Proiect Audit Intern

MISIUNEA DE AUDIT INTERN
PRIVIND
ACTIVITATEA IT
Prezentarea generala a societatii auditate
Denumire: S.C. SCM RECYCLING S.A.
Sediul social: Constanta str. Remus !"reanunr.#$et.#a".#% & str.Prima'erii nr.()*
Nr. !RC: +#)&(,$(&($.$(.($$( *
Cod unic: #-###(.- *
/i"ul acti'it01ii "rinci"ale actuale si codul CAEN 2 recu"erarea deseurilor si resturilor
metalice recicla3ile cod CAEN )4#$.
CUVANT INAINTE
Ghidul de audit intern privind activitatea IT re"rezinta un model "ractic de
des5asurare a unei misiuni "rin "arcurgerea in detaliu a 5iecarui "as intr6o maniera
didactica. G7idul "oate 5i utilizat de entitatile din sectorul "u3lic si in acelasi tim" 'a
re"rezenta su"ortul "entru realizarea "ro"riului g7id "ractic s"eci5ic entitatii.
Ela3orarea g7idului are la 3aza "re'ederile art. , lit. c8 din Legea nr. 672/2002
privind auditul public intern re5eritoare la dez'oltarea si im"lementarea unor
"roceduri si metodologii uni5orme 3azate "e standardele internationale.
In con5ormitate cu "re'ederile "unctului % Partea I din Normele generale de
exercitare a auditului public intern, aprobate prin OMF nr. 3/2003 9Manualul de
audit intern8 misiunea de audit intern are dre"t sco" e'aluarea sistemelor de
management si control intern ale entitatii urmarind trans"arenta si con5ormitatea cu
cadrul normati'.
Realizarea g7idului "ractic "resu"une "arcurgerea "rocedurilor si documentelor
s"eci5ice structurate "e cele "atru eta"e "rezentate "rin normele generale.
6 !n etapa de pregatire a mi"iunii de audit intern au 5ost ela3orate documentele
"re'azute de normele generale si s6au adus clari5icari in s"ecial cu "ri'ire la modul
concret de dez'oltare a "rocedurii de #nali$a ri"curilor succesiunea documentelor
structura acestora si modul de com"letare ni'elul de a"reciere si im"artire al riscurilor
in mari medii si mici clasarea si ierar7izarea acestora in 'ederea 5inalizarii "rocedurii
"e 3aza careia se 'a concentra munca "e teren si a %rogramului interventiei a &ata
locului.
' !n etapa de interventie la &ata locului s6au realizat testarea "e teren a
o"eratiilor audita3ile "e 3aza %rogramului interventiei a &ata locului "rin utilizarea
di5eritelor te7nici de esantionare liste de 'eri5icare teste 5oi de lucru inter'iuri si
note de relatii elemente care s6au constituit in "ro3e de audit si au stat la 3aza
intocmirii :IAP6urilor si :CRI6 urilor care 'or 5i incluse in ra"ort.
6 !n etapa de elaborare a (aportului de audit intern s6a urmarit structurarea
acestuia "e )ematica in detaliu a mi"iunii de audit o3tinuta in "rocedura de #nali$a
ri"curilor si trans5erarea :IAP6urilor si :CRI6 urilor intr6o maniera standardizata
"entru a "utea 5i utilizat de 5actorii de management.
6 !n etapa de urmarire a recomandarilor in a5ara documentelor sta3ilite de
normele generale sunt "ro"use unele modele de documente "entru e'aluarea interna si
e;terna a acti'itatii de audit intern.
Procedura P01: Iniierea auditului
ORDIN DE SERVICIU
In con5ormitate cu "re'ederile Legii nr. <4(&($$( "ri'ind auditul "u3lic intern a
!.M.:.P. nr. ),&($$) de a"ro3are a normelor metodologice generale "ri'ind
e;ercitarea acti'it01ii de audit intern a !rdinului managerului general nr. #$(%&($$)
"rin care s6au a"ro3at
Sco"ul misiunii de audit este de a da asigur0ri asu"ra activit*+ii !) de la
nivelul entit*+ii =i a con5ormit01ii cu cadrul legislati' =i normati' a"lica3il 5iind
structurate "e urm0toarele domenii audita3ile:
%lan "trategic*
Organi$area ,i &unc+ionarea -epartamentului !).
!mplementarea "i"temului !).
/ecuritatea !).
Ec7i"a de auditori interni este 5ormat0 din urm0torii:
#. Mariana >uta*
(. Cazac George.
Coordonator Com"artimentul de Audit Intern
>uce'sc7i Dan
Procedura P0!: Iniierea auditului
DECLARA?IA DE INDEPENDEN?@
Nume =i "renume: Mariana >uta
Misiunea de audit: /e7nologia In5ormatiei Data: #$.$#.($$<
Incom"ati3ilit01i An leg0tur0 cu entitatea&structura auditat0
Da Nu
A1i a'ut&a'e1i 'reo rela1ie o5icial0 5inanciar0 sau "ersonal0 cu cine'a care
ar "utea s0 '0 limiteze m0sura An care "ute1i s0 '0 interesa1i s0 desco"eri1i
sau s0 constata1i sl03iciuni de audit An orice 5elB
6 C
A'e1i idei "reconce"ute 5a10 de "ersoane gru"uri organiza1ii sau o3iecti'e
care ar "utea s0 '0 in5luen1eze An misiunea de auditB
6 C
A1i a'ut&a'e1i 5unc1ii sau a1i 5ost&sunte1i im"licat908 An ultimii ) ani Antr6un
alt mod An acti'itatea entit01ii&structurii ce 'a 5i auditat0B
6 C
A'e1i res"onsa3ilit01i An derularea "rogramelor =i "roiectelor 5inan1ate
integral sau "ar1ial de Dniunea Euro"ean0B
6 C
A1i 5ost im"licat An ela3orarea =i im"lementarea sistemelor de control ale
entit01ii&structurii ce urmeaz0 a 5i auditat0B
6 C
Sunte1i so1&so1ie rud0 sau a5in "En0 la gradul al "atrulea inclusi' cu
conduc0torul entit01ii&structurii ce 'a 5i auditat0 sau cu mem3rii organului
de conducere colecti'0B
6 C
A'e1i 'reo leg0tur0 "olitic0 social0 care ar rezulta dintr6o 5ost0 angaFare sau
"rimirea de rede'en1e de la 'reun gru" anume sau organiza1ie sau ni'el
gu'ernamentalB
6 C
A1i a"ro3at Anainte 5acturi ordine de "lat0 =i alte instrumente de "lat0
"entru entitatea&structura ce 'a 5i auditat0B
6 C
A1i 1inut anterior conta3ilitatea la entitatea&structura ce 'a 5i auditat0B 6 C
A'e1i 'reun interes direct sau unul de 5ond 5inanciar indirect la
entitatea&structura ce 'a 5i auditat0B
6 C
Dac0 An tim"ul misiunii de audit a"are orice incom"ati3ilitate "ersonal0
e;tern0 sau organiza1ional0 care ar "utea s0 '0 a5ecteze a3ilitatea d's. de a
lucra =i a 5ace ra"oartele de audit im"ar1iale noti5ica1i coordonatorul
Com"artimentului Audit Pu3lic Intern de urgen10B
C 6
Auditor Coordonatorul Com"artimentului Audit Intern
Mariana >uta >uce'sc7i Dan
# Incom"ati3ilit01i "ersonale: Nu.
(. Pot 5i eliminate incom"ati3ilit01ile: Nu este cazul.
Dac0 da e;"lica1i cum anume: Nu este cazul.
Data: #$.$#.($$<
Semn0tura: >uce'sc7i Dan
Procedura P0!: Iniierea auditului
ENTITATEA PU"#IC$
Com"artimentul Audit Intern
DECLARA?IA DE INDEPENDEN?@
Nume =i "renume: Radu George
Misiunea de audit: /e7nologia In5ormatiei Data: #$.$#.($$<
Incom"ati3ilit01i An leg0tur0 cu entitatea&structura auditat0
Da Nu
A1i a'ut&a'e1i 'reo rela1ie o5icial0 5inanciar0 sau "ersonal0 cu cine'a care ar
"utea s0 '0 limiteze m0sura An care "ute1i s0 '0 interesa1i s0 desco"eri1i sau
s0 constata1i sl03iciuni de audit An orice 5elB
6 C
A'e1i idei "reconce"ute 5a10 de "ersoane gru"uri organiza1ii sau o3iecti'e
care ar "utea s0 '0 in5luen1eze An misiunea de auditB
6 C
A1i a'ut&a'e1i 5unc1ii sau a1i 5ost&sunte1i im"licat908 An ultimii ) ani Antr6un
alt mod An acti'itatea entit01ii&structurii ce 'a 5i auditat0B
6 C
A'e1i res"onsa3ilit01i An derularea "rogramelor =i "roiectelor 5inan1ate
integral sau "ar1ial de Dniunea Euro"ean0B
6 C
A1i 5ost im"licat An ela3orarea =i im"lementarea sistemelor de control ale
entit01ii&structurii ce urmeaz0 a 5i auditat0B
6 C
Sunte1i so1&so1ie rud0 sau a5in "En0 la gradul al "atrulea inclusi' cu
conduc0torul entit01ii&structurii ce 'a 5i auditat0 sau cu mem3rii organului de
conducere colecti'0B
6 C
A'e1i 'reo leg0tur0 "olitic0 social0 care ar rezulta dintr6o 5ost0 angaFare sau
"rimirea de rede'en1e de la 'reun gru" anume sau organiza1ie sau ni'el
gu'ernamentalB
6 C
A1i a"ro3at Anainte 5acturi ordine de "lat0 =i alte instrumente de "lat0 "entru
6 C
A1i 1inut anterior conta3ilitatea la entitatea&structura ce 'a 5i auditat0B 6 C
A'e1i 'reun interes direct sau unul de 5ond 5inanciar indirect la
6 C
Dac0 An tim"ul misiunii de audit a"are orice incom"ati3ilitate "ersonal0
e;tern0 sau organiza1ional0 care ar "utea s0 '0 a5ecteze a3ilitatea d's. de a
lucra =i a 5ace ra"oartele de audit im"ar1iale noti5ica1i coordonatorul
Com"artimentului Audit Pu3lic Intern de urgen10B
C 6
Auditor Coordonatorul Com"artimentului Audit Intern
Cazac George >uce'sc7i Dan

#. Incom"ati3ilit01i "ersonale: Nu.
(. Pot 5i eliminate incom"ati3ilit01ile: Nu este cazul.
Dac0 da e;"lica1i cum anume: Nu este cazul.
Data: #$.$#.($$< Semn0tura: >uce'sc7i Dan
Procedura P0%: Iniierea Auditului
NOTI&ICAREA PRIVIND DEC#AN'AREA MISIUNII DE AUDIT INTERN
C0tre: Direc1ia /e7nologia In5orma1iei
De la: Coordonatorul Com"artimentului Audit Intern
Re5eritor la misiunea de audit intern GModul de organizare a activitii de
tehnologia informaiei din entitatea publicH
Stimate domnule Carol Dic7iu6Iiorel
Jn con5ormitate cu Planul de audit intern "e anul ($$< urmeaz0 ca An "erioada
(-.$#.($$< 2 #4.$%.($$< s0 e5ectu0m o misiune de audit intern cu tema Tehnologia
informaiei.
I0 'om contacta ulterior "entru a sta3ili de comun acord =edin1a de desc7idere
An 'ederea discut0rii di'erselor as"ecte ale misiunii de audit cu"rinzEnd:
- "rezentarea auditorilor*
- "rezentarea "rinci"alelor o3iecti'e ale misiunii de audit intern*
- "rogramul inter'en1iei la 5a1a locului*
- sco"ul misiunii de audit intern*
- alte as"ecte.

Pentru o mai 3un0 An1elegere a acti'it01ii dumnea'oastr0 '0 rug0m sa ne "une1i
la dis"ozi1ie urm0toarea documenta1ie necesar0 "ri'ind acti'itatea de te7nologie a
in5orma1iei: legile =i reglement0rile ce se a"lica acti'it01ilor dumnea'oastr0
organigrama direc1iei dumnea'oastr0 Regulamentul de organizare =i 5unc1ionare
5i=ele "osturilor "rocedurile scrise care descriu sarcinile ce tre3uie realizate "e linia
organiz0rii acti'it01ii un e;em"lar al ra"oartelor de acti'itate notelor misiunilor de
audit anterioare care se re5er0 la aceasta tem0.
Dac0 a'e1i unele Antre30ri "ri'ind des50=urarea misiunii '0 rug0m s06l contacta1i
"e domnul Mariana >uta 6 auditor coordonatorul misiunii sau "e =e5ul structurii de
audit intern.
Cu stim0
Data: #$.$#.($$<
Coordonatorul Com"artimentului Audit Intern
>uce'sc7i Dan
Procedura P0(: Colectarea )i *relucrarea in+or,aiilor
CO#ECTAREA IN&ORMA-II#OR

Misiunea de audit: Tehnologia Informaiei
Perioada auditat0: 01.01 %1.1!.!00/
Jntocmit: Mariana "uta 0 Radu 1eor2e Data: 10.01.!003
A'izat: "uce45c6i Dan Data: 10.01.!003
CO#ECTAREA IN&ORMA-II#OR
DIREC-IA TE7NO#O1IA
IN&ORMA-IEI
DA NU O85er4aii
Identi5icarea legilor =i regulamentelor
a"lica3ile structurii auditate
C 6
!31inerea organigramei C 6
!31inerea Regulamentului de organizare =i
5unc1ionare
C 6
!31inerea 5i=elor "osturilor C 6
!31inerea "rocedurilor scrise 6 C E;ist0 doar "ar1ial
Identi5icarea "ersonalului res"onsa3il C 6
!31inerea e;em"larului de Ra"ort de audit
intern anterior
' C
Anterior nu au 5ost realizate
misiuni de audit intern
asu"ra te7nologiei
in5orma1iei la ni'elul
entit01ii "u3lice
Procedura P0/ : Anali9a ri5curilor
#ISTA CENTRA#I:ATOARE A O"IECTE#OR AUDITA"I#E
Mi5iunea de audit: /e7nologia in5orma1iei
Perioada auditat;: $#.$#.($$-6 )#.#(.($$-
<ntoc,it: Mariana >uta &Radu George Data: ($.$#.($$<
A4i9at: >uce'sc7i Dan Data: ($.$#.($$<
Nr.
crt.
D!MENIDL !>IEC/E ADDI/A>ILE !>S.
I. Plan 5trate2ic #. Politicile entit01ii "u3lice An domeniul I/
(. Modalitatea de ela3orare a "lanului strategic =i a "lanurilor anuale
). Su3sistemele in5ormatice "entru 5unc1iile "rinci"ale
%. Integrarea su3sistemelor in5ormatice
-. Sta3ilirea res"onsa3ililor cu ela3orarea si actualizarea "lanului
<. A"ro3area "lanului
II. Or2ani9area )i +uncionarea
de*arta,entului IT
4. !rganizarea de"artamentului I/
,. Sta3ilirea res"onsa3ilit01ilor "rin 5i=ele "osturilor
.. Cali5icarea =i "reg0tirea salaria1ilor
#$. Preg0tirea "ro5esional0 continu0
##. Sistemul de e'aluare a "ersonalului
#(. Sistemul de gestionare a riscurilor 2 conducerea Registrului riscurilor
III. I,*le,entarea 5i5te,ului IT #). Gradul de realizare a su3sistemelor in5ormatice sta3ilite "rin "lan
#%. E;isten1a controalelor generale la ni'elul su3sistemelor I/
#-. :unc1ionalitatea su3sistemelor An re1ea
#<. Situa1ia licen1elor "entru "rogramele de calculator
#4. Asigurarea integr0rii su3sistemelor com"onente
#,. Ela3orarea manualelor de utilizare =i a manualelor de o"erare
#.. Instruirea utilizatorilor su3sistemelor I/
II. Securitatea IT ($. Politica de securitate I/
(#. Monitorizarea im"lement0rii "oliticii de securitate I/
((. E'aluarea controalelor 5izice An domeniul I/
Nr.
crt.
D!MENIDL !>IEC/E ADDI/A>ILE !>S.
(). Siguran1a accesului la re1ea =i a comunic0rii datelor An re1ea
(%. Programe anti'irus
(-. Recu"erarea datelor An caz de dezastru
(<. Sistemul de ar7i'are

