

Ghidul introduce o abordare pe dou niveluri a revizuirii sistemului de securitate a informaiei1. Accentul se pune pe utilizarea simului comun pentru a echilibra continuu costul msurilor de securitate care urmeaz s fie incluse n sistem cu valoarea informaiei manipulate n acest sistem2.

Aceast abordare este rezultatul unui efort comun depus de NAO-UK (National Audit Office of the UK) i de Oficiul Auditorului General al Canadei.
1

Securitatea este n mare msur de natur preventiv, cum ar fi asigurarea auto. Chiar dac cei mai muli oameni nu a fost implicai niciodat ntr-un accident de masina grav, ei nc au asigurare auto. Beneficiile nu sunt niciodat pe deplin realizate pn cnd nu are loc un accident. Securitatea "este o cheltuial legitim i necesar serviciilor de gestionare a informaiilor, i guvernul ar trebui s ia n considerare att costul de punere n aplicare a controalelor ct i costul potenial de a nu face acest lucru. Costurile de securitate ar trebui s fie proporionale cu necesitatea, i incluse n costurile ciclului de via al oricrui sistem informatic". (Oficiul Auditorului General al Canadei, Raport anual, 1990, capitolul 9, auditul securitii informaiil or).
2

Avnd n vedere resursele limitate ale multor instituii supreme de audit, se propune ca ISA s utilizeaz nti o viziune top-down manual de management al securitii informaiei. ISA trebuie s treac la a doua faz, o analiz foarte detaliat care vizeaz o evaluare financiar a expunerii la risc a informaiei, numai n cazul n care managementul are nevoie de precizie financiar pentru a susine deciziile sale sau dac expunerile tehnice specifice sunt n curs de examinare. Ambele metode de includ elemente de analiz a riscurilor i de gestionare a riscurilor (a se vedea Figura 2).

Analiza riscurilor de securitate

Managementul riscurilor

Revizuire manual top-down

Nu Costuri nete detaliate necesare? Recomandri de securitate generale i msuri specifice

Nu Expertiz i resurse diponibile Da Faza de implementare Analiz suplimentar necesar (cuantificat)?

Analiz detaliat (expunere monetar statistic)

Msuri detaliate (inclusiv costuri nete)

Figura 2. Abordare pe dou nivele pentru analiza i managementul riscurilor de securitate

Aceast abordare pe dou niveluri furnizeaz Instituiilor Supreme de Audit opiuni n alegerea metodologiilor i o cale de migrare treptat de la o metodologie mai puin sofisticat la una foarte formalizat i consumatoare de resurse.

1.5

Abordarea top-down pentru revizuirea securitii informaiilor

Metoda top-down este simpl, dar complet i poate ajuta Instituiile Supreme de Audit s ajung la concluzii cu privire la expunerile sistemului de securitate a informaiilor n curs de revizuire. Este nevoie de o perspectiv de sus n jos, top-down, a securitii informaiilor deoarece aceasta reflect: perspectiva conducerii de vrf asupra informaiei n ceea ce privete valoarea acesteia pentru organizaie, riscurile i expunerile sistemului de securitate i recomandrile care ar trebui s fie fcute. Aceast abordare permite auditorilor s-i concentreze atenia asupra sistemelor informatice cheie, n special asupra celor care prezint preocupri speciale de securitate. Metoda top-down se bazeaz pe evaluri calitative de risc pentru ameninrile posibile i pentru impactul acestora, n cazul n care s-au manifestat. Accentul este pus pe estimarea valorii informaiei sau datelor manipulate de sistemul informatic pentru management , i nu att
10

de mult pe valoarea tehnologiei n sine3. Pentru fiecare sistem informatic, valoarea informaiilor pentru organizaie, ameninrile i posibilele efecte sunt evaluate mai nti individual, apoi global pentru a determina un grad global de expunere la risc. Aceste evaluri sunt subiective i, de obicei, sunt exprimate n termeni de risc ridicat, mediu sau sczut, impact i expunere. Pe baza acestor evaluri, se fac recomandri managementului, cu privire la aciunile care trebuie ntreprinse sau cu privire la tipurile controalelor specifice i la msurile de securitate care trebuie implementate. Aceste recomandri sunt o parte a managementului de risc. Metoda top-down are mai multe avantaje. Este uor i ieftin de folosit. Aceasta este o metod manual i poate fi utilizat n orice ISA de ctre personalul cu experien n materie de controale de management i de informaii i sisteme informatice n general. Resursele interne de personal pot fi suficiente, fr a fi nevoie de pachete software sofisticate pentru a colecta date cu privire la sistemele informatice revizuite, pentru a obine statistici actualizate pertinente i pentru a produce analize foarte sofisticate i rapoarte. De obicei, este suficient un pachet de prelucrare a textelor. Foile de calcul tabelar pot ajuta n producerea de tabele de sintez. Cei mai avansai pot dori s utilizeze pachete care exploateaz funcionalitatea bazei de date pentru a colecta informaii i s produc, ulterior, rapoartele de analiz. n abordarea pe dou niveluri propus, privind securitatea sistemului informatic, metoda topdown este vzut ca un punct de decizie n cadrul metodei de ansamblu. n funcie de circumstanele revizuirii, SAI-urile pot fi satisfcute de rezultatele revizuirii sau pot decide s continue revizuirea cu proceduri mult mai sofisticate, n domenii de interes special sau n cazul n care msurile de securitate foarte tehnice sau foarte costisitoare ar putea s necesite justificarea managementului.

1.6

Metoda detaliat informatic

privind

securitatea

sistemului

Metodologiile detaliate utilizate n nivelul al doilea al abordrii propuse Instituiilor Supreme de Audit, reprezint un tip bine cunoscut de analiz i management al riscurilor bazat pe o analiz detaliat i cantitativ a activelor aferente sistemului informatic. Acestea ncearc s msoare impactul financiar net al expunerilor de securitate i a contramsurilor puse n aplicare. Furnizori din ntreaga lume vnd diferite pachete de analiz a securitii care permit o astfel de abordare. Metode cantitative de analiz a securitii sunt, de obicei, puse la dispoziie mpreun cu un pachet software de care va beneficia auditorul la introducerea datelor, calcularea expunerilor de securitate i raportarea cu privire la proiect. Aceste pachete de management al riscurilor constituie un ajutor de specialitate din partea furnizorilor si un suport de instruire pentru utilizatorii metodei.

Spre deosebire de metoda top-down, metodologiile detaliate, utilizate n al doilea nivel al abordrii propuse de acest ghid, cuantific ntr -o manier foarte detaliat ameninrile la adresa platformei de calculatoare pe care se execut sistemele informatice.
3

11

Volumul 3 descrie o versiune manual a unei metode detaliate de securitate a informaiei 4. Obiectivul este de a oferi SAI-urilor o imagine de ansamblu a unei metode care este cea mai utilizat i are ca suport un pachet de programe software. n contrast cu abordarea top-down, analiza cantitativ a securitii are ca scop evaluarea n termeni financiari, ntr-un mod foarte detaliat i structurat, a tuturor activelor i a tuturor ameninrilor posibile, precum i impactul acestora asupra sistemelor informatice implementate de ctre o organizaie. Prin interviuri i chestionare, sunt evaluate de ctre utilizatori posibilele efecte asupra informaiilor i clasificate pe o scal de la unu la zece, n funcie de gravitatea lor. n continuare, ateptrile privind pierderile anuale sunt calculate prin combinarea costurilor de nlocuire a activelor, a probabilitilor ameninrilor i a factorilor de ponderare a impactului. Cele mai multe dintre metodele de pe pia sunt n natur pe dou niveluri i variaz de la una la alta n concordan cu modul n care au fost obinute probabilitile, costurile i pierderile anuale cumulate anticipate. Alte diferene pot fi uurina n utilizarea metodei i tipul de suport oferit de ctre vnztor. Acestea sunt unele dintre problemele pe care aceast abordare pe dou niveluri ncearc s le abordeze. Utilizarea unor metode cantitative de analiz i de management ale riscurilor impune ca tabelele statisticilor riscurilor i costurile activelor s fie modificate n acord cu circumstanele specifice fiecrei ri.

1.7

Cum se utilizeaz abordarea pe dou niveluri pentru revizuirea sistemului informatic

Planificare. Planificarea revizuirii securitii este cheia succesului aciunii. Aceasta ar trebui s acopere urmtoarele elemente principale: Cunoaterea clientului i a mediului informatizat; Domeniul care face obiectul revizuirii: care sunt sistemele informatice, care sunt limitele logice, fizice sau geografice; Resurse disponibile: personal calificat sau consultani, bugete, termene; Disponibilitatea unor statistici fiabile privind ameninrile i a unor date referitoare la costuri, adecvate pentru condiiile locale; adaptarea valorilor implicite, dac este necesar; Cerinele de raportare: destinatarii raportului, contextul revizuirii (raportul anual, rapoartele speciale de uz intern/ extern etc), tipul recomandrilor necesare; Metoda de revizuire: abordarea top-down (de sus n jos), analize detaliate sau o combinaie a celor dou.

Dezvoltat de the National Audit Office of the UK

12

1.8

Cnd i cum se utilizeaz abordarea revizuirii top-down

Abordarea top-down este metoda preferat utilizat pentru revizuire, deoarece satisface nevoile i capacitile multor instituii supreme de audit. Volumul 2 conine o descriere a metodei, inclusiv finalizarea pas cu pas a revizuirii securitii. O serie de formulare este prezentat n anexe. Formularele pot fi utilizate n form tiprit sau pe un calculator5. Cele mai importante formulare sunt Declaraia privind sensibilitatea informaiilor i clasificarea securitii (Anexa C), precum i formularul Impactul asupra afacerii i evaluarea ameninrilor (Anexa E). n funcie de circumstanele de revizuire a securitii, versiunile pe suport de hrtie ale acestor formulare pot fi completate de ctre proprietarii / utilizatorii de sisteme informatice n curs de revizuire i semnate de un funcionar desemnat de conducere. Acestea se constituie n documentaia permanent de evaluare a securitii pentru aceste sisteme. Disponibilitatea formularelor electronice simplific i uureaz adaptarea acestora la nevoile locale. Alte formulare, n cea mai mare parte foile de calcul, sunt folosite pentru a sintetiza rezultatele pentru mai multe sisteme informatice, pe un format centralizator.

1.9

Cnd i cum se pot folosi metodele de securitate a informaiilor detaliate

Exist circumstane n care se impun revizuiri ale securitii informaiei mult mai detaliate i mai cuantificate. Acest lucru se va ntmpla n cazul n care instituiile supreme de audit dispun de resursele bugetare, tehnice i de personal necesare pentru a desfura analize detaliate sau n cazul n care cerinele de raportare dicteaz acest mod de abordare. nainte de a ncerca utilizarea unei metode de securitate a informaiilor detaliate, se recomand ca ISA s acorde o atenie deosebit urmtoarelor aspecte: Disponibilitatea expertizei sau accesul uor la expertiza din domeniul tehnologiei informaiei i al securitii informaiei; Disponibilitatea unei metodologii adecvate; Disponibilitatea unui pachet software suport bun: metodele de risc cantitative sunt foarte cuprinztoare i implic metodologii detaliate, care impun utilizarea unui calculator; pe de alt parte, pachetul software suport introduce, de obicei, complexitate inerent, care transform revizuirea detaliat a securitii ntr-o sarcin extrem de dificil; Bugetele pentru adaptarea sau personalizarea pachetului pentru mediul supus revizuirii: cteva luni de efort nu constituie o exagerare; Bugetele pentru instruire, avnd n vedere curba de nvare care poate fi destul de abrupt i costisitoare, mai ales n cazul n care trebuie s fie utilizai consultanii; Resurse financiare i de timp: revizuirile de securitate detaliate sau de amploare tind s fie de lung durat i consumatoare de resurse, i, Nevoia pentru o astfel de revizuire detaliat: exist o argumentaie care s susin c revizuirile detaliate, cantitative de securitate nu pot fi justificate pentru sistemele

Formularele sunt disponibile n format electronic i pot fi uor importate ntr-un mediu Windows.

13

informatice comerciale sau guvernamentale care nu sunt nici complexe, nici extrem de sensibile. Instituii supreme de audit, cum ar fi Oficiul Naional de Audit din Marea Britanie i Oficiul de Audit din Noua Zeeland au deja o lung experien n dezvoltarea i utilizarea metodelor de gestionare a riscurilor de securitate detaliate. Celelalte instituii supreme de audit pot dori s se consulte cu acestea nainte de a merge n aceast direcie. Pentru a utiliza aceste metode n mod eficient, instituiile supreme de audit trebuie s aib acces la personal calificat sau consultani n domeniul tehnologiei informaiei i n conceptele de securitate a informaiilor. La nivel mondial, sunt comercializate de ctre o serie de firme de consultan, pachete comerciale de gestionare a riscurilor, mpreun cu instruirea aferent n utilizarea metodologiei de baz. Exist mai multe pachete bine cunoscute de management al riscurilor. CRAMM, de exemplu, a fost dezvoltat pentru guvernul britanic, iar acum este comercializat ntreaga lume, prin diverse firme de consultan. n S.U.A., RiskWatch este un pachet bine cunoscut care utilizeaz un software de tip sistem expert pentru a efectua analiza i managementul riscurilor. Departamentul de Energie al SUA a dezvoltat pachetul Los Alamos Vulnerability Assessment (LAVA). Noua Zeeland are n curs de dezvoltare programul CATALYST, ntr-un mediu Windows, pentru a rspunde propriilor nevoi de analiz a securitii. Selecia unui astfel de pachet poate fi o chestiune de disponibilitate local, cost, suport tehnic dup cumprare, resurse necesare pentru personalizare la condiiile locale. Costul unuia dintre aceste pachete comerciale pentru o instituie suprem de audit este de aproximativ 6000 sau 10.000 USD. Acesta poate include, de asemenea, instruirea pentru una sau dou persoane. n toate cazurile, instituia suprem de audit trebuie s se asigure c statisticile de baz utilizate de ctre pachetul selectat sunt adecvate pentru condiiile locale. n alte cazuri, rezultatele ar putea reflecta condiiile existente numai n Europa sau n America de Nord.

14

Metodologie de revizuire a securitii sistemelor informatice

Ghid pentru revizuirea securitii sistemelor informatice n organizaiile guvernamentale

Volumul 2

O abordare top-down Declaraia privind sensibilitatea informaiilor i clasificarea securitii pentru sistemele informatice

15

2.1

Introducere

Scopul acestui ghid este de a furniza o metodologie eficient pentru a asista n revizuirea sau n stabilirea unor politici i msuri de securitate adecvate n cadrul unei organizaii. Recunoscnd c cerinele de securitate trebuie s fie actualizate n mod regulat, ghidul furnizeaz, de asemenea, o documentaie simpl privind actualizarea i de raportarea. Ghidul descrie evaluarea securitii informatice din perspectiva managementului ntr-o organizaie guvernamental6. Organizaiile pot utiliza acest ghid pentru a fi asistate la elaborarea unui "inventar" de aplicaii informatice utilizate, la evaluarea sensibilitii i clasificrii securitii informaiilor i la finalizarea evalurii impactului riscurilor ameninrilor asupra afacerii. Persoana nsrcinat cu securitatea7 utilizeaza acest ghid ca o baz pentru evaluarea general a politicii i msurilor de securitate i pentru a face recomandri. Instituiile supreme de audit (ISA) pot utiliza ghidul n dou moduri: pentru scopuri interne, de a crea un proces de evaluare a securitii n propria organizaie sau n scopuri externe, pentru a ajuta la revizuirea procesului de evaluare a securitii n alte organizaii guvernamentale. Acest ghid conine o abordare top-down la nivel nalt pentru securitatea informaiilor. Accentul se pune pe informaia transmis de diverse dispozitive electronice. n conformitate cu aceast abordare la nivel nalt, acest ghid calific ameninrile generate de cauze generale n locul rezultatelor acestora, cum ar fi cutremurele n loc de distrugerea pe care o pot aduce. O abordare bottom-up (de jos n sus) a securitii informaiilor, pe de alt parte, tinde s examineze fiecare activ de tip calculator pentru a detecta slbiciunile care pot crea expuneri avnd ca efect pierderile de informaii generate sau transportate de ctre aceste active. Avantajul folosirii abordrii top-down este acela c ajut managementul s se focalizeze i s se concentreze pe zonele cu probleme pentru aciunile viitoare. n unele cazuri, aceasta poate indica nevoia de munc suplimentar pentru a construi un studiu de fezabilitate pentru msurile de securitate extinse sau costisitoare. Deoarece metoda are ntotdeauna o viziune corporativ sau de management al securitii informaiilor, ea rmne flexibil i se poate ocupa att de probleme de politic, ct i de msuri de securitate.

2.2
2.2.1

Procesul de evaluare a securitii sistemelor informatice


Evoluia managementului informaiei

n managementul informaiilor i aplicaiilor, o organizaie parcurge patru etape distincte: (a) managementul documentelor pe hrtie, (b) managementul tehnologiilor automatizate, (c) managementul resurselor informaionale ale companiei i (d) managementul utilizrii

n acest document organizaie se refer la orice departament sau agenie guvernamental sau de stat. "Aplicaie informatic" i "sistem informatic" sunt folosite alternativ.
6 7

A se vedea Anexa I pentru mai multe detalii privind infrastructura de securitate tipic pentru organizaiile guvernamentale.

16

strategice a informaiei (Anexa A). Provocrile induse de tehnologie i de securitate sunt minimizarea timpului i efortului cheltuite n fiecare etap i trecerea prin etape, ct mai bine posibil. n etapa de management al tehnologiilor automatizate, utilizatorii nu au ncredere n mod semnificativ n aplicaiile de pe calculator, dar ating o eficien notabil. La a treia etap, managementul resurselor informaionale ale organizaiei, securitatea informaiei devine o preocupare major din cauza dependenei semnificative de informaiile bazate pe calculator i a expunerilor generate de concentrarea informaiilor ntr-un singur loc (pe calculator).

2.2.2

Managementul securitii

Una dintre resursele cheie ale organizaiei este informaia. Primul pas pentru a pstra resursele de calcul n condiii de siguran este adoptarea unor politici i msuri de management al informaiei i administrativ care cuprind principiile unui bun management securitate: 1. Protecia/asigurarea securitii ar trebui s fie conform cu valoarea informaiilor care trebuie protejate; 2. Protecia securitii ar trebui s fie asigurat informaiilor ori de cte ori acestea sunt transmise pe diverse canale sau prelucrate; i 3. Protecia securitii ar trebui s fie continu, n toate situaiile.

2.2.3

Echipa de securitate

Sub conducerea persoanei responsabile cu securitatea calculatoarelor, este selectat o echip de securitate. Angajamentul deplin al conducerii este important n cazul n care echipa se angajeaz n realizarea obiectivelor sale. Responsabilitatea echipei este de a pune n aplicare politica de securitate stabilit de conducerea de nivel superior i de a identifica schimbrile care sunt necesare datorit evoluiilor n sistemele informatice ale organizaiei sau ameninrilor cu care se confrunt.

2.2.4

Procesul

Politicile de securitate sunt proiectate pentru a proteja informaiile n conformitate cu expunerile informaiilor. Msurile de securitate (standarde, proceduri, i instrumente) sunt baraje pentru protejarea informaiilor. Pentru a determina care sunt msurile specifice necesare, se desfoar procesul de evaluare a securitii sistemelor informatice (Anexa B), care implic: Declaraia de sensibilitate Evaluarea senzitivitii programului i aplicaiilor administrative (sisteme informatice) utilizate i determinarea clasificrii securitii n cadrul organizaiei. Confirmarea evalurii standardului organizaiei pentru aplicaii similare i, dup caz, completarea sau actualizarea unui formular Declaraia privind sensibilitatea informaiilor i clasificarea securitii (Anexa C). n cazul n care se dorete, recuperarea situaiilor de sensibilitate individuale n formularul Descriere sumar a sistemelor informatice (Anexa D).
17

Evaluarea impactului asupra afacerii Determinarea impacturilor posibile ale afacerii asupra organizaiei n cazul n care au fost dezvluite informaii, a fost compromis integritatea sau au fost perturbate servicii.

Evaluarea ameninrilor i a riscului Determinarea riscului i a probabilitii cu care ameninrile identificate ar putea s apar.

Clasificarea gradului de expunere a securitii Evaluarea intercorelat a ameninrilor i a impactului asupra afacerii pentru a determina expunerea global a organizaiei. Confirmarea evalurii standardului de securitate al organizaiei pentru aplicaii similare i, atunci cnd este cazul, confirmarea sau actualizarea formularului Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E).

Decizia privind securitatea i aciuni recomandate Completarea sau actualizarea formularului Rezumatul evalurilor securitii (Anexa G). Luarea deciziilor privind securitatea i formularea de recomandri pentru management, pentru a minimiza expunerile identificate i sublinierea tuturor deficienelor grave referitoare la politica de securitate.

2.3

Completarea formularului Declaraie privind sensibilitatea informaiilor i clasificarea securitii

Este important s se stabileasc un "inventar" complet al tuturor operaiunilor i aplicaiilor administrative (grupate sau specifice), aflate n uz i s se stabileasc n mod clar limitele sistemului/ sistemelor n curs de revizuire. Anexa I ofer o definiie a unei aplicaii. Din motive de securitate, aplicaii similare pot fi grupate mpreun, cum ar fi: procesare de text pentru scrisori, procesare de text pentru memorandum-uri de audit, foaie de calcul pentru analiza financiar, foaie de lucru tabelar pentru planificare etc. Aplicaiile sunt deinute de un grup sau de un individ. n cazul n care exist puine interaciuni ntre aplicaii, utilizatorii ieirilor din sistem pot fi uor de identificat. n sistemele puternic integrate, trebuie s fie convenit o grani artificial agreat de toate prile, inclusiv de managementul de vrf. Un grup poate solicita membrilor s completeze o Declaraie privind sensibilitatea informaiilor i clasificarea securitii (Anexa C), n vederea stabilirii un "inventar" al aplicaiilor utilizate i pentru a colecta datele necesare pentru consolidarea aplicaiilor similare. Este important ca formularul s fie revizuit i aprobat de ctre un manager principal al grupului. Aceasta ofer
18

asigurarea c toate evalurile reflect valoarea real a sistemului informatic pentru organizaie, ca ntreg. Prin completarea formularului Declaraia privind sensibilitatea informaiilor i clasificarea securitii (Anexa C), proprietarul evalueaz sensibilitatea informaii din punctul de vedere al disponibilitii, integritii i confidenialitii, estimeaz costurile de nlocuire i oportunitatea acestora, costurile directe i indirecte (ore, un curs mediu al dolarului i cheltuielile), i stabilete clasificarea securitii cerut. Formularul Declaraia privind sensibilitatea informaiilor i clasificarea securitii reprezint o documentare formal a evalurii. Formularul este, de asemenea, util pentru a documenta controalele specifice de integritate i procedurile (completitudinea, acurateea i autorizarea). Acesta ar trebui s fie pstrat ca document permanent i actualizat, dup cum este necesar. Acolo unde este cazul, i o dat finalizate, declaraiile individuale de sensibilitate sunt recuperate de conducerea de la nivelul grupului sau de la nivelul organizaiei ntr-o Descriere sumar a sistemelor informatice (Anexa D). Aceasta furnizeaz managementului o imagine de ansamblu asupra sistemelor aflate n responsabilitatea sa i asupra valorii informaiilor pe care acestea le vehiculeaz.

2.4

Completarea formularului Evaluarea ameninrilor i a impactului asupra afacerii

Formularul Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E) prevede o evaluare structurat a expunerilor de securitate la nivelului organizaiei. Evaluarea are trei componente distincte: riscul (probabilitatea) apariiei ameninrii, gradul de gravitate a impactului asupra afacerii i o rat de evaluare a expunerii. Primele dou componente sunt independente una de cealalt i pot fi evaluate n orice ordine. Impactul asupra afacerii i ameninrile sunt apoi evaluate mpreun pentru a ajunge la un grad (rating) global de expunere a securitii organizaiei.

2.4.1

Evaluarea ameninrilor i a riscurilor

Ameninri. Ce s-ar putea ntmpla. Ameninrile posibile sunt enumerate n Anexa E. O list mai detaliat, mpreun cu sugestiile pentru msuri de contracarare, este, de asemenea, disponibil n Anexa H. Anchetele privind securitatea raporteaz c peste 80% dintre ameninrile experimentate pe informaiile din calculator provin din interiorul organizaiei, defalcat dup cum urmeaz: 24% ca urmare a neateniei n aplicarea procedurilor, 26% din cauza instruirii neadecvate, iar 30% din cauza angajailor necinstii. Ar trebui s se acorde grij condiiilor locale, n cazul n care natura i importana ameninrii pot diferi considerabil de la o ar la alta. n unele cazuri, acest lucru poate nsemna o concentrare mai mare pe anumite tipuri de ameninri, definind n continuare unele dintre ameninri i contramsurile de adaptare la condiiile locale. Probabilitatea de apariie. anse ca ameninarea s se produc n viitor. Deoarece anumite ameninri i riscuri pot fi comune n ntreaga organizaie, ar trebui efectuat o evaluare general de ctre persoana responsabil cu securitatea sistemelor informatice i utilizat ca un
19

criteriu pentru evalurile individuale. Persoanele care efectueaz evaluri individuale trebuie s se concentreze doar asupra riscurilor care sunt relevante sau care ar putea fi diferite din cauza unor circumstane speciale. Pentru fiecare sistem informatic, ansa de apariie a ameninrilor individuale este evaluat ca fiind mare (major), medie sau mic (sczut). Dup ce toate ameninrile posibile asupra aplicaiei respective au fost identificate i evaluate, se face o judecat de valoare asupra riscului global. Pentru un sistem informatic dat, riscul global nu este rezultatul unei formule care amplific numrul ratelor de evaluri mari i sczute. O singur rat major a evalurii ntr-un domeniu critic poate conduce la o rat ridicat de ansamblu. Pe de alt parte, mai multe rate majore ale evalurii n zonele non-critice pot produce o rat global mediu spre sczut.

2.4.2

Evaluarea impactului asupra afacerii

Deciziile de afaceri trebuie s fie fcute n raport cu valoarea informaiei. Pentru scopuri de securitate, aceste valori ale afacerii sunt exprimate ca impact asupra organizaiei n cazul n care informaiile au fost dezvluite, integritatea acestora a fost compromis sau a existat o ntrerupere de servicii. Impacturile posibile asupra afacerii sunt enumerate n Anexa E. n funcie de condiiile locale, pot fi determinate impacturi adiionale asupra afacerii. Pentru fiecare impact asupra afacerii, se iau decizii presupunnd c, n cazul n care a avut loc, consecinele ar fi foarte grave, grave sau mai puin grave. Sunt evaluate numai acele impacturi asupra afacerii legate de informaii. Dup ce au fost evaluate toate impacturile posibile, se face o evaluare global pentru aplicaii. Fiecare dintre aceste evaluri reprezint o judecat de valoare subiectiv a severitii fiecrui impact individual asupra organizaiei ca ntreg. n mod similar, dup evaluarea impacturilor individuale asupra organizaiei n cazul n care informaiile au fost divulgate, compromise sau devin indisponibile, se face evaluarea unui impact global de afaceri, dar nu pe baza unui cumul exact al acestor impacturi individuale, ci pe baza unei judeci de valoare a efectului de ansamblu asupra organizaiei. Aceste judeci de valoare sunt construite prin consens ntre diferitele pri interesate cheie. Pentru a fi acceptabile, este important ca evalurile de impact asupra afacerii i riscurile asociate ameninrilor s fie revizuite periodic i aprobate de conducerea executiv a grupului organizaional i de ctre persoana responsabil de securitatea calculatoarelor.

2.4.3

Estimarea expunerii securitii

O evaluare a expunerii securitii este rezultatul combinrii dintre estimarea riscului ameninrii globale sau a probabilitii (mare, mediu, sczut), i estimarea impactului global asupra afacerii (foarte grav, grav, sau mai puin grav). Diagrama ratei expunerii, Anexa F, este folosit ca un ghid pentru clasificarea expunerilor ca mari medii, i sczute. Primul pas este de a evalua expunerea total pentru aplicaii ca un ntreg, n formularul Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E). n unele cazuri, pentru o evaluare general de ansamblu a riscurilor ameninrilor (coloana vertical), dar cu un impact general redus asupra afacerii (linia orizontal), Diagrama ratei
20

expunerii ar trebui s ne determine mai nti, s selectm cifra "4" ca intersecie. Acest lucru se traduce ntr-o rat medie de expunere. A se vedea legenda din Diagrama ratei expunerii pentru a observa cum clasificarea expunerii poate fi regrupat n rate de expunere sczute, medii sau ridicate. Ca un al doilea pas i pentru a identifica pentru care riscuri ale ameninrilor i impacturi asupra afacerii ar putea s fie direcionate aciunile managementului, se calculeaz o rat de expunere pentru aceste impacturi de afaceri care au fost evaluate. Acest lucru se face prin utilizarea Diagramei ratei expunerii, pentru a combina impactul individual al ratei de afaceri cu riscul de ansamblu identificat al ameninrii. Numerele obinute din Diagrama ratei expunerii sunt afiate pe liniile impactului relevant, n zona evalurii expunerii din Formularul E. Pentru claritate, numerele sunt afiate n coloanele Max, Med sau Low (maxim, mediu, sczut) corespunztoare. Ratele individuale de expunere la securitate medii sau ridicate ar putea deveni obiectul recomandrilor ctre conducere cu privire la reevaluarea impactului asupra afacerii sau la reducerea riscului de ameninare global, astfel nct s se reduc expunerea la securitate a organizaiei. Aceast evaluare constituie legtura dintre expunerile la securitate i deciziile i aciunile necesare privind securitatea.

2.5

Rezumatul evalurilor securitii

Formularul Rezumatul evalurilor securitii (Anexa G) consolideaz informaii colectate i evaluate pe baza formularelor Declaraia privind sensibilitatea Informaiilor i clasificarea securitii (Anexa C), precum i Evaluarea ameninrilor i a impactului asupra afacerii (Anexa E). Se elaboreaz rezumate pe grupuri separate pentru operaiunile de livrare a programelor i activitile administrative. Att formularele ct i rezumatele trebuie s fie pstrate ca documente de lucru i actualizate n mod regulat. Acestea ar trebui s fie revizuite i aprobate de ctre conducerea executiv adecvat. Rezumatele ofer managementului securitii o imagine de ansamblu a aplicaiilor aflate n utilizare. Pe baza acestor rezumate, mpreun cu evalurile aplicaiilor", persoana responsabil de securitatea sistemelor informatice evalueaz expunerile la securitate a organizaiei i recomand aciunile necesare pentru a minimiza expunerile identificate. Avnd n vedere natura schimbtoare a tehnologiei, procesul de revizuire a riscurilor poate evidenia, de asemenea, politici de securitate care nu mai sunt adecvate. Toate deficienele grave ale politicii sunt aduse la cunotina managementului de vrf, n raportul final, mpreun cu alte recomandri. n cazul n care, pentru un anumit program sau sistem informatic, rezultatele indic necesitatea unor recomandri mai precise, poate fi propus o revizuire mai detaliat, cu utilizarea unei analize cantitative mai profunde pentru a determina ce msuri de securitate sunt necesare sau pentru a evalua alternativele posibile. Pentru evaluarea securitii i n scopul planificrii prioritilor, evaluarea ameninrilor i nivelurilor de risc, a impactului asupra afacerii dac ameninarea a avut loc, i n cele din urm, evaluarea de ansamblu a expunerii organizaiei sunt foarte utile n stabilirea unor planuri de securitate pe termen lung, acceptabile.

21

2.6

Decizii privind securitatea i aciuni recomandate

Pentru fiecare evaluare a expunerii (formularul Evaluarea ameninrilor i a impactului asupra afacerii), se formuleaz o decizie de securitate i o recomandare de aciune pentru management. Relaia dintre o expunere o decizie de securitate i o aciune recomandat este descris n tabelul urmtor.
Nivel de expunere NALT (9,8,7) Decizia de securitate Controlul riscului Aciune recomandat Implementarea de politici i msuri adiionale (standarde, proceduri, instrumente) Implementarea de politici i msuri adiionale Schimbarea / mbuntirea procedurilor operaionale Schimbarea / mbuntirea procedurilor operaionale Obinerea unei acoperiri asiguratorii Fr schimbri / continuarea potrivit planificrii

MEDIU (6,5,4)

Controlul riscului Prevenirea riscului

SCZUT (3,2,1)

Prevenirea riscului Limitarea riscului Acceptarea riscului

n cazul n care trebuie s fie recomandate msuri specifice, Anexa H ofer o list cuprinztoare de aciuni care ar putea fi ntreprinse. Utilizat mpreun cu raionamentul profesional din punctul de vedere al costurilor, lista poate oferi baza pentru recomandarea controalelor specifice i a msurilor de securitate. Dup revizuirea de ctre persoana responsabil cu securitatea sistemelor informatice, raportului de securitate i recomandrile sunt transmise conducerii superioare prin intermediul comitetului director al sistemelor informatice pentru a ntreprinde aciuni.

2.7

Etapele evalurii securitii sistemelor informatice

Paii unei evaluri a securitii sistemelor informatice - sensibilitatea informaiilor i clasificarea securitii, evaluarea impactului asupra afacerii, evaluarea riscurilor i a ameninrilor, evaluarea expunerii securitii i decizia privind securitatea / aciunile recomandate - sunt prezentai n Anexa B. Etapele sunt:

22

1. Pentru aplicaiile proprii, fiecare grup organizaional evalueaz informaiile sale referitoare la sensibilitate i clasificarea securitii, sau, alternativ, confirm coninutul Declaraiei privind sensibilitatea informaiilor i clasificarea securitii i, dac este cazul, actualizeaz formularul, incluznd aprobarea corespunztoare. Anexa C Anexa D Declaraia privind sensibilitatea Informaiilor i clasificarea securitii Formular8 Descriere sumar a Sistemelor Informatice - Foaie de calcul

2. Pentru aplicatiile proprii, grupul organizaional evalueaz impactul asupra afacerii, precum i ameninrile i riscurile, sau, alternativ, confirm coninutul formularului Evaluarea ameninrilor i a impactului asupra afacerii i, dac este cazul, actualizeaz formularul, incluznd aprobarea corespunztoare.. Anexa E Anexa F Evaluarea ameninrilor i a impactului asupra afacerii - Foaie de calcul Diagrama ratei expunerii

3. Grupul organizaional pregtete un rezumat al evalurilor securitii aplicaiilor utilizate, n formatul furnizat. Anexa G Rezumatul evalurilor securitii - Foaie de calcul

4. Grupul organizaional trimite persoanei responsabile cu securitatea sistemelor informatice, pentru revizuire, o copie a rezumatului i cele dou formulare i, dac este cazul, se ntlnete cu persoana responsabil cu securitatea sistemelor informatice pentru a finaliza evaluarea securitii. Anexa G Anexa C Rezumatul evalurilor securitii - Foaie de calcul Declaraia privind sensibilitatea informaiilor i clasificarea securitii Formular

Dei dezvoltate ca foi de calcul, aceste formulare pot fi uor utilizate pe suport de hrtie.

23

Anexa E

Evaluarea ameninrilor i a impactului asupra afacerii - Foaie de calcul

5. Rezumatul este aprobat de ctre persoana responsabil cu securitatea calculatoarelor i, dup caz, rezumatul este examinat i aprobat de ctre directorul de securitate. Anexa G Rezumatul evalurilor securitii - Foaie de calcul

6. Rezumatul final este examinat i aprobat de ctre responsabilul executiv principal al grupului organizaional. Anexa G Rezumatul evalurilor securitii - Foaie de calcul

7. Persoana responsabil cu securitatea sistemelor informatice ia, dac este cazul, deciziile de securitate i ntreprinde aciunile recomandate managementului pentru a minimiza expunerea / expunerile identificat / identificate i raporteaz ofierului ef de securitate.