IDENTI&ICAREA RISCURI#OR
Nr.
crt
DOMENIU# O"IECTE AUDITA"I#E RISCURI SEMNI&ICATIVE O"S.
I. Plan strategic #. Politicile entit01ii "u3lice An domeniul I/ #. Ine;isten1a unei atitudini 5a'ora3ile An "ri'in1a in5ormatiz0rii
acti'it01ii entit01ii "u3lice
(. Modalitatea de ela3orare a "lanului
strategic =i a "lanurilor anuale
(. :undamentarea insu5icient0 a "lanului
). Necorelarea "lanurilor anuale
%. Li"sa "rioritiz0rii acti'it01ilor
). Su3sistemele in5ormatice "entru 5unc1iile
"rinci"ale
-. Neaco"erirea domeniilor de acti'itate ale entit01ii "u3lice cu
su3sisteme in5ormatice
<. Necorelarea termenelor "re'izionate de realizare a su3sistemelor
4. Nede5inirea res"onsa3ilit01ilor
,. Insu5icienta "re'izionare a resurselor
%. Integrarea su3sistemelor in5ormatice .. Incom"ati3ilitatea su3sistemelor in5ormatice
-. Sta3ilirea res"onsa3ililor cu ela3orarea si
actualizarea "lanului
#$. Nedesemnarea res"onsa3ilului cu ela3orarea "lanului
##. Nesta3ilirea "ersoanei res"onsa3ile cu actualizarea "lanului
<. A"ro3area "lanului #(. Planul nu este a"ro3at
#). Planul nu este a"ro3at de "ersoanele com"etente
#%. Coordonarea neadec'at0 a "lanurilor
II. !rganizarea =i
5unc1ionarea
de"artamentului I/
4. !rganizarea de"artamentului I/ #-. De"artamentului I/ nu este su3ordonat unui ni'el managerial
cores"unz0tor
#<. Ine;isten1a =i&sau nea"ro3area organigramei
#4. Ne5ormalizarea "rocedurilor s"eci5ice acti'it01ilor des50=urate
#,. E;isten1a unui num0r mare de "osturi de conducere de1inute cu
delega1ie
#.. Num0r mare de "osturi de e;ecu1ie neocu"ate
($. Personal de e;ecu1ie neadec'at
(#. Dotare cu 7ard =i so5t inadec'at "entru des50=urarea acti'it01ilor
s"eci5ice
Nr.
crt
((. Ine;isten1a unui sistem de control managerial la ni'elul
de"artamentului
(). Nee5ectuarea monitoriz0rii modului de realizare a o3iecti'elor
generale =i s"eci5ice ale de"artamentului
,. Sta3ilirea res"onsa3ilit01ilor "rin 5i=ele
"osturilor
(%. Neactualizarea 5i=elor "osturilor
(-. Neres"ectarea "rinci"iului segreg0rii sarcinilor de ser'iciu
(<. Necu"rinderea atri3u1iilor sta3ilite "rin R!: An 5i=ele "osturilor
.. Cali5icarea =i "reg0tirea salaria1ilor (4. Cali5icarea necores"unz0toare&insu5icient0 a "ersonalului
#$. Preg0tirea "ro5esional0 continu0 (,. Ine;isten1a "lanurilor de "reg0tire "ro5esional0 continu0
(.. Nea"ro3area "lanurilor de "reg0tire "ro5esional0 ontinu0
)$. Nerealizarea acti'it01ilor "re'izionate "rin "lanurile de "reg0tire
"ro5esional0 continu0
##. Sistemul de e'aluare a "ersonalului )#. Ine;isten1a unui sistem de e'aluare anual0 a salaria1ilor
)(. Nerealizarea e'alu0rii "e "arcursul anului a salaria1ilor
de"artamentului
)). E'aluarea 5ormal0 a "ersonalului
#(. Sistemul de gestionare a riscurilor 2
conducerea Registrului riscurilor
)%. Ine;isten1a unei "olitici unitare "ri'ind gestionarea riscurilor
)-. Ine;isten1a unui res"onsa3il "ri'ind gestionarea riscurilor
)<. Nedesemnarea unei "ersoane res"onsa3il0 cu ela3orarea =i
monitorizarea Registrului riscurilor
)4. Neactualizarea sistematic0 a Registrului riscurilor
III. Im"lementarea
sistemului I/
#). Gradul de realizare a su3sistemelor
in5ormatice sta3ilite "rin "lan
),. Li"s0 de coordonare a a"lica1iilor ce ruleaz0 An sistemul in5ormatic
).. Nealocarea cores"unz0toare a resurselor necesare realiz0rii
su3sistemelor in5ormatice
%$. E'olu1ii te7nologice cu im"lica1ii asu"ra Ande"linirii "lanului
%#. Modi5icarea cadrului legal =i "rocedural ce reglementeaz0
acti'it01ile "entru care se realizeaz0 su3sistemele in5ormatice
#%. Com"lementaritatea su3sistemelor
in5ormatice
%(. Im"lica1iile e'olu1iilor te7nologice An domeniul I/
%). Modi5icarea cadrului legal =i "rocedural ce reglementeaz0
#-. :unc1ionalitatea su3sistemelor An re1ea %%. Ine;isten1a unei "olitici de transmitere a datelor An re1ea
%-. Im"lica1iile e'olu1iilor te7nologice An domeniul I/
%<. Limit0ri 3ugetare An "ri'in1a ac7izi1ion0rii licen1elor
Nr.
crt
#<. Situa1ia licen1elor "entru "rogramele de
calculator
%4. Dis5unc1ionalit01i An "rocesul de ac7izi1ionare al licen1elor
#4. Asigurarea integr0rii su3sistemelor
com"onente
%,. Modi5icarea cadrului legal =i "rocedural ce reglementeaz0
%.. E'olu1ii te7nologice cu im"lica1ii asu"ra integr0rii su3sistemelor
-$. Neconcordan1e An integrarea su3sistemelor
#,. Ela3orarea manualelor de utilizare =i a
manualelor de o"erare
-#. Ine;isten1a&Insu5icien1a manualelor de utilizare =i a manualelor de
o"erare
-(. Li"sa unor com"onente =i e;isten1a unor elemente neclari5icate An
con1inutul manualelor
#.. Instruirea utilizatorilor su3sistemelor I/ -). Ine;isten1a unui "rogram de instruire al utilizatorilor
-%. Nee5ectuarea instruirii sistematice a utilizatorilor su3sistemelor I/
II. Securitatea I/ ($. Politica de securitate I/ --. Ine;isten1a "oliticii de securitate
-<. Nea"licarea "oliticii de securitatea An mod consec'ent
(#. Monitorizarea im"lement0rii "oliticii de
securitate I/
-4. Ine;isten1a unui res"onsa3il desemnat cu monitorizarea
im"lement0rii "oliticii de securitate I/
-,. NeEntocmirea =i netransmiterea sistematic0 a ra"oartelor de
monitorizare
-.. Ine;isten1a unui sistem de clasi5icare =i "roteFare adec'at0 a
in5orma1iilor con5iden1iale e;istente An 5ormat electronic
((. E'aluarea controalelor 5izice An
domeniul I/
<$. Li"sa "rocedurilor "ri'ind im"lementarea controalelor 5izice An
domeniul I/
<#. Nedesemnarea res"onsa3ilit01ii "entru monitorizarea controalelor
5izice
<(. Li"sa unor "roceduri "entru realizarea controalelor 5izice
<). Nee5ectuarea controalelor 5izice con5orm "rocedurilor
(). Siguran1a accesului la re1ea =i a
comunic0rii datelor An re1ea
<%. Li"sa "rocedurilor "ri'ind siguran1a accesului utilizatorilor An re1ea
<-. Ine;isten1a res"onsa3ilului desemnat cu monitorizarea
im"lement0rii "rocedurilor "ri'ind siguran1a accesului utilizatorilor An
re1ea
<<. Nee5ectuarea monitoriz0rii sistematice
<4. Neim"lementarea m0surilor "ri'ind siguran1a accesului
utilizatorilor An re1ea con5orm "rocedurilor
(%. Programe anti'irus <,. Li"sa "rocedurilor "ri'ind im"lementarea "rogramelor anti'irus
Nr.
crt
<.. Ine;isten1a res"onsa3ilului desemnat cu monitorizarea
im"lement0rii "rocedurilor "ri'ind im"lementarea "rogramelor
anti'irus
4$. Nee5ectuarea monitoriz0rii sistematice
4#. Neluarea m0surilor necesare "ri'ind im"lementarea "rogramelor
anti'irus con5orm "rocedurilor
(-. Recu"erarea datelor An caz de dezastru 4(. Li"sa "rocedurilor "ri'ind recu"erarea datelor An caz de dezastru
4). Ine;isten1a res"onsa3ilului desemnat cu monitorizarea
im"lement0rii "rocedurilor "ri'ind recu"erarea datelor An caz de
dezastru
4%. Nee5ectuarea monitoriz0rii sistematice
4-. Neluarea m0surilor necesare "ri'ind recu"erarea datelor An caz de
dezastru con5orm "rocedurilor
(<. Sistemul de ar7i'are 4<. Li"sa "rocedurilor "ri'ind ar7i'area datelor
44. Nedesemnarea res"onsa3ilit01ii "entru ar7i'area datelor
4,. Nee5ectuarea e'alu0rii "eriodice a acti'it01ii de ar7i'are
Procedura P0=: Colectarea do4e9ilor
CKES/I!NAR DE C!N/R!L IN/ERN
Perioada auditat;: $#.$#.($$- 2 $#.$-.($$<
<ntoc,it: Mariana >uta & Radu George Data: (-.$#.($$<
A4i9at: >uce'sc7i Dan Data: (-.$#.($$<
ACTIVITATEA DE AUDIT DA NU O"S.
O8iecti4ul I. P#AN STRATE1IC
1.1 Procedurile privind planul strategic
6 Acti'it01ile Antre"rinse concur0 la realizarea "lanului strategicB C
1.2 efinirea responsabilitatilor !n mod oficial
6 Jn "oliticile entit01ii "u3lice sunt de5inite clar o3iecti'ele =i care
sunt m0surile necesare ce tre3uiesc im"lementateB
C
6 E;ist0 structuri manageriale care s0 administreze =i s0 monitorizeze
atingerea acestor o3iecti'eB
C
6 Este desemnat un gru" de lucru res"onsa3il "entru actualizarea
"lanuluiB
C
1." #coperirea prin plan a tuturor domeniilor entitii publice
2 Entitatea "u3lic0 a ela3orat un "lan strategic B C
2 E;ist0 strategii ela3orate de 5iecare de"artament =i sus1in aceste
strategii "lanulB
C De"artamentele
An5iin1ate du"0
ela3orarea "lanului
strategic nu sunt
luate An calcul "rin
"lanul strategic
2 Au 5ost corelate "rin "lan termenele de realizare a su3sistemelor
I/B
C
1.$ %&istena unui sistem IT prevzut pentru fiecare activitate principal
6 Planul strategic I/ aco"er0 toate "rocesele care se des50=oar0 An cadrul
entit01ii "u3liceB
C
Planul tre3uie
actualizat "otri'it
sc7im30rilor
legislati'e a"0rute
1.$ #probarea planului de managementul general
2 A 5ost "lanul a"ro3at de managementul generalB C
2 Este "ersonalul de conducere al de"artamentelor im"licat An
a"ro3area "lanuluiB
C
1.' (erificarea !n mod periodic a stadiul de implementare a planului
6 E;ist0 "rocedur0 de 'eri5icare a stadiului de realizare al "lanuluiB C
1.) #ctualizarea planului
6 Este "lanul actualizat "eriodicB
C
S6a constatat
necesitatea
actualiz0rii "lanului
=i An tim"ul anului
An curs
1.* #locarea resurselor necesare pentru realizarea obiectivelor stabilite
prin plan
6 Sunt identi5icate resursele necesare "entru 5iecare element al "lanului
strategic B
C
6 E;ist0 resursele necesareB C
1.+ ocumentarea ,i fundamentarea planului strategic
6 Este "lanul documentat =i 5undamentatB C
O8iecti4ul II. MANA1EMENT 'I OR1ANI:ARE IT
2.1 -rganizarea departamentului IT
6 E;ist0 o organigram0 o5icial0 a"ro3at0 de managementB C
6 Sunt toate "osturile de conducere ocu"ateB C
6 Sunt toate "osturile de e;ecu1ie ocu"ateB C
6 Se iau m0suri de ocu"are a "osturilor 'acanteB C
2.2 efinirea responsabilitilor salariailor !n fi,ele posturilor
6 E;ist0 5i=e ale "osturilor "entru Antregul "ersonal care s0 de5ineasc0 An
mod clar s5era o3liga1iilorB
C
6 Cu"rind 5i=ele "osturilor atri3u1iile =i res"onsa3ilit01ile ce le re'in
salaria1ilor An acti'itatea de zi cu ziB
C
2." %&ist o separare a sarcinilor de serviciu.
6 E;ist0 o se"arare a sarcinilor "entru 5unc1iile de:
Proiectare a sistemelorB C
/estare a sistemelorB C
Im"lementare a sistemelorB C
Sisteme de o"erare curenteB C
2.$ #sigurarea pregtirii profesionale continue a salariailor
6 E;ist0 "lanuri de "reg0tire "ro5esional0 continu0B C
6 Salaria1ii "artici"a la cursuri de "er5ec1ionareB C
6 Preg0tirea "ro5esionala a salaria1ilor se realizeaz0 con5orm atri3u1iilor
=i res"onsa3ilit01ilor sta3ilite "rin 5i=a "ostuluiB
C
2.' Managementul riscului
6 E;ist0 un "roces 5o rmalizat de management al risculuiB C
- Au 5ost riscurile identi5icate =i e'aluateB C
- S6au ado"tat m0suri adec'ate de gestionare a riscurilor maForeB C
6 Este Registrul riscurilor 1inut la ziB C
O8iecti4ul III. IMP#EMENTAREA SISTEMU#UI IT
".1 Gradul de realizare al subsistemelor IT stabilite prin plan
6 E;ist0 un sistem "rocedurat de realizare a su3sistemelor I/B C
6 Su3sistemele I/ au 5ost realizate la termenele sta3iliteB C
".2 #sigurarea integrrii subsistemelor IT
6 S"eci5ica1iile "ri'ind cerin1ele sistemului I/ 1in cont de su3sistemele
e;istente =i de necesitatea de a le integraB
C
6 E;ist0 un administrator de sistem care s0 asigure dez'oltarea
Antre1inerea =i integrarea sistemelorB
C
6 Se e5ectueaz0 testarea im"lement0rii tuturor su3sistemelor I/ noiB C
"." %&istena controalelor generale de sistem la nivelul subsistemelor IT
6 E;ist0 un control adec'at din "unct de 'edere tem"oral al
Anregistr0rilorB
C
6 Sunt tranzac1iile autorizate An mod e;"licit "rin miFloace manuale sau
electroniceB
C
6 Sunt 5unc1iunile de introducere de date =i de autorizare restric1ionate =i
se"arateB
C
6 Introducerea "arametrilor =i a altor date "ermanente ce urmeaz0 a 5i
"rocesate este controlat0 An mod strictB
C
6 Jn eta"a de introducere este 'alidat caracterul com"let =i corect al
datelorB
C
6 E;ist0 "roceduri clare "entru elemente de date res"inse la introducereB C
6 E;ist0 orare clare "entru introducerea datelor =i sunt acestea
res"ectateB
C
6 A'e1i un sistem "entru detectarea "osi3ilelor Anregistr0ri du3leB C
6 E;ist0 o "lani5icare a "roces0rii =i este aceasta An1eleas0 de utilizatori =i
"ersonalul o"erati'B
C
6 Sunt toate datele inclusi' cele trans5erate din alte sisteme su"use
'alid0rii An tim"ul "relucr0riiB
C
6 Programele 5urnizeaz0 con5irm0ri cu "ri'ire la 5inalizarea cu succes a
"roces0rii sau e;ist0 "roceduri de recu"erare =i de reintroducere An
cazul o"ririlor anormaleB
C
Programele nu
5urnizeaz0 An toate
cazurile con5irm0ri
cu "ri'ire la
5inalizarea cu
succes a "roces0rii
6 Se con5irm0 "relucrarea integral0 a "roces0rilorB C
6 E;ist0 "roceduri "entru gestionarea Anregistr0rilor res"inse de
"rogramele de a"lica1iiB
C
6 E;ist0 "ersonal res"onsa3il de gestionarea rezultatelor de 'eri5icarea =i
de asigurarea caracterului com"let =i acce"ta3il al acestoraB
C
6 CEnd Anregistr0rile sunt trecute dintr6un su3sistem I/ An altul sunt cele
introduse An al doilea armonizate cu cele "roduse de "rimulB
C
6 Atunci cEnd Anregistr0rile sunt res"inse la trans5erarea Antre sisteme
"ot ele 5i identi5icate =i cercetateB
C
6 Sunt utilizatorii res"onsa3ili de introducerea modi5icarea sau =tergerea
Anregistr0rilor An cadrul sistemuluiB
C
6 Jn cazul e;isten1ei unor ra"oarte "ri'ind "ista de audit sunt acestea
com"lete iar ra"oartele indic0 dac0 =i cEnd sunt o"rite mecanismele de
urm0rireB
C
Nu e;ist0 ra"oarte
"ri'ind "ista de
audit
6 Sunt 5i=ierele sal'ate An 3acL u" la inter'ale regulate An tim"ul
"relucr0rii "entru a "ermite recu"erarea o"era1iunilorB
C
6 Sunt e5ectuate 'eri5ic0ri "eriodice ale integrit01ii 3azelor de date =i se
re1in co"ii de siguran10 ale 3azelor de date de la o 'eri5icare la altaB
C
6 Instruc1iunile o"eratorilor =i utilizatorilor s"eci5ic0 An mod clar
"rocedurile de urmat An cazul unei de5icien1e a a"lica1iei An tim"ul
"relucr0riiB
C
".$ /uncionalitatea subsistemelor IT !n reea
6 Sunt "0strate statistici cu "ri'ire la 5unc1ionare =i "er5orman10B C
6 Sunt statisticile analizate An mod regulat "entru a identi5ica "ro3lemele
de 5unc1ionareB
C
6 E;ist0 "rocese "rin care s0 se asigure remedierea de5icien1elor de
5unc1ionareB
C
".' 0ituaia licenelor pentru aplicaii
6 E;ist0 licen1e "entru toate co"iile "rogramelor nela3orate An cadrul
entit01ii "u3liceB
C
6 E;ist0 un "roces "entru e'aluarea regulat0 a necesarului de licen1eB C
".) Instruirea utilizatorilor este asigurat.
6 E;ist0 manuale de utilizareB C
6 Instruirea utilizatorilor se realizeaz0 con5orm unor "rograme 3ine
sta3iliteB
C
6 Este utilizat0 o gam0 larg0 de metode de instruire inclusi' "ractic0B C
O8iecti4ul IV. SECURITATEA IT
$.1 %&ist o politic de securitate IT.
E;ist0 documente de "olitic0 "ri'ind securitatea in5orma1ieiB C
Este "olitica de securitate I/ a"ro3at0 de conducerea su"erioar0B C
E;ist0 "ersoane res"onsa3ile cu monitorizarea res"ect0rii "oliticiiB C
Politica de5ine=te securitatea in5orma1iei =i "rinci"iile de securitate care
tre3uie urmate de c0tre "ersonalB
C
Securitatea in5orma1iei im"une:
6 Realizarea unei analize de risc An mod regulat
6 Desemnarea unui res"onsa3il cu instalarea com"uterelor =i&sau
sistemelor
6 Ca "ersonalul s0 5ie con=tient cu "ri'ire la siguran1a in5orma1iei
6 Res"ectarea licen1elor "entru "rograme =i a o3liga1iilor legale
reglementare =i contractuale
6 Ra"ortarea Anc0lc0rii "oliticii de securitate =i a de5icien1elor securit01ii
6 ProteFarea in5orma1iei An termenii cerin1elor acestora de
con5iden1ialitate integritate =i dis"oni3ilitateB
C
Politica de securitate interzice:
6 utilizarea in5orma1iilor =i sistemelor organiza1iei 50r0 autoriza1ie =i
"entru sco"uri care nu au leg0tur0 cu munca
6 a5irma1iile cu conota1ii o3scene discriminatorii sau a3uzi'e care "ot 5i
ilegale 9e; "rin utilizarea e6mail sau Internet8
6 desc0rcarea unor materiale ilegale 9e; cu con1inut o3scen sau
discriminatoriu8
6 scoaterea in5orma1iei sau ec7i"amentelor din sediu 50r0 autorizare
6 utilizarea neautorizat0 a in5orma1iei in5rastucturii sau ec7i"amentelor
6 co"ierea neautorizat0 a in5orma1iei&"rogramelor
6 com"romiterea "arolelor 9e; "rin notarea lor "e documente l0sate "e
3irou sau di'ulgarea lor c0tre alte "ersoane8
6 utilizarea in5orma1iilor "rin care "ot 5i identi5icate "ersoane An sco"uri
de a5aceri =i 50r0 autorizare e;"res0
6 discutarea in5orma1iilor legate de a5aceri An locuri "u3lice
6 5alsi5icarea "ro3elor An cazul unui incident
C
Politica de securitate a in5orma1iei s"eci5ic0 5a"tul c0 utilizatorii sunt
o3liga1i:
6 s0 Anc7id0 miFloacele sau documenta1ia im"ortant0 cEnd nu sunt utilizate
9adic0 se res"ect0 "olitica Mmesei de lucru curateN8
6 s0 ias0 din sistem atunci cEnd un terminal urmeaz0 s0 5ie l0sat
nesu"ra'eg7eat 9e; An tim"ul unor AntElniri a "auzei de mas0 sau "e
tim"ul no"1ii8B
C
Politica de securitate a in5orma1iei este:
6 comunicat0 Antregului "ersonal =i "0r1ilor e;terne cu acces la
in5orma1iile =i sistemele Antre"rinderii
6 re'izuit0 "eriodic con5orm unui "roces de re'izuire de5init
6 com"lectat0 "rin asimilarea modi5ic0rilor a"0ruteB
C
Politica de securitate a in5orma1iei s"eci5ic0 5a"tul c0 ac1iuni disci"linare
"ot 5i luate Am"otri'a "ersoanelor care Ancalc0 "re'ederile saleB
C
$.2 %ste stabilit rspunderea pentru monitorizarea implementrii
politicii.
E;ist0 o "ersoan0 din conducerea su"erioar0 cu res"onsa3ilitate general0
"entru securitatea in5orma1ieiB
C
E;ist0 un gru" de lucru de ni'el Analt comitet sau organism ec7i'alent
Ans0rcinat cu coordonarea acti'it01ii de securitate a in5orma1iei An
Antreaga organiza1ieB
Gru"ul se AntElne=te An mod regulat 9e; de trei ori sau de mai multe ori
"e an8 =i ela3oreaz0 ra"oarte cu"rinzEnd ac1iunile sta3ilite An cadrul
AntElniriiB
C
Din gru"ul de lucru la ni'el Analt 5ac "arte:
6 "ersoane din conducere su"erioar0 9adic0 un director al consiliului sau al
unui organism ec7i'alent8
6 unul sau mai mul1i Gres"onsa3iliH de acti'it01i 9adic0 "ersoane
C
Ans0rcinate cu di5erite arii 5unc1ionale8
6 =e5ul securit01ii in5orma1iei sau ec7i'alent
6 re"rezentan1i ai altor 5unc1ii interesate 9e;. audit intern asigur0ri
"ersonal securitate 5izic08
6 se5ul I/ sau ec7i'alentB
Gru"ul de lucru de ni'el Analt este res"onsa3il "entru:
6 luarea An considerare a intereselor "ri'ind securitatea in5orma1iei
"entru toate "0r1ile organiza1iei
6 asigurarea trat0rii intereselor "ri'ind securitatea in5orma1iei Antr6o
manier0 coerent0 =i consec'ent0
6 a"ro3area "oliticilor =i standardelor & "rocedurilor de securitate a
in5orma1iei
6 monitorizarea "er5orman1elor securit01ii in5orma1iei =i a e;"unerii
organiza1iei la amenin10ri la adresa securit01ii in5orma1iei
6 a"ro3area =i sta3ilirea "riorit01ilor acti'it01ii de Am3un0t01ire a
securit01ii in5orma1iei
6 asigurarea cu"rinderii securit01ii in5orma1iei An "rocesul de "lani5icare
a in5orma1iei la ni'el de organiza1ie
6 coordonarea im"lement0rii instrumentelor de control a5erente
securit01ii in5orma1iei An noile sisteme =i ser'icii
6 accentuarea im"ortan1ei securit01ii in5orma1iei An cadrul organiza1ieiB
C
$." %&ist instrumente de contro fizice aplicate mediului IT.
Este "roiectarea instala1iei sus1inut0 de standarde&"roceduri
documentate care necesit0:
6 ca modul de conce"ere s0 1in0 cont de cerin1ele acti'it01ii utilizatorilor =i
s0 5ie consec'ent cu alte sisteme utilizate de organiza1ie
6 ca sistemul s0 5ie conce"ut An a=a 5el AncEt s0 su"orte situa1ii "re'izi3ile
An utilizarea sistemului I/ de c0tre organiza1ieB
C
Sunt mediile de lucru curente se"arate de acti'itatea de testare
a dez'olt0rii =i rece"1iei "rin de"ozitarea utilit01ilor sistemului
de"arte de mediul curent atunci cEnd nu sunt An uz =i "rin
utilizarea unor camere "entru calculatoare "rocesoare
domenii =i "arti1ii se"arateB
C
Este accesul 5izic restric1ionat la sistemele de calculatoare
restric1ionat "ersonalului autorizat "rin:
6 Instalarea de Ancuietori ac1ionate cu carduri sau ec7i'alent
6 Jncuierea u=ilor&5erestrelor atunci cEnd mediul este eli3erat
6 Instalarea de alarme Am"otri'a e5rac1iei
6 Asigurarea "urt0rii de c0tre toate "ersoanele a unor miFloace 'izi3ile de
identi5icare
6 AngaFarea de "ersonal de "az0 B
C
Jn cadrul sistemului este:
6 restric1ionat accesul 5izic la tele5oane &5a; =i ec7i"amentele utilizate
"entru ti"0rire
6 miFloacele =i documenta1ia de im"ortan10 critic0 sunt An siguran10
atunci cEnd nu sunt An uz 9e;. ca "arte a "oliticii Mmesei de lucru
curat0N8
6 sistemele de detectare a accesului neautorizat instalat "e u=ile
e;terioare =i "e 5erestrele accesi3ile sunt 'eri5icate "eriodic
6 calculatoarele "orta3ile =i com"onentele lor 9e;. PC6uri c7i"6uri de
memorie8 sunt "roteFate Am"otri'a 5urtului 9e;. "rin marcarea
"ermanent0 a ec7i"amentelor 'ulnera3ile sau 5i;area calculatoarelor "e
mese sau "e standurile de ec7i"amente8.
6 'izitatorii sistemului:
C
6 au acces numai "entru sco"uri clare =i autorizate
6 sunt monitoriza1i "rin Anregistrarea orei sosirii =i a "lec0rii
6 sunt su"ra'eg7ea1i "ermanent
6 sunt instrui1i cu "ri'ire la cerin1ele de siguran10 ale zonei
detaliindu6se "rocedurile de urgen10 =i li se atrage aten1ia c0 orice
tim" de Anregistrare 9e;. 5ilmare sau 5otogra5iere8 este interzis0.
6 Sunt ec7i"amentele =i 5acilit01ile critice "roteFate "rin situarea lor An
a5ara zonelor de acces "u3lic =i "rin "0strarea con5iden1ialit01ii
detaliilor cu "ri'ire la acesteaB
C
6 Este accesul 5izic An camerele care ad0"ostesc ec7i"amente =i 5acilit01i
critice "roteFate "rin:
6 de5inirea =i Ant0rirea "erimetrului de securitate 5izic0
6 "0strarea camerelor su3 su"ra'eg7ere continu0
6 "ozi1ionarea ec7i"amentelor 9e;. PC6uri8 ast5el AncEt in5orma1iile
critice s0 nu "oat0 5i o3ser'ate
C
6 Autoriza1iile "entru acces 5izic la instala1ii sunt:
6 emise An con5ormitate cu standardele &"rocedurile documentate
6 re'izuite "eriodic "entru a se asigura accesul la acestea numai a
"ersoanelor "otri'ite
6 re'ocate imediat ce nu mai sunt necesareB
C
$.$ 1omunicaiile de date !n format electronic sunt sigure.
6 E;ist0 o strategie "entru utilizarea continuu e5icient0 e5icace =i sigur0
a 5acilit01ilor re1eleiB
C
6 Este res"onsa3ilitatea "entru administrarea re1elei de5init0 clarB C
6 Sunt utilizatorii re1elei instrui1i cu "ri'ire la utilizarea re1elei =i
securitatea acesteiaB
C
6 Administratorii de re1ea "rimesc instruire adec'at0 =i "otri'it0 cu
"ri'ire la siguran1a =i controlul re1eleiB
C
6 Sunt in5orma1iile "ri'ind standardele te7nice =i con5igurarea
5acilit01ilor re1elei documentate An mod clarB
C
6 Este acti'itatea An re1ea monitorizat0 "entru a se asigura c0 securitatea
trans5erului de date nu a 5ost a5ectat0B
C
6 Sunt "re'ederile de ser'ice "entru re1ea com"let documentate
sus1inute monitorizate =i acce"tate de toate "0r1ileB
C
6 E;ist0 "roceduri "entru a"ro3area =i instalarea cone;iunilor la re1eaB C
6 Pot doar utilizatorii autoriza1i s0 e5ectueze cone;iuni la re1ea =i e;ist0
"roceduri "entru 'eri5icarea cone;iunilor neautorizateB
C
6 Este utilizarea re1elei monitorizat0 "entru a 'eri5ica cone;iunile
neautorizate la re1ea =i ec7i"amentele care 5unc1ioneaz0 9sau sunt
utilizate8 An mod incorectB
C
6 Este codi5icarea utilizat0 "entru a "re'eni accesul neautorizat la datele
transmise "rin re1eaB
C
6 Sunt re1elele "roiectate =i construite "entru a m0ri la ma;imum
e5icien1a tra5icului de dateB
C
6 E;ist0 aranFamente "entru Antre1inerea =i asigurarea com"onentelor
5izice in5rastructurii de comunica1ii "rogramelor de administrare a
re1elei =i a "ierderii cu consecin1e im"ortanteB
C
6 Sunt "rogramele de administrare a re1elei =i 5i=ierele de date de "e
5iecare ser'er de date =i ec7i"ament al re1elei sal'ate "entru siguran10
An mod regulat =i co"ii ale acestora "0strate An locuri sigureB
C
6 E;ist0 metode de recu"erare =i de continuare a acti'it01ii An
e'entualitatea de5ect0rii a liniilor =i nodurilor de re1eaB
C
6 Este accesul 5izic la domeniile critice ale re1elei 9e;. centrele de
o"erare a re1elei camerele ec7i"amentelor camerele de ec7i"amente
C
5ireOalls8 restric1ionat numai la "ersonalul autorizat. /er1ii cum ar 5i
5urnizorii sau inginerii de ser'ice ar tre3ui su"ra'eg7ea1i atunci cEnd
au acces la ec7i"amentele de comunica1ii.
6 Sunt zonele critice cum ar 5i centrele de o"erare a re1elei =i camerele
care ad0"ostesc ec7i"amente im"ortante ale re1elei 9inclusi' cele a5late
la distan108 "roteFate Am"otri'a:
6 Riscurilor naturale cum ar 5i incendiul =i inunda1iile
6 Penelor de curent 9e;. "rin utilizarea unor surse de curent
"ermanente =i a acumulatorilor8
6 Accesului neautorizat 9e;. "rin instalarea de Ancuietori la u=i =i a
Faluzelelor la 5erestre8.
C
6 Sunt ca3lurile de comunica1ii "roteFate "rin intermediul: ascunderii
sistemului te'ilor "uncte de ins"ec1ie&Anc7idere Ancuiate alimentare =i
rutare alternati'e e'itarea rutelor "rin s"a1ii accesi3ile "u3liculuiB
C
6 E;ist0 "roceduri im"lementate "entru monitorizarea =i cercetarea
Ancerc0rilor de acces neautorizatB
C
6 Per5orman1a sistemelor este monitorizat0 com"arati' cu o3iecti'ele
agreate "rin re'izuirea utiliz0rii curente An orele normale =i de 'Er5
utilizEnd "rograme de monitorizare automat0 "rin re'izuirea Furnalelor
de acti'itate ale sistemului An mod regulat "rin in'estigarea
o3stacolelor& su"raAnc0rc0rii.
C
6 E;ist0 acti'it01i de "lani5icare a ca"acit01ii e5ectuate "entru a "ermite
asigurarea unei ca"acit01i su"limentare Anainte de a"ari1ia
o3stacolelor & su"raAnc0rc0rii
C
6 Este dis"oni3ilitatea sistemului 9adic0 tim" de r0s"uns =i de
5unc1ionare8 m0surat0 din "unctul de 'edere al utilizatorilor acti'it01ii
s"re e;em"lu "rin monitorizarea "er5orman1ei sta1iilor de lucru.
C
6 Este monitorizarea e5ectuat0 "eriodic inclusi':
scanarea sistemelor gazd0 "entru "unctele 'ulnera3ile
cunoscute cum ar 5i "rin utilizarea instrumentelor automate
9de e;em"lu "rograme: Nessus PingOare8
dac0 utilit01ile &comenzile "uternice au 5ost dezacti'ate "e
sistemele gazd0 corelate 9e;. "rin utilizarea unui Msni55erN8
6 'eri5icarea e;isten1ei unor con5igur0ri de re1ele Oireless
neautorizate.
C
6 Sunt utilizate mecanismele de detectare a accesului neautorizat
inclusi':
6detectarea caracteristicilor atacurilor cunoscute 9e;. re5uzul
ser'iciului sau su"raAnc0rcarea sistemelor 3u55er 8
un "roces "entru e5ectuarea regulat0 a actualiz0rii "rogramelor
de detectarea a intruziunilor "entru incor"orarea noilor
caracteristici sau a caracteristicilor actualizate.
5urnizarea de alerte atunci cEnd este detectat0 o acti'itate
sus"ect0 sus1inut0 de "rocese documentate "entru r0s"uns la
intruziunile sus"ectate
6 "roteFarea mecanismelor de detectare a intruziunilor
Am"otri'a atacurilor cum ar 5i izolarea "e un sistem se"arat.
C
6 Sunt ra"oartele de utilizare de la 5urnizorii de ser'icii 9e;. 5acturi8
'eri5icate "entru a desco"eri orice utilizare neo3i=nuit0 a sistemelor.
C
6 Sunt rezultatele acti'it01ilor de monitorizare re'izuite de conducerea
I/ =i "rezentate conducerii utilizatorului c0ruia Ai sunt 5urnizate
ser'iciile.
C
6 E;ist0 Furnale de Anregistrare a acti'it01ilor "entru identi5icarea
modi5ic0rilor neautorizateB
6 Sunt Anregistrate toate e'enimentele c7eie An cadrul re1eleiB C
6 Conducerea I/ autorizeaz0 Anregistrarea acti'it01ilor =i re'izuirea
"rocesului care urmeaz0 a 5i a"licat 9e;. 5rec'en1a re'izuirilor =i
r0s"underea "entru e5ectuarea acestora8.
C
6 Sunt Anregistr0rile acti'e tot tim"ul =i "roteFate de su"rascriere
inten1ionat0 sau accidental0B Mecanismele tre3uie s0 5ie sta3ilite ast5el
AncEt atunci cEnd Anregistr0rile "ri'ind e'enimentele de'in sisteme
de"line acestea nu sunt o"rite din li"s0 de s"a1iu "e disc =i Anregistrarea
'a continua cu minim0 o"rire sau c7iar 50r0.
C
6 Jnregistr0rile e'enimentelor con1in detalii ale: tim"ilor de "ornire
&o"rire "entru sisteme =i "rocese c7eie Anregistrarea cu succes a
utilizatorilor autoriza1i An sistem =i Ancerc0rile e=uate de Anregistrare
situa1ii de eroare =i de e;ce"1ie acces sau sc7im30ri ale 5i=ierelor =i
"rogramelor acces la ca"acit01ile "ri'ilegiate.
C
6 E;ist0 in5orma1ii su5iciente Anregistrate "entru a identi5ica: Nume de
utilizator indi'iduale "rograme s"eciale =i in5orma1ii accesate
data&ora acces0rii c0ile de acces 9inclusi' calculatoare&"orturi de la
care a 5ost o31inut accesul8 modele de acces "entru a "ermite
urm0rirea tranzac1iilor sau acti'itatea unui anumit utilizator
sc7im3area "arametrilor de Anregistrare An sistem
C
6 Sunt Anregistr0rile "0strate destul tim" "entru a res"ecta cerin1ele
legale&ale organismelor de reglementare =i "entru a 5i re'izuite
"eriodic. Re'izuirea Anregistr0rilor 'a 5i: sus1inut0 de "roceduri
&standarde documentate 5undamentat0 "e o e'aluare a'izat0 a
im"actului unor e'enimente indi'iduale asu"ra acti'it01ii e5ectuat0 cu
instrumente automate.
C
$.' %&ist un program antivirus.
6 E;ist0 standarde &"roceduri documentate "entru "rotec1ie Am"otri'a
'iru=ilor care s0 s"eci5ice:
6 modul de con5igurare a "rogramului anti'irus
6 mecanismele de actualizare a "rogramului anti'irus
6 "roces "entru gestionarea atacurilor cu 'irus
C
6 Este "rogramul de "rotec1ie Am"otri'a 'iru=ilor con5igurat "entru a:
scana memoria calculatoarelor 5i=ierele e;ecuta3ile 9inclusi'
5i=ierele macro de "e "rogramul desLto"8 5i=ierele "roteFate
9e;. 5i=ierele com"rimate =i cele "roteFate de "arole8 =i mediile
de Anmagazinare amo'i3ile
scana tra5icul de date 9intrare&ie=ire8 inclusi' e6mail =i
desc0rcarea de 5i=iere de "e Internet8
5i acti' "ermanent
emite o alert0 atunci cEnd este sus"ectat un 'irus
dezin5ecta =terge sau "une An carantin0 'iru=ii identi5ica1i
asigura c0 nu "ot 5i dezacti'ate caracteristicile de "rotec1ie
Am"otri'a 'iru=ilor =i nu "oate 5i redus0 5unc1ionalitatea
"rinci"al0.
C
6 Se e5ectueaz0 'eri5ic0ri regulate "entru a asigura c0:
Programul de "rotec1ie Am"otri'a 'iru=ilor nu a 5ost deza5ectat
Con5igurarea "rogramului de "rotec1ie Am"otri'a 'iru=ilor este
corect0
Au 5ost a"licate e5ecti' toate actualiz0rile.
C
6 Sunt utilizatorii: C
6 a'ertiza1i cu "ri'ire la "ericolul re"rezentat de 'iru=i
6 aten1iona1i ra"id cu "ri'ire la noi riscuri de 'irusare 9e;. "rin
e6mail8
6 Andruma1i s0 ra"orteze atacuri sus"ectate sau reale ale unor
'iru=i c0tre un singur "unct de contact =i asisten10
6 "ermanent sus1inu1i de e;"er1i te7nici =i s"eciali=ti
$.) Planul de recuperare a datelor !n caz de dezastru
6 A 5ost e5ectuat0 o cercetare =i o e'aluare cu "ri'ire la im"actul
riscurilor asu"ra acti'it01iiB
C
6 A 5ost "reg0tit =i a"ro3at de conducere un "lan de recu"erare An caz de
dezastru B
C
6 Au 5ost "reg0tite "lanuri "entru situa1ii ne"re'0zute cum ar 5i
de5ec1iuni de im"ortan10 redus0B
C
6 Au 5ost "lanurile documentate =i transmise "ersonalului c7eie B C
6 A 5ost res"onsa3ilitatea "ri'ind recu"erarea An caz de dezastru delegat0
unei ec7i"e =i rolurile mem3rilor acesteia AnregistrateB
C
6 Este "lanul de recu"erare An caz de dezastru 'eri5icat "eriodic
ree'aluat =i actualizat An lumina noilor sc7im30rilor inter'enite An
e'aluarea riscurilorB
C
6 Au 5ost sta3ilite 5acilit01i de recu"erare An caz de dezastru =i sunt
acestea 'eri5icate "eriodic "entru a se asigura e5icien1a caracterul
o"era1ional =i curent al acestoraB
C
6 Sunt "rocedurile de recu"erare luate An considerare An s"eci5ica1iile
te7nice ale unei noi a"lica1ii "entru calculator =i "entru a "roteFa
sistemele An dez'oltareB
C
6 Sunt m0surile de sal'are a in5orma1iilor esen1iale =i a "rogramelor
luate destul de 5rec'ent "entru a Ande"lini cerin1ele acti'it01iiB
C
6 M0surile de realizare a co"iilor de siguran10 "ermit "rogramelor =i
in5orma1iilor s0 5ie restaurate in "erioada de tim" critic0 "entru
a"lica1ie 9adic0 An "unctul du"0 care 'or 5i su5erite "ierderi
inacce"ta3ile8.
C
6 Sunt co"iile de siguran10 "roteFate Am"otri'a "ierderii deterior0rii =i
accesului neautorizat "rin: stocarea lor An sei5uri igni5uge a5late An
loca1ie "entru a "ermite restaurarea ra"id0 a in5orma1iilor * sus1inerea
lor "rin co"ii "0strate An alte loca1ii "entru a "ermite restaurarea
sistemului "rin utilizarea unor 5acilit01i alternati'e An caz de dezastru*
restric1ionarea accesului numai la "ersonalul autorizatB
C
$.* %ste arhivarea efectuat !ntr2un mod sigur.
6 E;ist0 "olitici &standarde "entru ar7i'area datelor din sistemul de
"rocesare An tim" realB
C
6 Sunt datele ar7i'ate "0strate Antr6un loc de stocare sigurB C
6 Sunt mediile de ar7i'are re'izuite "eriodic "entru a sta3ili dac0 acestea
"ot 5i Anc0 citite.
C
6 E;ist0 e'iden1e cu "ri'ire la datele care sunt "0strate An ar7i'eB C
STA"I#IREA &ACTORI#OR DE RISC> PONDERI#E ACESTORA
'I APRECIEREA NIVE#URI#OR RISCURI#OR
Misiunea de audit: Tehnologia informaiei
Perioada auditat0: 01.01.!00/ %1.1!.!00/
Jntocmit: Mariana "uta 0Radu 1eor2e Data: !0.01.!003
A'izat: Ti,o+te #iliana Data: !0.01.!003
&actori de ri5c
?&
i
@
Ponderea
+actorilor de ri5c
?P
i
@
Ni4elul de a*reciere al ri5cului ?N
i
@
N
1
N
!
N
%
A*recierea
controlului
intern &1
P1 /0A
E;ist0 "roceduri
=i se a"lic0
E;ist0
"roceduri sunt
cunoscute dar
nu se a"lic0
Nu e;ist0
"roceduri
A*recierea
cantitati4;
&!
P! %0A
Im"act
5inanciar
sc0zut
Im"act 5inanciar
mediu
Im"act 5inanciar
ridicat
A*recierea
calitati4;
&%
P% !0A
Iulnera3ilitate
mic0
Iulnera3ilitate
medie
Iulnera3ilitate
mare
Procedura P0/: Anali9a ri5curilor
STA"I#IREA NIVE#U#UI RISCU#UI 'I A PUNCTABU#UI TOTA# A# RISCU#UI
Perioada auditat;: $#.$#.($$- 2 $#.$#.($$<
<ntoc,it: Mariana >uta & Radu George Data:
($.$#.($$<
A4i9at: >uce'sc7i Dan Data:
($.$#.($$<
Nr.
crt.
DOMENIU# O"IECTE AUDITA"I#E RISCURI SEMNI&ICATIVE Criterii de anali9a a ri5curilor PunctaC
total
A*recierea
controlului
intern ?&1@
A*recierea
cantitati4;
?&!@
A*recierea
calitati4;
?&%@
P1
/0A
N1 P!
%0A
N! P%
!0A
N%
I. Plan strategic #. Politicile entit01ii "u3lice An
domeniul I/
Ine;isten1a unei atitudini 5a'ora3ile An
"ri'in1a in5ormatiz0rii acti'it01ii entit01ii
"u3lice
$- ( $) ) $( ( ()
(. Modalitatea de ela3orare a
"lanului strategic =i a "lanurilor
anuale
:undamentarea insu5icient0 a "lanului
$- ( $) ( $( ) ((
Necorelarea "lanurilor anuale
$- ( $) ( $( ( ($
Li"sa "rioritiz0rii acti'it01ilor
$.- ( $.) ( $.( ( ($
). Su3sistemele in5ormatice
"entru 5unc1iile "rinci"ale
Neaco"erirea domeniilor de acti'itate ale
entit01ii "u3lice cu su3sisteme in5ormatice
$- ) $) ) $( ( (,
Necorelarea termenelor "re'izionate de
realizare a su3sistemelor
$- ( $) ( $( ) ((
Nede5inirea res"onsa3ilit01ilor
$- ( $) ) $( # (#
Insu5icienta "re'izionare a resurselor
$- ( $) ( $( ( ($
%. Integrarea su3sistemelor
in5ormatice
Incom"ati3ilitatea su3sistemelor
in5ormatice
$- # $) ( $( ( #-
-. Sta3ilirea res"onsa3ililor cu
ela3orarea si actualizarea
"lanului
Nedesemnarea res"onsa3ilului cu
ela3orarea "lanului
$- ( $) ) $( ) (-
Nesta3ilirea "ersoanei res"onsa3ile cu
$- ( $) ( $( ( ($
Nr.
crt.
total
A*recierea
controlului
intern ?&1@
A*recierea
cantitati4;
?&!@
A*recierea
calitati4;
?&%@
P1
/0A
N1 P!
%0A
N! P%
!0A
N%
<. A"ro3area "lanului Planul nu este a"ro3at
$- ) $) ( $( ) (4
Planul nu este a"ro3at de "ersoanele
com"etente
$- ) $) ) $( ( (,
Coordonarea neadec'at0 a "lanurilor
$- # $) ) $( ( #,
II. !rganizarea =i
5unc1ionarea
de"artamentului
I/
4. !rganizarea de"artamentului
I/
De"artamentului I/ nu este su3ordonat
unui ni'el managerial cores"unz0tor
$- ( $) ( $( ( ($
Ine;isten1a =i&sau nea"ro3area
organigramei
$- ) $) ) $( ( (,
Ne5ormalizarea "rocedurilor s"eci5ice
acti'it01ilor des50=urate
$- ( $) ( $( ) ((
E;isten1a unui num0r mare de "osturi de
conducere de1inute cu delega1ie
$- ( $) ) $( # (#
Num0r mare de "osturi de e;ecu1ie
neocu"ate
$- ) $) # $( ( ()
Personal de e;ecu1ie neadec'at
$- ( $) ( $( ) (.(
Dotare cu 7ard =i so5t inadec'at "entru
des50=urarea acti'it01ilor s"eci5ice
$- ( $) ( $( ( ($
Ine;isten1a unui sistem de control
managerial la ni'elul de"artamentului
$- ( $) ( $( ( ($
Nee5ectuarea monitoriz0rii modului de
realizare a o3iecti'elor generale =i
s"eci5ice ale de"artamentului
$- # $) ) $( ( #,
,. Sta3ilirea res"onsa3ilit01ilor
"rin 5i=ele "osturilor
Neactualizarea 5i=elor "osturilor
$- # $) # $( ( #(
Neres"ectarea "rinci"iului segreg0rii
sarcinilor de ser'iciu
$- # $) ) $( ( #-
Necu"rinderea atri3u1iilor sta3ilite "rin
R!: An 5i=ele "osturilor
$- # $) ( $( # #)
.. Cali5icarea =i "reg0tirea
salaria1ilor
Cali5icarea necores"unz0toare&insu5icient0
a "ersonalului
$- # $) ( $( # #)
Nr.
crt.
total
A*recierea
controlului
intern ?&1@
A*recierea
cantitati4;
?&!@
A*recierea
calitati4;
?&%@
P1
/0A
N1 P!
%0A
N! P%
!0A
N%
#$. Preg0tirea "ro5esional0
continu0
Ine;isten1a "lanurilor de "reg0tire
$- ( $) ( $( # #,
Nea"ro3area "lanurilor de "reg0tire
$- ( $) ( $( ( ($
Nerealizarea acti'it01ilor "re'izionate "rin
"lanurile de "reg0tire "ro5esional0
continu0
$- ) $) ( $( # ()
##. Sistemul de e'aluare a
"ersonalului
Ine;isten1a unui sistem de e'aluare anual0
a salaria1ilor
$- # $) ( $( ( #-
Nerealizarea e'alu0rii "e "arcursul anului
a salaria1ilor de"artamentului
$- # $) # $( ( #(
E'aluarea 5ormal0 a "ersonalului
$- # $) ( $( # #)
#(. Sistemul de gestionare a
riscurilor 2 conducerea
Registrului riscurilor
Ine;isten1a unei "olitici unitare "ri'ind
gestionarea riscurilor
$- ( $) ( $( ( ($
Ine;isten1a unui res"onsa3il "ri'ind
$- ( $) ) $( ( ()
Nedesemnarea unei "ersoane res"onsa3il0
cu ela3orarea =i monitorizarea Registrului
riscurilor
$- ( $) ( $( ( ($
Neactualizarea sistematic0 a Registrului
riscurilor
$- ) $) ( $( # ()
III. Im"lementarea
sistemului I/
#). Gradul de realizare a
sta3ilite "rin "lan
Li"s0 de coordonare a a"lica1iilor ce
ruleaz0 An sistemul in5ormatic
$- ( $) ( $( ( ($
Nealocarea cores"unz0toare a resurselor
necesare realiz0rii su3sistemelor
in5ormatice
$- ) $) ) $( # (<
E'olu1ii te7nologice cu im"lica1ii asu"ra
Ande"linirii "lanului
$- ( $) ( $( # #,
Nr.
crt.
total
A*recierea
controlului
intern ?&1@
A*recierea
cantitati4;
?&!@
A*recierea
calitati4;
?&%@
P1
/0A
N1 P!
%0A
N! P%
!0A
N%
Modi5icarea cadrului legal =i "rocedural ce
reglementeaz0 acti'it01ile "entru care se
realizeaz0 su3sistemele in5ormatice
$- ) $) # $( # ($
#%. E;isten1a controalelor
generale la ni'elul su3sistemelor
I/
Im"lica1iile e'olu1iilor te7nologice An
domeniul I/
$- ( $) ( $( ( ($
$- ( $) # $.( ) #.
#-. :unc1ionalitatea
su3sistemelor An re1ea
Ine;isten1a unei "olitici de transmitere a
datelor An re1ea
$- # $) ( $( # #)
Im"lica1iile e'olu1iilor te7nologice An
domeniul I/
$- # $) ( $( ( #-
#<. Situa1ia licen1elor "entru
"rogramele de calculator
Limit0ri 3ugetare An "ri'in1a ac7izi1ion0rii
licen1elor
$- ) $) ) $( # (<
Dis5unc1ionalit01i An "rocesul de
ac7izi1ionare al licen1elor
$- ) $) ( $( # ()
#4. Asigurarea integr0rii
su3sistemelor com"onente
$- # $) ( $( # #)
integr0rii su3sistemelor
$- # $) ) $( # #<
Neconcordan1e An integrarea su3sistemelor
$- # $) ( $( ) #4
#,. Ela3orarea manualelor de
utilizare =i a manualelor de
o"erare
Ine;isten1a&Insu5icien1a manualelor de
utilizare =i a manualelor de o"erare
$- ( $) # $( # #-
Li"sa unor com"onente =i e;isten1a unor
elemente neclari5icate An con1inutul
manualelor
$- # $) ( $( ( #-
Nr.
crt.
total
A*recierea
controlului
intern ?&1@
A*recierea
cantitati4;
?&!@
A*recierea
calitati4;
?&%@
P1
/0A
N1 P!
%0A
N! P%
!0A
N%
#.. Instruirea utilizatorilor
su3sistemelor I/
Ine;isten1a unui "rogram de instruire al
utilizatorilor
$- ( $) ) $( ) (-
Nee5ectuarea instruirii sistematice a
utilizatorilor su3sistemelor I/
$- ( $) ( $( # #,
II. Securitatea I/ ($. Politica de securitate I/ Ine;isten1a "oliticii de securitate
$- ( $) ) $( ( ()
Nea"licarea "oliticii de securitatea An mod
consec'ent
$- ( $) ( $( ) ((
(#. Monitorizarea im"lement0rii
"oliticii de securitate I/
Ine;isten1a unui res"onsa3il desemnat cu
monitorizarea im"lement0rii "oliticii de
securitate I/
$- ) $) ) $( ( (-
NeEntocmirea =i netransmiterea sistematic0
a ra"oartelor de monitorizare
$- ( $) ( $( ( ($
Ine;isten1a unui sistem de clasi5icare =i
"roteFare adec'at0 a in5orma1iilor
con5iden1iale e;istente An 5ormat electronic
$- ( $) # $( ) #.
((. E'aluarea controalelor 5izice
An domeniul I/
Li"sa "rocedurilor "ri'ind im"lementarea
controalelor 5izice An domeniul I/
$- ( $) ( $( ( ($
Nedesemnarea res"onsa3ilit01ii "entru
monitorizarea controalelor 5izice
$- ) $) ( $( ( (-
Li"sa unor "roceduri "entru realizarea
controalelor 5izice
$- ( $) ) $( ) (-
Nee5ectuarea controalelor 5izice con5orm
"rocedurilor
$- ) $) ) $( # (<
(). Siguran1a accesului la re1ea
=i a comunic0rii datelor An re1ea
Li"sa "rocedurilor "ri'ind siguran1a
accesului utilizatorilor An re1ea
$- ( $) ( $( # #,
Nr.
crt.
total
A*recierea
controlului
intern ?&1@
A*recierea
cantitati4;
?&!@
A*recierea
calitati4;
?&%@
P1
/0A
N1 P!
%0A
N! P%
!0A
N%
Ine;isten1a res"onsa3ilului desemnat cu
monitorizarea im"lement0rii "rocedurilor
"ri'ind siguran1a accesului utilizatorilor An
re1ea
$- ( $) ( $( ( ($
Nee5ectuarea monitoriz0rii sistematice
$- ) $) # $( ) (%
Neim"lementarea m0surilor "ri'ind
siguran1a accesului utilizatorilor An re1ea
con5orm "rocedurilor
$- ( $) ) $( ( ()
(%. Programe anti'irus Li"sa "rocedurilor "ri'ind im"lementarea
"rogramelor anti'irus
$- ) $) ( $( ) (4
"ri'ind im"lementarea "rogramelor
anti'irus
$- ( $) ( $( ( ($
$- ( $) ( $( # #,
Neluarea m0surilor necesare "ri'ind
im"lementarea "rogramelor anti'irus
$- ( $) ) $( ) (-
(-. Recu"erarea datelor An caz de
dezastru
Li"sa "rocedurilor "ri'ind recu"erarea
datelor An caz de dezastru
$- ( $) ( $( ( ($
"ri'ind recu"erarea datelor An caz de
dezastru
$- ( $) ) $( # (#
$- ) $) # $( ( ((
recu"erarea datelor An caz de dezastru
$- ) $) ( $( # ()
Nr.
crt.
total
A*recierea
controlului
intern ?&1@
A*recierea
cantitati4;
?&!@
A*recierea
calitati4;
?&%@
P1
/0A
N1 P!
%0A
N! P%
!0A
N%
(<. Sistemul de ar7i'are Li"sa "rocedurilor "ri'ind ar7i'area
datelor
$- # $) ( $( ( #-
ar7i'area datelor
$- # $) ( $( ) #4
Nee5ectuarea e'alu0rii "eriodice a
acti'it01ii de ar7i'are
$- # $) # $( ) #%
C#ASAREA OPERA-II#OR <N &UNC-IE DE ANA#I:A RISCU#UI
Perioada auditat;: $#.$#.($$- 2 )#.#(.($$-
<ntoc,it: Mariana >uta & Radu George Data: ($.$#.($$<
Nr.
crt.
DOMENIU# O"IECTE AUDITA"I#E RISCURI SEMNI&ICATIVE
PUNCTAB
TOTA#
C#ASARE O"S.
I. Plan strategic #. Politicile entit01ii "u3lice
An domeniul I/
#. Ine;isten1a unei atitudini 5a'ora3ile An "ri'in1a
in5ormatiz0rii acti'it01ii entit01ii "u3lice
() Mare
"lanului strategic =i a
"lanurilor anuale
(. :undamentarea insu5icient0 a "lanului (( Mediu
). Necorelarea "lanurilor anuale ($ Mediu
%. Li"sa "rioritiz0rii acti'it01ilor ($ Mediu
). Su3sistemele in5ormatice
"entru 5unc1iile "rinci"ale
-. Neaco"erirea domeniilor de acti'itate ale entit01ii "u3lice
cu su3sisteme in5ormatice
(, Mare
Nr.
crt.
PUNCTAB
TOTA#
C#ASARE O"S.
<. Necorelarea termenelor "re'izionate de realizare a
su3sistemelor
(( Mediu
4. Nede5inirea res"onsa3ilit01ilor (# Mediu
,. Insu5icienta "re'izionare a resurselor ($ Mediu
%. Integrarea su3sistemelor
in5ormatice
.. Incom"ati3ilitatea su3sistemelor in5ormatice #- Mic Nu
-. Sta3ilirea res"onsa3ililor
cu ela3orarea si actualizarea
"lanului
#$. Nedesemnarea res"onsa3ilului cu ela3orarea "lanului (- Mare
##. Nesta3ilirea "ersoanei res"onsa3ile cu actualizarea
"lanului
($ Mediu
<. A"ro3area "lanului #(. Planul nu este a"ro3at (4 Mare
#). Planul nu este a"ro3at de "ersoanele com"etente (, Mare
#%. Coordonarea neadec'at0 a "lanurilor #, Mediu
II. 1e5tionarea )i
or2ani9area
de*art. IT
4. !rganizarea
de"artamentului I/
#-. De"artamentului I/ nu este su3ordonat unui ni'el
managerial cores"unz0tor
($ Mediu
#<. Ine;isten1a =i&sau nea"ro3area organigramei (, Mare
#4. Ne5ormalizarea "rocedurilor s"eci5ice acti'it01ilor
des50=urate
(( Mediu
#,. E;isten1a unui num0r mare de "osturi de conducere
de1inute cu delega1ie
(# Mediu
#.. Num0r mare de "osturi de e;ecu1ie neocu"ate () Mare
($. Personal de e;ecu1ie neadec'at (.( Mediu
(#. Dotare cu 7ard =i so5t inadec'at "entru des50=urarea
acti'it01ilor s"eci5ice
($ Mediu
((. Ine;isten1a unui sistem de control managerial la ni'elul
de"artamentului
($ Mediu
(). Nee5ectuarea monitoriz0rii modului de realizare a
o3iecti'elor generale =i s"eci5ice ale de"artamentului
#, Mediu
,. Sta3ilirea
res"onsa3ilit01ilor "rin 5i=ele
"osturilor
(%. Neactualizarea 5i=elor "osturilor #( Mic Nu
(-. Neres"ectarea "rinci"iului segreg0rii sarcinilor de
ser'iciu
#- Mic Nu
(<. Necu"rinderea atri3u1iilor sta3ilite "rin R!: An 5i=ele
"osturilor
#) Mic Nu
Nr.
crt.
PUNCTAB
TOTA#
C#ASARE O"S.
.. Cali5icarea =i "reg0tirea
salaria1ilor
(4. Cali5icarea necores"unz0toare&insu5icient0 a "ersonalului #) Mic Nu
#$. Preg0tirea "ro5esional0
continu0
(,. Ine;isten1a "lanurilor de "reg0tire "ro5esional0 continu0 #, Mediu
(.. Nea"ro3area "lanurilor de "reg0tire "ro5esional0
continu0
($ Mediu
)$. Nerealizarea acti'it01ilor "re'izionate "rin "lanurile de
"reg0tire "ro5esional0 continu0
() Mare
##. Sistemul de e'aluare a
"ersonalului
)#. Ine;isten1a unui sistem de e'aluare anual0 a salaria1ilor #- Mic Nu
)(. Nerealizarea e'alu0rii "e "arcursul anului a salaria1ilor
de"artamentului
#( Mic Nu
)). E'aluarea 5ormal0 a "ersonalului #) Mic Nu
#(. Sistemul de gestionare a
)%. Ine;isten1a unei "olitici unitare "ri'ind gestionarea
riscurilor
($ Mediu
)-. Ine;isten1a unui res"onsa3il "ri'ind gestionarea
riscurilor
() Mare
)<. Nedesemnarea unei "ersoane res"onsa3il0 cu ela3orarea
=i monitorizarea Registrului riscurilor
($ Mediu
)4. Neactualizarea sistematic0 a Registrului riscurilor () Mare
III. I,*le,entarea
5i5te,ului IT
#). Gradul de realizare a
sta3ilite "rin "lan
),. Li"s0 de coordonare a a"lica1iilor ce ruleaz0 An sistemul
in5ormatic
($ Mediu
).. Nealocarea cores"unz0toare a resurselor necesare
realiz0rii su3sistemelor in5ormatice
(< Mare
%$. E'olu1ii te7nologice cu im"lica1ii asu"ra Ande"linirii
"lanului
#, Mediu
%#. Modi5icarea cadrului legal =i "rocedural ce
reglementeaz0 acti'it01ile "entru care se realizeaz0
su3sistemele in5ormatice
($ Mediu
#%. E;isten1a controalelor
generale la ni'elul
su3sistemelor I/
%(. Im"lica1iile e'olu1iilor te7nologice An domeniul I/ ($ Mediu
%). Modi5icarea cadrului legal =i "rocedural ce
#. Mediu
#-. :unc1ionalitatea
su3sistemelor An re1ea
%%. Ine;isten1a unei "olitici de transmitere a datelor An re1ea #) Mic Nu
%-. Im"lica1iile e'olu1iilor te7nologice An domeniul I/ #- Mic Nu
Nr.
crt.
PUNCTAB
TOTA#
C#ASARE O"S.
#<. Situa1ia licen1elor "entru
%<. Limit0ri 3ugetare An "ri'in1a ac7izi1ion0rii licen1elor (< Mare
%4. Dis5unc1ionalit01i An "rocesul de ac7izi1ionare al
licen1elor
() Mare
#4. Asigurarea integr0rii
su3sistemelor com"onente
%,. Modi5icarea cadrului legal =i "rocedural ce
#) Mic Nu
%.. E'olu1ii te7nologice cu im"lica1ii asu"ra integr0rii
su3sistemelor
#< Mic Nu
-$. Neconcordan1e An integrarea su3sistemelor #4 Mic Nu
#,. Ela3orarea manualelor de
utilizare =i a manualelor de
o"erare
-#. Ine;isten1a&Insu5icien1a manualelor de utilizare =i a
manualelor de o"erare
#- Mic Nu
-(. Li"sa unor com"onente =i e;isten1a unor elemente
neclari5icate An con1inutul manualelor
#- Mic Nu
#.. Instruirea utilizatorilor
su3sistemelor I/
-). Ine;isten1a unui "rogram de instruire al utilizatorilor (- Mare
-%. Nee5ectuarea instruirii sistematice a utilizatorilor
su3sistemelor I/
#, Mediu
II. Securitatea IT ($. Politica de securitate I/ --. Ine;isten1a "oliticii de securitate () Mare
-<. Nea"licarea "oliticii de securitatea An mod consec'ent (( Mediu
(#. Monitorizarea
im"lement0rii "oliticii de
securitate I/
-4. Ine;isten1a unui res"onsa3il desemnat cu monitorizarea
(- Mare
-,. NeEntocmirea =i netransmiterea sistematic0 a ra"oartelor
de monitorizare
($ Mediu
-.. Ine;isten1a unui sistem de clasi5icare =i "roteFare
adec'at0 a in5orma1iilor con5iden1iale e;istente An 5ormat
electronic
#. Mediu
((. E'aluarea controalelor
5izice An domeniul I/
<$. Li"sa "rocedurilor "ri'ind im"lementarea controalelor
5izice An domeniul I/
($ Mediu
<#. Nedesemnarea res"onsa3ilit01ii "entru monitorizarea
controalelor 5izice
(- Mare
<(. Li"sa unor "roceduri "entru realizarea controalelor 5izice (- Mare
<). Nee5ectuarea controalelor 5izice con5orm "rocedurilor (< Mare
Nr.
crt.
PUNCTAB
TOTA#
C#ASARE O"S.
(). Siguran1a accesului la
re1ea =i a comunic0rii
datelor An re1ea
<%. Li"sa "rocedurilor "ri'ind siguran1a accesului
utilizatorilor An re1ea
#, Mediu
<-. Ine;isten1a res"onsa3ilului desemnat cu monitorizarea
im"lement0rii "rocedurilor "ri'ind siguran1a accesului
($ Mediu
<<. Nee5ectuarea monitoriz0rii sistematice (% Mare
<4. Neim"lementarea m0surilor "ri'ind siguran1a accesului
utilizatorilor An re1ea con5orm "rocedurilor
() Mare
(%. Programe anti'irus <,. Li"sa "rocedurilor "ri'ind im"lementarea "rogramelor
anti'irus
(4 Mare
<.. Ine;isten1a res"onsa3ilului desemnat cu monitorizarea
im"lement0rii "rocedurilor "ri'ind im"lementarea
($ Mediu
4$. Nee5ectuarea monitoriz0rii sistematice #, Mediu
4#. Neluarea m0surilor necesare "ri'ind im"lementarea
"rogramelor anti'irus con5orm "rocedurilor
(- Mare
(-. Recu"erarea datelor An
caz de dezastru
4(. Li"sa "rocedurilor "ri'ind recu"erarea datelor An caz de
dezastru
($ Mediu
4). Ine;isten1a res"onsa3ilului desemnat cu monitorizarea
im"lement0rii "rocedurilor "ri'ind recu"erarea datelor An caz
de dezastru
(# Mediu
4%. Nee5ectuarea monitoriz0rii sistematice (( Mediu
4-. Neluarea m0surilor necesare "ri'ind recu"erarea datelor
An caz de dezastru con5orm "rocedurilor
() Mare
(<. Sistemul de ar7i'are 4<. Li"sa "rocedurilor "ri'ind ar7i'area datelor #- Mic Nu
44. Nedesemnarea res"onsa3ilit01ii "entru ar7i'area datelor #4 Mic Nu
4,. Nee5ectuarea e'alu0rii "eriodice a acti'it01ii de ar7i'are #% Mic Nu
%entru continuarea anali$ei, auditorii interni au 0mp*r+it cele 7 de ri"curi "tructurate pe cele 26 de obiecte auditabile, din
documentul 0tabilirea nivelului riscului ,i a puncta3ului total, +in1nd cont ,i de re"ur"ele alocate mi"iunii 2num*r de per"oane, timpul a&erent
,.a.3, a"t&el4
(i"curi mici #$ 6 #4
(i"curi medii #, 6 ((
(i"curi mari () 6 )$
%entru moment, ri"curile mici vor &i ignorate, iar ri"curile "emni&icative 2mari ,i medii3 vor intra 0n &a$a de ierar5i$are, oca$ie cu
care "e va elabora documentul Tabelul puncte tari ,i puncte slabe.
TA"E#U# PUNCTE TARI 'I PUNCTE S#A"E
Perioada auditat;: $#.$#.($$- 2 )#.#(.($$-
<ntoc,it: Mariana >uta & Radu George Data: ($.$#.($$<
Nr.
crt.
Do,eniul O8iecte audita8ile Ri5curi 5e,ni+icati4e T0S Con5ecinele
+uncion;rii0
ne+uncion;rii
controlului intern
1rad de
Dncredere al
auditorului Dn
controlul
intern
O"S.
I.
Plan strategic #. Politicile entit01ii
"u3lice An domeniul I/
Ine;isten1a unei atitudini 5a'ora3ile An "ri'in1a
in5ormatiz0rii acti'it01ii entit01ii "u3lice
S
Sc0zut
(. Modalitatea de
ela3orare a "lanului
strategic =i a "lanurilor
anuale
:undamentarea insu5icient0 a "lanului S Mediu
Necorelarea "lanurilor anuale S Sc0zut
Li"sa "rioritiz0rii acti'it01ilor S Mediu
). Su3sistemele
in5ormatice "entru
5unc1iile "rinci"ale
Neaco"erirea domeniilor de acti'itate ale entit01ii
"u3lice cu su3sisteme in5ormatice
S Sc0zut
Necorelarea termenelor "re'izionate de realizare
a su3sistemelor
S Mediu
Nede5inirea res"onsa3ilit01ilor S Sc0zut
Insu5icienta "re'izionare a resurselor S Sc0zut
-. Sta3ilirea
res"onsa3ililor cu
ela3orarea si
Nedesemnarea res"onsa3ilului cu ela3orarea
"lanului
S Mediu
Nesta3ilirea "ersoanei res"onsa3ile cu
/ E;ist0 sistem de
control intern
e5icient
Ridicat ND
<. A"ro3area "lanului Planul nu este a"ro3at S Sc0zut
Planul nu este a"ro3at de "ersoanele com"etente S Mediu
Coordonarea neadec'at0 a "lanurilor S Sc0zut
II.
1e5tionarea )i
or2ani9area
de*art. IT
4. !rganizarea
de"artamentului I/
De"artamentului I/ nu este su3ordonat unui ni'el
managerial cores"unz0tor
S Mediu
Ine;isten1a =i&sau nea"ro3area organigramei / E;ist0 sistem de
control intern
e5icient
Ridicat ND
Ne5ormalizarea "rocedurilor s"eci5ice
acti'it01ilor des50=urate
S Sc0zut
Nr.
crt.
+uncion;rii0
ne+uncion;rii
controlului intern
1rad de
Dncredere al
auditorului Dn
controlul
intern
O"S.
E;isten1a unui num0r mare de "osturi de
conducere de1inute cu delega1ie
S Sc0zut
Num0r mare de "osturi de e;ecu1ie neocu"ate S Mediu
Personal de e;ecu1ie neadec'at S Sc0zut
Dotare cu 7ard =i so5t inadec'at "entru
des50=urarea acti'it01ilor s"eci5ice
/ E;ist0 sistem de
control intern
e5icient
Ridicat ND
Ine;isten1a unui sistem de control managerial la
ni'elul de"artamentului
S Mediu
Nee5ectuarea monitoriz0rii modului de realizare a
o3iecti'elor generale =i s"eci5ice ale
de"artamentului
S Sc0zut
#$. Preg0tirea
Ine;isten1a "lanurilor de "reg0tire "ro5esional0
continu0
S Mediu
Nea"ro3area "lanurilor de "reg0tire "ro5esional0
continu0
S Sc0zut
Nerealizarea acti'it01ilor "re'izionate "rin
"lanurile de "reg0tire "ro5esional0 continu0
S Mediu
#(. Sistemul de
gestionare a riscurilor
2 conducerea
Ine;isten1a unei "olitici unitare "ri'ind
S Sc0zut
Ine;isten1a unui res"onsa3il "ri'ind gestionarea
riscurilor
S Sc0zut
Nedesemnarea unei "ersoane res"onsa3il0 cu
ela3orarea =i monitorizarea Registrului riscurilor
S Sc0zut
Neactualizarea sistematic0 a Registrului riscurilor S Mediu
III.
I,*le,entarea
5i5te,ului IT
#). Gradul de realizare
a su3sistemelor
in5ormatice sta3ilite
"rin "lan
Li"s0 de coordonare a a"lica1iilor ce ruleaz0 An
sistemul in5ormatic
S Sc0zut
Nealocarea cores"unz0toare a resurselor necesare
realiz0rii su3sistemelor in5ormatice
S Sc0zut
Ande"linirii "lanului
S Mediu
Nr.
crt.
+uncion;rii0
ne+uncion;rii
controlului intern
1rad de
Dncredere al
auditorului Dn
controlul
intern
O"S.
S Sc0zut
#%. E;isten1a
controalelor generale
la ni'elul
su3sistemelor I/
Im"lica1iile e'olu1iilor te7nologice An domeniul I/ S Sc0zut
S Sc0zut
#<. Situa1ia licen1elor
"entru "rogramele de
calculator
Limit0ri 3ugetare An "ri'in1a ac7izi1ion0rii
licen1elor
S Sc0zut
Dis5unc1ionalit01i An "rocesul de ac7izi1ionare al
licen1elor
S Mediu
#.. Instruirea
utilizatorilor
su3sistemelor I/
Ine;isten1a unui "rogram de instruire al
utilizatorilor
/ E;ist0 sistem de
control intern
e5icient
Ridicat ND
Nee5ectuarea instruirii sistematice a utilizatorilor
su3sistemelor I/
S Mediu
II.
Securitatea IT ($. Politica de
securitate I/
Ine;isten1a "oliticii de securitate S Sc0zut
Nea"licarea "oliticii de securitatea An mod
consec'ent
S Sc0zut
(#. Monitorizarea
im"lement0rii "oliticii
de securitate I/
Ine;isten1a unui res"onsa3il desemnat cu
monitorizarea im"lement0rii "oliticii de securitate
I/
S Mediu
NeEntocmirea =i netransmiterea sistematic0 a
ra"oartelor de monitorizare
S Sc0zut
Ine;isten1a unui sistem de clasi5icare =i "roteFare
adec'at0 a in5orma1iilor con5iden1iale e;istente An
5ormat electronic
/ E;ist0 sistem de
control intern
e5icient
Ridicat ND
Li"sa "rocedurilor "ri'ind im"lementarea
controalelor 5izice An domeniul I/
S Sc0zut
Nr.
crt.
+uncion;rii0
ne+uncion;rii
controlului intern
1rad de
Dncredere al
auditorului Dn
controlul
intern
O"S.
((. E'aluarea
controalelor 5izice An
domeniul I/
monitorizarea controalelor 5izice
/ E;ist0 sistem de
control intern
e5icient
Ridicat ND
Li"sa unor "roceduri "entru realizarea
controalelor 5izice
S Mediu
Nee5ectuarea controalelor 5izice con5orm
"rocedurilor
S Sc0zut
(). Siguran1a
accesului la re1ea =i a
comunic0rii datelor An
re1ea
Li"sa "rocedurilor "ri'ind siguran1a accesului
S Sc0zut
monitorizarea im"lement0rii "rocedurilor "ri'ind
siguran1a accesului utilizatorilor An re1ea
S Sc0zut
Nee5ectuarea monitoriz0rii sistematice / E;ist0 sistem de
control intern
e5icient
Ridicat ND
Neim"lementarea m0surilor "ri'ind siguran1a
accesului utilizatorilor An re1ea con5orm
"rocedurilor
S Mediu
(%. Programe anti'irus Li"sa "rocedurilor "ri'ind im"lementarea
S Sc0zut
im"lementarea "rogramelor anti'irus
S Sc0zut
Nee5ectuarea monitoriz0rii sistematice S Sc0zut
im"lementarea "rogramelor anti'irus con5orm
"rocedurilor
S Mediu
Li"sa "rocedurilor "ri'ind recu"erarea datelor An
caz de dezastru
S Sc0zut
Nr.
crt.
+uncion;rii0
ne+uncion;rii
controlului intern
1rad de
Dncredere al
auditorului Dn
controlul
intern
O"S.
(-. Recu"erarea
datelor An caz de
dezastru
recu"erarea datelor An caz de dezastru
S Sc0zut
Nee5ectuarea monitoriz0rii sistematice S Sc0zut
Neluarea m0surilor necesare "ri'ind recu"erarea
datelor An caz de dezastru con5orm "rocedurilor
S Sc0zut
TEMATICA IN DETA#IU A OPERA-II#OR AUDITA"I#E
Nr.
crt.
DOMENIU# O"IECTE AUDITA"I#E Nr. *ara2ra+
din Ra*ortul
de audit intern
I. Plan strategic #. Politicile entit01ii "u3lice An domeniul I/
(. Modalitatea de ela3orare a "lanului strategic
=i a "lanurilor anuale
). Su3sistemele in5ormatice "entru 5unc1iile
"rinci"ale
%. Sta3ilirea res"onsa3ililor cu ela3orarea si
-. A"ro3area "lanului
II. !rganizarea =i
5unc1ionarea
de"artamentului I/
<. !rganizarea de"artamentului I/
4. Preg0tirea "ro5esional0 continu0
,. Sistemul de gestionare a riscurilor 2
conducerea Registrului riscurilor
III. Im"lementarea
sistemului I/
.. Gradul de realizare a su3sistemelor
in5ormatice sta3ilite "rin "lan
#$. E;isten1a controalelor generale la ni'elul
su3sistemelor I/
##. Situa1ia licen1elor "entru "rogramele de
calculator
Nr.
crt.
DOMENIU# O"IECTE AUDITA"I#E Nr. *ara2ra+
din Ra*ortul
de audit intern
#(. Instruirea utilizatorilor su3sistemelor I/
II. Securitatea I/ #). Politica de securitate I/
#%. Monitorizarea im"lement0rii "oliticii de
securitate I/
#-. E'aluarea controalelor 5izice An domeniul
I/
#<. Siguran1a accesului la re1ea =i a comunic0rii
datelor An re1ea
#4. Programe anti'irus
#,. Recu"erarea datelor An caz de dezastru
4ota5
Procedura P03: Ela8orarea *ro2ra,ului de audit intern
PRO1RAMU# DE AUDIT INTERN
Mi5iunea de audit: Audit I/
<ntoc,it: Mariana >uta &Radu George Data: (4.$).($$<
A4i9at: >uce'sc7i Dan Data: (4.$).($$<
ETAPE#E
MISIUNII
DOMENIU# ACTIVIT$-I
DURATA
?7@
PERSOANE#E
IMP#ICATE
#OCU#
DES&.
Te,a 2eneral;: Tehnologia Informatiei %E3
1.
PRE1$TIRE
A MISIUNII
DE AUDIT
1/!
#. Intocmirea =i "rocesarea !rdinului de ser'iciu ( Mariana >uta SAI
(. Intocmirea si 'alidarea Declara1iei de inde"enden10 ( Mariana >uta SAI
). Preg0tirea =i transmiterea Noti5ic0rii "ri'ind
declan=area misiunii de audit intern c0tre "0r1ile
interesate
( Radu George SAI
%. Colectarea =i "relucrarea in5orma1iilor
)$ Mariana >uta
SAI
ADDI/A/
-. Ela3orarea C7estionarului de control intern
#<
Mariana >uta &
Radu George
SAI
<. Jntocmirea Listelor de 'eri5icare
%$
Mariana >uta &
Radu George
SAI
4. Analiza riscurilor )( Mariana >uta SAI
,. Jntocmirea Programului de audit intern , Mariana >uta SAI
..Intocmirea Programului "reliminar al inter'en1iei la
5a1a locului
% Radu George SAI
#$. !rganizarea Pedin1ei de desc7idere cu Direc1ia I/.