24

ANEXA A Evoluia managementului informaiei

Anexa A - Evoluia managementului informaiei

Performana global a afacerii

Stadiul 4 Managementul Utilizrii strategice a informaiei

Stadiul 3

Stadiul 2

Managementul resurselor de informaie la nivel de corporaie

Managementul tehnologiilor automate Stadiul 1 Managementul documentelor de lucru

Eficien

Funcia de suport al operaiilor

Funcia de management strategic

25

ANEXA B Procesul de evaluare a securitii sistemelor informatice

Anexa B Procesul de evaluare a securitii sistemelor informatice

Declaraia de senzitivitate

Evaluarea impactului asupra afacerii

Evaluarea ameninrilor i a riscurilor

Evaluarea expunerii

Decizia privind securitatea

(incluznd costurile asociate oportunitilor de nlocuire)

(foarte important; important; mai puin important)

(nivel ridicat (Hi); mediu (Med); cobort (Low)

(nivel ridicat (Hi); mediu (Med); cobort (Low)

Aciunea recomandat

Actualizare periodic

Fluxul procesului

26

ANEXA C - Declaraia privind sensibilitatea informaiilor i clasificarea securitii

Introducere Acest document poate fi utilizat n form tiprit sau ca un document Word, n funcie de circumstanele locale. n revizuirea top-down a securitii sistemelor informatice, acest document este utilizat n faza de analiz de risc, pentru a documenta sistemele informatice. Se completeaz un document per sistem.

Aplicaie :_______________________________________________ Data: _____________ (gruparea de aplicaii similare este acceptabil) Declaraie nou ___________________ Declaraie Modificat ____________________ Mediu informatizat: Micro _________ Mini _________ Calculatoare mari _____ Birou de service ________ Software utilizat: __________________________________________________________ 1. Numele filialei i, dac este cazul responsabilul Grupului pentru informaii (de exemplu, proprietarul) Filial: ________________________________________ Grup: ______________________ 2. n cazul n care aplicaiile au fost grupate, se va sri peste ntrebarea "Nr. total de tranzacii. n cazul n care este aplicabil, furnizai o descriere general a aplicaiei, incluznd sursa informaiilor, volumul i complexitatea prelucrrilor.

27

Volum % din totalul informaiilor organizaiei ________________

Surse volume de informaii Clieni sau beneficiari externi ________________ Program / Operaii ________________

Numr total. de tranzacii sau valoarea financiar a tranzaciilor _________________ Mrime fiier ________________ Numr de nregistrri ________________

Administrare ________________

Descrierea general a aplicaiei i complexitatea prelucrrii

3. Indicai scopul principal i orice alte scopuri secundare ale informaiei: Servicii pentru public _____________________ Funcie administrativ ______________ Luarea deciziilor ________________________ Funcie financiar _________________

4. Indicai utilizatorii primari i secundari ai informaiilor: Program _____ Administrator _____ Guvern _____ Public _____ Alii _____

5. Exist proceduri manuale i informatizate utilizate nainte, n timpul sau dup prelucrare pentru a asigura exhaustivitatea i exactitatea informaiilor? (INTEGRITATE)

28

Proceduri nainte de prelucrare n timpul procesrii dup prelucrare

Manuale Da / Nu

Informatizate Da / Nu

Comentarii (Natura procedurilor principale)

6. Care ar fi consecinele n cazul n care informaiile au fost divulgate accidental sau n mod deliberat? (CONFIDENIALITATE) Divulgare, pierdere sau deteriorare 1. Sentiment de culpabilitate fa de organizaie 2. Pierderea credibilitii pentru organizaie 3. Compromiterea informaiilor confideniale ale organizaiei 4. Compromiterea informaiilor clientului sau ale unei tere pri 5. Compromiterea informaiilor personale 6. Compromiterea informaiilor de interes naional Da / Nu

7. Care ar fi consecinele n cazul n care informaiile au fost modificate i / sau distruse accidental sau n mod deliberat? (DISPONIBILITATE, INTEGRITATE)

Divulgare, pierdere sau deteriorare Divulgare / Integritatea Informaiei 1. Sentiment de culpabilitate fa de organizaie 2. Pierderea credibilitii pentru organizaie

Da / Nu

Divulgare, pierdere sau deteriorare ntreruperea serviciilor 1. Plata cu ntrziere a facturilor / salariilor 2. Incapacitatea de a colecta venituri

Da / Nu

29

3. Compromiterea informaiilor confideniale ale organizaiei 4. Compromiterea informaiilor clientului sau ale unei tere pri 5. Compromiterea informaiilor personale 6. Compromiterea informaiilor de interes naional 7. Implicaii juridice / rspunderea pentru daune compensatorii i punitive

3. Perturbarea serviciilor ctre guvern 4. Perturbarea serviciilor ctre public 5. Perturbarea serviciilor interne

Exist proceduri de urgen pentru a asigura recuperarea informaiilor? (DISPONIBILITATE, INTEGRITATE) Proceduri de recuperare Back-up Stocare n alt locaie Alte metode Da / Nu Necunoscut Comentarii

8. Care este perioada de recuperare maxim pe care organizaia o poate tolera pentru indisponibilitatea aplicaiei sau a serviciului (n cazul n care este limitat pentru anumite perioade, indicai)? (DISPONIBILITATE) Ore ______ Zile _______ Saptamni ________ Luni ________ Comentariu: 9. Indicai gradul de sensibilitate a informaiilor (5: foarte critic; 4: critic; 3: sensibil; 2: oarecum sensibil; 1: non sensibil Disponibilitate ____________ Integritate ___________ Confidenialitate __________
30

10. Estimai costurile de oportunitate a nlocuirii informaiilor, att directe, ct i indirecte (ore, cheltuieli) Costuri de nlocuire Directe (timpul consumat cu restaurarea / recuperarea informaiilor, hardware i software) Indirecte (de exemplu, ntrzierile cauzate de alte sarcini, alte pri implicate n procesul de recuperare, oportuniti pierdute din cauza pierderii informaiilor etc.) Ore Cheltuieli

11. Indicai clasificarea / desemnarea securitii informaiei pentru pentru aceast aplicaie / sistem informatic:

% informaii _______________________Standarde de securitate de baz (neprecizate) _______________________Protejate (desemnate) _______________________Clasificate 100% ________________________________

Completat de: ____________________ Filiala / Grup: _________________ Informaii proprietar (de exemplu, directorul executiv) aprobat de __________ Data: _________ Grup de securitate aprobat de _____________________ Data: _________

31

ANEXA F Diagrama ratei expunerii

Impact Probabilitate MARE (High) MEDIE (Med) SCZUT (Low)

Foarte grav 9 7 5

Grav 8 6 2

Mai puin grav 4 3 1

(Grafic dezvoltat de ctre Royal Canadian Mounted Police)

Rata expunerii:

Mare (9,8,7)

Medie (6,5,4)

Sczut (3,2,1)

32

ANEXA H - Ameninri de baz i msuri de securitate

Acest document ofer o list de ameninri i de contramsuri defalcate pe categorii de active. Aa cum a fost prezentat n seciunile anterioare, aceste ameninri corespund de multe ori unor vulnerabiliti. Contramsurile sunt controalele sau msurile de securitate care pot fi folosite pentru a corecta sau a minimiza slbiciunile de securitate. n text, menionarea aciunilor disciplinare ca o posibil contramsur de descurajare a aciunii necorespunztoare a personalului ar trebui s fie vzut ntr-un context mai larg. Msurile disciplinare ar trebui s fie avute n vedere sau utilizate numai atunci cnd alte msuri cum ar fi cele de sensibilizare i de formare nu au reuit s previn aciuni inacceptabile sau comportamentale. Soluii bune de securitate sunt cele pe care personalul le accept cu uurin. La sfritul listei a fost inclus un index pentru toate activele sau termenii pentru care au fost prezentate ameninrile i contramsurile. n text, pentru fiecare activ, au fost asignate urmtoarele semnificaii: T = Amenintare C = Contramsur (control sau msur de securitate)

33

Cuprins (ANEXA H)

Pagina

Hardware
Comunicaii Linii telefonice Porturi de intrare / ieire Modemuri Pot electronic Buletin electronic informativ Serviciul potal Cablajul reelei Calculatoare Terminale Microcalculatoare Staii de lucru fr disc Servere de fiiere Minicalculatoare i calculatoare mari Dispozitive de intrare Scanere Dispozitive de ieire Generale Burster Enveloper Imprimant cu laser Imprimant de impact Plotter Cozi de ieire Monitor pentru afiaj vizual Fotocopiator Main de scris Medii de memorare Fiiere de hrtie Medii magnetice amovibile Medii magnetice fixe Medii optice amovibile Medii optice fixe Microfilm / microfi

37 37 37 37 37 38 38 38 39 39 39 40 41 41 41 42 42 42 42 42 43 43 43 43 44 44 44 44 44 44 44 45 46 46 47

34

Resurse umane
Personal propriu General Personal cheie Personal pentru introducere date Personal pentru interogri Personal pentru manipularea ieirilor Programatori Analiti Personal pentru asigurarea suportului tehnic Programatori de sistem Personal pentru controlul schimbrilor Bibliotecar pentru mediile de stocare Personal pentru controlul accesului logic Personal pentru controlul accesului fizic Auditori Proprietarii datelor Utilizatorii datelor Custozi ai datelor Personal contractual Personal de ntreinere Consultani Persoane externe Vizitatori Intrui

47 47 47 48 48 48 48 49 49 50 50 51 51 51 51 51 52 52 52 53 53 53 53 53 54 54

Bunuri fizice
Cldiri Locaia / Sediul Camere cheie Introducere date / actualizare Prelucrare Imprimare Stocare Interogare Comunicaii Operarea aplicaiilor sistemului n mediul de producie Dezvoltarea aplicaiilor Funcii de sistem Instalaii Papetrie Gtitul i fumatul Papetrie valoroas Documentaie Software Hardware Proceduri

54 54 55 55 55 56 56 56 57 57 58 58 58 58 59 59 59 59 59 60 35

Planul de urgen Planurile etajelor Diagramele de cablare Dicionarul de date Mediu Aer condiionat Putere electric Ap Iluminat Hrtie Suporturi magnetice de Medii optice Papetrie

60 60 60 61 61 61 61 61 62 62 62 62 62 62

Deeuri

INDEX ALFABETIC

63

36

Hardware Comunicaii Linii telefonice T C T C Liniile telefonice pot fi tiate sau distruse. Configurarea unor linii alternative pentru conexiunile cheie. Liniile telefonice pot fi interceptate. Folosii linii private atunci cnd este posibil. Evitai rutarea liniilor cheie prin zone publice. Luai n considerare conducte sigilate pentru cabluri. Asigurai acele cablurile care ies din cladire prin subteran. Evitati s facei vizibile cablurile de date prin rutare separat sau etichetare Dac vei eticheta liniile telefonice, etichetai-le pe toate i nu doar liniile de comunicaii cheie. Luai n considerare criptarea pentru transmiterea informaiilor sensibile. Dac vei utiliza criptarea, luai n considerare urmtoarele: Criptai att cheile ct i datele. Folosii un algoritm de criptare care respect standardele industriale. Luai n considerare utilizarea cheilor de tip "o dat" pentru a limita posibilitatea de a afla orice cheie. Folosii chei avnd 6 caractere sau mai mult care s nu fie de tip cuvnt.

Porturi de intrare / ieire T C Controlul asupra funciilor este compromis prin schimbarea conexiunilor portului. Pstrai dulapurile cu conexiune n zone sigure n cazul n care v bazai pe funcii de restricionare pentru terminale conectate la anumite porturi.

Modemuri T C Modemurile pot fi utilizate pentru a obine accesul neautorizat la sistem. n general, nu ataai modemuri pentru a linii de tip dialin. Dac exist o nevoie de facilitatea dialin, asigurai accesul numai la un site central care este protejat prin firewall. Restricionai apelantul la aplicaiile foarte specifice, printr-un mediu de protecie. Furnizai apelantului sesiuni "terminal" i nu sesiuni "gazd" sau sesiuni de acces de la distan, deoarece acestea pot oferi accesul deschis la informaiile sensibile din microcalculator sau din reea. Luai n considerare utilizarea criptrii pentru transferul i stocarea datelor sensibile. Caracteristicile call-back sunt de obicei prea restrictive pentru auditori care sunt n mod constant n micare n mediu i pot provoca probleme administrative.

37

T C

Modemurile pot fi utilizate pentru transferul neautorizat de informaii n afara organizaiei. Pstrai numrul de modem-uri la un nivel minim, monitorizai folosirea liniilor pentru care modemurile sunt ataate, dezactivai liniile de modem n afara orelor de program.

Pota electronic T C Pota electronic poate fi utilizat pentru transferul neautorizat de informaii n afara organizaiei. Pstrai copii ale tuturor mesajelor de pot electronic trimise i pstrai nregistrrile aferente expeditorului i destinatarului. Nu facei verificri la faa locului cu privire la coninutul mesajelor de pot electronic. Folosii programe de cutare pentru a gsi cuvinte cheie n pota electronic Facei verificri ncruciate privind expeditorii i destinatarii pentru a stabili orice model suspect. [Avertisment: n unele ri, cenzurarea potei electronice poate fi ilegal sau poate face obiectul legislaiei speciale]. Buletin electronic informativ T C Buletinul electronic informativ poate fi utilizat ca un mijloc de a transmite informaii n afara organizaiei. Routai toate conexiunile la Buletinul electronic informativ printr-un punct central. Utilizai cititoare off-line pentru a extrage mesajele i rspunsurile la acestea. Acest lucru v va permite s monitorizai traficul la i de la Buletinul electronic informativ n acelai mod ca n cazul potei electronice. Software-ul ru intenionat coninnd virui sau troieni poate fi primit de la Buletinul electronic informativ. Toate cererile pentru descrcarea de fiiere de pe Buletinul electronic informativ ar trebui s fie dirijate printr-o unitate central de specialitate. Fiierele descrcate ar trebui s fie verificate cu atenie pentru detectarea viruilor etc

T C

Serviciul Potal T C Software ru intenionat a fost gsit pe discuri trimise prin pot. Introducerea unei proceduri care s instituie o sanciune disciplinar pentru cei care utilizeaz un disc nainte ca aceasta s fi fost testat de ctre personalul care asigur suportul tehnic. Serviciul potal poate fi folosit pentru a transmite informaii din organizaia dumneavoastr. nregistrai documentele i discurile care conin informaii sensibile i implementai proceduri pentru a controla copierea acestora.

T C

38

Cablajul reelei T C Cablurile de reea pot fi exploatate pentru a fura informaii sau pentru a introduce mesaje ilicite. Nu dirijai traseul cablurilor de reea prin zonele accesibile publicului. Luai n considerare utilizarea de conducte de cablu blocate. Examinai ntotdeauna lungimile de cablu, care au fost meninute de ingineri. Luai n considerare utilizarea criptrii pentru anumite pri din reea care transport informaii sensibile. Reelele pot fi vulnerabile la eec n cazul n care o seciune a cablrii acestora este rupt. Proiectai reeaua pentru a minimiza impactul eecului oricrei lungimi de cablu. Luai n considerare duplicarea cablrii pentru legturile cheie.

T C

Calculatoare Terminale T C Accesul neautorizat la date poate fi obinut de la tastatura unui microcalculator sau de la orice terminal dintr-o reea. Sistemul de operare i software-ul de aplicaie ar trebui s utilizeze identificarea i autentificarea pentru a se asigura c cererile de acces provin de la persoane fizice autorizate. Toate aciunile care ar putea avea un efect semnificativ asupra afacerii ar trebui s fac obiectul conectrii. Combinaia dintre identificare, autentificare i logare constituie baza pentru stabilirea rspunderii. n cazul n care parolele sunt utilizate pentru autentificare acestea ar trebui s aib o lungime de 6 sau mai multe caractere i ar trebui s nu se reconstituie n cuvinte din dicionar. Pentru a evita alegerea de parole triviale sau duplicat, este cel mai bine ca parolele s fie generate de calculator. Dac vei utiliza parole generate de calculator, este important ca acestea s fie pronunabile, astfel nct oamenii s i le poat aminti fr a le scrie. ncercai s utilizai o parol unic pentru fiecare individ n cazul n care este posibil. Mai multe parole sunt mai greu de reinut i poate determina oamenii s le scrie, fapt care constituie o bre a securitii. Parolele ar trebui s fie schimbate n mod regulat. Cu ct funciile pentru care parolele ofer acces sunt mai critice, cu att, parolele pentru acestea ar trebui s fie schimbate mai des. Pentru tranzaciile cheie, ar putea fi justificat utilizarea parolelor numai o dat. Motivul pentru schimbarea frecvent a parolelor / cheilor de criptare este acela de a reduce daunele care ar putea fi cauzate de ctre o persoan neautorizat care a gsit o parol. Un terminal care este lsat conectat la un sistem este o invitaie pentru cineva de a se substitui n operatorul care a fost conectat. Procedurile ar trebui s considere ca fiind o abatere disciplinar prsirea un terminal deblocat, conectat i nesupravegheat. Sistemul de operare / aplicaiile software ar trebui s deconecteze terminalele dup o scurt perioad de inactivitate sau s le blocheze automat, astfel nct orice activitate ulterioar s necesite reintrarea cu identificare i detalii de autentificare.
39

T C

T C

Datele cu caracter critic pot fi modificate prin orice conexiune local sau prin modem la sistemul informatic. Controalele de identificare i de autentificare contribuie ntr-o oarecare msur la reducerea riscului de modificri neautorizate ale datelor critice. Modificrile datelor cheie ar trebui s fie supuse confirmrii unui supraveghetor, n plus fa de controalele normale.

Microcalculatoare T C Microcalculatoarele sunt uor de furat. Marcai toate microcalculatoare i perifericele astfel nct codurile de identificare s nu poat fi terse. Pstrai un inventar al tuturor microcalculatoarelor i verificai-l n mod ciclic. Cumprai microcalculatoare cu un dispozitiv de blocare care dezactiveaz tastatura i previne violarea accesului. Introducei un sistem de logare la calculatoare n interiorul i din exteriorul cldirii. Agenii de paz trebuie s fie instruii s fac verificri la faa locului pentru a se asigura c personalul nu transport calculatoare, periferice sau consumabile din incinta organizaiei, fr autorizaie. Poziionai microcalculatoarele astfel nct acestea s nu fie vizibile din zonele publice. Microcalculatoarele pot deveni indisponibile din cauza pierderii cheilor acestora. Pstrai una dintre cheile de la fiecare microcalculator intr-un cabinet ncuiat, n zona de suport tehnic. Microcalculatoarele sunt deosebit de sensibile la software ru intenionat, cum ar fi virui i troieni, deoarece utilizatorul poate copia uor programele de pe calculator, folosind dischete. Software-ul ru intenionat poate fi, de asemenea, introdus accidental de pe dischete provenind din medii necontrolate, i de la medii de distribuie, cum ar fi distribuitori de software nregistrat pe CD-ROM. Implementai proceduri care s considere infraciune disciplinar folosirea oricrui program de pe un calculator, nainte ca acesta s fi fost testat de ctre personalul care asigur suport tehnic. Efectuai salvarea frecvent a datelor critice i a software-ului esenial. Personalul care asigur suport tehnic ar trebui s in evidena software-ului autorizat pentru utilizare pe fiecare staie de lucru i s efectueze controale inopinate la faa locului pentru a se asigura c personalul nu folosete software neautorizat. Luai msuri de precauie speciale pentru CD-ROM, deoarece acestea pot fi infectate de virus, la fel ca orice alte mijloace media, dar nu pot fi curate. Microcalculatoarele nu sunt, n general, rezistente la cderi. Elaborai i testai planuri de urgen pentru a face fa lipsei oricrui microcalculator care susine funciile critice.

T C T

T C

40

T C

Microcalculatoarele sunt utilizate i ntreinute de ctre utilizatori, mai degrab dect de personal de specialitate. Rezultatul este c nevoia de salvare i de securitate este adesea trecut cu vederea. Cumprai benzi de volum mare pentru calculatoarele utilizate, pentru a stoca volume mari de informaii volatile. Implementai proceduri de sensibilizare i organizai cursuri de formare pentru a contientiza personalul n legtur cu necesitatea copiilor de siguran, cu manipularea corect a echipamentelor i cu regulile privind securitatea. Microcalculatoarele pot fi folosite pentru a introduce software ilicit n reea, deoarece acestea au unitate de dischete. Permitei transferul fiierelor n reea numai n cazul n care aceasta este esenial. Facei imposibil transferul fiierelor "executabile". Implementai proceduri care s considere infraciune disciplinar pentru utilizatori, transferul de programe ctre sau din reea. Utilizai staii de lucru fr uniti de dischete, cu excepia cazului n care dischetele sunt eseniale.

T C

Staii de lucru fr disc T C Staiile de lucru pot fi mutate. Dac sistemul dvs. de control al accesului se bazeaz pe restricionarea funcii lor la terminale particulare, atunci va trebui s implementai proceduri care s interzic utilizatorilor s mute mainile din locurile unde au fost amplasate. Altfel, exist riscul ca un terminal s fi mutat dintr-o zon de siguran ntr-o zon mai puin sigur.

Servere de fiiere T C Calculatorul poate cdea, fcnd sistemul indisponibil. Implementarea procedurilor de backup i a unei strategii de recuperare n eventualitatea eecului unui server de fiiere. Trei exemplare ale copiei backup ar trebui s fie pstrate n interiorul locaiei n care funcioneaz sistemul i un exemplar, n afara locaiei. Natura i frecvena efecturii copiilor de backup va varia n funcie de caracterul critic al aplicaiilor susinute de serverul de fiiere. n multe cazuri, norma este de efectuare sptmnal a unui backup complet i de efectuare zilnic a backupurilor incrementale. Backup-uri automate se poate face n afara orelor de program, efectuarea backup-urilor complete fiind la fel de uoar ca i a celor incrementale. Dublarea memoriei de stocare i de prelucrare poate fi necesar pentru serverele de fiiere care suporta aplicaii critice.

Minicalculatoare i calculatoare mari T C Cderea calculatoarelor poate afecta mai muli utilizatori. Stabilirea i de testarea unei strategii de backup. Luai n considerare dublarea capacitii de depozitare i prelucrare pentru aplicaii cheie.

Dispozitive de intrare
41

Scanere T C Imaginile scanate ale documentelor sensibile pot rmne stocate n unitile de scaner partajate. Sfritul unei sesiuni de scanare prin scanarea unei pagini goale sau a unui document care nu este sensibil. Utilizatorii ar trebui s fie familiarizai cu funciile software -ului de scanare. tergerea fiierelor temporare create n timpul proc esului de scanare, de exemplu, fiierele de pe hard disk care au fost copiate pe o dischet.

Dispozitive de ieire Generale T C Dispozitivele de ieire pot radia semnale electromagnetice care pot fi decodificate de la distan. Parcarea interzis a vehiculelor n zonele adiacente camerelor folosite pentru producia de date sensibile. Luai n considerare necesitatea unui echipament de tip "furtun fonic". Luai n considerare instalarea de generatoare de zgomot alb pentru a masca semnalele de la echipamentele folosite pentru producia de material e sensibile. Dac dispozitivele de ieire sunt vizibile dintr-o zona public, atunci informaiile pot fi divulgate. Evitati poziionarea dispozitivelor de ieire, astfel nct personalul neautorizat / din exterior s nu poat citi ieirile.

T C

Burster9 T C Papetria (hrtia) stricat poate fi utilizat pentru un ctig financiar sau ca mijloc de a transmite informaii sensibile la exterior. Introducei un sistem de eviden pentru papetria sensibil. Exemplarele deteriorate ar trebui s fie semnate de ctre supervizor i trimise pentru distrugere / evacuare securizat. Bursterul conine multe piese n micare care sunt predispuse la deteriorare. Asigurai-v c bursterele sunt ntreinute n mod regulat. Stabilii proceduri alternative pentru aplicaiile critice care urmeaz s fie susinute ntrun alt mod dac un anumit burster nu mai funcioneaz.

T C

Burster dispozitiv care rupe o hrtie continu de imprimant n pagini individuale (separator de hrtie continu cu perforaii laterale)

42

Enveloper10 T C Enveloper-ul trebuie s fie setat la nceputul fiecrei execuii. Exist riscul ca papetria deteriorat s poat fi folosit pentru ctiguri financiare sau pentru a transmite informaii ctre exterior. Introducei un sistem de eviden pentru papetria sensibil. Ieirile stricate ar trebui s fi semnate de ctre un supervizor i mrunite. Cererile pentru duplicarea ieirilor stricate ar trebui s fie semnate de ctre supervizor.

Imprimanta cu laser T C T C Ieirea pe imprimanta cu laser poate fi deteriorat n cazul n care ansamblul nu funcioneaz corect. Introducerea de controale regulate de ieire pentru a se asigura c tonerul i hrtia sunt disponibile. Imprimantele laser pot fi setate pentru a imprima copii duplicat. Acest lucru poate fi nedorit n cazul n care informaia de ieire este sensibil. Asigurai-v c software-ul stabilete numrul de exemplare nainte de tiprirea fiecrei pagini.

Imprimanta de impact T C Plotter T C Plotterele pot produce informaii care induc n eroare n cazul n care peniele sunt uzate, lipsesc sau sunt ncrcate incorect. Asigurai-v c este desemnat personalul responsabil pentru punerea n funciune i meninerea plotterelor. Personalul desemnat trebuie s fie responsabil pentru controlul calitii produciei. Riboanele (panglicile) pot pstra imaginea caracterelor care au fost tiparite. Trimitei panglicile utilizate la aplicaii sensibile, la dispozitive de incinerare.

Cozi de ieire T C n reelele locale i n mediile cu minicalculatoare, procesul de imprimare a documentelor sensibile poate rmne n cozile de ieire, dintr-o varietate de motive. n cazul imprimrilor ntrerupte sau incomplete, asigurai-v c a fost tears coada de imprimare.

10

Enveloper dispozitiv de pliere (mpachetare) a hrtiei continue cu perforaii laterale

43

Monitor pentru afiaj vizual T C Monitoarele nesupravegheate pot dezvlui informaii sensibile pentru perso nalul neautorizat sau din exterior. Introducerea procedurilor de albire a ecranelor atunci cnd acestea nu sunt n uz. Personalul ar trebui, de asemenea, s blocheze tastatura atunci cnd se prsete staia de lucru. Unele produse software combin funciile de albire a ecranelor i de blocare a tastaturii.

Fotocopiator T C Fotocopiatoarele constituie un mijloc simplu pentru personalul intern sau pentru cei interesai din afar, s poat face copii neautorizate ale informaiilor sensibile. Introducei proceduri care s considere drept o abatere disciplinar copierea fr autorizare a ieirilor sensibile. Limitai numrul i locaia copiatoarelor ocazionale, astfel nct s poat fi monitorizat utilizarea. Ele nu ar trebui s fie situate n zonele n care sunt deinute informaii sensibile. Acestea ar trebuie s fie plasate ntr-o zon unde orice persoan care utilizeaz copiatorul s fie vizibil pentru restul personalului.

Main de scris T C Panglicile pentru mainile de scris pot reine o imagine a ceea ce a fost scris. Folosii numai maini de scris desemnate pentru materiale sensibile i trimitei panglicile pentru incinerare.

Medii de memorare Fiiere pe hrtie (dosare) T C T C Dosarele pot fi arse sau distruse de ap. Pstrai copii ale documentelor eseniale n dulapuri protejate de foc / ap i / sau n afara locaiei. Fiierele de hrtie pot fi utilizate pentru a sustrage informaii sensibile. Dosarele care conin informaii sensibile trebuie s fie nregistrate. Fiierele sensibile ar trebui s fie copiate numai de ctre personalul autorizat, ntr-o zon securizat. Implementai proceduri care consider drept o abatere disciplinar copierea neautorizat a fiierelor sensibile.

Medii magnetice amovibile T C Suporturile magnetice pot fi folosite pentru a transfera volume mari de date n afara organizaiei. Utilizai suporturi magnetice care poart sigla companiei. Implementai proceduri pentru toate mediile magnetice care urmeaz s fie introduse n /i /sau scoase n afara locaiei. Manipularea si depozitarea benzilor, dischetelor i hard-discurilor trebuie s fie supus unor proceduri similare cu cele referitoare la documentele pe hrtie.
44

Implementai proceduri care s considere infraciune disciplinar sustragerea de suporturi magnetice din locaie sau introducerea de suporturi magnetice n locaie, fr autorizaie. T C Dischetele sunt unul dintre mediile principalele de transmitere a viruilor de la un calculator la altul. Verificai, toate mediile magnetice formatate, la intrarea n locaie, dac sunt virusate. Verificai n mod deosebit discurile introduse n locaie de ingineri i studeni. Toate discurile care sunt verificate ar trebui s aib o etichet ataat cu sigla companiei i semntura celui care a efectuat testarea i data. Implementai proceduri care s considere drept infraciune disciplinar pentru personal utilizarea de dischete care nu au fost testate. Discurile floppy utilizate pstreaz informaiile chiar i atunci cnd fiierele sunt terse sau discurile reformatate. Dac dischetele sau cartuele de band sunt folosite pentru a stoca informaii sensibile, atunci ele ar trebui s fie marcate corespunztor i trata te ca un fiier nregistrat pe hrtie. Mediile magnetice, care au fost folosite pentru a stoca informaii sensibile ar trebui s fie "demagnetizate" / terse n condiii de securitate, nainte de a fi folosite pentru alte lucrri. Dac mediile magnetice se deterioreaz n timp ce depoziteaz date sensibile, atunci ele ar trebui s fie tratate ca deeuri confideniale i mrunite sau arse.

T C

Medii magnetice fixe T C Hard discurile pot conine cantiti foarte mari de informaii. Este uor s uitm c exist printre acestea i fiiere sensibile. Cnd un hard disk este folosit prima dat avnd destinaia de a conine informaii sensibile, acesta ar trebui s fie nregistrat. Acesta nu ar trebui s fie scos din registrul cu informaii sensibile pn cnd nu a fost inspectat de ctre un membru al personalului care asigur suport tehnic. Toate fiierele coninnd informaii sensibile trebuie s fie terse n condiii de securitate. Controlul accesului la microcalculatoare este mult mai puin riguros dect pentru un sistem n reea. Dac hard discurile microcalculatorului sunt folosite pentru a stoca informaii sensibile, exist un risc considerabil de modificare sau dezvluire neautorizat. Blocai microcalculatoarele atunci cnd acestea nu sunt n uz. Meninei nivelul de securitate al locaiei pentru a restriciona accesul la camerele n care sunt instalate microcalculatoarele. Luai n considerare instalarea pachetelor de control al accesului i al pachetelor de criptare a datelor pe calculatoarele folosite pentru a stoca informaii deosebit de sensibile. Luai n considerare utilizarea discurilor schimbabile, care pot fi nchise atunci cnd calculatorul nu este n uz.

Hard discurile defecte nu pot fi ntotdeauna terse n condiii de securitate.


45

C T C

Dac un hard disk care deine informaii sensibile se defecteaz, atunci ar trebui s fie distrus, n cazul n care nu poate fi ters n condiii de securitate. Discurile fixe se defecteaz. n cazul n care acestea stocheaz cantiti mari de date volatile, pierderile pot fi foarte serioase. Salvarea unui hard disk mare pe floppy disk-uri este att de consumatoare de timp, nct este puin probabil care personalul s o fac n mod regulat. Banda de backup de mare capacitate face copia rapid i uor. Instalai benzi de mare capacitate (tape streamer) pe calculatoarele care conin un volum mare de informaii volatile pe hard diskuri. Benzile de backup ar trebui s fie realizate n trei exemplare. Cel puin o copie de rezerv ar trebui s fie pstrat n afara locaiei. Aceasta ar trebui s fie rennoit ciclic. Benzile de backup ar trebui s fie stocate n siguran i marcate ca necesitnd condiii de securitate speciale, pentru a reflecta coninutul lor.

Medii optice amovibile T C T C Discurile optice sunt uor de ascuns i pot deine cantiti foarte mari de informaii. Discurile optice care dein informaii sensibile trebuie s fie numerotate n serie i nregistrate. Singura modalitate sigur de a le distruge este incinerarea. Pierderea parial sau total a datelor pe discuri optice poate aprea dac oricare suprafa a discului este zgriat Toate discurile optice ar trebui s fie manipulate cu grij extrem pentru a preveni zgrieturile care pot afecta calitatea de reflexie a discului i pot "ascunde" o mare parte a datelor. n cazul n care tabelul de alocare a fiierelor discului este afectat, discul ntreg poate deveni imposibil de citit.

Medii optice fixe T C T C Discurile optice conin un volum mare de informaii i de multe ori nu pot fi terse. Dac un disc optic se deterioreaz, acesta ar trebui s fie distrus. Volumele mari de date coninute pe discuri optice pot pune probleme pentru backup. Cu excepia cazurilor n care discurile optice dein date critice care nu se mai regsesc n alt parte, ele nu trebuie s fie duplicate sau salvate. Discurile optice dein, de obicei, informaii statice, cum ar fi materiale de referin sau programe software care sunt deja duplicate sau exist pe copiile de siguran. Dac nu acesta este cazul, iar informaia este critic, pot fi obinute duplicate sau informaiile pot fi puse pe discuri optice reinscriptibile. Copiile pot fi, de asemenea, fcute pe band, n mod obinuit. Sistemele moderne de backup pe band pot oferi acum backup-uri de ncredere de ordinul gigabyte. Strategiile normale de back-up se aplic pentru exemplarul stocat n alt locaie.

46

Microfilm / microfi T C Filmul i fia pot fi uor distruse de incendiu i pot fi pierdute sau furate. Nu v bazai niciodat pe o singur copie de film / fi a datelor cheie. Pstrai copiile arhivei ntr-o locaie la distan. Tratai fia / filmul n acelai mod cu fiierele nregistrate. Pstrai-le stocate n siguran i nregistrai data, ora i numele operatorului pentru cazul n care ar aprea probleme.

Resurse umane Personal propriu General T C Personalul poate fi necinstit sau poate fi supus antajului. Cnd personal nou ader la organizaie, facei investigaii de rutin pentru a se asigura c locurile anterioare de munc i istoria educaional pot fi verificate. Personalul cu acces la informaii cheie ar trebui s fie investigat mai bine, pentru a stabili orice antecedente penale sau sociale care ar putea favoriza situaiile n care o anumit persoan ar putea s fie necinstit sau s constituie obiect de antaj. Acordai o atenie deosebit istoricului financiar, implicrii n organizaii subversive, circumstanelor familiale, istoriei psihologice, precum i oricror dovezi privind abuzul de droguri / dependena. Verificrile ar trebui s fie repetate la intervale regulate. Programele de sensibilizare n domeniul securitii ar trebui s sublinieze necesitatea ca personalul s fie vigilent i s pun accent pe avantajul solicitrii sprijinului pentru el nsui sau pentru alii. Separarea inadecvat a responsabilitilor creeaz compromisul cu privire la orice individ care poate deveni mai vulnerabil, poate ispiti personalul s devin necinstit i poate duce la niveluri ridicate de eroare ale datelor de intrare / actualizare. Asigurai-v c exist o separare adecvat a sarcinilor ntre personalul responsabil pentru autorizare, introducere de date, chitane, facturi de plat, custodie a instrumentelor financiare, personalul de audit, analiti de sistem, programatori, personalul de control al schimbrii, personalul de control al accesului i bibliotecarii de informaii. Este mult mai probabil ca personalul s fac erori sau s-i depeasc limitele de autoritate n cazul n care rspunderea este inadecvat. Asigurai-v c sistemele dumneavoastr de informaii furnizeaz suficiente restricii pentru identificare, autentificare i logare pentru a putea fi stabilit rspunderea. Instruirea neadecvat n ceea ce privete procedurile operaionale i de urgen este o surs important de erori i disfuncionaliti de sistem. Asigurai-v c toate persoanele care se ocup cu sistemele informatice beneficiaz de formare suficient n domeniul procedurilor operaionale i de urgen, pentru a ndeplini cerinele impuse de responsabilitile i obligaiile care le revin.
47

T C

T C T C

T C

Persoanele aflate n poziie de autoritate pot transfera subordonailor sarcinile referitoare la autorizarea tranzaciilor n mediul informatizat, n condiiile n care acestea nu ar putea face acest lucru ntr-un sistem manual. Stabilirea schemelor adecvate de autorizare pentru documentele electronice. mbuntirea mediului de controale generale cu programe de educaie i de sensibilizare care mbuntesc contientizarea, implicarea managementului i supervizarea.