% Radu George SAI
##. Redactarea Minutei =edin1ei de desc7idere. % Radu George SAI
ADDI/A/
ETAPE#E
MISIUNII
DOMENIU# ACTIVIT$-I
DURATA
?7@
PERSOANE#E
IMP#ICATE
#OCU#
DES&.
#(. !rganizarea Pedin1ei de inc7idere cu Direc1ia I/. % Radu George SAI
ADDI/A/
#). Redactarea Minutei =edin1ei de inc7idere. % Radu George ADDI/A/
II.INTERVEN
-IA #A &A-A
#OCU#UI
1(0
-6I%1TI(78 1.
Plan 5trate2ic
%=
#.#. E5ectuarea test0rilor detaliate %rogramul
interven+iei la &a+a locului
#< Mariana >uta ADDI/A/
#.(. Discutarea constat0rilor cu conducatorul
de"artamentului I/
( Mariana >uta SAI
#.). Ela3orarea :.I.A.P. 2 urilor , Mariana >uta SAI
#.%. Colectarea do'ezilor % Radu George ADDI/A/
#.-. Re'izuirea documentelor de lucru din "unct de
'edere al con1inutului =i al 5ormei =i Antocmirea Notei
centralizatoare a documentelor de lucru
, Radu George ADDI/A/
-6I%1TI(78 2.
Or2ani9area )i
+uncionarea
de*arta,entului
IT
%!
(.#. E5ectuarea test0rilor detaliate %rogramul
#< Mariana >uta ADDI/A/
(.(. Discutarea constat0rilor cu conducatorul
de"artamentului I/
( Mariana >uta SAI
(.). Ela3orarea :.I.A.P. 6 urilor % Mariana >uta SAI
(.%. Colectarea do'ezilor ( Radu George ADDI/A/
(.-. Re'izuirea documentelor de lucru din "unct de
-6I%1TI(78 ".
I,*le,entarea
5i5te,ului IT
!=
).#. E5ectuarea test0rilor detaliate %rogramul
#<
Mariana >uta
ADDI/A/
).(. Discutarea constat0rilor cu conducatorul
de"artamentului I/
(
Mariana >uta
SAI
).). Ela3orarea :.I.A.P. 6 urilor % Mariana >uta SAI
).%. Colectarea do'ezilor % Radu George ADDI/A/
ETAPE#E
MISIUNII
DOMENIU# ACTIVIT$-I
DURATA
?7@
PERSOANE#E
IMP#ICATE
#OCU#
DES&.
).-. Re'izuirea documentelor de lucru din "unct de
(
Radu George
ADDI/A/
-6I%1TI(78 $.
Securitatea IT
(!
%.#. E5ectuarea test0rilor detaliate %rogramul
,
Mariana >uta
ADDI/A/
%.(. Discutarea constat0rilor cu =e5ul de ser'iciu ( Mariana >uta SAI
%.). Ela3orarea :.I.A.P. 6 urilor , Mariana >uta SAI
%.%. Colectarea do'ezilor #< Radu George ADDI/A/
%.-. Re'izuirea documentelor de lucru din "unct de
III. RAPORTU# DE AUDIT INTERN =0
#%. Redactarea si re'izuirea "roiectului de Ra"ort de
audit intern
%$
Mariana >uta SAI
#-. /ransmiterea "roiectului de Ra"ort de audit intern la
auditat =i solicitarea r0s"unsului asu"ra con1inutului An #-
zile
%
Radu George SAI
#<. !rganizarea Reuniunii de conciliere dac0 este cazul , Radu George ADDI/A/
#4. Includerea An Ra"ortul de audit intern a as"ectelor
sesizate de structura auditata si re1inute de auditori
5inalizarea si intocmirea sintezei ra"ortului
#<
Mariana >uta SAI
#,. !31inerea a'izarii Ra"ortului de audit intern a"ro3at
de conducerea institu1iei
,
Radu George SAI
#.. /ransmiterea recomand0rilor a"ro3ate c0tre auditat % Radu George ADDI/A/
IV. URM$RIREA RECOMAND$RI#OR (
($. Intocmirea 5isei de urmarire a recomandarilor % Mariana >uta SAI
Auditorii Su"er'izorul
Radu George
Procedura P03: Ela8orarea *ro2ra,ului de audit intern
PR!GRAMDL IN/ERIEN?IEI LA :A?A L!CDLDI
Mi5iunea de audit: /e7nologia In5ormatiei
<ntoc,it:Mariana >uta &Cazac George Data: (4.$).($$<
A4i9at: >uce'sc7i Dan Data: (4.$).($$<
Obiectivul !. Plan strategic
Nr.
crt.
!>IEC/E ADDI/A>ILE /IPDL /ES/@RII Locul Durata
978
Nr.
test
Nr. lista
'eri5icare
Auditori
#. Politicile entit01ii "u3lice An
domeniul I/
6 Analiza "oliticii entit01ii "u3lice An
domeniul I/
DI/ , LI # Mariana >uta
"lanului strategic =i a "lanurilor
anuale
6 Ieri5icarea ela3or0rii =i a"ro3area
"lanului strategic =i a "lanurilor anuale*
6 Analiza corel0rii "lanurilor strategice cu
"lanurile anuale
DI/
% LI # Radu George
). Su3sistemele I/ "entru 5unc1iile
"rinci"ale
E;aminarea 5a"tului dac0 su3sistemele
I/ aco"er0 An totalitate ne'oile "entru
5unc1iile "rinci"ale
6 Analizarea aco"eririi cu su3sisteme I/ a
ne'oilor 5unc1iilor "rinci"ale nou6create
6 Analizarea corel0rii Antre termenele de
realizare a su3sistemelor I/
DI/
, / #.4 LI # Radu George
%. Sta3ilirea res"onsa3ililor cu
ela3orarea si actualizarea
"lanului
6 E;aminarea de5inirii clare a
res"onsa3ilit01ilor DI/ < LI # Radu George
-. A"ro3area "lanului 6 E;aminarea con5ormitatii "lanului cu
"oliticile entitatii "u3lice in domeniul I/
DI/ , LI # Radu George
Obiectivul !!. !rganizarea =i 5unc1ionarea de"artamentului I/
<. !rganizarea de"artamentului I/ 6Analizarea organigramei de"art. I/
6 Analizarea managementului resurselor
umane la ni'elul De"artamentului I/
DI/
#<
/
(.-
LI ( Mariana >uta
4. Pregatirea "ro5esionala continua 6 Analizarea "lanurilor de "regatire
"ro5esionala continua
6 Ieri5icarea e;isten1ei unui sistem de
'eri5icare a cuno=tin1elor do3Endite du"0
e5ectuarea cursurilor
6 Analizarea realiz0rii "reg0tirii
"ro5esionale a salaria1ilor con5orm
atri3u1iilor =i res"onsa3ilit01ilor sta3ilite
"rin 5i=a "ostului
DI/
#$ LI ( Mariana >uta
,. Sistemul de gestionare a
6 Analizarea sistemului de e'aluare a
riscurilor
6 Ieri5icarea e;isten1a =i actualizarea
DI/
#$ LI ( Mariana >uta
Obiectivul !!!. Im"lementarea sistemului I/
.. Gradul de realizare a
sta3ilite "rin "lan
Ieri5icarea realiz0rii la termenele
sta3ilite a su3sistemelor I/*
6 Analiza1i acti'itatea de monitorizare a
im"lement0rii su3sistemelor I/
DI/
% LI )
Mariana >uta
#$. E;isten1a controalelor generale
la ni'elul su3sistemelor I/
6 E'aluarea controlului datelor
introduse An a"lica1ii*
6 E'aluarea controlului "e "arcursul
"roces0rii datelor*
6 E'aluarea controlului datelor
rezultate An urma "roces0rii*
6 Analiza1i 'alidarea datelor trans5erate
din alte a"lica1ii*
6 E'aluarea controalelor care 'eri5ic0
Anregistr0rile du3le*
6 Ieri5icarea autoriz0rii electronice
DI/ , /
).<.
LI ) Mariana >uta
=i&sau manuale a tranzac1iilor*
6 Analizarea e5ectuarea tranzac1iilor
numai de la com"utere de5inite An
"reala3il*
##. Situa1ia licen1elor "entru
6 Ieri5icarea situa1ia licen1elor de1inute
atEt "entru sistemul de o"erare
QindoOs
6 Ieri5icarea situa1ia licen1elor de1inute
atEt "entru "ac7etul de "rograme
Microso5t !55ice
6 Ieri5icarea e;isten1a controalelor de
sistem ce alerteaz0 administratorul An
cazul utiliz0rii de so5t6uri "entru care
nu s6au ac7izi1ionat licen1e
DI/
,
/
).,.
LI )
Mariana >uta
#(. Instruirea utilizatorilor
su3sistemelor I/
6 Ieri5icarea e;isten1ei =i res"ect0rii
"rogramelor de instruirea a
utilizatorilor su3sistemelor I/
DI/
% LI )
Mariana >uta
Obiectivul !6. Securitatea I/
#). Politica de securitate I/ 6 Ieri5icarea e;isten1a "oliticii de
securitate I/
6 Ieri5icarea actualizarea "oliticii de
securitate I/
DI/ < LI % Radu George
#%. Monitorizarea im"lement0rii
Analizarea Antocmirea =i transmiterea
sistematic0 a ra"oartelor de monitorizare
DI/ < LI % Radu George
#-. E'aluarea controalelor 5izice An
domeniul I/
Ieri5ica1i dotarea camerelor An care se
a5l0 ser'ere6le cu ec7i"amente adec'ate.
DI/ ,
/
%.4.
LI %
Radu George
#<. Siguran1a accesului la re1ea =i a
comunic0rii datelor An re1ea
Ieri5icarea aloc0rii numelui de utilizator
=i "arolei a5erente "entru accesul la re1ea
6 Monitorizarea conect0rii la re1ea
con5orm listei de logg6are
DI/ ,
/
%.,.
LI % Radu George
#4. Programe anti'irus 6 Ieri5icarea im"lement0rii "rogramelor
anti6'irus con5orm "rocedurilor
6 Monitorizarea sistematic0 a
5unc1ionalit01ii "rogramelor anti6'irus
Ieri5icarea sistemului de actualizare a
"rogramelor anti6'irus
DI/ #<
/
%...
LI % Radu George
#,. Recu"erarea datelor An caz de
dezastru
6 Ieri5icarea ela3or0rii "lanului de
recu"erare a datelor An caz de dezastru
6 Ieri5icarea desemn0rii res"onsa3ililor
cu monitorizarea im"lement0rii
"rocedurilor "ri'ind recu"erarea datelor
An caz de dezastru
6 Ieri5icarea e5ectu0rii monitoriz0rii
sistematice
DI/
#< LI % Radu George
Auditorii Su"er'izorul
Radu George
MINUTA 'EDIN-EI DE DESC7IDERE
Misiunea de audit: /e7nologia in5ormatiei
Perioada auditat0: $#.$#.6)#.#(.($$-
Jntocmit: Mariana >uta &Cazac George Data:
A'izat: >uce'sc7i Dan Data:
A. #i5ta *artici*anilor:
Nu,ele &uncia
Direcia0
Ser4iciul
Nr.
tele+on
E,ail Se,n;tura
>uce'sc7i Dan Coordonator CAPI
Mariana >uta Auditor SAPI
Radu George Auditor SAPI
Carol Dic7iu6
Iiorel
Conducator DI/
Ioiculescu Alin Se5 S/DAM
>oerescu Ilie Se5 SCD
/eodorescu Rodica Se5 SEE
Eleodor Darius Se5 SAPP
Iordac7e Camelia Se5 SRC
Paun Elena Se5 SSD
>adea Ste5an Se5 SA/
". Steno2ra,a )edinei
Jn cadrul =edin1ei de desc7idere s6a "rocedat la:
- Prezentarea ec7i"ei de auditori care urmeaz0 s0 e5ectueze misiunea de audit intern*
- Prezentarea 5unc1iei de audit intern de c0tre auditori An s"ecial a o3iecti'elor
generale ale auditului intern semni5ica1ia auditului intern.
- Prezentarea %rogramului interven+iei la &a+a locului o3iecti'ele audita3ile care se
inten1ioneaz0 a 5i realizate du"0 analizele de risc e5ectuate. A 5ost cerut0 "0rerea
audita1ilor cu "ri'ire la aceste o3iecti'e unde s6au 50cut remarci c0 acestea An
general re"rezint0 zone cu risc dar s6au 50cut =i unele comentarii cu "ri'ire la
com"le;itatea acti'it01ii Directiei I/ +uridic* resursele umane insu5iciente =i
neatracti'itatea ni'elului salariului "entru atragerea unor s"eciali=ti* 5luctuatia
mare a "ersonalului im"licat in acti'itatea I/.
- Sta3ilirea "ersoanelor "e care auditorii le "ot contacta An 'ederea colect0rii
in5orma1iilor e5ectu0rii de teste asu"ra muncii lor =i "entru a lua inter'iuri. De
asemenea a 5ost sta3ilit "rogramul AntElnirilor =i tim"ul necesar "entru realizarea
acestor "roceduri.
- Sta3ilirea condi1iilor minime "e care auditatul tre3uie s0 le asigure An 'ederea
realiz0rii misiunii de audit 9s"a1iu de lucru calculatoare "osi3ilitate de editare
etc.8
- Con'enirea unor as"ecte "rocedurale res"ecti' e'entualitatea unor =edin1e
intermediare An cursul auditului in5ormarea sistematic0 asu"ra constat0rilor.
- Sta3ilirea Reuniunii de Anc7idere inclusi' a "artici"an1ilor.
- Sta3ilirea modalit01ii de redactare a Ra"ortului de audit intern 9cEnd cum =i cui 'a
5i distri3uit8. Recomand0rile 5ormulate ca urmare a e'entualelor dis5unc1ionalit01i
constatate 'or 5i discutate =i analizate cu structura auditat0 inclusi' calendarul
im"lement0rii =i "ersoanele r0s"unz0toare cu im"lementarea recomand0rilor.
#ISTA DE VERI&ICARE NR. 1
Obiectivul !. %L#N /)(#)78!9
Nr.
crt. ACTIVITATEA DE AUDIT DA NU O"S.
1.1. 7xaminarea procedurilor privind planul "trategic 6 6
#.#.#. Ieri5icarea gradului de aco"erire cu acti'it01i care
concura la realizarea "lanului strategic:
6 6
6 Acti'it01i identi5icate
6 Proceduri a5erente acti'it01ilor
6 A"ro3area "rocedurilor de c0tre "ersoanele
com"etente*
6 6
6 Sta3ilirea modelelor de 5ormulare s"eci5ice* 6 6
6 Precizarea modalit01ilor de com"lectare a modelelor* 6 6
6 !5erirea unor e;em"le An acest sens* 6 6
6 Actualizarea sistematic0 a "rocedurilor* 6 6
#.#.(. Jnglo3area acti'it01ilor de control intern An
"unctele c7eie ale "rocesului*
6 6
#.#.). Res"ectarea "rinci"iul du3lei semn0turi* 6 6
#.#.%. Sta3ilirea res"onsa3ilit01ilor "ersoanelor im"licate
An acti'itatea im"lement0rii sistemului I/*
6 6
#.#.-. Modalitatea ar7i'0rii documentelor. 6 6
1.!. 9ompararea atribu+iilor privind planul "trategic
cuprin"e 0n proceduri cu cele din &i,ele po"turilor ,i
evaluarea completitudinii prelu*rii ace"tora
6 6
1.%. 7xaminarea cunoa,terii procedurilor privind planul
"trategic de c*tre re"pon"abilii cu reali$area ace"tei
activit*+i
6 6
1.(. #precierea calit*+ii procedurilor de c*tre per"onalul de
execu+ie re"pon"abil cu planul "trategic
6 6
a. consider0 "rocedurile cores"unz0toareB 6 6
3. constatat0 dis5unc1ionalit01i An tim"ul a"lic0rii
"racticeB
6 6
c. e;ist0 "ro"uneri de "er5ec1ionare a "rocedurilor 6 6
1./. %olitica entit*+ii publice 0n domeniul !)
a. Analiza1i "olitica entit01ii "u3lice An domeniul I/ =i
sta3ili1i dac0 asigur0 atingerea o3iecti'elor entit01ii
"u3lice
F
Inter4iu
nr. 1./.
Not; de
relaii nr.
1./.
3. Ieri5ica1i dac0 "olitica entit01ii "u3lice An domeniul
I/ se re5lect0 An "lanul strategic =i An "lanurile anuale
c. E;amina1i dac0 managerii cu res"onsa3ilit01i An
monitorizarea im"lement0rii "oliticii I/ au 5ost
consulta1i la ela3orarea "lanului strategic
Nr.
d. Analiza1i acti'itatea de actualizare a "lanului strategic
1.3. 7laborarea planului "trategic ,i a planurilor anuale
a. Analiza1i sistemul de 5undamentare a "lanului
strategic
F
Inter4iu
nr. 1.3.
Not; de
relaii nr.
1.3.
3. Analiza1i corelarea "lanului strategic cu "lanurile
anuale
c. E'alua1i e;isten1a unui sistem de "rioritizare al
acti'it01ilor cu"rinse An "lan
d. Ieri5ica1i ela3orarea =i a"ro3area "lanului strategic =i
a "lanurilor anuale
1.E. /ub"i"temele !) pentru &unc+iile principale
a. Analiza1i sistemul de ela3orare a su3sistemelor I/
"entru 5unc1iile "rinci"ale.