Personal cheie T C Personalul cheie, care joac un rol important datorit funciilor sau aptitudinilor speciale pe care le deine, poate absenta pentru o perioad lung de timp. Luai n considerare alocarea unui personal alternativ sau de rezerv pentru a nlocui personalului cheie n caz de nevoie.

Personal pentru introducere date T C Datele pot fi terse, modificate sau create incorect. Software-ul ar trebui s includ controale de validare pentru toate domeniile cheie, verificri privind identificarea i autentificarea. Luai n considerare introducerea autorizrii i verificarea pe loturi acolo unde este posibil.

Personal pentru interogri T C Orice persoan care a obinut drepturi de a efectua o interogare n cadrul sistemului ar putea deveni o surs de dezvluire neautorizat a informaiilor. Stabilirea rspunderii i supravegherea sunt principalele mijloace de aprare mpotriva divulgrii neautorizate. Sistemul poate ajuta prin marcare a n mod clar a ieirilor imprimate cu marcaje de confidenialitate corespunztoare i asigurarea faptului c acestea sunt direcionate printr-o seciune de control al ieirii care poate conecta orice ieire sensibil. Persoanele fizice ar trebui s aib drepturi de acces minime, n conformitate cu locurile proprii de munc. Orice ncercri de acces euate ar trebui s fie nregistrate i investigate de audit ul intern. n cazul n care verificarea total (100%) este impracticabil, ar trebui s fie selectat un eantion statistic pentru a garanta c testarea este distribuit uniform n timp. Auditul intern sau echipa de audit al sistemului informatic ar trebui s efectueze verificrile.

Personal pentru manipularea ieirilor T C Exist riscul ca personalul care manipuleaz ieirile din calculator s copieze ieirea,, s le piard sau s le dirijeze ctre personalul neautorizat / extern. Toate ieirile sensibile ar trebui s fie dirijate prin seciuni independente de manipulare a ieirilor, iar personalul implicat n manipularea ieirilor ar trebui s nu aib acces la copiatoare i nici dreptul s iniieze ieiri. Rolul unic al acestora ar trebui s fie acela de a nregistra producerea de ieiri sensibile i de a le dirija ctre destinatarul corect.
48

Programatori

T C

Programatorii ar putea compromite controalele sistemelor informatice din mediul de producie. Programatorii nu ar trebui s aib acces la sistemele informatice din mediul de producie. Personalului implicat n controlul schimbrilor ar trebui s fie responsabil pentru copierea de software nou din mediul de dezvoltare n sistemele informatice din mediul de producie. Programatorii ar putea introduce funcii contrafcute n software-ul lor, cum ar fi alterri ale timpului sau alterri logice. Programarea trebuie s fie modularizat. Fiecare component ar trebui s fie supus unei evaluri pentru a se asigura protecia mpotriva introducerii de funcii neintenionate prin proiect. Programele pot compromite integritatea sau disponibilitatea sistemelor informatice n cazul n care nu sunt testate temeinic. Toate programele trebuie s fie supuse verificrilor unitii de testare pentru a se asigura c rezultatul ateptat la ieire provine din intrrile validate. Testarea ar trebui s fie ntreprins de personal independent de programator i ar trebui s fie n mod oficial documentat ca parte a procedurilor de control al calitii. Odat ce o component a fost testat, programatorul ar trebui s nu mai aib acces la ea. Programele prost documentate pot fi dificil de meninut, ceea ce poate compromite integritatea sau disponibilitatea sistemelor informatice asociate. Documentaia ar trebui s fie inclus n procedurile de control al calitii. Nici o component n-ar trebui s fi treac controlul schimbrii pn cnd documentaia aferent nu este complet. Disponibilitatea sistemelor informatice ar putea fi compromis dac instruciunile de utilizare nu sunt n pas cu programele instalate n mediul de producie. Finalizarea modificrilor documentaiei de utilizare ar trebui s fie o condiie necesar pentru copierea unei componente noi n mediul de producie.

T C

T C

T C

T C Analiti T C

Disponibilitatea i integritatea pot fi compromise n cazul n care analitii fac erori de proiectare. Documentaia de proiectare ar trebui s includ specificaii care sunt inteligibile pentru clieni. Clienii ar trebui s fie obligai s semneze fiecare etap n procesul de proiectare. Prototipurile pot constitui un mijloc util de confirmare a cerinelor clientului, nainte de trecerea la proiectarea funcional complet. Analitii au o perspectiv mai larg privind interaciunea sistemelor informa tice dect programatorii. Exist riscul ca ei s exploateze nelegerea lor asupra sistemului i s eludeze controalele. Analistii nu ar trebui s aib acces la scrierea codului surs. Ei nu ar trebui s aib acces la compilatoare sau asambloare care le-ar permite s dezvolte propriile aplicaii.
49

T C

Analitii ar trebui s nu aib nici o autoritate de a iniia sau de a autoriza tranzaciile sensibile. Personal pentru asigurarea suportului tehnic T C Personalul care asigur suportul tehnic acioneaz n calitate de custozi ai informaiilor care aparin altora. Exist un risc ca acesta s poat iniia schimbri ale informaiilor sau ale programelor sau s produc ieiri neautorizate. Personalul care asigur suportul tehnic nu ar trebui s aib acces la compilatoare sau asambloare care le-ar permite s dezvolte propriile programe. Acetia ar trebui s nu aib acces la codul surs al sistemelor informatice aflate n mediul de producie. De multe ori, vnztorii de sisteme de operare furnizeaz faciliti puternice de dezvoltare, pentru modificarea n mod direct a programelor sau a datelor. Cerei informaii de la furnizori despre facilitile care pot fi utilizate pentru a eluda controalele de sistem i stocai-le offline. Utilizarea acestor faciliti ale sistemului ar trebui s solicite introducerea unei parole cunoscute numai de persoane autorizate. Bibliotecarul pentru mediile de stocare ar trebui s ia not de ocaziile cnd sunt emise utilitile restricionate. Toate utilizrile facilitilor restricionate ar trebui s fie nregistrate n jurnalul de operaii al sistemului (log) i personalul de audit intern / al sistemului ar trebui s revizuiasc jurnalele pstrate de supervizorul operaiilor i de bibliotecarul pentru mediile de stocare. Dac pachetul de control al accesului sistemului de operare este suficient de sofisticat pentru a impune accesul, copierea i executarea controalelor asupra facilitilor menionate, atunci acest mecanism poate fi preferat, mai degrab dect pstrarea offline a facilitilor. n cazul n care aceast soluie este adoptat, personalul de audit intern / de sisteme ar trebui s revizuiasc drepturile de acces la intervale regulate i s insiste ca utilizatorii privilegiai s aib parole proprii i s le schimbe frecvent. Parolele folosite pentru accesul la facilitile de modificare restricionate ar trebui s fie schimbate permanent.

Programatori de sistem T Programatorii de sistem sunt responsabili pentru meninerea mediului n care funcioneaz sistemul de operare. Aceasta va include sistemul de operare i, adiional, poate include software-ul de management de reea, sistemele de management al bazelor de date, software-ul de procesare a tranzaciilor i software-ul de management al stocrii. Activitatea programatorilor de sistem este de multe ori prost neleas, ceea ce ar putea duce la un control slab asupra activitilor lor. Programatori i de sistem ar putea distruge n mod deliberat sau accidental ntregul sistem. Programatorii de sistem nu ar trebui s aib acces la codul surs sau la structurile de date al sistemelor din mediul de producie. Ei nu ar trebui s aib acces la compilatoare sau asambloare n mediul de producie. Software-ul de control al accesului ar trebui s limiteze programatorii de sistem la fiierele pentru care au un motiv legitim de a le schimba. Toate activitile programatorilor de sistem ar trebui s fie nregistrate n jurnalul de operaii al sistemului (log). Programatorii de sistem nu ar trebui s aib acces la software-ul de control al accesului sau la fiierele de date.
50

Toate modificrile la software-ul sistemului de operare ar trebui s fie ntreprinse ntr-un mediu de dezvoltare i ar trebui s fie supuse unei revizuiri. n cazuri rare, cnd schimbrile de urgen trebuie s fie fcute fr un control de calitate formal, procesul de revizuire ar trebui s aib loc dup eveniment.
.

Personal pentru controlul schimbrilor T Personalul pentru controlul schimbrilor este responsabil pentru copierea programelor i a datelor din mediul de dezvoltare n mediul de producie. Exist un risc c acesta ar putea accesa abuziv mediul de producie, prin alterarea programelor sau a datelor din sistem. Personalul pentru controlul schimbrilor nu ar trebui s aib acces la instrumente de dezvoltare a programelor care s le permit compilarea programelor proprii. Activitile acestora ar trebui s fie atent monitorizate de ctre personalul de audit intern / al sistemelor.

Bibliotecar pentru mediile de stocare


T

Bibliotecarii pentru mediile de stocare sunt responsabili pentru meninerea i emiterea datelor i programelor offline. Dac ei au acces la sistem, exist riscul ca acetia s modifice informaiile pe care le controleaz. Bibliotecarii pentru mediile de stocare nu ar trebui s aib acces la orice software care s le permit s manipuleze coninutul mediilor de stocare aflate n sarcina lor.

Personal pentru controlul accesului logic T C Personalul pentru controlul accesului logic este responsabil pentru meninerea profilurilor de utilizator care determin cine are acces i la ce. Exist riscul ca acest personal s i aloce drepturi care sunt incompatibile cu funciile lor. Schimbrile pentru a accesa profilurile ar trebui s fie nregistrate n jurnalul de operaii al sistemului i personalul pentru controlul accesului ar trebui s fie n imposibilitatea de a comuta jurnalul pe log off sau s modifice coninutul acestuia. Personalul de audit intern / al sistemelor ar trebui s revizuiasc profilele acces acordnd o atenie deosebit drepturilor de acces ale utilizatorilor cu cunotine vaste i ale utilizatorilor care au acces, n special, la programe / date sensibile.

Personal pentru controlul accesului fizic T C Agenii de paz trebuie neaprat s aib acces la zonele sigure n afara orelor de program. Exist riscul c vor abuza de acest privilegiu. Personalul de securitate ar trebui s nu aib nici un drept de acces la sistemele informatice. Ieirile sensibile ar trebui s fie ncuiate departe n afara orelor de program i toate terminalele deconectate i oprite.

51

Auditori T C Auditorii cer s aib acces extins la sistemele informatice i la registrele de operaii ale sistemului. Exist pericolul ca auditorii s compromit integritatea sistemului, n mod intenionat sau accidental. Auditorii nu ar trebui s aib acces la scriere n alte zone dect n cea alocat lor. Acetia ar putea s aib acces n alte zone doar la citire, n funcie de nevoile de cunoatere.

Proprietarii datelor T Proprietarii unui set de informaii sau de date ar trebui s fie personalul care este responsabil pentru meninerea acestora. Proprietarii ar trebui s fie responsabili, n primul rnd, pentru asigurarea securitii datelor acestora. Exist riscul ca proprietarii s abuzeze de privilegiile lor. Separarea atribuiilor pentru personalul care cuprinde proprietarii ar trebui s asigure faptul c modificarea, distrugerea, crearea de ieiri sau de informaii sensibile necesit o cooperare a mai multor persoane.

Utilizatorii datelor T C Utilizatorii datelor au drepturi de acces la informaii acordate de ctre proprietarii datelor. Exist riscul c acetia vor depi autoritatea care le este conferit de ctre proprietari. Utilizatorilor de date ar trebui s li se acorde drepturile minime n conformitate cu nevoia lor legitim de a avea acces la informaii. Accesul la informaiile sensibile ar trebui s fie nregistrat n jurnalul de operaii al sistemului, i orice aciuni neobinuite s fie investigate.

Custozi ai datelor T Custozii de date sunt cei responsabili pentru meninerea infrastructurii care susine accesul la informaii i msurile de securitate prevzute de ctre proprietari. Exist riscul ca acetia s-i depeasc autoritatea prin distrugerea accidental sau deliberat, ca i prin dezvluire sau modificare a informaiilor aflate n grija lor. Custozii ar trebui s aib drepturi minime de acces la informaiile aflate n grija lor. Personalul de operare nu trebuie s fie capabil s citeasc sau s modifice informaii, n scopul de a menine accesul la acestea. Ei au nevoie doar s tie c procesul X, are nevoie de seturile de date A, B i C care sunt stocate pe dispozitivul Q. Nu este necesar sau de dorit pentru ei ca s cunoasc detalii cu privire la funcia procesului pe care acestea l susin. Clase speciale de custozi, cum ar fi programatorii de sistem, administratorii de date i administratorii de reea ar putea avea nevoie de acces la citire sau scriere pentru datele din mediul de producie. Informaiile deosebit de sensibile ar trebui s fie criptate, astfel ca acestea s nu fie dezvluite personalului care asigur suportul tehnic pe parcursul monitorizrii reelei sau al ntreinerii sistemului. Este recomandabil s se evite angajarea de personal n domeniul operrii care are cunotine de programare de sistem sau de aplicaii. Persoanele cu cunotine de
52

programare n cod main sunt deosebit de periculoase, deoarece acestea ar putea dezvolta programe mici, fr a utiliza un asamblor sau compilator. n cazul n care este posibil, facei imposibil pentru personalul de operare crearea unui fiier executabil. Aceasta este doar o opiune n cazul n care sistemul de operare poate distinge executabilul de alte fiiere, iar sistemul de control al accesului poate controla capacitatea utilizatorilor de a schimba statusul fiierelor pe care le creeaz sau le modific. Personal contractual Personal de ntreinere T C T C Inginerii de ntreinere au adesea o cunoatere intim a sistemului de operare, precum i a hardware-ului. Acest lucru le poate permite apoi s exploateze "uile ascunse" pentru a compromite securitatea. Inginerii de ntreinere nu ar trebui s fie lsai s lucreze nesupravegheai i nu ar trebui s li se permit s scoat n afara locaiei fiiere care conin informaii sensibile. Multe sisteme au "utilizatori de ntreinere", cu o parola implicit (default). Acest lucru poate fi utilizat pentru a obine accesul neautorizat la sistem. Cerei sfatul vnztorului cu privire la utilizatorii i parolele implicite i schimbai-le n mod regulat i, n special, dup fiecare vizit a inginerului de ntreinere.

Consultani T C Consultanii vor dobndi n mod inevitabil cunotine din interiorul organizaiei dumneavoastr. Consultanii trebuie s fie obligai s semneze un acord de nedivulgare. Dac ei au nevoie s acceseze sisteme deosebit de sensibile, atunci trebuie s fie supus procedurii de verificare(vetting). Schimbai parolele / identificatorul utilizatorului care sunt cunoscute de ctre consultant atunci cnd contractul nceteaz.

Persoane externe Vizitatori T C n cazul n care vizitatorii au permisiunea de a vedea domeniile n care exist informaii sensibile sau are loc prelucrarea, acest lucru ar putea compromite securitatea. Vizitatorii ar trebui s fie obligai s poarte ecusoane de identitate i personalul ar trebui s fie instruit s-i semnaleze pe cei pe care nu-i recunosc sau care nu poart un ecuson. n medii sigure, vizitatorii ar trebui s fie nsoii n permanen. inei vizitatorii departe de zonele sensibile. n cazul n care acetia au nevoie s vad informaii sensibile, cerei-le s semneze acorduri de non divulgare i asigurai-v c ei nu vd mai mult dect este necesar.

53

Intrui T C Intruii pot compromite confidenialitatea, integritatea i disponibilitatea sistemului informatic. Straturile multiple de securitate ofer cea mai bun protecie. Evitai publicitate a. Facei dificil penetrarea perimetrului de securitate. Instalai echipamente de detectare a intruilor. Blocai camerele care ofer acces la instalaiile sensibile. Utilizai controlul accesului pentru a face dificil utilizarea sistemelor informatice, chiar dac un intrus ctig acces la un terminal.

Bunuri fizice Cldiri Locaia / Sediul T C Exist riscul ca locaia/sediul s fie deteriorat/deteriorat fizic. Riscurile specifice care afecteaz locaia vor depinde de circumstanele locale. Planurile de urgen ar trebui s fie elaborate, acestea incluznd un plan pentru continuarea funciilor critice n caz de deteriorare sau distrugere a locaiei. Planurile de urgen ar trebui s fie testate anual. Intruii pot penetra locaia i ar putea compromite disponibilitatea, integritatea sau confidenialitatea sistemelor informatice. Nivelul fizic de securitate al locaiei ar trebui s fie n concordan cu valoarea medie a sistemelor informatice pe care le gzduiete. Aplicaiile deosebit de sensibile pot fi asigurate prin furnizarea unor niveluri mai ridicate de securitate pentru locaiile care le gzduiesc. Securitatea de baz a locaiei ar trebui s includ ageni de paz care monitorizeaz oamenii care intr i ies din cldire. Ferestrele de la parter ar trebui s fie ncuiate atunci cnd camerele nu sunt nesupravegheate i dotate cu sisteme de alarm pentru intrui Parcarea public nu ar trebui s fie permis n zonele adiacente instalaiilor critice. Uile de incendiu trebuie s se deschid spre exterior i s fie dotate cu uruburi de sticl i alarme legate la un panou de control central aflat n biroul poliitilor de securitate Locaiile care sunt folosite pentru a sprijini funciile critice, i care sunt bine mediatizate sunt deosebit de vulnerabile. Pstrai activele care susin funciile critice n locuri care nu atrag atenia. ncercai s evitai publicitatea inutil. n cazul n care detaliile din locaie devin cunoscute, sunt necesare msuri mai extinse de securitate pentru a compensa riscurile sporite. Locaiile din apropierea zonelor dens populate sunt mult mai susceptibile de a suferi de pe urma efectelor perturbaiilori civile. Locaia care gzduiete sistemul informatic cheie ar trebui s fie situat departe aglomeraiile urbane, dac este posibil.
54

T C

T C

T C

T C

Locaiile educaionale sunt deosebit de vulnerabile la furt i la tentativa de penetrare a sistemului. Controalele fizice i logice de acces sunt adesea slabe n locaiile educaionale. Asigurai-v c zonele care conin bunuri care sunt atractive i portabile sunt garantate pentru un nivel mai ridicat dect nivelul de baz. Rspunderii privind controalele ar trebui s i se acorde o prioritate nalt pentru sistemele cheie accesibile din locaiile educaionale.

Camere cheie Introducere date / actualizare T C Zonele n care informaiile sunt introduse sau meninute sunt puncte focale pent ru ameninrile la confidenialitatea i integritatea sistemelor informa tice. Zonele de introducere a datelor ar trebui, n cazul n care este posibil, s fie inaccesibile personalului care nu are o nevoie legitim de a merge acolo. Terminalele cu acces la facilitile restricionate referitoare la actualizarea informaiilor critice, nu ar trebui s fie vizibile din zonele publice. Ele nu ar trebui s fie lsat e nesupravegheate i conectate. Aplicaiile care actualizeaz informaii cheie ar trebui s nchid sesiunile n cazul n care nu a existat nici o activitate la tastatur timp de cteva minute. n cazul n care informaiile au implicaii pentru sistemele informatice cheie, aplicaia ar trebui s repete la intervale regulate identificarea i s fac verificri de autentificare iar toate modificrile care sunt fcute s fie nregistrate n jurnalul de operaii al sistemului. Pentru informaii deosebit de sensibile, luai n considerare ca la instalarea aplicaiei s se includ setri adecvate, astfel nct schimbrile s nu poat fi finalizate fr confirmarea din partea unei persoane autorizate.

Prelucrare T C T Zonele n care informaiile sunt procesate pot oferi oportuniti extinse de a corupe, perturba sau de obinere a accesului la sistemele informatice. Restricionai accesul prin punerea n aplicare a procedurilor de separare a atribuiilor, acolo unde este posibil. Calculatoarele mari au de multe ori cele mai exigente cerine de mediu. Acest lucru a dus la o izolare natural a echipamentelor cheie de personalul care nu este implicat n exploatarea acestora. La fel, calculatoarele mici au devenit mai puternice n momentul n care aplicaiile cheie au fost transferate pe ele. Calculatoarele mici pot opera de obicei, ntr-un mediu de birou obinuit. Utilizarea prelucrrii distribuite, n unele cazuri, a condus la dependena sistemelor informatice de un numr mare de calculatoare mici, dispersate geografic. Reducerea dimensiunilor calculatoarelor a condus la o neglijare a necesitii de a proteja echipamentele cheie, fcndu-le vulnerabile la abuzul fizic i la deteriorarea mediului. Calculatoarele care susin funcii cheie ar trebui s fie izolate fizic de mediul de birou. Luai n considerare necesitatea de a proteja sursa de alimentare a oricrui calculator care joac un rol esenial n sistemele informatice critice.
55

Imprimare T Ieirile sensibile ar trebui s fie dirijate prin zone sigure, astfel nct s poat fi monitorizate i, eventual, nregistrate n jurnalul de operaii al sistemului. n cazul materialelor financiare mobile, pierderea ar putea aprea de la furtul ieirii. n cazul n care valoarea ieirii const n necesitatea confidenialitii, de pierderi poate s fie responsabil cineva care a vzut pur i simplu ieirea, fr a o fi extras neaprat. Accesul la camerele utilizate pentru producia de informaii valoroase sau sensibile ar trebui s fie limitat la personalul care manipuleaz ieiri. Controlul accesului fizic i logic ar trebui s pun n aplicare separarea sarcinilor ntre cei responsabili pentru manipularea i nregistrarea ieirilor i cei responsabili pentru iniierea sau autorizarea acestora.

Stocare T C Zonele n care informaia este stocat pot prezenta o int atractiv pentru cineva care ncearc s obin acces neautorizat, deoarece o mulime de informaii sunt colectate mpreun. Informaiile sensibile ar trebui s fie stocate n arhive securizate / biblioteci. Accesul ar trebui s fie limitat la bibliotecari, care ar trebui s verifice autorizarea personalului care solicit accesul, iar informaiile emise s fie nregistrate n jurnalul de operaii al sistemului. ncrederea n copiile informaiilor arhivate unic v face vulnerabili n faa pierderii integritii i disponibilitii informaiilor. Adoptarea unei politici de backup care s garanteze c cel puin dou exemplare ale copiilor coninnd informaii cheie sunt deinute n locaii dispersate geografic. Integritatea arhivelor care pot fi citite automat trebuie s fie verificat la intervale regulate i orice arhiv pe mediu magnetic ar trebui s fie copiat (remprosptat) cel puin o dat la trei ani.

T C

Interogare T C Camerele n care se opereaz interogri sunt deosebit de vulnerabile la ameninrile care ar putea compromite disponibilitatea sau integritatea sistemelor informatice. Luai n considerare planurile de urgen care ar permite personalului care se ocup cu interogarea s continue satisfacerea cerinelor eseniale n cazul n care sistemele informatice sau hardware-ul suport al acestora au devenit indisponibile. Camerele care sunt utilizate ca centre de manipulare a interogrilor pot fi n mod particular vulnerabile la ameninrile la adresa confidenialitii informaiilor. Ar trebui stabilite proceduri care s precizeze condiiile pentru furnizarea fiecrei clase de informaii i a oricror nevoi de a nregistra emiterea de informaii. Accesul n zonele care se ocup cu interogrile sensibile ar trebui s fie restricionat. Software-ul ar trebui s deconecteze automat personalul, n cazul n care nu exist nici o activitate la tastatur ntr-un termen specificat.

T C

56

Rspunderea este un aspect esenial al controlului interogrilor. Poate fi la fel de important s se poat stabili ce au fcut indivizii i s se restricioneze activitile pe care acetia le pot ntreprinde. Aceasta poate reduce ameninrile la adresa confidenialitii n cazul n care facilitile de interogare sunt dispersate fizic. De exemplu, stabilii un grup de personal responsabil pentru a rspunde la toate interogrile referitoare la persoane fizice ale cror nume de familie ncep cu litere ntre A i D i alte grupuri responsabile pentru alte litere. Fragmentnd capacitatea de a accesa informaii i de a le aranja n ordine, se poate reduce vulnerabilitatea la abuzuri. Informaiile deosebit de sensibile, trebuie s solicite autorizarea de la un al doilea operator / supervizor, nainte de a fi dezvluite. Terminalele de interogare trebuie s fie situate astfel nct s nu poat fi privite din zonele publice i astfel nct operatorii s nu poat citi ecranele unii altora. Comunicaii T Camerele care gzduiesc cutiile cu conexiunile reelei, rafturile modemurilor, ramurile centralei telefonice sau dulapuri cu patch-uri ofer o oportunitate pentru personalul neautorizat pentru identificarea echipamentului asociat cu faciliti sensibile i perturbarea serviciului sau interceptarea sa. Cablurile i echipamentele de comunicaii ale sistemelor informatice nu ar trebui s fie etichetate ntr-o form care poate fi citit i identificat de om. Sunt de preferat etichete bazate pe un sistem de codificare a cablurilor. Cheia pentru sistemul de codificare ar trebui s fie ncuiat n alt birou. n cazul n care cablurile sunt etichetate, acestea ar trebui s fie toate etichetate pentru a face mai dificil de depistat traseul urmat de conexiunile cheie. Cutiile de jonciune, rafturile modemurilor i centralele telefonice ar trebui s fie securizate. Accesul ar trebui s fie limitat la personalul de ntreinere i la administratorii de reea.

Operarea aplicaiilor sistemului n mediul de producie T C Accesul la echipamente care ruleaz aplicaii n mediul de producie poate facilita eludarea msurilor concepute pentru a menine integritatea, disponibilitatea i confidenialitatea sistemelor. Camerele care gzduiesc echipamente care sunt elemente cheie ale sistemelor informatice din mediul de producie ar trebui s fie accesibile numai pentru personalul de operare. Separarea sarcinilor ar trebui s asigure c personalul de operare nu este n msur s genereze tranzacii, s proiecteze sau s dezvolte programe, sau s acceseze sau s genereze ieiri sensibile produse de sistemele pe care le opereaz. Aceasta din urm este simplificat dac ieirea sigur este posibil doar la dispozitivele din afara zonei de operare iar personalului de operare nu i este permis intrarea n zona unde se afl dispozitivele de ieire.

57

Dezvoltarea aplicaiilor T C Software-ul de aplicaie este potenial cel mai puternic mijloc de a compromite integritatea sistemelor informatice. Programatori sau alte persoane cu acces la mediul de dezvoltare pot introduce aciuni sub acoperire n sistem. Programatorii ar trebui s fie alocai s lucreze pe o baz modular. Fiecare modul trebuie s aib definite intrri i ieiri. Revizuirile proprii i de ctre unitatea de testare ar trebui s asigure protecia mpotriva introducerii de funcionaliti sub acoperire. Personalul de control al schimbrii trebuie s fie separat de programatorii de aplicaii att fizic, ct i managerial. Accesul la camerele care sunt utilizate pentru dezvoltarea de aplicaii ale unor sisteme sigure ar trebui s fie limitat la programatori. Analitilor i personalului de control al schimbrii nu ar trebui s li se permit accesul. Controalele stricte privind rspunderea i un sistem de control al versiunilor puternic ar trebui s garanteze c exist ntotdeauna o nregistrare despre cine a fcut, ce i cnd s-a fcut. Instrumentele de dezvoltare ar trebui s fie indisponibile n afara orelor de program.

Funcii de sistem T C Sistemele de diagnosticare i instrumentele de gestionare pot fi folosite pentru a intercepta traficul n reea i a eluda controalele. Accesul ar trebui s se limiteze la terminalele desemnate i controalele privind rspunderea s fie folosite pentru a monitoriza utilizarea n aceeai msur ca i pentru programatorii de aplicaii. Accesul fizic la terminalele sistemului ar trebui s fie limitat la personalul care asigur suportul tehnic i acesta ar trebui s lucreze de preferin n perechi.

Instalaii T C Alimentarea cu curent electric este o resurs cheie pentru sistemele informatice. Perturbaiile sursei de energie ar putea distruge informaii i, n caz de supratensiune, hardware-ul care suport sistemul. Toate activele sistemului informatic ar trebui s aib surse de alimentare capabile s elimine vrfurile de tensiune duntoare echipamentelor. Echipamentele cheie, cum ar fi serverele de fiiere vor avea nevoie de o unitate de alimentare neintreruptibil pentru a se asigura c acestea pot, cel puin s se opreasc n siguran, n cazul unei ntreruperi a alimentrii. Accesul la camerele cu instalaii ar trebui s fie limitat la personalul de ntreinere.

Papetrie T C Formularele goale pot fi eseniale pentru operarea continu a unor sisteme. Licenele i certificatele sunt dou exemple. Distrugerea stocurilor ar perturba serviciul. Pstrarea copiilor backup ale formularelor eseniale ar trebui s se fac n orice locaie de prelucrare aflat la distan i la o locaie alternativ n cadrul locaiei principale. Stocurile ar trebui s fie inute la acelai nivel de securitate ca stocul principal i depozitarul ar trebui s verifice periodic exhaustivitatea / gradul de utilizare pentru stocurile de rezerv.
58

Gtitul i fumatul T C Gtitul T i fumatul sunt principalele surse de indisponibilitate a sistemului informatic, ca urmare a incendiilor pe care le pot provoca. Att fumatul ct i gtitul trebuie s fie interzise n zonele adiacente activelor cheie. Camerele n care sunt permise ar trebui s fie prevzute cu echipamente de stingere a incendiilor. n special, scrumiere i pubele speciale ar trebui s fie utilizate n ncperile n care fumatul este permis.

Papetrie valoroas T C Papetria care poate fi utilizat pentru un ctig financiar sau ca baz pentru a obine drepturi, cum ar fi permisele de trecere n alb, ordinele de plat sau cecurile, reprezint o int atractiv pentru furt. Papetria sensibil ar trebui s fie numerotat n serie i pstrat ntr-un depozit ncuiat. Depozitarii ar trebui s rspund pentru orice probleme, inclusiv pierderi. Depunei eforturi pentru a se asigura c poate fi ntreprins o reconciliere, care s stabileasc rspunderea pentru toate utilizrile, n ceea ce privete emiterea autorizat i alterarea. Camerele de depozitare pentru papetria valoroas ar trebui s fie securizate i accesibile numai personalului responsabil desemnat.

Documentaie Software T Documentaia este esenial n cazul n care software-ul trebuie s fie meninut. Exist riscul ca aceasta s fie pierdut, distrus sau furat. Ar putea fi o motivaie puternic pentru furt n cazul n care software-ul efectueaz funcii care au o valoare comercial sau pentru divulgarea informaiilor brevetate sau sensibile. Documentaia ar trebui s fie examinat ca parte a procedurilor de control al calitii. Odat ce a fost aprobat, copiile nregistrate ar trebui s fie ndosariate de ctre personalul de control al schimbrii. Copiile de siguran ale documentaiei sistemului din mediul de producie trebuie s fie inute ntr-o locaie aflat la distan. Documentaia sistemelor sensibile trebuie s fie tratat similar cu un fiier nregistrat. Copiile ar trebui s fie numerotate, copierea interzis, iar emiterile s se fac n funcie de nevoia de cunoatere. Copiile ar trebui s fie ncuiate atunci cnd nu sunt utilizate.

Hardware T C Activele de tip sistem informatic sunt adesea atractive, portabile i uor de deteriorat. Un inventar complet al tuturor activelor materiale ale sistemului informatic ar trebui s fie pstrat, meninut i auditat.

59

T C

Manuale pentru hardware sunt rar necesare, dar eseniale n ocaziile n care acestea sunt necesare. Acestea sunt adesea dificil de nlocuit i pot conine informaii care ar fi de folos unei persoane care intenioneaz s se infiltreze sistem. Pstrai manualele hardware n biblioteci ncuiate sau n zone sigure. Problemele legate de manuale ar trebui s fie nregistrate, n special n cazul n care se acord aprobarea de a lua manualul n alt camer dect aceea care adpostete echipamentul. Pstrai copii ale manualelor hardware eseniale ntr-o locaie la distan.

Proceduri T C Ghidurile de proceduri furnizeaz personalului informaii eseniale care pot fi furnizate i altor persoane, oferind o imagine de ansamblu, care ar trebui protejat, n legtur cu modul n care lucreaz sistemele. Ghidurile de proceduri ar trebui s fie eliberate nominal persoanelor fizice, nregistrate i pstrate n siguran. Toate manualele ar trebui s fie marcate pe fiecare pagin pentru confidenialitate, iar manualele sensibile ar trebui s aib instruciuni pe fiecare pagin, care s reflecte clar c nu este permis copierea. Pstrai copii ale manualelor de proceduri n afara locaiei.

Planul de urgen T Prin natura lor, planurile de urgen sunt necesare rar i ntr-un moment cnd organizaia este sub stres. Exist un risc ca acestea s devin perimate sau pot fi indisponibile atunci cnd apare o situaie de urgen. n plus, acestea pot fi de folos pentru cineva care intenioneaz s perturbe serviciile. Planurile de urgen ar trebui s fie revizuite i testate la intervale regulate, n fiecare an n cele mai multe situaii, dar mai frecvent n cazul n care disponibilitatea este foarte critic. Copii ale seciunilor relevante ar trebui s fie inute n siguran n locaiile de backup.

Planurile etajelor T C Planurile etajelor sunt documente extrem de utile pentru un intrus potenial. Pstrai desenele arhitecturale ncuiate. Acest lucru este deosebit de important n cazul n care desenele au suprapuse informaii funcionale.

Diagramele de cablare T Diagramele de cablare sunt eseniale pentru meninerea siste melor n reea. Pierderea acestora ar putea compromite capacitatea de a menine sistemele informa tice sau de a diagnostica defectele de reea. Diagramele sunt, de asemenea, foarte utile pentru oricine care are interes n infiltrare sau n ntreruperea serviciilor informatice furnizate de reea. Diagramele de reea trebuie s fie elaborate i actualizate ori de cte o nou rutare sau conexiune este introdus. Copii ale diagramelor de cablare trebuie s fie pstrate n locaiile de backup pentru a facilita recuperarea n cazul n care locaia principal este deteriorat.
60

Accesul la diagramele de cablare ar trebui limitat la personalul cu un interes legitim n managementul cablrii / administrarea reelei. Dicionarul de date T Dicionarul de date ar trebui s ofere un index al structurii tuturor sistemelor informatice permanente. Este un instrument esenial pentru dezvoltarea sistemelor informatice noi. Acesta poate fi un ajutor de nepreuit pentru toi cei care doresc sa se infiltreze in sistemele informatice. Integrai ntreinerea dicionarului de date cu procedurile de control al schimbrii pentru a se asigura c acesta reflect structura actual a datelor deinute de sisteme le informatice. Pstrai copii n locaii aflate la distan. Meninei un registru al copiilor documentelor care sunt derivate din dicionarul de date i tratai extrasele sensibile n mod similar cu fiierele nregistrate.