Inter4iu
nr. 1.E.
Te5t nr. 1.E.
&oaie de
lucru nr.
1.E.
#i5t; de
control
nr. 1.E.
&IAP nr.
1.E.
3. E;isten1a "rogramului "entru instruirea utilizatorilor
su3sistemului I/
F
c. E;amina1i dac0 su3sistemele I/ aco"er0 An totalitate
ne'oile "entru 5unc1iile "rinci"ale ale entit01ii "u3lice
F
d. Analiza1i dac0 ne'oile de su3sisteme I/ "entru
5unc1iile "rinci"ale nou6create au 5ost aco"erite.
F
e. Ieri5ica1i dac0 de"artamentele An5iin1ate ca urmare a
5unc1iilor "rinci"ale nou6create au 5ost solicitate s06=i
e;"rime cerin1ele s"eci5ice "ri'ind realizarea unor
su3sisteme I/ "ro"rii acti'it01ii lor
F
5. Analiza1i e;isten1a corel0rii Antre termenele de
realizare a su3sistemelor.
F
g. Analiza1i "rocedurile "e 3aza c0rora se realizeaz0
su3sistemele I/ =i sta3ili1i dac0 acestea sunt su5iciente
"entru im"lementarea acestor su3sisteme An condi1ii
o"time.
F
7. Sta3ili1i dac0 e;ist0 studii de 5eza3ilitate "entru
su3sistemele I/ "lani5icate.