Mediu Aer condiionat T C Calculatoarele mari i perifericele lor au adesea cele mai exigente cerine de mediu. Lipsa asigurrii condiiilor de mediu specificate de productor poate duce la indisponibilizarea calculatoarelor i la dispute legate de ntreinere. Configurarea un program de ntreinere periodic a echipamentelor eseniale de aer condiionat. Luai n considerare necesitatea echipamentelor de aer condiionat de rezerv, pentru cazul n care activele cheie ar putea fi afectate devenind indisponibile.

Putere electric T C Ap T C Unele calculatoare mari necesit rcire cu ap. ntreruperea alimentrii cu ap poate duce la deteriorarea grav a calculatorului. Asigurai-v c alimentarea continuarea cu ap se afl sub controlul personalului de exploatare i nu al personalului de ntreinere a cldirii. Personalul de ntreinere nu trebuie s comute din neatenie oprirea livrrilor de ap rece, n timpul perioadelor de vacan / n afara orelor de program. Luai n considerare livrrile de rezerv de ap rece sau oprirea automat a calculatoarelor dependente n cazul ntreruperii furnizrii. Sisteme informatice pot fi afectate negativ de reducerea sau creterea tensiunii sau a frecvenei surselor de alimentare. Toate calculatoarele trebuie s fie protejate prin prevenirea excesului de putere. Activele cheie ar trebui s fie protejate prin surse nentreruptibile.

61

Iluminat T C ntunericul poate perturba grav planurile pentru situaiile de urgen. Luai n considerare necesitatea unor surse de iluminat de rezerv.

Deeuri Hrtie T C Sistemele informatice produc de multe ori cantiti substaniale de deeuri de hrtie. Acestea pot fi o surs de scurgere a informaiilor din organizaie. Toate ieirile pe hrtie trebuie s fie marcate n condiii de securitate, dup caz. Luai n considerare mrunirea materialelor de sensibilitate deosebit. Sacii cu "deeuri confideniale" ar trebui s fie utilizai pentru materialul depozitat n vederea incinerrii. Securitatea deeurilor este adesea trecut cu vederea. Un sac de deeuri care conine materiale care au fost puse ntr-un dosar nregistrat trebuie s fie supus aceluiai nivel de securitate care ar fi fost aplicat dosarului.

Suporturi magnetice T C Suporturile magnetice pstreaz fragmente ale fiierelor care au fost copiate chiar i dup ce fiierele au fost terse. Deeurile de suporturi magnetice ar trebui s fie terse n condiii de securitate, demagnetizate sau distruse.

Medii optice T C Mediile optice nu pot fi terse, de obicei, definitiv. Incinerarea este cel mai bun mod de a distruge deeurile dispozitivel or optice de stocare.

Papetrie T C Deeurile papetriei coninnd informaii financiare pot fi utilizate ilicit. Documentele financiare pe hrtie nvechite ar trebui s fie n mod oficial anulate i eliminate ca deeuri confideniale. Asigurai-v c nregistrrile contabile in seama de eliminarea papetriei prenumerotate.

62

____________________

INDEX

Pagina Aer condiionat Analiti Ap Auditori Bibliotecar pentru mediile de stocare Buletin electronic informativ Bunuri fizice Burster Cablajul reelei Calculatoare Camere cheie Cldiri Comunicaii Consultani Cozi de ieire Custozi ai datelor Deeuri Dezvoltarea aplicaiilor Diagramele de cablare Dicionarul de date Dispozitive de ieire Dispozitive de intrare Documentaie Documentaie hardware Documentaie software Enveloper Fiiere de hrtie Fotocopiator 61 49 61 51 51 38 54 42 39 39 55 54 37 53 43 52 62 58 60 61 42 42 59 59 59 43 44 44
63

Funcii de sistem Gtitul i fumatul Hrtie Hardware Iluminat Imprimant cu laser Imprimant de impact Imprimare Instalaii Interogare Introducere date / actualizare Intrui Linii telefonice Locaia / Sediul Main de scris Medii de memorare Medii magnetice amovibile Medii magnetice fixe Medii optice Medii optice amovibile Medii optice fixe Mediu Microcalculatoare Microfilm / microfi Minicalculatoare i calculatoare mari Modemuri Monitor pentru afiaj vizual Operarea aplicaiilor sistemului n mediul de producie Papetrie deeuri Papetrie Papetrie valoroas Persoane externe Personal cheie

58 59 62 37 62 43 43 56 58 56 55 54 37 54 44 44 44 45 62 46 46 61 40 47 41 37 44 57 62 58 59 53 48
64

Personal contractual Personal de ntreinere Personal pentru asigurarea suportului tehnic Personal pentru controlul accesului fizic Personal pentru controlul accesului logic Personal pentru controlul schimbrilor Personal pentru introducere date Personal pentru interogri Personal pentru manipularea ieirilor Personal propriu Planul de urgen Planurile etajelor Plotter Porturi de intrare / ieire Pot electronic Prelucrare Proceduri Programatori Programatori de sistem Proprietarii datelor Putere electric Resurse umane Scanere Servere de fiiere Serviciul potal Software documentaie Staii de lucru fr disc Stocare Suporturi magnetice de Terminale Utilizatorii datelor Vizitatori

53 53 50 51 51 51 48 48 48 47 60 60 43 37 38 55 60 49 50 52 61 47 42 41 38 59 41 56 62 39 52 53
65

ANEXA I - Cteva definiii

Clasificarea informaiilor Informaii nedesemnate: informaiile nedesemnate sau neclasificate n nici un mod, n cazul n care garaniile privind practicile normale unui bun management sunt suficiente. Informaii care sunt disponibile publicului. De exemplu: raportarea timpului, programarea personalului, manuale i publicaii, administrarea general, capitole lansate, poziii lansate, avize eliberate etc. Informaii desemnate: informaii, alte dect cele referitoare la interesul naional, care sunt desemnate ca avnd nevoie de protecie. Informaiile clasificate: informaii referitoare la interesul naional. Sistem informatic / Aplicaie "Aplicaia aferent unui software specific care este destinat desfurrii unor lucrri specifice. Orice set de pai urmat de desfurarea unor activiti financiare, administrative sau privind programul." De exemplu, un sistem de conturi pentru pli. ntr-un mediu cu microcalculatoare, aplicaiile pot fi foarte simple, cum ar fi un raport n WordPerfect - tastare, stabilirea formatului i activiti de tiprire sau complexe, un program de audit asistat de calculator (CAAT) - ncrcarea datelor clientului, extragerea eantioanelor, analiza rezultatelor i mostre de imprimare a eantioanelor sau a rezultatelor. Software-ul folosit, cum ar fi programele CAAT, Lotus, sau WordPerfect, nu ar trebui s fie confundat cu aplicaiile software-ului eantionarea n audit. Numele unei aplicaii este de obicei o combinatie a software-ului utilizat i a aplicaiei dezvoltate, cum ar fi: CAAT pentru audit, analiza financiar Lotus etc. n scopul evalurii securitii, aplicaii similare pot fi grupate mpreun. Controlul accesului logic" i rspundere, ca parte a unui sistem de securitate Controlul accesului logic, folosind ID-urile i parolele, impune accesul limitat la date pe baza utilizatorului individual. Acest lucru este realizat printr-un sistem de securitate care determin ceea ce utilizatorul poate accesa i poate face, meninnd rspunderea prin crearea unei piste de audit care nregistreaz utilizarea calculatorului de ctre utilizator. Controlul accesului, ca orice alt control, nu este considerat eficace i fiabil, cu excepia cazului n care poate fi demonstrat c acesta funcioneaz n concordan cu scopul pentru care a fost implementat i poate fi monitorizat. O pist de audit servete ca dovad c msurile de control al accesului lucreaz aa cum s-a intenionat i ofer mijloacele de a investiga neregulile i de a identifica domeniile n care controalele ar putea fi mbuntite. ntr-un sistem de securitate
66

informatic, pista de audit este un fiier istoric creat i protejat de sistemul auditat prin controale bazate pe parol i criptare. Utilizarea unei piste de audit este transparent pentru utilizator. n cadrul multor sisteme de securitate, administratorul de securitate are acces la fiierele istorice coninnd pista de audit, ale tuturor utilizatorilor. Utilizatorii individuali au acces n citire numai la fiierul propriu coninnd pista de audit. Necesitatea de a cunoate principiul Un principiu fundamental al politicii de securitate este de a restriciona accesul la date si la active celor care au nevoie de un astfel de acces, ceea ce presupune definirea specificaiilor de partajare a datelor i activelor. ntr-un mediu informatizat, aceasta implic controlul accesului fizic i / sau logic (sistem de securitate) la date i active. De exemplu, ntr-un birou de audit, utilizatorii protejeaz clientul, informaiile administrative i de audit pentru a preveni accesul accidental la citire, modificare sau tergere a informaiilor. Sensibilitatea informaiilor: Disponibilitate: calitatea sau starea informaiilor, serviciilor, sistemelor i programelor de a fi disponibile n timp util ("la nivelul organizaiei"). Confidenialitate: calitatea sau condiia de a fi sensibile ("se poate provoca un prejudiciu n cazul n care informaiile sunt divulgate"). Integritate: calitatea sau condiia de a fi corecte i complete ("se poate provoca un prejudiciu n cazul n care informaia este alterat, incorect sau incomplet") Evaluarea expunerii securitii O evaluare a expunerii securitii este rezultatul combinrii unui studiu de impact asupra afacerii cu riscul unei ameninri / evaluarea probabilitii. O evaluare a expunerii securitii este clasificat ca: Major: impact considerabil, extrem - probabilitate rezonabil. Acele evenimente care au probabilitate suficient de apariie i un impact puternic asupra afacerii astfel nct este prudent s se ia msuri preventive i de recuperare. Ateptarea privind daunele este suficient de mare nct nu este cazul s se insiste pe previziuni precise de probabilitate. Mediu: impact semnificativ - probabilitate necunoscut. Impactul asupra afacerii este de aa natur nct ar trebui luate msuri. Este necesar o trecere n revist a ameninrilor i a probabilitii acestora, pentru a reduce ameninrile la un nivel uor de gestionat. Min (Sczut): impact redus - orice probabilitate. Categoria i ce dac. Dac se ntmpl, nu va cost att de mult. Dac v simii confortabil c potenialul pentru prejudiciu este sczut, acestea sunt ameninri pe care le aceptai. Nu este nevoie s se efectueze analize de probabilitate detaliate.

67

Infrastructura de securitate De obicei, n multe organizaii guvernamentale, sub titluri similare sau diferite, administrarea securitii este delegat n felul urmtor: Ofier de securitate ef: un manager executiv care are responsabilitatea general pentru securitate n cadrul organizaiei. El menine legtur cu toate celelalte entiti guvernamentale i este pe deplin rspunztor pentru toate chestiunile de securitate din cadrul organizaiei sale. Director de securitate: unul dintre manageri cu autoritate delegat de director de securitate, care are responsabilitatea administrrii tuturor chestiunilor de securitate zilnice, din cadrul organizaiei. Persoana responsabil de securitatea informatic: un manager principal, cu autoritate delegat de la ofierul de securitate ef i de raportare ctre directorul de securitate, care are responsabilitatea zilnic pentru administrarea securitii tehnologiei informaiei n cadrul organizaiei. Echipa de securitate: O echip format din persoane fizice construit, dac este posibil, ca o seciune transversal a organizaiei. Echipa are nevoie de sprijinul deplin i angajamentul conducerii superioare s efectueze examinarea securitii i s obin acceptarea rezultatelor sale. De exemplu, este de preferat ca reprezentantul utilizatorilor s fie un membru influent al comunitii utilizatorilor i s fie liderul echipei. Este mult mai probabil ca utilizatorii i conducerea superioar s accepte recomandrile privind securitate de la echip, ntruct acetia sunt de obicei suspicioi n ceea ce privete rapoartele elaborate de "specialiti tehnici".

O politic de securitate a companiei, aprobat de conducere, este pus n aplicare pentru a sprijini strategia sistemului informatic care, n sine, se bazeaz pe misiunea i obiectivele identificate n declaraia de politic a corporaiei. De obicei, de asemenea, un Comitet director pentru sisteme informatice, prezidat de un director executiv, joac un rol important n a se asigura c toate sistemele informatice din cadrul organizaiei sunt elaborate i utilizate n conformitate cu obiectivele i strategiile corporative. Comitetul director pentru sisteme informatice supravegheaz implementarea politicii privind sistemele informatice i a politicii de securitate. Principii de management al securitii 1. Protecia securitii trebuie s fie n concordan cu sensibilitatea datelor care trebuie protejate; 2. Protecia securitii ar trebui s nsoeasc datele ori de cte ori acesta sunt transferate sau prelucrate; i 3. Protecia securitii trebuie s fie continu, n toate situaiile.

68

Aceste principii sunt implementate prin determinarea sensibilitii datelor din punctul de vedere al integritii, confidenialitii i disponibilitii i prin aplicarea unor elemente specifice unei scheme de securitate, care include persoane, dispozitive fizice, practici i proceduri, hardware, software, aplicaii, i elemente de protecie de tip back-up.

69

Metodologie de revizuire a securitii sistemelor informatice

Ghid pentru revizuirea securitii sistemelor informatice n organizaiile guvernamentale

Volumul 3: O metod detaliat de securitate a sistemului informatic

70

3.1

Prezentare

3.1.1

Obiectivul unui program de securitate a sistemului informatic este de a reduce riscul de pierdere a confidenialitii, integritii i disponibilitii informaii lor la un nivel acceptabil. Scopul unei metode de securitate a sistemului informatic este de a facilita stabilirea unui program de securitate cuprinztor i eficient, care s acopere toate sistemele informatice cheie. Metoda ar trebui s ajute utilizatorii s stabileasc un nivel de securitate proporional cu cerinele lor. Gsirea unui nivel adecvat de securitate implic analiza de risc i managementul riscurilor11. Analiza de risc este utilizat pentru a stabili gradul n care sistemele informatice sunt expuse la riscuri. Aceasta presupune examinarea ameninrilor cu care se confrunt sistemele informatice, estimarea frecvenei cu care acestea sunt de ateptat s apar i apoi evaluarea impactului pe care organizaia l-ar suferi dac ameninrile ar aprea. "Expunerea" este calculat prin combinarea evalurii a impactului i a frecvenei estimate a ameninrii. Managementul riscului implic alegerea celei mai ieftine contramsuri care reduce expunerea organizaiei la risc la un nivel acceptabil. Contramsurile sunt msurile luate de ctre organizaie pentru a reduce frecvena unei ameninri sau pentru a reduce impactul ameninrilor atunci cnd apar. Evaluarea este cheia pentru stabilirea unui nivel corespunztor de securitate, iar utilizatorii sunt eseniali pentru evaluare. Rezult c grupurile de utilizatori trebuie s fie stabilite ntr-un stadiu incipient. Fiecare sistem poate fi evaluat fcnd referire la utilizatorii si. Un sistem cu nici un utilizator sau unul n care utilizatorii nu acord nici o valoare informaiilor primite, nu are nici o valoare i nu merit s fie meninut, cu att mai puin securizat. n cazul n care sistemele nu se confrunt cu ameninri, atunci nu sunt necesare msuri de securitate. Metoda ar trebui s ajute la identificarea ameninrilor la adresa

3.1.2

3.1.3

3.1.4

3.1.5

3.1.6

11

Adaptat dup o metodologie elaborat de Oficiul Naional de Audit, Marea Britanie, acest document are ca scop numai de a oferi o descriere general a unei metode cantitative detaliate de analiz a riscurilor care este utilizat n diverse moduri de cele mai multe pachete de analiz de risc comerciale. Este recomandat folosirea unui pachet software mpreun cu aceast metod de analiz detaliat a riscului.

71

confidenialitii, integritii sau disponibilitii sistemelor informatice. Acest lucru implic identificarea tuturor componentelor care trebuie s fie n funciune, n cazul n care utilizatorii trebuie s continue s primeasc un serviciu de ncredere i apoi caut evenimentele care ar putea afecta n mod negativ fiecare component. Aceasta implic, de asemenea, identificarea modalitilor de scurgere a informaiilor din fiecare component a sistemului informatic. 3.1.7 Odat ce valoarea unui sistem i ameninrile cu care acesta se confrunt au fost stabilite poate fi formulat o cerin de securitate. Aceasta va lua forma unei liste de msuri care sunt necesare pentru a reduce riscurile cu care se confrunt utilizatorii, la un nivel acceptabil. Punerea n aplicare a acestor msuri i meninerea lor este sarcina personalului care alctuiete infrastructura de securitate. Stadiile unei metode de securitate a sistemului informatic sunt: (1) Stabilirea unei politici de securitate (2) Construirea infrastructurii de securitate (3) Identificarea sistemelor informatice (4) Identificarea ameninrilor / punctelor slabe (5) Evaluarea sistemelor (6) Evaluarea cerinelor de securitate pentru fiecare sistem informatic (7) Implementarea i meninerea unui program de securitate i a unor proceduri coerente cu politica de securitate

3.1.8

3.2
3.2.1

Infrastructura
Politica de securitate ar trebui s reflecte strategia legat de sistemul informatic, care ar trebui s se bazeze pe misiunea i obiectivele identificate n declaraia de politic corporativ. Nu este oportun s se nceap proiectarea unei strategii de securitate a sistem informatic naintea strategiei corporative sau a celei a sistemelor informatice. Consiliul de conducere ar trebui s elaboreze o politic de securitate. Politica ar trebui s fie aprobat de ctre eful organizaiei. Un ofier de securitate (CIO) ar trebui s fie numit pentru a supraveghea implementarea politicii de securitate. Dac avei, sau planificai a avea, sisteme informatice extinse ar trebui s se nfiineze un Comitet director pentru sisteme informatice. Un membru al consiliului de conducere ar trebui s prezideze acest comitet. Rolul comitetului director pentru sisteme informatice este de a asigura c strategia sistemului informatic se dezvolt n conformitate cu obiectivele corporative i faptul c strategia de securitate trebuie meninut actualizat. Ar trebui s fie desemnat un ofier de securitate al sistemului informatic i s se ia n considerare instituirea unui Grup de securitate a sistemului informatic. Securitatea sistemului informatic este o specialitate. Rolul grupului de securitate este de a aciona ca un punct central pentru activitatea de dezvoltare a sistemului de securitate. Declaraia privind politica de securitate ar trebui s ofere un cadru pentru programele de securitate cu care se confrunt fiecare sistem informatic important.
72

3.2.2

3.2.3

Organizaiile mari produc adesea linii directoare de securitate, care stabilesc n detaliu standardele de securitate. Liniile directoare sunt menite s ajute personalul s traduc cerinele politicii de securitate ntr-un program de securitate pentru sistemele proprii. 3.2.4 Procedurile de operare pentru securitate (POS) iau forma unor manuale care ofer detalii cu privire la procedurile necesare pentru a sprijini programul de securitate. POS sunt deosebit de importante, ntruct multe msuri de securitate sunt ineficiente, cu excepia cazului n care personalul nelege i respect procedurile suport. Instruirea personalului i programele de contientizare sunt o parte esenial a infrastructurii de securitate. Organizaia ar trebui s includ instruiri pentru contientizarea n domeniul securitii, ca parte a iniierii personalului, i continuarea acestora cu cursuri de perfecionare la intervale regulate. Folosirea de afie, brouri i manuale poate consolida n continuare principalele elemente ale programului de securitate.