1.=. /tabilirea re"pon"abililor cu elaborarea ,i actuali$area
planului
F
a. Ieri5ica1i documentele o5iciale "rin care au 5ost
desemnate "ersoanele res"onsa3ile cu ela3orarea =i
actualizarea "lanului.
F
Inter4iu
nr. 1.=.
3. E;amina1i dac0 res"onsa3ilit01ile sunt clar de5inite F
c. Ieri5ica1i dac0 "ersoanele nominalizate au 5ost
Ancuno=tin1ate =i ac1iunile Antre"rinse "entru Ande"linirea
acestor sarcini de ser'iciu.
F
Nr.
d. Analiza1i dac0 5i=a "ostului "entru "ersoanele
res"onsa3ile au 5ost actualizate cu"rinzEnd noile sarcini
"rimite.
F
e. Analiza1i "rocedurile utilizate "entru ela3orarea =i

5. Identi5ica1i deciziile luate An 'ederea ela3or0rii =i
actualiz0rii "lanului =i analiza1i dac0 aceste sunt An
con5ormitate cu "rocedurile e;istente la ni'elul entit01ii
"u3lice

g. E;amina1i instrumentele utilizate "entru estimarea
resurselor =i termenelor necesare "entru realizarea
"lanului utilizate An 5aza de ela3orare a "lanului

7. Ieri5ica1i dac0 "rin ela3orarea "lanului au 5ost
sta3ilite "raguri 3ugetare "entru acti'it01ile ce tre3uiesc
realizate =i "rocedurile ce 'or 5i a"licate An cazul An care
aceste "raguri 3ugetare sunt de"0=ite

1.G. #probarea planului
a. Ieri5ica1i dac0 "lanul este a"ro3at de "ersoanele
com"etente
F
Inter4iu
nr. 1.G.
3. Analiza1i dac0 "lanul a"ro3at este An con5ormitate cu
"oliticile entit01ii "u3lice An domeniul I/
c. Analiza1i Am"reun0 cu 5actorii res"onsa3ili de
realizarea su3sistemelor I/ "entru 5unc1iile "rinci"ale
din cadrul entit01ii "u3lice dac0 e;ist0 de"artamente
im"ortante "entru care nu s6au realizat su3sisteme I/
Data: $#.$%.($$-
Auditor intern Su"er'izor

!N)7(6!: nr. ;.<.
privind politica entit*+ii publice 0n domeniul !)
adre"at
domnului 9arol -ic5i'6iorel , conduc*tor -epartament !)
Misiunea de audit: Audit I/
Perioada auditat0: $#.$#.($$- 6 )#.#(.($$-
Nr.
crt. 9ntrebri
Da Nu O85.
#. E;ist0 o "olitic0 a entit01ii "u3lice An domeniul I/B C
(. Este aceasta a"ro3at0 de managementul entit01ii "u3liceB C
). Politica de5ine=te "rinci"alele domenii de interes An domeniul I/B C
%. Politia I/ este sus1inut0 "rin "lanul strategicB C
-. Este "olitica I/ actualizat0 "eriodicB C
<. Politica I/ asigur0 Ande"linirea o3iecti'elor generale ale entit01ii
"u3liceB
C
4. Politica I/ sta3ile=te stadiul actual modalit01ile de realizare =i
stadiul 'iitor de dez'oltare al sistemului I/B
C
,. Este "oliticii I/ adus0 la cuno=tiin1a salaria1ilor im"lica1i An
im"lemnatrea acesteiaB
C
.. Salaria1ii cu res"onsa3ilit01i An acest sens au luat m0surile
necesare "entru im"lementarea "oliticii I/B
C
#$. Dtilizatorii sistemului I/ cunosc =i a"lic0 "re'ederile "oliticii I/
a"lica3ile de"artamentului An care A=i des50=oar0 acti'itateaB
C
##. A'e1i cuno=tiin10 de e;isten1a unor cazuri de Anc0lcare a "oliticii
I/B Dac0 da "rezenta1i m0surile luate la ni'elul entit01ii "u3lice.
C
Data: $).$%.($$-

Inter'ie'at Auditor Su"er'izor
Carol Dic7iu6Iiorel Cazac George >uce'sc7i Dan

NO)= -7 (7L#>!! nr. ;. <.
privind elaborarea politicii entit*+ii publice
adre"at
<ntre8area nr. 1: # &o"t elaborat* politica entit*+ii publice 0n domeniul !)?
R;5*un5 nr. 1: Jn calitate de conduc0tor la de"artamentului I/ am "artici"at la
ela3orarea "oliticii I/ . Men1ionez c0 "olitica I/ a 5ost 5ormalizat0 =i a"ro3at0 de c0tre
managementul entit01ii "u3lice.
<ntre8area nr. !: Politica I/ de5ine=te "rinci"alele domenii de interes An domeniul
I/ =i este sus1inut0 "rin "lanul strategicB
R;5*un5 nr. !: Politica I/ a 5ost 5ormulat0 "e 3aza sistemului I/ e;istent =i "re'ede
cerin1ele ce tre3uiesc Ande"linite de acesta "e termen mediu =i lung 5iind enun1ate
"rinci"iile generale "entru atingerea acestora. Politica I/ =i "lanul strategic au 5ost
corelate "rin "lan "rezentEndu6se modul de Ande"linire a dezideratelor 5ormulate "rin
"olitica I/.
<ntre8area nr. %: Politica I/ a 5ost adus0 la cuno=tin1a salaria1ilorB
R;5*un5 nr. %: Annual salaria1ii entit01ii "u3lice com"lecteaz0 =i semneaz0 o
declara1ie "e "ro"ria r0s"undere "rin care A=i asum0 cunoa=terea =i res"ectarea "oliticilor
I/ An acti'itatea des50=urat0. De asemenea men1ionez c0 "olitica I/ este "u3licat0 "e site6
ul organiza1iei 5iind o in5orma1ie de interes "u3lic.
<ntre8area nr. (: A'e1i cuno=tin10 de e;isten1a unor cazuri de Anc0lcare a "oliticii
I/B Dac0 da "ute1i s0 ne "rezenta1i m0surile luate la ni'elul entit01ii "u3liceB
R;5*un5 nr. (: %1n* 0n pre$ent nu au &o"t con"tatate ca$uri de 0nc*lcare a
prevederilor politicii !).
<ntre8area nr. /: Politica I/ este actualizat0 "eriodic?
R;5*un5 nr. /: PEn0 An "rezent "olitica I/ nu a 5ost actualizat0. Aceasta a 5ost
ela3orat0 cu ( ani An urm0 =i este Anc0 de actualitate.
<ntre8area nr. 3: Cum se 'a realiza actualizarea "oliticii I/?
R;5*un5 nr. 3: Politica I/ a 5ost ela3orat0 la cererea managementului entit01ii
"u3lice =i 'a 5i actualizat0 "ro3a3il tot la cererea managementului.
<ntre8area nr. E: E;ist0 o "rocedur0 de actualizare a "oliticii I/B
R;5*un5 nr. E: Nu.
<ntre8area nr. =: Mai ave+i ceva de ad*ugat?
R;5*un5 nr. =: Nu.
Carol Dic7i6Iiorel Cazac George >uce'sc7i Dan
!N)7(6!:
privind planul "trategic nr. ;.6.
adre"at
Nr.
crt.
9ntrebri
Da Nu O85er4aii
#. E;ist0 un sistem de 5undamentare
a "lanului strategicB
C
(. Planul strategic este corelat cu
"lanurile anualeB
C
Planul strategic este de5alcat An
"lanurile anuale.
). E;ist0 un sistem de "rioritizare al
acti'it01ilor cu"rinse An "lanB
C Da "rin "lanul strategic a"ro3at se
urm0re=te atingerea o3iecti'elor
strategice sta3ilite "rin "oliticile
entit01ii "u3lice An domeniul I/.
%. Este sistem de "rioritizare al
acti'it01ilor cu"rinse An "lan
actualizat "eriodicB
C
-. Planul strategic =i "lanurile anuale
sunt ela3orate con5orm
"rocedurilor 5ormalizateB
C Entitatea "u3lic0 a ela3orat =i
a"ro3at un set de "roceduri
menite s0 5ormalizeze acti'itatea
de ela3orare a "lanului strategic =i
a "lanurilor anuale
Data: $).$%.($$-
4-T#5
%e ba$a r*"pun"urilor la interviu ,i a documentelor tran"mi"e "'a 5ot*r1t ca pentru
ace"t obiectiv "* nu "e elabore$e F!#%.
!n&orma+iile primite prin documentele tran"mi"e 0n cadrul interviului vor &i utili$ate la
elaborarea (aportului de audit intern.
NO)= -7 (7L#>!! nr. ;.6.
privind elaborarea planului "trategic ,i a planurilor anuale
adre"at*,
<ntre8area nr. 1: Au 5ost ela3orate "lanuri strategice =i "lanuri anualeB
R;5*un5 nr. 1: Planul strategic a 5ost ela3orat "entru o "erioad0 de - ani An urm0 cu doi ani.
Planul strategic ini1ial este de5alcat An "lanuri anuale "entru a se asigura coordonarea
im"lement0rii su3sistemelor I/.
<ntre8area nr. !: Ela3orarea acestor "lanuri s6a realizat Antr6un cadru 5ormalizatB
R;5*un5 nr. !: Prin decizia managerului general a 5ost numit0 o comisie 5ormat0 din
conduc0torii "rinci"alelor de"artamente din cadrul entit01ii "u3lice a'End res"onsa3ilitatea
ela3or0rii "lanului strategic =i a "lanurilor anuale. Jn calitate de conduc0tor al de"artamentului
I/ 5ac "arte din aceast0 comisie.
<ntre8area nr. %: E;ist0 un sistem de 5undamentare a "lanului strategicB
R;5*un5 nr. %: :undamentarea "lanului strategic s6a realizat "e 3aza analizei ne'oilor de
in5ormatizare 5ormulate de c0tre de"artamentele ce asigur0 realizarea 5unc1iilor "rinci"ale ale
entit01ii "u3lice "ornindu6se de la sistemul I/ e;istent =i urm0rindu6se realizarea m0surilor
necesare An 'ederea atingerii "arametrilor sta3ili1i "rin "olitica I/.
<ntre8area nr. (: E;ist0 un sistem de "rioritizare al acti'it01ilor cu"rinse An "lanB
R;5*un5 nr. (: -a. !mplementarea "ub"i"temelor !) "e va reali$a con&orm plani&ic*rii
pornind de la importan+a ace"tora pentru entitatea public* ,i +in1ndu'"e cont de re"ur"ele de
care di"pune organi$a+ia.
<ntre8area nr. /: Mai ave+i ceva de ad*ugat?
R;5*un5 nr. /: Nu.
4ota5
Nu "e va elabora F!#%, dar a"pectele con"tatate vor &i men+ionate 0n raportul de audit intern .

!N)7(6!: nr. ;.7.
privind "ub"i"temele !) pentru &unc+iile principale
adre"at
Nr.
crt.
9ntrebri
Da Nu O85.
#.
Planul strategic "re'ede ela3orarea de
su3sisteme I/ "entru 5unc1iile
"rinci"aleB
C
(.
Au 5ost ela3orate su3sisteme I/ "entru
toate 5unc1iile "rinci"ale
C
Procesul de ela3orare a su3sistemelor I/
este Anc0 An derulare.
).
Procesul de ela3orare a su3sistemelor
I/ "entru 5unc1iile "rinci"ale este
"roceduratB
C
Da "rin "lanul strategic au 5ost sta3ilite
termene de realizare a su3sistemelor I/.
%.
Au 5ost ela3orate su3sisteme I/ "entru
5unc1ii "rinci"ale a"0rute la solicitarea
Comisiei Euro"ene sau ca urmare a
sc7im30rilor legislati'e a"0rute An
RomEniaB
C
Resursele umane de care dis"unem sunt
im"licate An ela3orarea su3sistemelor I/
"re'0zute "rin "lanul strategic de5alcat An
"lanuri anuale. PEn0 An "rezent "lanul
strategic ini1ial nu a 5ost modi5icat.
-.
A 5ost reanalizat0 "eriodic 9trimestrial
anual8 o analiz0 a ne'oilor de
sus3sisteme I/ la ni'elul 5unc1iilor
"rinci"ale nou6createB
C
Realizarea acestei analize nu este An s5era
de com"eten1e a conduc0torului
de"artamentului I/
<.
Sunt corelate termenelor de realizare a
su3sistemelor I/B
C
Da "rin "lanul strategic.
4.
Au 5ost realizate su3sistemele I/ la
termenele "re'0zuteB
C
S6au Anregistrat AntErzieri An realizarea
su3sistemelor I/
,.
Au 5ost "re'izonate resursele necesare
"entru ela3orarea su3sistemelor I/B C
De"artamentul I/ asigur0 resursele umane
necesare "entru ela3orarea su3sistemelor
I/.
Data: $).$%.($$-
Carol Dic7i6Iiore l Cazac George >uce'sc7i Dan
4-T#5
%e ba$a r*"pun"urilor la interviu ,i a documentelor tran"mi"e "'a 5ot*r1t ca pentru ace"t
obiectiv "* "e elabore$e F!#%.
T%0T 4:. 1.*.
O8iectul te5tului:
Su3sistemele I/ "entru 5unc1iile "rinci"ale.

O8iecti4ele te5tului
- Su3sistemele I/ "entru 5unc1ii "rinci"ale a"0rute la recomandarea Comisiei
Euro"ene =i sau ca urmare a sc7im30rilor legislati'e a"0rute An RomEnia.
- Neres"ectarea termenelor de im"lementare al su3sistemelor I/.
De5crierea te5tului
Po"ula1ia statistic0 a 5ost constituit0 din cele trei de 5unc1ii "rinci"ale nou6create la
ni'elul entit01ii "u3lice Rn 3aza recomand0rilor Comisiei Euro"ene identi5icate ca urmare
a analizei modi5ic0rilor o"erate An organigram0 la data ela3or0rii "lanului strategic.
E=antionul "entru realizarea test0rii situa1iei su3sistemelor I/ "entru 5unc1iile
"rinci"ale a 5ost constituit din totalul "o"ula1iei statistice res"ecti' #$$S.
/estarea a constat An e;aminarea urm0toarelor elemente sta3ilite "rin Li"ta de
veri&icare nr. ;, po$. ;.7 =i anume:
- E;amina1i dac0 su3sistemele I/ aco"er0 An totalitate ne'oile "entru 5unc1iile
"rinci"ale ale entit01ii "u3lice
- Analiza1i dac0 ne'oile de su3sisteme I/ "entru 5unc1iile "rinci"ale nou6create au
5ost aco"erite
- Ieri5ica1i dac0 de"artamentele An5iin1ate ca urmare a 5unc1iilor "rinci"ale nou6
create au 5ost solicitate s06=i e;"rime cerin1ele s"eci5ice "ri'ind realizarea unor
su3sisteme I/ "ro"rii acti'it01ii lor
- Analiza1i "rocedurile "e 3aza c0rora se realizeaz0 su3sistemele I/ =i sta3ili1i dac0
acestea sunt su5iciente "entru im"lementarea acestor su3sisteme An condi1ii
o"time
/estarea s6a concretizat An ela3orarea Li"tei de control nr. ; privind anali$a
"ub"i"temelor !) pentru &unc+iile principale nou'create.
Con5tat;ri
Din analiza Listei de control rezultate s6a constatat c0 An cadrul entit01ii "u3lice
e;ist0 structuri nou6An5iin1ate ca urmare a sc7im30rilor legislati'e a"0rute "entru care nu
s6au realizat a"lica1ii in5ormatice s"eci5ice res"ecti' #utoritatea de Management a
Fondurilor /tructurale, #utoritatea de Management a Fondurilor de 9oe$iune,
#utoritatea competent* pentru acreditarea agen+iilor de plat*. Jn acela=i tim" e;ist0 =i o
structur0 nou An5iin1at0 2 #utoritatea de Management a Fondurilor de 9oe$iune 2 care a
noti5icat de"artamentul I/ dar im"lementarea nu s6a realizat An termen.
Conclu9ii
Jn acest caz se 'a ela3ora :IAP.

Auditor Su"er'izor
&OAIE DE #UCRU nr. 1.E.
-biectivul nr. 15 P8#4 0T:#T%GI1
Obiectul nr. ;.7. 4 /ub"i"temele !) pentru &unc+iile principale
/estarea se 'a realiza "e un e=antion care a 5ost constituit ast5el:
6 "o"ula1ia total0 este de , 5unc1ii "rinci"ale nou6create*
6 e=antionul 'a 5i de )4-S res"ecti' , ; )4-S T ) 5unc1ii "rinci"ale*
6 e=antionul se 'a constitui din:
o #utoritatea de Management a Fondurilor /tructurale
o #utoritatea de Management a Fondurilor de 9oe$iune
o #utoritatea competent* pentru acreditarea agen+iilor de plat*
con5orm celor "rezentate An Lista de control ane;at0 la /estul nr. #.#.:
6 e=antionul constituit 'a 5i 'eri5icat integral*
6 An urma 'eri5ic0rii se 'a Antocmi un test.
Data: $,.$%.($$-
Auditor Su"er'izor
#i5ta control nr. 1. E.
privind #nali$a "ub"i"temelor !) pentru &unc+iile principale nou'create
Nr.
crt.
Elemente
/estate
E=antion
7xamina+i dac*
"ub"i"temele !) acoper*
0n totalitate nevoile
pentru &unc+iile
principale ale entit*+ii
publice
#nali$a+i dac* nevoile
de "ub"i"teme !)
pentru &unc+iile
principale nou'create
au &o"t acoperite
6eri&ica+i dac* departamentele
0n&iin+ate ca urmare a &unc+iilor
principale nou'create au &o"t
"olicitate "*',i exprime cerin+ele
"peci&ice privind reali$area unor
"ub"i"teme !) proprii activit*+ii lor
#nali$a+i procedurile pe ba$a
c*rora "e reali$ea$*
"ub"i"temele !) ,i "tabili+i
dac* ace"tea "unt "u&iciente
pentru implementarea ace"tor
"ub"i"teme 0n condi+ii optime
#. #utoritatea de
Management a
Fondurilor
/tructurale
:IAP :IAP :IAP C
(. #utoritatea de
Management a
Fondurilor de
9oe$iune
:IAP :IAP :IAP C
). #utoritatea
competent*
pentru
acreditarea
agen+iilor de
plat*
:IAP :IAP C C
Data: $#.$%.($$-
Auditor Su"er'izor
ENTITATEA PU"#IC$
Ser'iciul Audit Pu3lic Intern
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. 1.E.
Misiunea de audit: #udit !).
Perioada auditat0: $#.$#.($$- 2 $#.$#.($$<
PRO"#EMA
E;isten1a unor de"artamente care nu dis"un de su3sisteme I/ s"eci5ice acti'it01ilor
care se des50=oar0 An cadrul entit01ii "u3lice.
CONSTATARE
6 Din analiz0 s6a constatat c0 An cadrul entit01ii "u3lice e;ist0 structuri nou6An5iin1ate
ca urmare a recomand0rilor Comisiei Euro"ene =i a sc7im30rilor legislati'e care nu au
noti5icat de"artamentul I/ An "ri'in1a ne'oilor lor de a"lica1ii in5ormatice s"eci5ice. Jn
acela=i tim" s6au constatat =i de"artamente nou An5iin1ate care au 5ost solicitate s06=i
e;"rime ne'oile "entru realizarea su3sistemelor I/ s"eci5ice acti'it01ii lor dar care nu s6
au realizat con5orm "lani5ic0rii.
CAU:E
6 Ine;isten1a la ni'elul entit01ii "u3lice a unor "roceduri com"lete de ela3orare a
strategiei I/ care s0 "ermit0 actualizarea sistematica 5unctie de sc7im30rile
legislati'e*
6 Insu5icien1a "ersonalului de s"ecialitate.
CONSECIN-E
6 Domenii im"ortante de acti'itate ale entit01ii "u3lice "entru care nu s6a realizat
im"lementarea su3sistemelor I/ necesare "entru des50=urarea acti'it01ii au
randamente sc0zute ceea ce a5ecteaz0 ansam3lul entit01ii "u3lice*
6 Sarcinile "entru "osturile 'acante au 5ost redistri3uite Antre salaria1ii e;isten1i An
cadrul Direc1iei I/.
RECOMAND$RI
6 Ela3orarea unei "roceduri scrise =i 5ormalizate "entru actualizarea strategia I/ la
ni'elul entit01ii "u3lice "entru de"artamentele nou6create*
6 Sta3ilirea res"onsa3ilit01ii "entru actualizarea strategiei I/*
6 Preocu"are "entru angaFarea "ersonalului de s"ecialitate =i ocu"area "osturilor
'acante*
6 Coro3orarea atri3u1iilor "rezentate "rin "roceduri cu cele sta3ilite "rin 5i=ele
"osturilor*
6 In'entarierea stadiului im"lement0rii su3sistemelor I/ la ni'elul de"artamentelor
entit01ii "u3lice =i sta3ilirea necesit01ilor I/ care tre3uiesc incluse An strategia I/.
Jntocmit Su"er'izat Pentru con5ormitate
Cazac George >uce'sc7i Dan Eleodor Darius
ENTITATEA PU"#IC$

!N)7(6!: nr. ;..
%rivind "tabilirea re"pon"abililor cu elaborarea ,i actuali$area planului
adre"at
Nr.
crt.
9ntrebri
Da Nu O85er4aii
#. E;ist0 documente o5iciale "rin care au 5ost desemnate
"ersoanele res"onsa3ile cu ela3orarea =i actualizarea
"lanuluiB
C
(. Sunt res"onsa3ilit01ile clar de5inite An documentele
o5icialeB
C
). E;ist0 nominalizate An mod o5icial "ersoanele
res"onsa3ileB
C
%. Persoanele res"onsa3ile au 5ost Ancuno=tin1ateB C
-. :i=ele "osturilor au 5ost actualizate "entru a re5lecta noile
res"onsa3ilit01i "rimiteB
C
<. Persoanele nominalizate =i6au Ande"linit sarcinile "ri'ind
ela3orarea =i actualizarea "lanului strategic =i a
"lanurilor anualeB
C
Data: $).$%.($$-
4-T#5
ENTITATEA PU"#IC$

!N)7(6!: nr. ;.@.
%rivind aprobarea planului "trategic
adre"at
Nr.
crt.
9ntrebri
Da Nu O85er4aii
#. Planul strategic este a"ro3at
de "ersoanele com"etenteB
C
(. Planul a"ro3at este
5undamentat An mod
cores"unz0torB
C
Planul strategic a 5ost 5undamentat con5orm
"rocedurilor entit01ii "u3lice.
).
Planul strategic este An
con5ormitate cu "oliticile
entit01ii "u3lice An domeniul
I/B
C Da "rin "lanul strategic a"ro3at se urm0re=te
atingerea o3iecti'elor strategice sta3ilite "rin
"oliticile entit01ii "u3lice An domeniul I/.
%.
Procedurile "e 3aza c0rora
se realizeaz0 su3sistemele I/
sunt su5iciente "entru
im"lementarea acestor
su3sisteme An condi1ii
o"timeB
C
Entitatea "u3lic0 a ela3orat =i a"ro3at un set de
"roceduri menite s0 5ormalizeze im"lementarea
acestor su3sisteme An condi1ii o"time. /otu=i
cadrul "rocedural tre3uie Am3un0t01it continuu
"e m0sur0 ce organiza1ia solu1ioneaz0 =i tre3uie
s0 reglementeze "ro3leme noi ne"lani5icate cu
care se con5runt0 An asigurarea 5unc1ion0rii An
3une condi1ii a su3sistemelor I/.
-.
E;ist0 studii de 5eza3ilitate
"entru su3sistemele I/
"lani5icateB
C
Data: $).$%.($$-

4-T#5
obiectiv "* nu "e elabore$e F!#%.
#ISTA DE VERI&ICARE NR. !
Obiectivul !!. O(8#N!A#(7# B! F:N9>!ON#(7# -7%#()#M7N):L:! !)
Nr.
!.1. 7xaminarea procedurilor privind organi$area ,i
&unc+ionarea departamentului !)4
6 6
Ieri5icarea gradului de aco"erire "rin "rocedur0 a
acti'it01ilor "ri'ind organizarea =i 5unc1ionarea
de"artamentului I/:
6 6
a. Ela3orarea =i a"ro3area "rocedurilor de c0tre
"ersoanele com"etente*
6 6
3. A"licarea "rocedurilor An acti'itatea des50=urat0* 6 6
c. E'aluarea =i actualizarea sistematic0 a "rocedurilor* 6 6
d. Con5ormitatea "rocedurilor cu cadrul legal An
'igoare*
6 6
e. Sta3ilirea res"onsa3ilit01ilor "ersoanelor com"onente
"e linia e;isten1ei unui cadru "rocedural adec'at la
ni'elul de"artamentului I/*
6 6
!.!. 9ompararea atribu+iilor cuprin"e 0n &i,ele po"turilor cu
cele din proceduri ,i evaluarea completitudinii prelu*rii
ace"tora
6 6
!.%. 7xaminarea cunoa,terii procedurilor de c*tre
re"pon"abilii cu reali$area activit*+ii
6 6
!.(. #precierea calit*+ii procedurilor de c*tre re"pon"abilii
ace"tora4
a. Consider0 "rocedurile cores"unz0toareB 6 6
3. Constatat0 dis5unc1ionalit01i An tim"ul a"lic0rii
"racticeB
6 6
c. E;ist0 "ro"uneri de "er5ec1ionare a "rocedurilor 6 6
d. Modul de solu1ionare a "ro"unerilor de "er5ec1ionare
a "rocedurilor
6 6
!./. Organi$area departamentului !) F
a. Ieri5icarea e;isten1ei organigramei de"artamentului
I/

Nr.
Te5t nr. !./.
#i5t; control
nr. !./.
&IAP nr. !./.
3. Ieri5icarea a"ro30rii organigramei de c0tre "ersoanele
com"etente

c. Analizarea organigramei de"artamentului I/: F
6 Num0r total de "osturi de conducere* F
6 Num0r "osturi de conducere ocu"ate cu delega1ie* F
6 Num0r total de "osturi de e;ecu1ie* F
6 Num0r "osturi de e;ecu1ie neocu"ate F
d. E'alua1i demersurile realizate de de"artamentul I/
"entru ocu"area "osturilor de conducere
F
e. Analiza1i consecin1ele 5unc1ion0rii de"artamentului I/
"rin delegarea "ersoanelor de conducere
F
5. E'alua1i "reocu"area conducerii "entru ocu"area
"osturilor de e;ecu1ie
F
g. E;isten1a unui "lan de im"lementare a m0surilor
necesare menite s0 asigure 3una des50=urare a acti'it01ii
An cazul e;isten1ei unui num0r mare de "osturi 'acante
F
7. Analiza1i dotarea de"artamentului cu ec7i"amente
7ard =i so5t adec'ate "entru des50=urarea acti'it01ilor
s"eci5ice ast5el:

6 Num0r su5icient de calculatoare dotate cores"unz0tor
6 Num0r su5icient de ser'ere
6 Num0r su5icient de ec7i"amente au;iliare 9im"rimante
;ero;6uri scanere cone;iuni la intranet&Internet8

6 Programe I/ adec'ate
i. Ieri5ica1i e;isten1a unui res"onsa3il cu e5ectuarea
monitoriz0rii modului de realizare a o3iecti'elor
generale =i s"eci5ice ale de"artamentului

!.3. /tabilirea re"pon"abilit*+ilor prin &i,ele po"turilor 6
a. Ieri5ica1i actualizarea 5i=elor "osturilor 6
3. Ieri5ica1i cu"rinderea atri3u1iilor sta3ilite "rin R!: An
5i=ele "osturilor
6
!.E. #nali$a+i cali&icarea ,i preg*tirea "alaria+ilor 6
!.=. #nali$a+i preg*tirea pro&e"ional* continu* a "alaria+ilor F
a. E;isten1a "lanurilor de "reg0tire "ro5esional0
continu0
F
3. Ieri5ica1i e5ectuarea sistematic0 a analizei Ande"linirii
"lanului
F
c. E;isten1a altor 5orme de "reg0tire "ro5esional0 6 6
Nr.
Inter4iu nr.
!.=.
&IAP nr. !.=.
d. E;isten1a unui sistem de 'eri5icare a cuno=tin1elor
do3Endite du"0 e5ectuarea cursurilor
F
e. Analiza1i dac0 "reg0tirea "ro5esional0 a salaria1ilor
este realizat0 con5orm atri3u1iilor =i res"onsa3ilit01ilor
sta3ilite "rin 5i=a "ostului.
F
5. Ieri5ica1i dac0 "reg0tirea "ro5esional0 a salaria1ilor
asigur0 atingerea o3iecti'elor organiza1iei
F
g. Ieri5ica1i e;isten1a unui sistem de indicatori de
"er5orman10 "entru e'aluarea gradului de "reg0tire
"ro5esional0
F
!.G. 7xamina+i "i"temul de evaluare a per"onalului 6 6
a. Ieri5ica1i e;isten1a unui sistem de e'aluare anual0 a
salaria1ilor
6 6
3. Analiza1i realizarea e'alu0rii "e "arcursul anului a
salaria1ilor
6 6
c. Ieri5ica1i e'aluarea 5ormal0 a "ersonalului 6 6
!.10. 7xaminarea "i"temului de ge"tionare a ri"curilor
generale
a. Ieri5ica1i e;isten1a unei "olitici unitare "ri'ind
C
Inter4iu nr.
!.10.
&IAP nr.
!.10.
3. Ieri5ica1i e;isten1a unui sistem de e'aluare a riscurilor
c. Identi5ica1i desemnarea unui res"onsa3il "ri'ind
gestionarea riscurilor la ni'elul de"artamentului I/
d. Ieri5ica1i e;isten1a Registrului riscurilor la ni'elul
Direc1iei I/
e. Analiza1i actualizarea sistematic0 a Registrului
riscurilor
5. Ieri5ica1i dac0 riscurile maFore "rezentate An Registrul
riscurilor ela3orat la ni'elul Direc1iei I/ se reg0sesc
An Registrul riscurilor ela3orat la ni'elul Antregii
entit01i "u3lice
Data: $#.$%.($$-
ENTITATEA PU"#IC$
TEST NR. !./.
O8iectul te5tului
!rganizarea =i 5unc1ionarea de"artamentului I/.
- Corela1ia dintre num0rul de "osturi de conducere ocu"ate =i cele de1inute cu
delega1ie.
De5crierea te5tului
De"artamentul I/ din cadrul entit01ii "u3lice are 4 ser'icii 5unc1ionale. E=antionul
'a 5i constituit din Antreaga "o"ula1ie deci #$$S deoarece e;ist0 un num0r rezona3il de
ser'icii.
/estarea a constat An e;aminarea la ni'elul de"artamentului I/ a urm0toarelor
elemente sta3ilite "rin Li"ta de veri&icare nr. 2, po$. 2.< =i anume:
Analiza organigramei de"artamentului I/:
- Num0r total de "osturi de conducere
- Num0r "osturi de conducere ocu"ate cu delega1ie
- Num0r total de "osturi de e;ecu1ie
- Num0r "osturi de e;ecu1ie neocu"ate.
E'alua1i demersurile realizate de de"artamentul I/ "entru ocu"area "osturilor
de conducere:
- Num0r de e;amene organizate "entru ocu"area "osturilor*
- Num0r de solicit0ri c0tre com"artimentul de Resurse Dmane "entru
organizarea e;amenelor.
Analiza1i consecin1ele 5unc1ion0rii de"artamentului I/ "rin delegarea
"ersonalului de conducere
- Num0r de sesiz0ri ale de"artamentelor 3ene5iciare ale ser'iciilor I/*
- Num0r de su3sisteme I/ neim"lementate la termenele "lani5icate.
Analiza1i "reocu"area conducerii "entru ocu"area "osturilor de e;ecu1ie*
- Num0r de e;amene organizate "entru ocu"area "osturilor
- Num0r de solicit0ri c0tre com"artimentul de Resurse Dmane "entru
organizarea e;amenelor.
E;isten1a unui "lan de im"lementare a m0surilor necesare menite s0 asigure
3una des50=urare a acti'it01ii An cazul e;isten1ei unui num0r mare de "osturi
'acante.
/estarea s6a concretizat An ela3orarea Li"tei de control nr. 2.;. privind organi$area
,i &unc+ionarea departamentului !).
Con5tat;ri
Din analiza modului de aco"erire a necesarului de resurse umane la ni'elul
de"artamentului I/ s6a constatat c0 datorit0 num0rului mare de "osturi 'acante e;istent
=i utilizarea sistemului de delegare a "ersonalului s"ecial "entru e;ercitarea 5unc1iilor de
conducere salaria1ii tre3uie s06=i Ande"lineasc0 sarcinile de ser'iciu ce le re'in ca
urmare a deleg0rii dar =i sarcinile curente de ser'iciu 5a"t ce a5ecteaz0 calitatea
Ande"linirii acestor atri3u1ii
De asemenea s6a constatat c0 nu este organizat =i nu a 5ost 1inut la zi Registrul
riscurilor cu"rinzEnd riscurile "oten1iale =i istoricul acestora cu e5ectele =i consecin1ele
lor "recum =i acti'it01ile de control intern care au 5ost "re'0zute "entru limitarea
riscurilor.
Conclu9ii

#i5ta control nr. !./.
privind Organi$area ,i &unc+ionarea departamentului !)
Nr.
crt
Ele,ente
te5tate

E)antion
Anali9area or2ani2ra,ei de*arta,entului
IT
E4aluai de,er5urile
reali9ate de de*arta,entul
IT *entru ocu*area
*o5turilor
Anali9ai con5ecinele
+uncion;rii de*arta,entului
IT cu *er5oane de conducere
cu dele2aie
EHi5tena *reou*;rii
*entru ocu*area *o5turilor
de eHecuie
EHi5tena unui *lan
de i,*le,entare a
,;5urilor nece5are
,enite 5; a5i2ure
8una de5+. a act. Dn
ca9ul eHi5tenei
unui nu,;r ,are
de *o5turi de
conducere )i05au
eHecuie 4acante
Nr. total
*o5turi de
conducere
Nr.
*o5turi de
cond.
ocu*ate
cu
dele2aie
Nr. total
*o5turi
de
eHecuie
Nr.
*o5turi de
eHecuie
neocu*.
Nr. de
eHa,ene
or2ani9ate
*entru
ocu*area
*o5turilor
Nr. de
5olicit;ri
c;tre
co,*art. de
RU *entru
or2. eH.
Nr. de 5e5i9;ri
ale de*art.
8ene+iciare ale
5er4iciilor IT
Nr. de
5u85i5te,
e IT
nei,*l. la
ti,*
Nr. de
eHa,ene
or2ani9ate
*entru
ocu*area
*o5turilor
Nr. de
5olicit;ri
c;tre
co,*art.
de RU
*entru
or2. eH.
#. /erviciul de
te5nored. ,i
de$voltare
aplica+ii
multimedia
) # #( % :IAP C
C
:IAP
C
:IAP
(. /erviciul
comunica+ii
date
# $ . - :IAP :IAP C C C C :IAP
). /erviciul
exploatarea
ec5ip.
# $ #$ ) :IAP :IAP C C C C :IAP
%. /erviciul
anali$a,
proiectare ,i
programare
) ( #% ) :IAP :IAP C :IAP :IAP
C
:IAP
-. /erviciul
retele
calculatoare
# $ . ( :IAP :IAP C C C C :IAP
Nr.
crt
Ele,ente
te5tate

E)antion
Anali9area or2ani2ra,ei de*arta,entului
IT
E4aluai de,er5urile
reali9ate de de*arta,entul
IT *entru ocu*area
*o5turilor
Anali9ai con5ecinele
+uncion;rii de*arta,entului
IT cu *er5oane de conducere
cu dele2aie
EHi5tena *reou*;rii
*entru ocu*area *o5turilor
de eHecuie
EHi5tena unui *lan
de i,*le,entare a
,;5urilor nece5are
,enite 5; a5i2ure
8una de5+. a act. Dn
ca9ul eHi5tenei
unui nu,;r ,are
de *o5turi de
conducere )i05au
eHecuie 4acante
Nr. total
*o5turi de
conducere
Nr.
*o5turi de
cond.
ocu*ate
cu
dele2aie
Nr. total
*o5turi
de
eHecuie
Nr.
*o5turi de
eHecuie
neocu*.
Nr. de
eHa,ene
or2ani9ate
*entru
ocu*area
*o5turilor
Nr. de
5olicit;ri
c;tre
co,*art. de
RU *entru
or2. eH.
Nr. de 5e5i9;ri
ale de*art.
8ene+iciare ale
5er4iciilor IT
Nr. de
5u85i5te,
e IT
nei,*l. la
ti,*
Nr. de
eHa,ene
or2ani9ate
*entru
ocu*area
*o5turilor
Nr. de
5olicit;ri
c;tre
co,*art.
de RU
*entru
or2. eH.
<. /erviciul
"inte$*
de$voltare
# $ ## < :IAP :IAP C C C C :IAP
4. /erviciul
a"i"ten+*
te5nic*
# $ #$ % :IAP :IAP :IAP C C C :IAP
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. !./.
Misiunea de audit: #udit !)
Perioada auditat0:
PRO"#EMA
E;isten1a unui num0r mare de "osturi de e;ecu1ie 'acante =i a unui num0r mare de "osturi
de conducere de1inute cu delega1ie.
CONSTATARE
Din analiza stadiului im"lement0rii su3sistemelor I/ s"eci5ice s6a constatat c0 datorit0
num0rului mare de "osturi 'acante e;istente =i utiliz0rii sistemului de delegare a "ersonalului
s"ecializat "entru e;ercitarea 5unc1iilor de conducere ace=tia tre3uie s06=i Ande"lineasc0 sarcinile
de ser'iciu ce le re'in ca urmare a deleg0rii dar =i sarcinile curente de ser'iciu ceea ce a5ecteaz0
Ande"linirea atri3u1iilor de ser'iciu =i calitatea acestora.
CAU:E
6 Li"sa unei strategii la ni'elul entit01ii "u3lice "entru ocu"area "osturilor 'acante =i mai ales
a celor de conducere*
6 Ine;isten1a unor "roceduri "entru su"linirea "osturilor 'acante =i "entru delegarea 5unc1iilor
de conducere.
CONSECIN-E
6 Acti'itatea din cadrul unor de"artamente nu se des50=oar0 la "arametrii sta3ili1i. Din
analiza acestei situa1ii An cadrul entit01ii "u3lice se constat0 5rec'ent AntErzieri An im"lementarea
di5eritelor a"lica1ii nerealizarea test0rilor 5inale la termenele "lani5icate netransmiterea
ra"oartelor "eriodice de monitorizare.
6 Din "ractic0 se demonstreaz0 c0 "ersoanele cu delega1ie nu au Antotdeauna acela=i ni'el
de im"licare "entru solu1ionarea "ro3lemelor care a"ar com"arati' cu titularii "osturilor.
RECOMAND$RI
6 Ela3orarea "rocedurilor scrise =i 5ormalizate "entru su"linirea "osturilor 'acante =i
delegarea 5unc1iilor de conducere "recum =i sta3ilirea res"onsa3ililor "entru ela3orarea =i
actualizarea acestor "roceduri*
6 Realizarea unui "rogram de "reg0tire "ro5esional0 a "ersoanelor delegate "e 5unc1ii de
conducere la ni'elul entit01ii "u3lice.
Mariana >uta >uce'sc7i Dan Carol Dic7i6Iiorel
!N)7(6!: nr. 2..
privind %reg*tirea pro&e"ional* continu* a "alaria+ilor
adre"at

Nr.
crt.
<ntre8;ri Da Nu O85.
#. A1i semnat 5i=a "ostului "entru acest anB C
(. Preg0tirea "ro5esional0 continu0 este o acti'itate cu"rins0 An
5i=a "ostului dumnea'oastr0B
C
). A'e1i a"ro3at un "lan de "reg0tire "ro5esional0 continu0B C
%. Ieri5ica1i e5ectuarea sistematic0 a analizei Ande"linirii
"lanuluiB
C
-. E;ist0 alte 5orme de "reg0tire "ro5esional0 a salaria1ilorB C
<. E;ist0 un sistem de 'eri5icare a cuno=tin1elor do3Endite ca
urmare a cursurilor e5ectuateB
C
4. Preg0tirea "ro5esional0 a salaria1ilor este An concordan10 cu
atri3u1iile =i res"onsa3ilit01ile sta3ilite "rin 5i=a "ostuluiB
C
,. Preg0tirea "ro5esional0 a salaria1ilor asigur0 atingerea
o3iecti'elor organiza1ieiB
C
.. A'e1i manuale de utilizareB C
#$. E;ist0 indicatori de "er5orman10 "e 3aza c0rora s0 se "oat0
e'alua gradul de "reg0tire "ro5esional0 al salaria1ilor
coro3orat cu ni'elul de realizare a o3iecti'elor strategice
ale entit01iiB
C
Data: $).$%.($$-
Carol Dic7i6Iiorel Mariana >uta >uce'sc7i Dan
4-T#5
-e a"emenea, in&orma+iile primite 0n cadrul interviului vor &i utili$ate ,i la elaborarea (aportului
de audit intern.
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. !.=.
Mi5iunea de audit: #udit !)
Perioada auditat;:
PRO"#EMA
Ine;isten1a unui sistem de "reg0tire "ro5esional0 continu0 a salaria1ilor de"artamentului I/.
CONSTATARE
Din analiz0 s6a constatat c0 a"ro;imati' ($S dintre angaFa1ii care au acces la sistemul I/
im"lementat au 5ost angaFa1i An cadrul entit01ii "u3lice An ultimele ) luni =i nu au "rimit o
"reg0tire "ro5esional0 adec'at0 "ri'ind modul de utilizare a acestuia. Din totalul "ersonalului
angaFat s6a constatat c0 doar utilizatorii ini1iali au "rimit instruire An acest sens.
De asemenea instruc1iunile de utilizare "entru sistemul I/ nu sunt "rezentate Antr6un
5ormat adec'at res"ecti' nu e;ist0 manuale de utilizare An documenta1ia "us0 la dis"ozi1ia
de"artamentului. Ast5el maForitatea angaFa1ilor nu au instruc1iuni clare cu "ri'ire la modul de
o"erare a sistemului ceea ce duce la comiterea de erori.
CAU:E
6 Ine;isten1a "lanului de "reg0tire "ro5esional0 continu0*
6 Nedesemnarea unui res"onsa3il cu "lanul de "reg0tire "ro5esional0 continu0*
6 Neasigurarea instruirii adec'ate a utilizatorilor*
6 Ine;isten1a "rocedurilor scrise =i 5ormalizate cu "reg0tirea "ro5esional0 continu0.
CONSECIN-E
6 De=i "En0 An "rezent nu au a"0rut erori cu gra'e im"lica1ii 5inanciare totu=i e;ist0 "ericolul
a"ari1iei unor "ro3leme&dis5unc1ionalit01i datorate "reg0tirii "ro5esionale a salaria1ilor.
RECOMAND$RI
- Ela3orarea unui sistem de "reg0tire "ro5esional0 continu0 a salaria1ilor*
- Ela3orarea "rocedurilor scrise =i 5ormalizate "entru "reg0tirea "ro5esional0 continu0*
- Sta3ilirea unor res"onsa3ilit01i cu ela3orarea "rocedurilor =i actualizarea acestora*
- Coro3orarea atri3u1iilor =i res"onsa3ilit01ilor sta3ilite "rin "roceduri cu 5i=ele "osturilor*
- Analiza "lanului de "reg0tire "ro5esional0 continu0 =i al gradului de realizare al acestuia An
'ederea ela3or0rii "lanului "entru anul 'iitor*
- Sta3ilirea res"onsa3ilit01ilor cu monitorizarea acestora o aten1ie deose3it0 5iind "entru
utilizatorii noi care tre3uie s0 "rimeasc0 instruire s"ecial0 "entru toate su3sistemele I/ "e
care le 'or utiliza con5orm unui "rogram 3ine sta3ilit.
!N)7(6!: nr. 2.;0.
privind "i"temul de ge"tionare a ri"curilor
adre"at
domnului 9arol -ic5i'6iorel , conduc*tor -irec+ia !)

Nr.
crt.
9ntrebri
Da Nu O85.
#. E;ist0 o "olitic0 de management al risculuiB C
(. E;ist0 "reocu"0ri "entru managementul riscurilor An cadrul
de"artamentului I/B
C
). S6au organizat cursuri cu Antreg "ersonalul "entru
acti'itatea de gestionare a riscurilor An con5ormitate cu
metodologia de organizare a sistemului de control
intern con5orm "re'ederilor !M:P nr. .%<&($$-
"ri'ind Codul controlului internB
C
%. Au 5ost identi5icate riscurile la ni'elul de"artamentului I/B C
-. E;ist0 un sistem de e'aluare a riscurilorB C
<. Au 5ost "re'0zute m0suri de r0s"uns An cazul a"ari1iei
riscurilorB
C
4. E;ist0 un sistem de monitorizare =i ra"ortare "eriodic0 a
riscurilor asociate acti'it01ii Direc1ia I/B
C
,. A'e1i ela3orat =i actualizat Registrul riscurilorB C
.. Este desemnat un res"onsa3il cu gestionarea riscurilor la
ni'elul de"artamentului I/B
C
Data: $).$%.($$-
Carol Dic7i6Iiorel Mariana >uta >uce'sc7i Dan
4-T#5
!n&orma+iile primite 0n cadrul interviului vor &i utili$ate ,i la elaborarea (aportului de audit
intern.
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. !.10.
Perioada auditat;:
PRO"#EMA
Ine;isten1a unui sistem de identi5icare e'aluare =i management al riscurilor la ni'elul
entit01ii "u3lice.
CONSTATARE
Din analiz0 s6a constatat c0 nu e;ist0 "reocu"0ri "entru gestionarea riscurilor din cadrul
entit01ii =i nu a 5ost 1inut Registrul riscurilor cu"rinzEnd riscurile "oten1iale =i istoricul acestora
cu e5ectele =i consecin1ele lor "recum =i acti'it01ile de control intern asociate "entru limitarea
riscurilor.
CAU:E
6 Ine;isten1a "rocedurilor scrise =i 5ormalizate "entru realizarea Registrului riscurilor*
6 Neacordarea aten1iei cu'enite managementului riscurilor de c0tre "ersonalul entit01ii
"u3lice.
CONSECIN-E
6 Producerea unor e'enimente nedorite "entru care entitatea "u3lic0 nu este "reg0tit0 s0
ac1ioneze*
6 E;ist0 "ericolul de a nu identi5ica riscuri maFore =i de a nu 5i asociate controale interne
adec'ate "entru reducerea e5ectului riscurilor la un ni'el acce"ta3il "entru entitatea "u3lic0.
RECOMAND$RI
6 Sta3ilirea unei strategii de gestionare a riscurilor la ni'elul entit01ii "u3lice*
6 Sta3ilirea res"onsa3ililor "entru ela3orarea =i actualizarea sistematic0 a "rocedurilor
"ri'ind Antocmirea Registrului riscurilor*
6 Coro3orarea atri3u1iilor =i res"onsa3ilit01ilor din "roceduri cu cele din 5i=a "ostului re5eritor
la gestionarea riscurilor*
6 !rganizarea =i 1inerea la zi a Registrului riscurilor cu"rinzEnd m0surile de control intern
care sunt luate "entru limitarea acestora*
6 Monitorizarea sistematic0 la cererea managerului res"onsa3il cu "ro3leme administrati'e
a modului de res"ectare An acti'itatea zilnic0 a "rocedurilor scrise =i 5ormalizate menite s0
asigure gestionare a riscului*
6 Instruirea "ersonalului "entru com"lectarea Registrului Riscurilor de c0tre res"onsa3ilul cu
1inerea acestuia*
6 In5ormarea ec7i"ei de auditori An "ri'in1a stadiului ela3or0rii Ansu=irii =i monitoriz0rii
riscurilor.
#ISTA DE VERI&ICARE NR. %
Obiectivul !!!. !M%L7M7N)#(7# /!/)7M:L:! !)
Nr.
%.1. 7xaminarea procedurilor privind implementarea
"i"temului !)
6 6
).#.#. Ieri5icarea gradului de aco"erire a acti'it01ilor
"ri'ind im"lementarea sistemului I/:
6 6
6 A"ro3area "rocedurilor de c0tre "ersoanele
com"etente*
6 6
6 Sta3ilirea modelelor de 5ormulare s"eci5ice* 6 6
6 Precizarea modalit01ilor de com"lectare a
modelelor*
6 6
6 !5erirea unor e;em"le An acest sens* 6 6
6 Actualizarea sistematic0 a "rocedurilor* 6 6
6 Con5ormitatea "rocedurilor cu "olitica I/* 6 6
).#.(. Jnglo3area acti'it01ilor de control intern An
"unctele c7eie ale "rocesului*
6 6
).#.). Res"ectarea "rinci"iul du3lei semn0turi* 6 6
).#.%. Sta3ilirea res"onsa3ilit01ilor "ersoanelor
im"licate An acti'itatea im"lement0rii sistemului I/*
6 6
).#.-. Asigurarea trans"unerii "relucr0rilor Antr6un
sistem in5ormatizat res"ecti' realizarea codi5ic0rii
modelelor de 5ormulare =i in5orma1iile acti'it01ilor
algoritmi de "relucrare =.a.
6 6
).#.<.Modalitatea ar7i'0rii documentelor. 6 6
%.!. 9ompararea atribu+iilor privind implementarea
"i"temului !) cuprin"e 0n proceduri cu cele din &i,ele
po"turilor ,i evaluarea completitudinii prelu*rii
ace"tora
6 6
%.%. 7xaminarea cunoa,terii procedurilor privind
implementarea "i"temului !) de c*tre re"pon"abilii cu
reali$area ace"tei activit*+i
6 6
%.(. #precierea calit*+ii procedurilor de c*tre per"onalul de
execu+ie re"pon"abil cu implementarea "i"temului !)4
6 6
a. consider0 "rocedurile cores"unz0toareB 6 6
3. constatat0 dis5unc1ionalit01i An tim"ul a"lic0rii
"racticeB
6 6
Nr.
c. e;ist0 "ro"uneri de "er5ec1ionare a "rocedurilor 6 6
d. modul de solu1ionare a "ro"unerilor de "er5ec1ionare
a "rocedurilor
6 6
%./. 8radul de reali$are al "ub"i"temelor !) "tabilite prin
plan
F
a. E;amina1i e;isten1a unui sistem "rocedurat de
realizare a su3sistemelor I/
F
Inter4iu
nr. %./.
&IAP nr. %./.
3. Ieri5ica1i dac0 realizarea su3sistemelor I/ a 5ost
"lani5icat0
F
c. Ieri5ica1i dac0 au 5ost sta3ilite "ersoanele
res"onsa3ile
F
d. Ieri5ica1i dac0 su3sistemele I/ au 5ost realizate la
termenele sta3ilite
F
e. E;amina1i modul de alocare a resurselor necesare
realiz0rii su3sistemelor I/
F
5. Analiza1i acti'itatea de monitorizare a im"lement0rii
su3sistemelor I/
F
%.3. 6eri&ica+i exi"ten+a controalelor generale de "i"tem la
nivelul "ub"i"temelor !)4
F
a. Controlul datelor introduse An a"lica1ii* F
Te5t nr. %.3.
&oaie de lucru nr.
%.3.
#i5t; de control
nr. %.3.
&IAP nr. %.3.
3. Controlul "e "arcursul "roces0rii datelor =i
ra"oartele "roduse An caz de nerealizarea "roces0rii
9Antreru"eri trans5er8.
F
c. Controlul datelor rezultate An urma "roces0rii ast5el
AncEt s0 se asigure c0 aceste date sunt com"lecte
F
d. Ialidarea datelor trans5erate din alte a"lica1ii F
e. Controalelor care 'eri5ic0 Anregistr0rile du3le* F
5. Autorizarea electronic0 =i&sau manual0 a tranzac1iilor F
g. E5ectuarea tranzac1iilor numai de la com"utere
de5inite An "reala3il
F
7. P0strarea integral0 a Anregistr0rilor ast5el AncEt s0 se
"oat0 urm0ri tranzac1iile e5ectuate din 5aza de ini1iere
"En0 la 5inalizarea lor*
F
i. Modul de ra"ortare a sc7im30rilor o"erate la ni'elul
datelor sal'ate*

F. Jn1elegerea controalelor im"lementate de c0tre
utilizatori.
F
%.E. Func+ionalitatea "ub"i"temelor !) 0n re+ea
Nr.
6 Ieri5ica1i e;isten1a "rotocoalelor de transmitere a
datelor An re1ea

6 Ieri5ica1i dac0 su3sistemele I/ realizate res"ect0
cerin1ele sta3ilite "rin "olitica "rocedurile =i
studiile de 5eza3ilitate Antocmite

%.=. /itua+ia licen+elor pentru programele de calculator F
Te5t nr. %.=.
&oaie de lucru nr.
%.=.
#i5t; de control
nr. %.=.
&IAP nr. %.=.
a. Ieri5ica1i situa1ia licen1elor de1inute atEt "entru
sistemul de o"erare QindoOs
F
3. Ieri5ica1i situa1ia licen1elor de1inute atEt "entru
"ac7etul de "rograme Microso5t !55ice
F
c. Ieri5ica1i dac0 entitatea "u3lic0 a ac7izi1ionat
licen1e "entru "rogramele utilizate

d. Identi5ica1i e'entualele limit0ri 3ugetare An "ri'in1a
ac7izi1ion0rii licen1elor

e. Analiza1i e'entualele dis5unc1ionalit01i a"0rute An
"rocesul de ac7izi1ionare a licen1elor

5. Ieri5ica1i e;isten1a so5t6urilor nelicen1iate instalate de
utilizatori
g. Ieri5ica1i desemnarea res"onsa3ilit01ilor "ri'ind
ac7izi1ionarea licen1elor "entru "rogramele de
calculator

7. Ieri5ica1i e;isten1a controalelor de sistem ce
alerteaz0 administratorul An cazul utiliz0rii de so5t6uri
"entru care nu s6au ac7izi1ionat licen1e
F
%.G. #"igurarea integr*rii "ub"i"temelor componente
a. Sta3ilirea "rin "roceduri a necesit01ii integr0rii
su3sistemelor I/

3. Ieri5ica1i desemnarea res"onsa3ilit01ilor "ri'ind
realizarea =i monitorizarea integr0rii su3sistemelor
I/

c. Modi5ic0rile cadrului legal au in5luen1at integrarea
su3sistemelor I/

d. E'olu1iile te7nologice au in5luen1at integrarea
su3sistemelor I/

e. Analiza1i e'entualele dis5unc1ionalit01i a"0rute
"ri'ind integrarea su3sistemelor I/

5. Analiza1i modul de solu1ionare a neconcordan1elor
a"0rute An integrarea su3sistemelor

Nr.
%.10 7laborarea manualelor de utili$are ,i a manualelor de
operare
6 Ieri5ica1i su5icien1a num0rului de manuale de
utilizare =i de o"erare

6 Analiza1i com"re7ensi'itatea manualelor de
utilizare =i de o"erare =i dac0 acestea cores"und
ne'oilor utilizatorilor

6 E;amina1i e;isten1a unui sistem de actualizare
sistematic0 a manualelor

6 Analiza1i dac0 manualele de utilizare =i de o"erare
sunt actualizate

%.11 !n"truirea utili$atorilor "i"temelor !) C
a. Ela3orarea sistematic0 a "rogramelor de "reg0tire
"ro5esional0

Not; de relaii nr.
%.11.
3. Ieri5ica1i e;isten1a =i a"ro3area "rogramelor de
instruire a utilizatorilor su3sistemelor I/
C
c. E;amina1i concordan1a "rogramelor de "reg0tire cu
"olitica =i "rocedurile I/ ale entit01ii "u3lice

d. Desemnarea res"onsa3ilit01ilor cu im"lementarea
"rogramelor de "reg0tire "ro5esional0

e. Analiza1i instruirea utiliz0rilor su3sistemelor I/
con5orm "rogramelor ela3orate.
C
Data: $#.$%.($$-
!N)7(6!: nr. 3.<.
privind 8radul de reali$are al "ub"i"temelor !) "tabilite prin planul "trategic
adre"at
domnului 7leodor -ariu", ,e& /erviciul anali$a, proiectare ,i programare

Nr.
crt.
9ntrebri
Da Nu O85er4aii
#. E;ist0 un sistem "rocedurat de realizare a
su3sistemelor I/
C
(. Sistemele im"lementate au 5ost sta3ilite "rin
"lanul strategic =i "lanurile anualeB
C
:IAP nr.
).-.
). E;ist0 "ersoane res"onsa3ile de im"lementarea
su3sistemelor I/B
C
:IAP nr.
).-.
%. Su3sistemele I/ au 5ost realizate la termenele
sta3iliteB
C
:IAP nr.
).-.
-. E;ist0 resurse alocate "entru realizarea
su3sistemelor I/B
C
<. A'e1i o "rocedur0 "entru monitorizarea
im"lement0rii su3sistemelor I/B
C
:IAP nr.
).-.
4. Jn toate cazurile An care "ersoanele res"onsa3ile
au "rimit alte sarcini de ser'iciu au 5ost
desemnate alte "ersoane care s0 monitorizeze
im"lementarea su3sistemelor I/B
C
:IAP nr.
).-.
,. Nu mai a'e1i ce'a de ad0ugatB C
Data: $).$%.($$-
Eleodor Darius Mariana >uta >uce'sc7i Dan
4-T#5
/I;< % I%4TI/I1#:% ;I #4#8I=< # P:-68%M%I 4:. ".'.
Perioada auditat0:
PRO"#EMA
Su3sistemele I/ nu au 5ost realizate la termenele sta3ilite.
CONSTATARE
Ec7i"a de auditori analizEnd im"lementarea su3sistemelor I/ "otri'it "lanului
anual Antocmit =i a"ro3at a constatat c0 termenele sta3ilite nu sunt res"ectate iar
de"artamentele ce ar tre3ui s0 utilizeze deFa noile a"lica1ii I/ AntEm"in0 de5icien1e An
transmiterea datelor An 5ormat electronic celorlalte de"artamente care 3ene5iciaz0 deFa de
"rograme "er5ormante.
CAU:E
6 Ine;isten1a unei "roceduri de monitorizare a im"lement0rii su3sistemelor I/ care
5ac di5icil0 monitorizarea acti'it01ilor de c0tre managementul general*
6 Persoane im"licate ini1ial An aceste acti'it01i au "rimit alte res"onsa3ilit01i =i nu au
5ost desemnate al1i salaria1i "entru Anlocuirea acestora.
CONSECIN-E
6 Nerealizarea su3sistemelor I/ con5orm termenelor sta3ilite ceea ce Angreuiaz0
realizarea sarcinilor de ser'iciu An domenii c7eie de acti'itate ale entit01ii "u3lice*
6 Posi3ilitatea a5ect0rii gradului de realizare a o3iecti'elor entit01ii "u3lice.
RECOMAND$RI
6 Ela3orarea "rocedurilor scrise =i 5ormalizate "entru monitorizarea im"lement0rii
su3sistemelor I/
6 Desemnarea res"onsa3ilit01ii cu realizarea =i actualizarea "rocedurilor*
6 E5ectuarea unor ins"ec1ii "entru sta3ilirea stadiului An care se a5l0 im"lementarea
su3sistemelor I/ s"eci5ice "e de"artamente*
Mariana >uta >uce'sc7i Dan Eleodor Darius
T%0T 4:. ". ).
O8iectul te5tului
E;isten1a controalelor generale la ni'elul su3sistemelor I/
- Ieri5icarea e;isten1ei unor controale generale im"lementate la ni'elul
su3sistemelor I/
De5crierea te5tului
Po"ula1ia statistic0 este re"rezentat0 #- su3sisteme I/ ce re"rezint0 num0rul total al
su3sistemelor I/ 5unc1ionale la ni'elul entit01ii "u3lice. E=antionarea 'a 5i re"rezentat de -
elemente din Antreaga "o"ula1ie deci )$S "entru c0 este un num0r rezona3il de
su3sisteme.
veri&icare nr. 3, po$. 3.6 =i anume:
6 Controlul datelor introduse An a"lica1ii*
6 Controlul "e "arcursul "roces0rii datelor =i ra"oartele "roduse An caz de
nerealizarea "roces0rii 9Antreru"eri trans5er8.
6 Controlul datelor rezultate An urma "roces0rii ast5el AncEt s0 se asigure c0 aceste
date sunt com"lecte
6 Ialidarea datelor trans5erate din alte a"lica1ii
6 Controalelor care 'eri5ic0 Anregistr0rile du3le*
6 Autorizarea electronic0 =i&sau manual0 a tranzac1iilor
6 E5ectuarea tranzac1iilor numai de la com"utere de5inite An "reala3il
6 P0strarea integral0 a Anregistr0rilor ast5el AncEt s0 se "oat0 urm0ri tranzac1iile
e5ectuate din 5aza de ini1iere "En0 la 5inalizarea lor*
6 Jn1elegerea controalelor im"lementate de c0tre utilizatori.
/estarea s6a concretizat An ela3orarea Li"tei de control nr. 3.6. privind exi"ten+a
controalelor generale la nivelul "ub"i"temelor !).
Con5tat;ri
Din analiza Li"tei de control nr. 3.6. s6a constat ine;isten1a urm0toarelor controale
generale:
date sunt com"lete*
nerealizarea "roces0rii 9Antreru"eri trans5er8*
6 Ialidarea datelor trans5erate din alte a"lica1ii*
6 E5ectuarea tranzac1iilor numai de la com"utere de5inite An "reala3il.
Conclu9ii
Jn acest caz se 'a ela3ora :IAP nr. ).<.
Data: $#.$%.($$-
&OAIE DE #UCRU nr. %.3.