3.2.5

3.3
3.3.1

Limite
Prima etap n orice revizuire de securitate a sistemului informatic este de a stabili limitele sistemului supus revizuirii. Acest lucru poate fi realizat prin identificarea unei comuniti de utilizatori. n cazul n care exist o interaciune redus ntre sistemele informatice, este destul de uor ca utilizatorii ieirilor din sistem s poat fi identificai. n sistemele puternic integrate trebuie agreat o grani artificial, n scopul meninerii revizuirii la o scar rezonabil. Este important s se obin angajamentul managementului de vrf pentru revizuire i, n special, pentru a se asigura c acesta este de acord cu limitele propuse. n mod ideal, ar trebui s se nceap cu un model complet al informaiei din organizaie pe baza cruia s aib loc revizuirea. Acest model ar trebui s prezinte fluxul de informaii att n cadrul organizaiei ct i ntre organizaie i cei din afar. Acest model poate aciona ca baz pentru un program de securitate a sistemului informatic, care va acoperi toate sistemele cheie atunci cnd se va finaliza.

3.3.2

3.3.3 3.3.4

3.4
3.4.1

Echipa
Prima manifestare a angajamentului conducerii superioare privind sistemul de securitate a informaiilor ar trebui s fie instituirea unui Grup de securitate a sistemului informatic. Grupul de securitate trebuie s fie responsabil pentru implementarea politicii de securitate stabilite de ctre conducere i pentru identificarea modificrilor necesare, n contextul evoluiei sistemelor informatice ale organizaiei sau ameninrilor cu care se confrunt.
73

3.4.2

n cazul n care constatrile unei revizuiri trebuie s fie acceptate n ntreaga organizaie, este important s se asigure c echipa de securitate este construit, pe ct posibil, ca o seciune extins, transversal a organizaiei. Acest lucru este deosebit de important dac efectuai revizuirea din poziia unui consultant extern. Echipa de audit intern ar trebui s aib o nelegere profund asupra sistemelor informatice din cadrul organizaiei i va avea un rol important n garantarea faptului c recomandrile de securitate sunt implementate n mod eficient. Echipa de securitate poate fi capabil s foloseasc dosarele de lucru de audit intern pentru a nelege sistemele informatice din cadrul organizaiei, dar este puin probabil c membrii structurii de audit intern vor dori s joace un rol activ ntruct acest lucru ar compromite independena lor n etapa de revizuire. Utilizatorii unui sistem informatic au un rol cheie n explicarea modului n care sistemul funcioneaz i n valorificarea informaiilor obinute de la acesta. Cooperarea utilizatorilor este esenial pentru ca programul de securitate a informaiilor s fie implementat cu succes. Este mult mai probabil ca utilizatorii s accepte recomandrile privind securitatea, n cazul n care un membru influent al comunitii utilizatorilor este un membru al echipei. Reprezentantul utilizatorilor este, de multe ori, un ef de echip bun, pentru a da asigurri att conducerii, ct i utilizatorilor care sunt adesea profund suspicioi fa de rapoartele elaborate de "specialiti tehnici". n cazul n care sistemul informatic este puternic, atunci ar trebui s fie inclus n echip un analist de sistem, pentru a ajuta la explicarea modului n care funcioneaz sistemul informatic i pentru a consilia cu privire la o metod clar i consecvent de documentare a fluxurilor de informaii. Specialitii n securitatea calculatoarelor nu pot fi solicitai n cazul n care sistemul este simplu, dar pentru sisteme informatice complexe va fi nevoie de ajutorul lor, att n evaluarea ameninrilor la adresa sistemului, ct i n formularea contramsurilor.

3.4.3

3.4.4

3.4.5

3.4.6

3.5
3.5.1

Ameninri / Vulnerabiliti
Prima etap n evaluarea ameninrilor cu care se confrunt un sistem este de a stabili lanul de active care sunt implicate n furnizarea informaiilor, pentru fiecare utilizator major. Amintii-v obiectivele de securitate a informaiilor (de confidenialitate, integritate i disponibilitate) i gndii-v la toate punctele din sistem n care oricare dintre aceste obiective ar putea fi compromise. Lista activelor va fi mai lung pentru o aplicaie n reea dect pentru un calculator neconectat. Un procesor de texte funcional pe un calculator neconectat va fi vulnerabil prin ecran, imprimant, tastatur i prin orice dispozitiv de stocare, cum ar fi floppy discuri, benzi sau hrtie. Un sistem n reea ar putea fi vulnerabil n multe alte puncte, inclusiv terminale, imprimante, echipamente de telecomunicaii legate la reea, cabla jul reelei, discurile centrale i locale. Creai un formular pentru fiecare activ sau grup de active pe care le identifica i i apoi ntocmii o list a tuturor evenimentelor care ar putea compromite integritatea,
74

3.5.2

disponibilitatea sau confidenialitatea sistemelor informatice care sunt conectate la activ. Pentru fiecare eveniment va trebui s facei o estimare a probabilitii evenimentului care ar putea avea loc. Acest lucru poate fi foarte dificil, dac nu au existat evenimente n istoria sistemelor informatice ale organizaiei. Statistici actuariale12 din companiile de asigurri v pot ajuta s facei o estimare realist a frecvenei evenimentelor neobinuite. Indiferent de abordarea adoptat, va exista un element de incertitudine. nregistrrile din experiena trecut se refer numai la evenimentele detectate, privind securitatea sistemului; securitatea sistemului ar fi putut fi compromis, fr a fi fost detectate evenimente. n plus, nu exist nici o garanie c evenimentele vor avea loc cu aceeai frecven pe care au avut-o n trecut. 3.5.3 Raionamentul privind frecvena preconizat a evenimentelor care ar putea compromite securitatea sistemelor informatice joac un rol important n justificarea costurilor msurilor necesare pentru a proteja sistemul. Dac nu obinei angajamentul conducerii superioare privind strategia pe care o adoptai pentru evaluarea frecvenei evenimentelor, este puin probabil s obinei angajamentul acesteia cu privire la recomandrile formulate. Dac exist deja msuri puse n aplicare pentru a reduce probabilitatea ca sistemul informatic s fie compromis, ar trebui s luai not de ele i s facei o evaluare a costurilor anuale de meninere a acestora, precum i a efectelor pe care considerai c le vor avea asupra frecvenei evenimentelor care ar putea afecta n mod negativ sistemele informatice. Aceste informaii pot fi folosite mai trziu pentru a decide dac msurile existente ar trebui nlocuite cu altele mai eficiente.

3.5.4

3.6
3.6.1

Evaluare
Analiza ameninrilor i vulnerabilitilor sistemului se finalizeaz cu o list de evenimente care ar putea afecta negativ sistemul informatic. Ar fi trebuit s convenii o frecven ateptat pentru fiecare eveniment. Urmtoarea etap este discutarea impactul fiecrui eveniment cu utilizatorii. Valorile pe care utilizatorii le identific pentru impactul fiecrei ameninri vor fi utilizate ca parte a justificrii costurilor msurilor de securitate. Este important ca efectele s poat fi exprimate n termeni financiari i s fie evaluate pe o baz consistent. Multe efecte care pot rezulta din compromiterea unui sistem informatic nu au un impact financiar direct. n aceste cazuri este necesar s se construiasc scale care pot fi folosite pentru a traduce impactul non-financiar n termeni financiari. Distribuiile pe o scal cheie a pierderilor financiare ar putea arta ca mai jos:

3.6.2

3.6.3

12

Referitoare la prime de asigurri, dividende i riscuri

75

Pierdere13 10m+ (14 4m-10m 2m-4m 1m-2m 500,000-1m 250,000-500,000 100,000-250,000 50,000-100,000 10,000-50,000 1,000-10,000

Puncte 10 9 8 7 6 5 4 3 2 1

3.6.4 O alt scal aplicabil s-ar putea referi la siguran personal: Rezultat Pierderi de mai mult de 100 de viei Pierderi de mai mult de 50 de viei Pierderi de mai mult de 25 de viei Pierderi de mai mult de 10 viei Pierderi de mai mult de 5 viei Pierderi ntre 1-5 viei Pierderea unei viei Pierderea vederii sau a mai mult de 2 membre Pierderea unui membru sau a auzului Prejudicii minore 3.6.5 Puncte 10 9 8 7 6 5 4 3 2 1

Scalele de mai sus sunt cu titlu de exemplu. Ar putea fi construite mai mule, cum ar fi: rspunderea juridic, disconfort politic i ntreruperi organizaionale. Scalele pe care le construii ar trebui s fie n concordan unele cu altele i ar trebui s le acopere pe toate cele cu impact semnificativ care ar putea rezulta din pierderi ale sistemelor informatice ale organizaiei. Dup ce scalele au fost convenite cu managementul de vrf, putei trece la intervievarea utilizatorilor sistemelor informatice. Ar trebui s le cerei s ia n considerare impactul fiecruia dintre evenimentele identificate n timpul analizei ameninrilor / vulnerabilitilor. Ei pot fi capabili s identifice impactul pentru mai multe scale. Fii ateni pentru a evita dublarea calculului. Dac distrugerea de informaii ar putea duce la pierderea unei viei i acest lucru ar putea conduce la un caz n instan cu daune de 100.000 care trebuie acordate, dar

3.6.6

13

n acest document, simbolul lira sterlin poate fi substituit cu orice unitate monetar naional. Domeniile de scar se pot adapta la moneda fiecrei ri iar nivelele de semnificaie pot fi convenite.
14

mai mult de 10 milioane

76

numai 5.000 alte cheltuieli, atunci ar trebui s nscriei 4 pe scara de siguran personal, care ar fi echivalat cu o valoare de 175,000 pe scara pierderilor financiare. Adugarea de alte cheltuieli de 5000 la aceste valori, va conduce la o pierdere total, n termeni financiari de 180,000 , echivalent cu un scor total de 4 pe scara pierderilor financiare. 3.6.7 Cnd ai intervievat utilizatorili cheie ai sistemului, ai avut o serie de scoruri. Scorurile ar putea avea nevoie s fie ajustate de ctre managementul de vrf, n cazul n care impacturile identificate de ctre utilizatori sunt considerate nerezonabile. Scorul pentru un eveniment poate fi apoi stabilit prin compilarea unei liste a tuturor impacturilor identificate de ctre utilizatori pentru fiecare eveniment.

3.7
3.7.1

Cerina de securitate
Cerina de securitate este o declaraie care exprim ct de mare este valoarea cheltuielilor pentru protecia fiecrui activ n sistem. Acest lucru este derivat din evaluarea i frecvena evalurilor pentru fiecare eveniment advers. Evalurile utilizatorului ar trebui s fie transformate n valori financiare, prin utilizarea punctului de median al scalei financiare. Frecvenele ar trebui s fie exprimate n termenii numrului de ori n care evenimentul este de ateptat s apar n fiecare an. Acesta va fi mai mic dect unu, n cazul n care un eveniment este rar. Colectai toate efectele identificate de ctre utilizatori pentru fiecare eveniment i excludei dublurile. Dac adugai apoi valorile financiare ale impacturilor i nmulii cu frecvena evenimentului vei obine ateptarea privind pierderile anuale (APA), pentru un eveniment particular, care afecteaz un activ particular. Calculul APA trebuie s fie repetat pentru fiecare eveniment care ar putea afecta negativ, n mod semnificativ, fiecare activ care este conectat la oricare dintre sistemele informatice n curs de revizuire. Atunci cnd acest proces a fost finalizat, activele pot fi sortate dup APA. Lista sortat ar trebui s constituie baza pentru un plan de aciune pentru dezvoltarea programului de securitate.

3.7.2

3.8
3.8.1

Contramsuri
Cerina de securitate va evidenia activele care reprezint un risc semnificativ pentru confidenialitatea, integritatea sau disponibilitatea sistemelor informa tice n curs de revizuire. Contramsurile sunt msurile luate pentru a reduce frecvena ameninrilor asupra activelor sistemului informatic sau a impactului, atunci cnd apar ameninri. Ar trebui s ncepei prin instalarea contramsurilor pentru a proteja activele cu cea mai mare APA. Luai n considerare msurile care ar putea fi aplicate pentru a reduce frecvena sau impactul evenimentelor cu potenial de a avea cel mai mare impact. Detectai costurile acestora, inclusiv cele cu formarea, ntreinerea i perturbaiile pe care le-ar putea cauza. Dup ce ai evaluat msurile care pot fi introduse , evaluai reducerea APA care ar fi de ateptat s fie atins.
77

3.8.2

3.8.3

O singur contramsur, cum ar fi introducerea unui agent de paz la intrarea n locaie, poate reduce APA asociat cu multe evenimente care ar afecta un numr mare de active. Va trebui s v asigurai c toate beneficiile asociate msurii sunt reflectate n cazul introducerii fiecrei msuri. Pentru fiecare contramsur pstrai o list a impactului evenimentelor/activelor ale cror APA sunt afectate i amploarea schimbrilor preconizate. Odat ce ai identificat contramsurile care ar reduce cel mai mare APA la nivelul urmtorului APA, ar trebui s comutai atenia la urmtorul eveniment / activ din list. De fiecare dat cnd selectai o contramsur, va trebui s adaptai indicatorii APA la orice alte evenimente / active, care sunt afectate de contra msur. Pe msur ce v deplasai n jos n list, valorile APA rmase vor fi tot mai mici. Ar trebui s v oprii atunci cnd APA rmase sunt sub pragul pe care credei c l va accepta managementul. Recomandrile pentru management ar trebui s evidenieze acele contramsuri care dau cea mai mare reducere APA la cel mai mic cost. Managementul poate decide s accepte riscul oricrui eveniment care afecteaz orice activ din sistemul informatic, dar ar trebui s fac acest lucru n mod explicit, prin prisma analizei APA, astfel nct s fie contient de amploarea riscurilor pe care le accept. Dac managementul decide s nu implementai o contramsur, atunci va trebui s reajustai lista APA, utiliznd lista de impact pentru contramsur.

3.8.4 3.8.5

3.8.6

3.9
3.9.1

Administrarea securitii
Odat ce o list de msuri de contracarare a fost agreat, acestea vor trebui s fie transferate n programele de securitate i procedurile de securitate operaionale. Grupul de securitate a sistemului informatic ar trebui s fie responsabil pentru implementarea contramsurilor selectate. Auditul intern ar trebui s revizuiasc documentele de lucru privind evaluarea i gestionarea riscurilor i s monitorizeze implementarea i eficacitatea contramsurilor selectate. Programul i procedurile de securitate vor trebui s fie actualizate pentru a ine seama de schimbrile intervenite n mediul de securitate i al sistemelor informatice. Grupul de securitate a sistemului informatic ar trebui s se informeze cu privire la evoluiile din domeniul securitii sistemul informatic i s fie informat cu privire la toate evoluiile semnificative n sistemele informatice ale organizaiei. Acesta ar trebui s monitorizeze n permanen necesitatea actualizrii programului de securitate.

3.9.2

3.9.3

78

Glosar succint

Terminologie referitoare la riscul privind securitatea15


Contramsur (C): Un control care este conceput pentru a spori securitatea sau pentru reducerea ameninrii, reducerea impactului, detectarea unei bree de securitate sau recuperarea dup un incident de securitate. Sinonime: msur de protecie, msur de securitate. Impact: Efectul advers sau consecina unei ameninri care apare. Probabilitate: probabilitatea unei ameninri particulare care apare. Risc / Expunere: O msur a probabilitii i a magnitudinii impactului unei ameninri particulare asupra unui sistem informatic. Este o funcie care depinde de o ameninare care apare i posibila pierdere care ar putea rezulta. Evaluarea riscurilor: un proces formal pentru a evalua ansa de a exploata vulnerabilitile, bazat pe eficacitatea unor protecii de securitate existente sau propuse. Ameninare (T): Orice eveniment sau act potenial nedorit i care poate avea un impact asupra unui sistem informatic, cum ar fi un incendiu, catastrofe naturale, acces neautorizat etc. Vulnerabilitatea: O msur a probabilitii ca un activ s fie distrus sau s fie atacat de o ameninare deosebit.

Terminologia referitoare la riscul privind securitatea poate varia foarte mult n funcie de diferite coli de gndire. n mod similar, n funcie de metodologia utilizat, impactul i vulnerabilitile pot fi evaluate n prezena unor protecii existe nte sau n absena oricror protecii.
15

79