O8iectul nr. %: !mplementarea "i"temului !)
O8iecti4ul: 6eri&icarea exi"ten+ei unor controale generale
implementate la nivelul "ub"i"temelor !)
6 "o"ula1ia total0 este de #- su3sisteme I/*
6 e=antionul 'a 5i de )$S res"ecti' #- ; )$S T - su3sisteme I/*
6 e=antionul se 'a constitui din:
o /ub"i"temul !) pentru ge"tiunea re"ur"elor umane
o /ub"i"temul !) pentru opera+iuni &inanciare
o /ub"i"temul !) pentru activitatea contabil*
o /ub"i"temul !) pentru activitatea Curidic*
o /ub"i"temul !) de coordonare a rela+iilor bugetare cu :niunea 7uropean*
con5orm celor "rezentate An Li"ta de control nr. 3.2..:
Data: $,.$%.($$-
#i5ta control nr. %.3.
privind 7xi"ten+a controalelor generale la nivelul "ub"i"temelor !)
Nr.
Crt.
Ele,ente
te5tate

E)antion
Controlul
datelor
introduse
An
a"lica1ii
Controlul "e
"arcursul
"roces0rii datelor
=i ra"oartele
"roduse An caz de
nerealizarea
"roces0rii
9Antreru"eri
trans5er8
Controlul datelor
rezultate An urma
"roces0rii ast5el
AncEt s0 se
asigure c0 aceste
date sunt
com"lecte
Ialidarea datelor
trans5erate din
alte a"lica1ii
Controale
care 'eri5ic0
Anregistr0rile
du3le
Autorizarea
electronic0 =i&sau
manual0 a
tranzac1iilor
E5ectuarea
tranzac1iilor
numai de la
com"utere
de5inite An
"reala3il
P0strarea integral0 a
Anregistr0rilor ast5el
AncEt s0 se "oat0
urm0ri tranzac1iile
e5ectuate din 5aza de
ini1iere "En0 la
5inalizarea lor
Jn1elegerea
controalelor
im"lementate de
c0tre utilizatori
#. /ub"i"temul !) pentru
ge"tiunea re"ur"elor
umane
:IAP
:IAP :IAP :IAP C C :IAP C C
(. /ub"i"temul !) pentru
opera+iuni &inanciare
C C C :IAP C C :IAP C C
). /ub"i"temul !) pentru
activitatea contabil*
C C C :IAP C C :IAP C C
%. /ub"i"temul !) pentru
activitatea Curidic*
:IAP :IAP :IAP :IAP C C C C C
-. /ub"i"temul !) de
coordonare a rela+iilor
bugetare cu :niunea
7uropean* C C C :IAP C C C C C
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. %.3.
PRO"#EMA:Ine;isten1a controalelor generale im"lementate la ni'elul su3sistemelor I/.
CONSTATARE
Din e'aluare auditorii interni au constatat c0 nu e;ist0 un sistem de controale
generale care 'or 5i a'ute An 'edere An "rocesul de "roiectare realizare testare =i
im"lementare al tuturor su3sistemelor I/ ce ruleaz0 "e ec7i"amentele entit01ii "u3lice
ast5el:
nerealizarea "roces0rii 9Antreru"eri trans5er8*
date sunt com"lecte*
CAU:E
- Ine;isten1a "rocedurilor scrise =i 5ormalizate*
- Neim"lementarea controalelor generale.
CONSECIN-E
Ine;isten1a unui set de controale generale armonizat "entru toate su3sistemele I/ "oate s0
conduc0 la nedetectarea modi5ic0rilor neautorizate aduse datelor "rocesate =i ast5el a"are
"ro3a3ilitatea ca date eronate s0 5ie introduse "relucrate =i stocate An sistemul I/.
RECOMAND$RI
6 Realizarea unui sistem de im"lementare al controalelor generale*
6 Im"lementarea controalelor generale la ni'elul tuturor su3sistemelor I/ "entru
asigurarea unui grad de siguran10 s"orit al integrit01ii datelor electronice*
6 Sta3ilirea unui res"onsa3il cu ela3orarea sistemului de controale generale =i cu
actualizarea "eriodic0 a acestuia*
6 Coro3orarea atri3u1iilor sta3ilite cu 5i=ele "ostului*
6 In5ormarea ec7i"ei de auditori cu "ri'ire la controalele generale im"lementate.

&OAIE DE #UCRU NR. %.=.
O8iectul nr. %: /itua+ia licen+elor pentru programele de calculator
O8iecti4ul : 6eri&icarea ac5i$i+ion*rii de licen+e pentru programele
utili$ate de c*tre entitatea public*
6 "o"ula1ia total0 este de (-$ calculatoare "ersonale*
6 e=antionul 'a 5i de (S res"ecti' (-$ ; (S T - calculatoare "ersonale*
6 "asul de selec1ie 'a 5i (-$ : - T -$*
6 e=antionul se 'a constitui din calculatoarele e;istente An Lista de in'entariere a
calculatoarelor "ersonale din entitatea "u3lic0 Ance"End de la "ozi1ia $ =i 'a
cu"rinde com"uterele cu numerele de in'entar:
-$ #$$ #-$ ($$ (-$
Data: $,.$%.($$-
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. %.=.
PRO"#EMA
Dtilizarea An cadrul entit01ii "u3lice a unor "rograme so5tOare 50r0 licen10.
CONSTATARE
6 Din analiz0 s6a constatat c0 An cadrul unor de"artamente se 5olosesc "rograme
a5erente "ac7etului Microso5t !55ice 50r0 ca "entru acestea entitatea "u3lic0 s0 5i
ac7izi1ionat licen1e.
- Practic salaria1ii au instalat "rograme utilizEnd CD6uri "irat.
6 La ni'elul sistemului I/ al entit01ii "u3lice s6a constatat ine;isten1a controalelor de
sistem ce alerteaz0 administratorul An cazul utiliz0rii de so5t6uri "entru care nu s6au
ac7izi1ionat licen1e .
CAU:E
6 Ine;isten1a unor "roceduri scrise =i 5ormalizate
6 Entitatea "u3lic0 a ac7izi1ionat licen1e "entru "ac7etul de "rograme Lotus.
Salaria1ii entit01ii "u3lice au o3ser'at c0 de=i "rogramele Lotus le "ermit realizarea
sarcinilor de ser'iciu totu=i "rogramele cu"rinse An "ac7etul Microso5t !55ice sunt
mai 5ia3ile mai 5le;i3ile =i "ermit realizarea unui num0r mai mare de o"era1iuni.
6 De asemenea aceast0 situa1ie a 5ost generat0 =i de "rimirea de la alte entit01i "u3lice
de 5i=iere electronice create cu "rogramele din "ac7etul Microso5t !55ice.
CONSECIN-E
6 Entitatea "u3lic0 5iind "asi3il0 de amenzi "entru utilizarea unor "rograme 50r0 licent0*
6 So5t6urile nelicen1iate instalate de utilizatori "ot con1ine 'iru=i troieni sau alte "rograme
ce ar "utea a5ecta An mod gra' su3sistemele I/ la care au acces ace=ti utilizatori sau c7iar
sistemul I/ An ansam3lul s0u.
RECOMAND$RI
- Ela3orarea "rocedurilor "entru ela3orarea "rogramelor in5ormatice "entru alertarea
administratorilor de sistem*
- Sta3ilirea unui res"onsa3il cu ela3orarea "rocedurilor =i actualizarea lor*
- Coro3orarea atri3u1iilor din "roceduri cu 5i=ele "osturilor*
- In'entarierea tuturor sta1iilor de lucru "entru a sta3ili situa1ia real0 "ri'ind utilizarea
"rogramelor 50r0 licen10
- Dezinstalarea tuturor "rogramelor din "ac7etul Microso5t !55ice instalate ilegal*
- Ela3orarea unui angaFament "rin care to1i salaria1ii entit01ii "u3lice s06=i asume Antreaga
res"onsa3ilitate asu"ra urm0rilor utiliz0rii de so5t6uri "irat*
- Realizarea unei analize com"le;e cost&calitate An urma c0reia managementul entit01ii
"u3lice s0 decid0 dac0 este necesar0 ac7izi1ionarea unui num0r adec'at de licen1e
Microso5t !55ice.

#i5ta control nr. %.=.
privind /itua+ia licen+elor pentru programele de calculator
Elemente
/estate
E=antion
Veri+icarea 5ituaiei licenelor
deinute atIt *entru 5i5te,ul de
o*erare JindoK5 NT
Veri+icarea 5ituaiei licenelor
deinute atIt *entru *ac6etul
de *ro2ra,e Micro5o+t O++ice
Veri+icarea eHi5tenei 5o+t
urilor neliceniate in5talate de
utili9atori
Veri+icarea eHi5tenei controalelor de 5i5te,
ce alertea9; ad,ini5tratorul Dn ca9ul utili9;rii
de 5o+turi *entru care nu 5au ac6i9iionat
licene
9omputer 0nregi"trat
cu num*r de
inventar '>
C C C :IAP
cu num*r de
inventar 1>>
C :IAP C :IAP
cu num*r de
inventar 1'>
C :IAP C :IAP
cu num*r de
inventar 2>>
C C C :IAP
cu num*r de
inventar 2'>
C C C :IAP
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. %.=.
PRO"#EMA
Dtilizarea An cadrul entit01ii "u3lice a unor "rograme so5tOare 50r0 licen10.
CONSTATARE
6 Din analiz0 s6a constatat c0 An cadrul unor de"artamente se 5olosesc "rograme
a5erente "ac7etului Microso5t !55ice 50r0 ca "entru acestea entitatea "u3lic0 s0 5i
ac7izi1ionat licen1e.
- Practic salaria1ii au instalat "rograme utilizEnd CD6uri "irat.
6 La ni'elul sistemului I/ al entit01ii "u3lice s6a constatat ine;isten1a controalelor
de sistem ce alerteaz0 administratorul An cazul utiliz0rii de so5t6uri "entru care nu
s6au ac7izi1ionat licen1e .
CAU:E
6 Ine;isten1a unor "roceduri scrise =i 5ormalizate
6 Entitatea "u3lic0 a ac7izi1ionat licen1e "entru "ac7etul de "rograme Lotus.
Salaria1ii entit01ii "u3lice au o3ser'at c0 de=i "rogramele Lotus le "ermit realizarea
sarcinilor de ser'iciu totu=i "rogramele cu"rinse An "ac7etul Microso5t !55ice sunt
mai 5ia3ile mai 5le;i3ile =i "ermit realizarea unui num0r mai mare de o"era1iuni.
6 De asemenea aceast0 situa1ie a 5ost generat0 =i de "rimirea de la alte entit01i
"u3lice de 5i=iere electronice create cu "rogramele din "ac7etul Microso5t !55ice.
CONSECIN-E
6 Entitatea "u3lic0 5iind "asi3il0 de amenzi "entru utilizarea unor "rograme 50r0 licent0*
6 So5t6urile nelicen1iate instalate de utilizatori "ot con1ine 'iru=i troieni sau alte "rograme
ce ar "utea a5ecta An mod gra' su3sistemele I/ la care au acces ace=ti utilizatori sau c7iar
sistemul I/ An ansam3lul s0u.
RECOMAND$RI
- Ela3orarea "rocedurilor "entru ela3orarea "rogramelor in5ormatice "entru alertarea
- Sta3ilirea unui res"onsa3il cu ela3orarea "rocedurilor =i actualizarea lor*
- Coro3orarea atri3u1iilor din "roceduri cu 5i=ele "osturilor*
- In'entarierea tuturor sta1iilor de lucru "entru a sta3ili situa1ia real0 "ri'ind utilizarea
- Dezinstalarea tuturor "rogramelor din "ac7etul Microso5t !55ice instalate ilegal*
- Ela3orarea unui angaFament "rin care to1i salaria1ii entit01ii "u3lice s06=i asume
Antreaga res"onsa3ilitate asu"ra urm0rilor utiliz0rii de so5t6uri "irat*
- Realizarea unei analize com"le;e cost&calitate An urma c0reia managementul entit01ii
Microso5t !55ice.

4-T< % :%8#?II 4:. ".11.
privind re"pectarea cadrului normativ re&eritor la
in"truirea util$atorilor "i"temului !)
adre"at
domnului 9arol -ic5i'6iorel , conduc*tor -irec+ia !)
<ntre8area nr. 1: #u &o"t 0ntocmite programe de in"truire a utili$atorilor "ub"i"temelor !)?
R;5*un5 nr. 1: Dn cadrul -epartamentului !) au &o"t elaborate programe de in"truire
pentru utili$atorii &iec*rui "ub'"i"tem pu" 0n &unc+iune. %ractic, o parte din utili$atori cuno"c
"ub"i"temul !) 0nainte de a &i dat 0n &unc+ionare, &iind implica+i 0n reali$area "ub"i"temului 0nc*
din &a$ele incipiente 2"tudiu de &e$abilitate, te"tare3 ei &iind cei mai 0n m*"ur* "* exprime o
p*rere pertinent*, pe ba$a experien+ei acumulate, a"upra cerin+elor practice ce trebuie"c
0ndeplinite de programele in&ormatice. /unt organi$ate "eminarii pentru pre$entarea
aplica+iilor utili$atorilor.
<ntre8area nr. !: Sunt identi5icate ne'oile de "reg0tire "ro5esional0 a utilizatorilorB
R;5*un5 nr. !: Pe 3aza o3iecti'elor ce tre3uiesc Ande"linite de "rogramele in5ormatice =i
a documenta1iei te7nice ela3orate ec7i"a ce a realizat a"lica1ia sta3ile=te An 5aza "ost6
im"lementare cerin1ele s"eci5ice de "reg0tire "ro5esional0 a utilizatorilor. #ce"te cerin+e "unt
luate 0n con"idera+ie 0n etapa de elaborare a documenta+iei'"uport de cur".
<ntre8area nr. %: Sunt testate cuno=tin1ele utilizatorilor acumulate An tim"ul seminariilor
de "rezentare a a"lica1iei realizateB
R;5*un5 nr. %: Nu.
<ntre8area nr. (: Sunt "artici"an1ii la seminarii in'ita1i s06=i e;"rime o"inia asu"ra
utilit01ii cuno=tin1elor "ro5esionale "rezentateB
R;5*un5 nr. (: Nu.
<ntre8area nr. /: Mai ave+i ceva de ad*ugat?
R;5*un5 nr. /: Nu.

4ota 5
%e ba$a Notei de rela+ii nr. 3.E. nu "e va elabora F!#%, dar a"pectele negative con"tatate vor &i
men+ionate 0n (aportul de audit intern.
#ISTA DE VERI&ICARE NR. (
Obiectivul !6. /79:(!)#)7# !)
Nr.
crt.
(.1. 7xaminarea procedurilor privind "ecuritatea !)
%.#.#. Ieri5icarea gradului de aco"erire "rin "roceduri a
acti'it01ilor realizate
6 6
a. A"ro3area "rocedurilor de c0tre "ersoanele com"etente*
3. Sta3ilirea modelelor de 5ormulare s"eci5ice*
a. Precizarea modalit01ilor de com"lectare a modelelor*
d. !5erirea unor e;em"le An acest sens*
e. Actualizarea sistematic0 a "rocedurilor*
5. Con5ormitatea "rocedurilor cu "olitica I/*
%.#.(.Jnglo3area acti'it01ilor de control intern An "unctele c7eie
ale "rocesului*

%.#.). Res"ectarea "rinci"iul du3lei semn0turi*
%.#.%. Sta3ilirea res"onsa3ilit01ilor "ersoanelor im"licate An
acti'itatea de securitate I/*

%.#.-. Asigurarea trans"unerii "relucr0rilor Antr6un sistem
in5ormatizat res"ecti' realizarea codi5ic0rii modelelor de
5ormulare =i in5orma1iile acti'it01ilor algoritmi de "relucrare =.a.

%.#.<. Modalitatea ar7i'0rii documentelor.
(.!. 9ompararea atribu+iilor cuprin"e 0n proceduri cu cele din &i,ele
po"turilor

(.%. 7xaminarea cunoa,terii procedurilor de c*tre re"pon"abilii cu
reali$area ace"tei activit*+i

(.%. #precierea calit*+ii procedurilor de c*tre per"onalul de
execu+ie4
a8 consider0 "rocedurile cores"unz0toareB
38 constatat0 dis5unc1ionalit01i An tim"ul a"lic0rii "racticeB
c8 e;ist0 "ro"uneri de "er5ec1ionare a "rocedurilor
d8 modul de solu1ionare a "ro"unerilor de "er5ec1ionare a
"rocedurilor

(./.
%olitica de "ecuritate !) F
Ieri5ica1i e;isten1a "oliticii de securitate I/ F
Ieri5ica1i actualizarea "oliticii de securitate I/
F
Inter4iu
nr. (./.
(.3. Monitori$area implement*rii politicii de "ecuritate !) F
Ieri5ica1i desemnarea unui res"onsa3il cu monitorizarea
F
Analiza1i Antocmirea =i transmiterea sistematic0 a ra"oartelor de
monitorizare
(.E. 7valuarea controalelor &i$ice 0n domeniul !) F
a. Ieri5ica1i e5ectuarea controalelor 5izice con5orm "rocedurilor
Nr.
crt.
Te5t nr.
(.E.
#i5t; de
control
nr. (.E.
3. Ieri5ica1i e;isten1a surselor alternati'e de energie electric0
c. Ieri5ica1i realizarea sistematic0 a ser'iciilor de mentenan10
d. Ieri5ica1i restric1ionarea accesul la ser'ere6le I/ numai al
"ersoanelor autorizate 1inEnd cont de "ericolul deterior0rii
acestor ec7i"amentelor I/ sau al datelor critice "e care le
"roceseaz0*

e. Ieri5ica1i dotarea camerelor An care se a5l0 ser'ere6le cu
ec7i"amente adec'ate ast5el:
6 camere de su"ra'eg7ere care aco"er0 zona de intrare An
camera ser'erului monitorizate "ermanent de ser'iciul ce
asigur0 "aza cl0dirii*
F
6 senzori de mi=care* F
6 sistem de alarm0 An caz de incendiu* F
6 sistem de stingere a incendiilor* F
6 ec7i"amente de aer condi1ionat* F
6 u=i nein5lama3ile ec7i"ate cu Ancuietori adec'ate. F
(.=. /iguran+a acce"ului la re+ea ,i a comunic*rii datelor 0n re+ea F
Ieri5icarea aloc0rii numelui de utilizator =i "arolei a5erente
"entru accesul la re1ea
F
Te5t nr.
(.=.

&oaie de
lucru nr.
(.=.
#i5t; de
control
nr. (.=.
&IAP nr.
(.=.
Monitorizarea conect0rii la re1ea con5orm listei de logg6are F
Analiza1i dac0 a 5ost ela3orat0 documenta1ia te7nic0 adec'at0
"ri'ind conectarea la Internet.
6 6
Ieri5ica1i dac0 aceast0 documenta1ie este adec'at0 =i actualizat0
sistematic.
6 6
Determina1i dac0 manualele de utilizare a re1elei au An 'edere
asigurarea securit01ii comunic0rii datelor An re1ea.
6 6
Analiza1i ac1iunile Antre"rinse An cazurile An care este amenin1at0
integritatea =i e5icacitatea transmiterii datelor An re1ea.
6 6
Analiza1i ra"oartele de monitorizare a tra5icului datelor An re1ea. 6 6
(.G. %rogramele anti'viru" F
Ieri5ica1i im"lementarea "rogramelor anti6'irus con5orm
"rocedurilor:
F
Te5t nr.
(.G.
&oaie de
lucru nr.
(.G.
#i5t; de
control nr.
(.G.
&IAP nr.
(.G.
6 instalarea unui "rogram anti6'irus adec'at necesit01ilor
utilizatorilor sta1iilor de lucru*
F
6 "rogramul anti6'irus s0 'eri5ice sta1ia de lucru la "ornire* F
6 "rogramul anti6'irus s0 monitorizeze toate "rogramele =i
a"lica1iile acti'e mesaFele "rimite =i s0 'eri5ice automat
actualiz0rile la inter'ale regulate 9zilnic8*
F
6 "rogramul anti6'irus s0 se actualizeze An re1ea ast5el AncEt s0
"roteFeze e5icient datele electronice Am"otri'a 'iru=ilor nou6
a"0ru1i
F
Monitorizarea sistematic0 a 5unc1ionalit01ii "rogramelor anti6
'irus
F
Ieri5ica1i sistemul de actualizare a "rogramelor anti6'irus F
(.10. (ecuperarea datelor 0n ca$ de de$a"tru F
Nr.
crt.
Ela3orarea "lanului de recu"erare a datelor An caz de dezastru. F
Inter4iu
nr. (.10.

&IAP nr.
(.10.
a. A"ro3area "lanului de recu"erare a datelor An caz de dezastru. F
3. Desemnarea ec7i"ei de im"lementare a "lanului =i a
res"onsa3ilit01ilor adec'ate mem3rilor ec7i"ei
F
c. Comunicarea "lanului "ersonalului cu res"onsa3ilit01i An
"unerea An a"licare a acestuia An caz de dezastru.
F
d. Analiza1i dac0 "lanul de recu"erare a datelor a 5ost testat =i
modi5icat "eriodic An 3aza rezultatelor o31inute An urma test0rii
F
e. Cu"rinderea tuturor domeniilor de ac1iune im"ortante ale
entit01ii "u3lice An structura "lanului.
F
5. Identi5icarea "rinci"alele "rocese =i a"lica1ii I/ ce tre3uiesc
recu"erate
F
g. Analizarea im"lement0rii cerin1elor s"eci5ice "ri'ind
recu"erarea datelor An caz de dezastru la ni'elul sistemului I/.
F
Ieri5ica1i desemnarea res"onsa3ililor cu monitorizarea
im"lement0rii "rocedurilor "ri'ind recu"erarea datelor An caz de
dezastru
F
Ieri5ica1i e5ectuarea monitoriz0rii sistematice F
Ieri5ica1i luarea m0surilor necesare "ri'ind recu"erarea datelor
An caz de dezastru con5orm "rocedurilor
F
a. Ieri5ica1i dac0 datele stocate "entru a 5i recu"erate An caz de
dezastru sunt actualizate sistematic.
F
3. Sta3ili1i dac0 loca1ia An care sunt stocate datele "entru a 5i
recu"erate An caz de dezastru este adec'at0
F
(.11. /i"temul de ar5ivare
Ieri5icarea modului de ar7i'are a datelor
Ieri5ica1i e'aluarea "eriodic0 a acti'it01ii de ar7i'are
Data: $#.$%.($$-
I4T%:(I7 nr. $.'.
privind %olitica de "ecuritate !)
adre"at
domnului 9arol -ic5i'6iorel , -irector -irec+ia !)
Nr.
crt.
<ntre8;ri
Da Nu O85.
#. E;ist0 o "olitic0 de securitate I/B C
(. E;ist0 "reocu"0ri "entru securitatea I/B C
). Politica de securitate I/ este actualizat0B C
%. Este desemnat un res"onsa3il cu monitorizarea
im"lement0rii "oliticii de securitate I/B
C
-. Este desemnat un res"onsa3il cu gestionarea
riscurilor la ni'elul de"artamentului I/B
C .
<. Au 5ost Jntocmite =i transmise sistematic ra"oarte
de monitorizareB
C
4. Mai a'e1i ce'a de ad0ugatB C
Data: $).$%.($$- Auditori Inter'ie'at
4-T#5
!n&orma+iile primite 0n cadrul interviului vor &i utili$ate la elaborarea (aportului de audit
intern.
TEST NR. (.E.
O8iectul te5tului : /ecuritatea !).
O8iecti4ele te5tului: Ieri5ica1i e5ectuarea controalelor 5izice con5orm "rocedurilor
De5crierea te5tului
Po"ula1ia statistic0 a 5ost constituit0 din cele #- direc1ii generale ale unit01ii
identi5icate ca urmare a analizei organigramei entit01ii "u3lice.
E=antionul a 5ost constituit "rin selectarea aleatoare a Direc1iei I/ "recum =i a
De"artamentului :inanciar Conta3il =i a De"artamentului Resurse Dmane unde sunt
localizate ser'ere ce deser'esc necesit01ile lor s"eci5ice res"ecti' ($S din totalul
"o"ula1iei.
veri&icare nr. E, po$. E.7, litera e3 =i anume:
Ieri5ica1i dotarea camerelor An care se a5l0 ser'ere6le cu ec7i"amente adec'ate ast5el:
6 camere de su"ra'eg7ere care aco"er0 zona de intrare An camera ser'erului
monitorizate "ermanent de ser'iciul ce asigur0 "aza cl0dirii*
6 senzori de mi=care*
6 sistem de alarm0 An caz de incendiu*
6 sistem de stingere a incendiilor*
6 ec7i"amente de aer condi1ionat*
6 u=i nein5lama3ile ec7i"ate cu Ancuietori adec'ate.
/estarea s6a concretizat An ela3orarea Li"tei de control nr. ; privind 7&ectuarea
controalelor &i$ice.
Con5tat;ri
Din analiza Li"tei de control rezultate s6au constatat mai multe dis5unc1ionalit01i:
6 accesul necontrolat la toate cele trei loca1ii selectate 9Centrul I/ De"artamentului
:inanciar Conta3il De"artamentul Resurse Dmane8 atEt al "ersoanelor din cadrul
altor de"artamente cEt =i alte "ersoane din a5ara entit01ii "u3lice*
6 de=i au 5ost instalate camere de su"ra'eg7ere acestea nu sunt "ermanent
monitorizate*
6 deseori camerele An care sunt localizate ser'erele sunt l0sate descuiate =i
nesu"ra'eg7eate de=i sunt ec7i"ate cu Ancuietori adec'ate*
Din analiza am constatat c0 nu e;ist0 o3ligati'itatea "rezent0rii unei autoriza1ii
scrise "entru a scoate ec7i"amente I/ din cl0direa entit01ii "u3lice. Consider0m c0
aceast0 situa1ie tre3uie urgent remediat0 "entru a se e'ita 5urtul ec7i"amentelor I/.
Conclu9ii
Jn acest caz nu se 'a ela3ora :IAP.
Data: $#.$%.($$-
#i5ta control nr. (.E.
privind e&ectuarea controalelor &i$ice con&orm procedurilor
Ele,ente
Te5tate
E)antion
0istemul de controale fizice
I,*le,entat la ni4elul ca,erelor Dn care 5e a+l; 5er4ere
Camere de su"ra'eg7ere care
aco"er0 zona de intrare An camera
ser'erului monitorizate "ermanent
de ser'iciul ce asigur0 "aza cl0dirii
Senzori de
mi=care
Sistem de
alarm0 An caz
de incendiu
Sistem de
stingere a
incendiilor
Ec7i"amente
de aer
condi1ionat
D=i nein5lama3ile
ec7i"ate cu
Ancuietori adec'ate
-irec+ia !) C C
F F
C ND
-epartamentul
Financiar
9ontabil
C C
F
C C ND
-epartamentul
(e"ur"e
:mane
ND ND
F
C C ND
Nota 4
7c5ipa de auditori a con"tatat c* nu au &o"t in"talate nici camere de "upraveg5ere care acoper* $ona de intrare 0n camera "erverului monitori$ate
permanent de "erviciul ce a"igur* pa$a cl*dirii precum ,i nici "en$ori de mi,care la nivelul -epartamentul (e"ur"e :mane. Dn pre$enta Li"t* de
control auditorii au punctat lip"a ace"tor controale cu men+iunea FNuF deoarece "itua+ia a &o"t remediat* 0n timpul mi"iunii de audit ,i nu "'a mai
0ntocmit F!#%, dar a"pectele negative con"tatate vor &i men+ionate 0n (aportul de audit intern.
Auditor Su"er'izor
TEST NR. (.=.
O8iectul te5tului: /ecuritatea !).
O8iecti4ele te5tului: /iguran+a acce"ului la re+ea ,i a comunic*rii datelor 0n re+ea
De5crierea te5tului
Po"ula1ia statistic0 a 5ost constituit0 din cele (-$ de calculatoare e;istente la ni'elul
entit01ii "u3lice con5orm Li"tei de inventariere a calculatoarelor per"onale.
E=antionul "entru realizarea test0rii siguran1ei accesului la re1ea a 5ost sta3ilit "e
3aza unui "rocent de (S din totalul "o"ula1iei statistice res"ecti' - calculatoare
"ersonale con5orm Foii de lucru nr. E.2.
veri&icare nr. E, po$. E. =i anume:
- Ieri5ica1i modul de alocare a numelui de utilizator =i "arolei a5erente "entru
accesul la re1ea *
- Monitorizarea conect0rii la re1ea con5orm listei de logg6are.

/estarea s6a concretizat An ela3orarea Li"tei de control nr. E.2. privind #cce"ul ,i
comunicarea datelor 0n re+ea.
Con5tat;ri
Din analiza Li"tei de control nr. E.2. rezultate s6a constatat c0:
a. maForitatea salaria1ilor din cadrul entit01ii "u3lice "rin natura sarcinilor de
ser'iciu tre3uie s0 acceseze mai multe su3sisteme I/ care 5olosesc nume de
utilizator =i "arole di5erite. Sistemul I/ este conce"ut ast5el AncEt "entru accesul
la 5iecare su3sistem I/ tre3uiesc 5olosite: nume de utilizator =i "arol0 di5erite An
loc s0 se 5oloseasc0 acela=i nume de utilizator =i "arol0 indi5erent de
su3sistemul I/ la care se conecteaz0 angaFatul.
3. datorit0 num0rului mare de "arole ce tre3uiesc utilizate de salaria1i deseori
ace=tia noteaz0 "arolele "e documente l0sate "e 3irou. Ast5el salaria1ii cunosc
"arolele colegilor de ser'iciu "utEndu6se conecta la su3sistemele I/ 5olosindu6
le datele de identi5icare =i "rin urmare "utEnd s0 'izualizeze =i&sau modi5ice
date a5late An acele su3sisteme I/.
c. "ractic sistemul de "arole nu mai are 5unc1ii "rinci"ale de restric1ionare a
accesului "ersoanelor ne"otri'ite ci Angreuneaz0 5unc1ionarea sistemului.
d. An situa1ia a"ari1iei unor incidente nu se "ot sta3ili res"onsa3ilit01ile adec'ate.
Conclu9ii
Jn acest caz se 'a ela3ora :IAP nr. %.,.
Data: $#.$%.($$-
Georgescu Ion Ionescu Mircea
&OAIE DE #UCRU NR. (.=.
O8iectul (.: /ecuritatea !)
O8iecti4ul : Siguran1a accesului la re1ea =i a comunic0rii datelor An re1ea
6 e=antionul se 'a constitui din calculatoarele e;istente An Lista IP6urilor
calculatoarelor ce se conecteaz0 la re1eaua entit01ii "u3lice la "ozi1iile:
)- ,- #)- #,- ()-
Data: $,.$%.($$-
Auditor Su"er'izor
#i5ta control nr. (.=.
privind #cce"ul ,i comunicarea datelor 0n re+ea
Elemente
/estate
E=antion
Ieri5ica1i modul de alocare a
numelui de utilizator =i "arolei
a5erente "entru accesul la re1ea
Monitorizarea conect0rii la re1ea
con5orm listei de logg6are
9omputer a&lat la
po$i+ia "'
:IAP C
9omputer a&lat la
po$i+ia +'
C C
9omputer a&lat la
po$i+ia 1"'
:IAP C
9omputer a&lat la
po$i+ia 1+'
:IAP C
9omputer a&lat la
po$i+ia 2"'
C C
Auditor Su"er'izor
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. (.=.
Perioada auditat0: $#.$#.($$- 2 $#.$#.($$<
PRO"#EMA
Neutilizarea unui singur nume de utilizator =i unei singure "arole "entru accesul la
sistemul I/.
CONSTATARE
Din e'aluare s6a constatat c0 maForitatea salaria1ilor din cadrul entit01ii "u3lice "rin
natura sarcinilor de ser'iciu tre3uie s0 acceseze mai multe su3sisteme I/ care 5olosesc
nume de utilizator =i "arole di5erite.
Sistemul I/ este conce"ut ast5el AncEt "entru accesul la 5iecare su3sistem I/
tre3uiesc 5olosite: nume de utilizator =i "arol0 di5erite An loc s0 se 5oloseasc0 acela=i
nume de utilizator =i "arol0 indi5erent de su3sistemul I/ la care se conecteaz0 angaFatul.
CAU:E
6 Ine;isten1a unor "roceduri adec'ate de conectare a utilizatorilor la re1ea*
6 Li"s0 corel0rii dintre atri3u1iile de ser'iciu =i 5i=ele de "ost ale salaria1ilor.
CONSECIN-E
6 Datorit0 num0rului mare de "arole ce tre3uiesc utilizate de salaria1i deseori
ace=tia noteaz0 "arolele "e documente l0sate "e 3irou. Ast5el salaria1ii cunosc "arolele
colegilor de ser'iciu "utEndu6se conecta la su3sistemele I/ 5olosindu6le datele de
identi5icare =i "rin urmare "utEnd s0 'izualizeze =i&sau modi5ice date a5late An acele
su3sisteme I/.
6 Practic sistemul de "arole nu mai are 5unc1ii "rinci"ale de restric1ionare a
accesului "ersoanelor ne"otri'ite ci Angreuneaz0 5unc1ionarea sistemului.
6 Jn situa1ia a"ari1iei unor incidente nu se "ot sta3ili res"onsa3ilit01ile adec'ate.
RECOMAND$RI
6 Realizarea unui "roces de reenginering la ni'elul sistemului I/ din cadrul
entit01ii "u3lice ast5el AncEt salaria1ii s0 "oat0 accesa su3sistemele I/ de care au
ne'oie utilizEnd un singur nume de utilizator =i o singur0 "arol0*
6 Sta3ilirea unui res"onsa3il "entru derularea acestui "roces reenginering al
sistemului I/
6 Im"lementarea unui sistem de ra"ortare "otri'it c0ruia res"onsa3ilul desemnat
s0 Antocmeasc0 "eriodic ra"oarte de acti'itate c0tre managementul general al
entit01ii "u3lice "rin care s0 s"eci5ice ac1iunile Antre"rinse*
6 Instruirea adec'at0 a salaria1ilor ce utilizeaz0 sistemul I/*
6 In5ormarea ec7i"ei de auditori An "ri'in1a stadiului ela3or0rii Ansu=irii =i
monitoriz0rii riscurilor.
TEST NR. (.G.
O8iectul te5tului: /ecuritatea !).
O8iecti4ele te5tului: %rogramele anti'viru"
De5crierea te5tului
Po"ula1ia statistic0 testat0 a 5ost constituit0 din totalul calculatoarelor "ersonale
utilizate la ni'elul entit01ii "u3lice adic0 (-$ de com"utere.
E=antionul "entru realizarea test0rii "rogramelor anti6'irus a 5ost sta3ilit "e 3aza
unui "rocent de (S din totalul "o"ula1iei de (-$ de calculatoare res"ecti' - calculatoare
"ersonale con5orm Foii de lucru nr. E.@.
veri&icare nr. E, po$. E.@ =i anume:
Ieri5icarea im"lementarea "rogramelor anti6'irus con5orm "rocedurilor:
- instalarea unui "rogram anti6'irus adec'at necesit01ilor utilizatorilor sta1iilor de
lucru*
- "rogramul anti6'irus s0 'eri5ice sta1ia de lucru la "ornire*
- "rogramul anti6'irus s0 monitorizeze toate "rogramele =i a"lica1iile acti'e
mesaFele "rimite =i s0 'eri5ice automat actualiz0rile la inter'ale regulate 9zilnic8*
- "rogramul anti6'irus s0 se actualizeze An re1ea ast5el AncEt s0 "roteFeze e5icient
datele electronice Am"otri'a 'iru=ilor nou6a"0ru1i.
Monitorizarea sistematic0 a 5unc1ionalit01ii "rogramelor anti6'irus*
Ieri5ica1i sistemul de actualizare a "rogramelor anti6'irus.
Con5tat;ri
! "olitic0 adec'at0 de securitate I/ tre3uie s0 "re'ad0 instalarea unui "rogram
anti6'irus "e toate sta1iile de lucru ca acesta s0 'eri5ice sta1ia de lucru la "ornire s0
monitorizeze toate "rogramele de a"lica1ii acti'e mesaFele "rimite =i s0 'eri5ice automat
actualiz0rile la inter'ale regulate 9"oate c7iar zilnic8.
Ec7i"a de auditori a 'eri5icat - de sta1ii de lucru selectate din cadrul tuturor
de"artamentelor.
Din analiza Li"tei de control nr. E.@. rezultate s6a constatat c0:
- Jn cazul a ( calculatoare din cadrul entit01ii "u3lice con5igura1ia "rogramului anti6
'irus a 5ost modi5icat0 "entru a Antreru"e monitorizarea Antregii acti'it01i =i 'eri5icarea
e6mail6ului =i An s"ecial a 5i=ierelor ane;ate. Acest lucru s6a realizat la cererea
conduc0torului de"artamentului deoarece se considera c0 "rogramul anti6'irus are un
e5ect negati' asu"ra "er5orman1ei sistemului*
- Drmare acestei constat0ri am 'eri5icat res"ecti'ele sta1ii de lucru "entru a desco"eri
"rezen1a 'iru=ilor =i am desco"erit c0 toate erau in5ectate cu 'iru=i.
Conclu9ii
Data: $#.$%.($$-
&OAIE DE #UCRU NR. (.G.
O8iectul (. : /79:(!)#)7# !)
!3iecti'ul : %rogramele anti'viru"
6 e=antionul se 'a constitui din calculatoarele e;istente An Lista IP6urilor
calculatoarelor ce se conecteaz0 la re1eaua entit01ii "u3lice la "ozi1iile:
## <# ### #<# (##
con5orm celor "rezentate An Lista de control ane;at0 la /estul nr. %...:
Data: $,.$%.($$-
Auditor Su"er'izor
#i5ta control nr. (.G.
privind %rogramele anti'viru"
Ele,ente
Te5tate

E)antion
Ieri5icarea im"lementarea "rogramelor anti6'irus con5orm "rocedurilor Monitorizarea
sistematic0 a
5unc1ionalit01ii
"rogramelor anti6
'irus
Ieri5icarea
sistemului de
actualizare a
"rogramelor
anti6'irus
Instalarea unui "rogram
anti6'irus adec'at
necesit01ilor utilizatorilor
sta1iilor de lucru
Programul anti6'irus s0
'eri5ic0 sta1ia de lucru la
"ornire
Programul anti6'irus
monitorizeaz0 toate
"rogramele =i a"lica1iile
acti'e mesaFele "rimite
=i 'eri5ic0 automat
actualiz0rile la inter'ale
regulate 9zilnic8
Programul anti6'irus se
actualizeaz0 An re1ea
ast5el AncEt s0 "roteFeze
e5icient datele
electronice Am"otri'a
'iru=ilor nou6a"0ru1i
9omputer
a&lat la
po$i+ia ;;
C C F F C C
9omputer
a&lat la
po$i+ia 6;
C C F C C C
9omputer
a&lat la
po$i+ia ;;;
:IAP :IAP :IAP :IAP :IAP :IAP
9omputer
a&lat la
po$i+ia ;6;
:IAP :IAP :IAP :IAP :IAP :IAP
9omputer
a&lat la
po$i+ia 2;;
ND C F C C C
Auditor Su"er'izor
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. (.G.
Perioada auditat0:
PRO"#EMA
Nea"licarea An mod unitar a "oliticii de securitate I/ a condus la in5ectarea cu
'iru=i a unor sta1ii de lucru din sistemul I/ al entit01ii "u3lice.
CONSTATARE
! "olitic0 adec'at0 de securitate I/ tre3uie s0 "re'ad0 instalarea unui "rogram
anti6'irus "e toate sta1iile de lucru ca acesta s0 'eri5ice sta1ia de lucru la "ornire s0
monitorizeze toate "rogramele de a"lica1ii acti'e mesaFele "rimite =i s0 'eri5ice automat
actualiz0rile la inter'ale regulate 9"oate c7iar zilnic8.
Ec7i"a de auditori a 'eri5icat #- de sta1ii de lucru selectate An mod aleator din
cadrul tuturor de"artamentelor =i a constatat urm0toarele:
6 Jn - de"artamente din cadrul entit01ii "u3lice con5igura1ia "rogramului anti6'irus a
5ost modi5icat0 "entru a Antreru"e monitorizarea Antregii acti'it01i =i 'eri5icarea e6
mail6ului =i An s"ecial a 5i=ierelor ane;ate. Acest lucru s6a realizat la cererea
conduc0torului de"artamentului deoarece se considera c0 "rogramul anti6'irus are
un e5ect negati' asu"ra "er5orman1ei sistemului*
6 Drmare acestei constat0ri am 'eri5icat res"ecti'ele sta1ii de lucru "entru a
desco"eri "rezen1a 'iru=ilor =i am desco"erit c0 toate erau in5ectate cu 'iru=i.
CAU:E
6 Ine;isten1a unei "roceduri "entru a"licarea An mod unitar a "oliticii de securitate I/*
6 Li"sa "rocedurilor 5ormalizate care s0 "re'ad0 ac1iunile ce tre3uiesc Antre"rinse An
cazul modi5ic0rii con5igura1iei "rogramului anti6'irus.
CONSECIN-E
6 Prezen1a 'iru=ilor =i a altor "rograme d0un0toare "e sta1iile de lucru a5ecteaz0 An
mod negati' acti'itatea utilizatorilor din cadrul de"artamentelor.
6 E;isten1a 'iru=ilor ridic0 numeroase semne de Antre3are An "ri'in1a e;actit01ii
datelor stocate An sistemul I/.
RECOMAND$RI
6 Ela3orarea "rocedurilor 5ormalizate care s0 "re'ad0 ac1iunile ce tre3uiesc
Antre"rinse An cazul modi5ic0rii con5igura1iei "rogramului anti6'irus*
6 Sta3ilirea unui res"onsa3il "entru ela3orarea =i actualizarea "rocedurilor*
6 Coro3orarea atri3u1iilor =i res"onsa3ilit01ilor sta3ilite "rin 5i=ele "osturilor cu
sarcinile sta3ilite "rin "roceduri*
6 Monitorizarea a"lic0rii An mod unitar a "oliticii de securitate I/*
6 Constituirea unor ec7i"e "entru e5ectuarea de 'eri5ic0ri anti6'irus la ni'elul
tuturor sta1iilor de lucru din cadrul entit01ii "u3lice*
I4T%:(I7 nr. $.1>.
privind recuperarea datelor 0n ca$ de de$a"tru
adre"at
domnului G*l*,oiu 85eorg5e, ,e& /erviciul #"i"ten+* )e5nic*
Nr.
crt.
9ntrebri Da Nu O85.
#.
Ela3orarea "lanului de recu"erare a datelor An caz de dezastru. C
a. A"ro3area "lanului de recu"erare a datelor An caz de
dezastru.
C
3. Desemnarea ec7i"ei de im"lementare a "lanului =i a
res"onsa3ilit01ilor adec'ate mem3rilor ec7i"ei
C
c. Comunicarea "lanului "ersonalului cu res"onsa3ilit01i An
"unerea An a"licare a acestuia An caz de dezastru. C
F!#%
nr.
E.;0.
d. Analiza1i dac0 "lanul de recu"erare a datelor a 5ost testat =i
modi5icat "eriodic An 3aza rezultatelor o31inute An urma test0rii C
F!#%
nr.
E.;0.
e. Cu"rinderea tuturor domeniilor de ac1iune im"ortante ale
entit01ii "u3lice An structura "lanului.
C
5. Identi5icarea "rinci"alele "rocese =i a"lica1ii I/ ce tre3uiesc
recu"erate
C
g. Analizarea im"lement0rii cerin1elor s"eci5ice "ri'ind
recu"erarea datelor An caz de dezastru la ni'elul sistemului I/.
C
(. Desemnarea res"onsa3ililor cu monitorizarea im"lement0rii
"rocedurilor "ri'ind recu"erarea datelor An caz de dezastru
C
). Luarea m0surilor necesare "ri'ind recu"erarea datelor An caz de
dezastru con5orm "rocedurilor
C
a. Ieri5ica1i dac0 datele stocate "entru a 5i recu"erate An caz de
dezastru sunt actualizate sistematic.
C
3. Sta3ili1i dac0 loca1ia An care sunt stocate datele "entru a 5i
recu"erate An caz de dezastru este adec'at0 C
F!#%
nr.
E.;0.
Data: $).$%.($$- Auditori Inter'ie'at
4-T#5
%e ba$a r*"pun"urilor la interviu ,i a documentelor tran"mi"e "'a 5ot*r1t ca pentru ace"t obiectiv "* "e
elabore$e F!#% nr. E.E. !n&orma+iile primite prin documentele tran"mi"e 0n cadrul interviului vor &i
utili$ate la elaborarea (aportului de audit intern.
&I'$ DE IDENTI&ICARE 'I ANA#I:$ A PRO"#EMEI NR. (.10.
Perioada auditat0:
PRO"#EMA
Nerecu"erarea datelor An cazul "roducerii unui e'entual dezastru.
CONSTATARE
Ec7i"a de auditori a constatat c0 de=i e;ist0 un Plan de recu"erare An caz de dezastru
a"ro3at acesta nu a 5ost niciodat0 nici testat nici comunicat mem3rilor c7eie ai entit01ii
"u3lice c0rora li se 'a cere s0 "un0 "lanul An a"licare An caz de dezastru. Este "osi3il ca
datele de rezer'0 s0 nu 5ie nici dis"oni3ile nici utiliza3ile con5orm "lani5ic0rii An cazul
An care ar 5i necesare "entru a realiza o recu"erare.
Din analiz0 a rezultat c0 de=i au 5ost amenaFate 5acilit01i An a=te"tare de recu"erare
a datelor An caz de dezastru acestea nu au 5ost testate "entru a se garanta c0 sunt
e5iciente 5unc1iona3ile =i actualizate "entru a 5ace 5a10 cerin1elor im"use de sc7im30rile
te7nologice im"lementate.
CAU:E
6 Ine;isten1a unei "roceduri "entru testarea Planului de recu"erare a datelor An caz de
dezastru*
6 Nea"licarea An mod unitar a "rocedurilor "ri'ind recu"erarea datelor An caz de
dezastru.
CONSECIN-E
6 Inca"acitatea de recu"erare com"let0 a datelor An caz de dezastru con5orm
cerin1elor "lani5icate*
6 Jntr6o situa1ia "roducerii unui dezastru acti'it01ile sta3ilite "rin "lanul de
recu"erare a datelor se "ot do'edi insu5iciente "entru atingerea o3iecti'elor
sta3ilite.
RECOMAND$RI
6 Alocarea de roluri =i res"onsa3ilit01i iar Planul a datelor An caz de dezastru tre3uie
comunicat tuturor "ersoanelor res"onsa3ile*
6 /estarea =i a"oi actualizarea "lanului ast5el AncEt s0 5aciliteze recu"erarea datelor cu
succes.
6 >acL6u"6urile tre3uie stocate An siguran10 An a5ara sediului.
6 Ieri5icarea tuturor e;em"larele de rezer'0 Anainte de 5i de"ozitate*
6 Monitorizarea sistematic0 de c0tre management a modului An care sunt a"licate
"rocedurilor "ri'ind recu"erarea datelor An caz de dezastru.
Cazac George >uce'sc7i Dan >adea Pte5an
Procedura P11: 'edina de Dnc6idere
ENTITATEA PU"#IC$
Com"artimentul Audit Intern
MIND/A PEDIN?EI DE JNCKIDERE
Misiunea de audit: /e7nologia In5orma1iei
Perioada auditat0: $#.$#.($$-6$#.$#.($$<
Jntocmit: Mariana >uta &Radu George Data: #-.$).($$<
A'izat: >uce'sc7i Dan Data: #-.$).($$<
8ista participanilor:
Nu,ele &uncia
Direcia0
Ser4iciul
Nr.
tele+on
E,ail Se,n;tura
>uce'sc7i Dan

Coordonat
or
CAPI
Mariana >uta Auditor SAPI
Radu George Auditor SAPI
Carol Dic7i6Iiorel Conduc0tor DI/
Ioiculescu Alin Pe5 S/DAM
>oerescu Ilie Pe5 SCD
/eodorescu Rodica Pe5 SEE
Eleodor Darius Pe5 SAPP
Iordac7e Camelia Pe5 SRC
P0un Elena Pe5 SSD
>adea Pte5an Pe5 SA/
Stenograma =edin1ei:
Prezentarea o3iecti'elor auditate si constat0rilor "entru 5iecare o3iect auditat* a 5ost
discutat0 5iecare de5icien10 An "arte au 5ost analizate cauzele care au contri3uit la
realizarea dis5unctionalit01ii au 5ost "rezentate recomand0rile care urmeaz0 a 5i
im"lementate "entru eliminarea de5icien1elor constatate.
In cadrul Sedintei de inc7idere structura auditata si6a insusit in totalitate constatarile si
recomandarile 5ormulate de ec7i"a de auditori.
In consecinta proiectul (aportului de audit intern de'ine (aport de audit intern &inal
care 'a 5i "regatit "entru a"ro3are si transmitere structurii auditate. Ra"ortul de audit
intern 'a 5i insotit de o SIN/EUA care 'a contine concluziile ec7i"ei de auditori
interni cu "rezentarea "rinci"alelor recomandari si o"inia generala a acesteia.
Structura auditata se angaFeaza sa com"leteze %lanul de actiune "i calendarul
implementarii recomandarilor cu termenele de realizare si "ersoanele res"onsa3ile cu
im"lementare acestora "e care il 'or discuta cu ec7i"a de auditori.

RAPORT DE AUDIT INTERN

MISIDNEA DE ADDI/ IN/ERN
PRIIIND
0I0T%M78 I4/-:M#TI1
I. INTRODUCERE
Ec6i*a de auditare a 5ost 5ormata din :
Mariana >uta 6 auditor su"erior cooordonator al misiunii*
Cazac George 6 auditor su"erior.
Auditorii 5ac "arte din Com"artimentul de Audit Intern al entitatii "u3lice.
Ordinul de e+ectuare a ,i5iunii de audit !rdinul de ser'iciu nr. (-&$,.$#.($$< a"ro3at de
conduc0torul entit01ii "u3lice.
"a9a le2al; a aciunii de auditare:
- Planul de audit intern "entru anul ($$< a"ro3at de conducerea institu1iei*
- Legea nr. <4(&($$( "ri'ind auditul "u3lic intern cu modi5icarile si com"letarile ulterioare*
- !M:P nr. ),&#-.$#.($$) "rin care se a"ro3a Normele metodologice de a"licare a Legii nr.
<4(&($$( cu modi5icarile si com"letarile ulterioare*
- !rdinul "rin care se a"ro3a Normele "ro"rii de e;ercitare a auditului intern An cadrul entitatii
"u3lice.
Durata aciunii de auditare (-.$#.($$< 2 #4.$%.($$<.
Perioada 5u*u5; audit;rii 2 $#.$#.($$- 2 )#.#(.($$-
Sco*ul ,i5iunii de audit intern este acela de e'aluare a acti'it01ii I/ de la ni'elul entitatii
"u3lice in ceea ce "ri'este res"ectarea conditiilor de legalitate economicitate e5icacitate de a
adauga 'aloare "rin 5ormularea recomandarilor iar in cazul identi5icarii unor
"ro3leme&iregularit01i de corectare a acestora.

O8iecti4ele ,i5iunii de audit intern:
Planul strategic@
Organi$area ,i &unc+ionarea -epartamentului !).
!mplementarea "i"temului !).
/ecuritatea !).
Ti*ul de auditare Ec7i"a de auditori interni a e5ectuat un audit de con5ormitate&regularitate
"ri'ind res"ectarea "rinci"iilor regulilor metodologice si "rocedurale in ceea ce "ri'este
acti'itatea I/ de la ni'elul entit01ii "u3lice.

Princi*alele te6nici 5i in5tru,ente de audit utili9ate:
interviul "entru l0murirea de as"ecte legate de organizarea =i des50=urarea
acti'it01ilor*
te"tarea "entru urmairea detectarii erorilor sau a iregularitatilor*
e,antionarea "entru analiza Antocmirii documentelor =i e5ectuarea "l01ilor*
ob"ervarea &i$ic* An 'ederea 5orm0rii unei "0reri "ro"rii "ri'ind modul de Antocmire =i
emitere a documentelor*
li"te de veri&icare "entru a sta3ili condi1iile "e care tre3uie s0 le Ande"lineasc0 5iecare
domeniu audita3il*
li"te de control*
c5e"tionare*
F!#%'uri intocmite "entru 5iecare dis5unctionalitate constatata*
Docu,ente )i ,ateriale eHa,inate Dn cadrul Direciei IT 6 'eri5icarea la 5a1a locului a 'izat
urm0toarele materiale =i documente:
Politica entit01ii "u3lice An domeniul I/*
Planul strategic =i "lanurile anuale "ri'ind sistemul I/ Antocmite =i a"ro3ate*
!rganigrama entit01ii "u3lice*
Regulamentul de !rganizare =i :unc1ionare si 5isele "osturilor*
legislatia in 'igoare "ri'ind acti'itatea I/*
manuale de utilizare =i manuale de o"erare*
"lanul de recu"erare An caz de dezastru*
"rocedurile a"lica3ile acti'it01ii I/*
alte documente.
Materialele Dntoc,ite *e ti,*ul audit;rii au 5ost urm0toarele:
teste si 5oi de lucru "ri'ind descrierea acti'it01ilor auditate*
5i=e de identi5icare si analiz0 a "ro3lemelor constatate 9:IAP8*
liste de 'eri5icare "e o3iecti'e 9LI8*
documente de lucru*
ta3el %uncte tari ,i puncte "labe
/ematica in detaliu*
Programul de audit Programul inter'en1iei la 5a1a locului*
C7estionarul de control intern*
ra"ort de audit minutele =edin1elor de desc7idere Anc7idere etc.
De*arta,entul IT este organizat ca direc1ie general0 An cadrul entit01ii "u3lice a'End un
num0r de 4 ser'icii de s"ecialitate. !rganizarea =i 5unc1ionarea ser'iciului au 5ost con5orme
organigramei =i Regulamentului de organizare =i 5unc1ionare.
Pentru to1i salaria1ii sunt Antocmite 5i=ele "osturilor "rin care sunt sta3ilite rela1iile
ierar7ice de su3ordonare =i sarcinile de ser'iciu.
Acti4it;i de5+;)urate Dn cadrul De*arta,entului IT:
te5noredactare ,i de$voltare aplica+ii multimedia.
comunica+ii date 0n &ormat electronic.
anali$a, proiectare ,i programare a "i"temului !).
admini"trare retele calculatoare.
a"i"ten+* te5nic* a utili$atorilor.
II. CONSTAT$RI SI RECOMANDARI
E'aluarea res"ectarii conditiilor de con5ormitate si regularitate a acti'it01ii de te7nologie
a in5orma1iei la ni'elul entit01ii "u3lice a "ornint de la ela3orarea "lanului strategic de5alcarea
acestuia An "lanuri anuale organizarea =i 5unc1ionarea de"artamentului I/ im"lementarea
sistemului in5ormatic si securitatea datelor din acest sistem =i s6a materializat in ela3orarea
listelor de 'eri5icare testelor 3azate "e esantionare 'eri5icarilor "rin listele de control o3ser'ari
5izice "e teren inter'iurilor care au condus la solicitarea unor note de relatii "rin care s6au
identi5icat o serie de "ro3leme si de5cien1elor care au 5ost inscrise in 5ormularele de constatare
9:IAP6uri8.
Analiza acti'itatii de ac7izitii "u3lice a im"us e'aluarea cadrului "rocedural e;istent care
sta la 3aza organizarii si 5unctionarii sistemului.
In continuare "rezentam "rinci"alele constatari consecintele care s6au "rodus sau care ar
"utea sa a"ara in "erioada imediat urmatoare "recum si recomandarile 5ormulate in 'ederea
corectarii dis5unctionalitatilor semnalate sau ale celor care "ot sa sur'ina urmare acestora
diminuarii riscurilor e;istente si im3unatatirii sistemelor de management si control intern al
acti'itatilor auditate cu sco"ul 5acilitarii atingerii o3iecti'elor "resta3ilite.

1. Plan 5trate2ic
1.1. Procedurile 5*eci+ice care re2le,entea9a acti4itatea de ac6i9itii *u8lice
Pentru realizarea o3iecti'elor tre3uie sa se asigure un ec7ili3ru intre sarcini com"etente
9autoritate decizionala con5erita "rin delegare8 si res"onsa3ilitati 9o3ligatia de a realiza
o3iecti'ele8 si sa se de5ineasca *roceduri.
%rocedurile repre$inta pa"ii ce trebuie urmati "i cuprind algoritmul pentru reali$area
"arcinilor, exercitarea competentelor, exi"tenta activitatilor de control in punctele c5eie "i
angaCarea re"pon"abilitatilor.
Pe 3aza "rocedurilor se monitorizeaza e;istenta si 5unctionalitatea controlului intern
ceea ce ne 'a da "osi3ilitatea sa constatam daca:
este integrat in sistemul de management al 5iecarei com"onente structurale a entitatii
"u3lice*
intra in griFa "ersonalului de la toate ni'elurile*
o5era o asigurare rezona3ila atingerii o3iecti'elor ince"and cu cele indi'iduale si
terminand cu cele generale.
In "ractica e;ist0 dou0 categorii de "roceduri:
- procedurile generale date de cadrul normati' res"ecti' de legi norme metodologice
"reciz0ri&instruc1iuni ela3orate de c0tre entitatea "u3lic0 in 'ederea organizarii
a"lic0rii unor reglement0ri de rang su"erior a"ro3ate de c0tre conduc0torul entit01ii
"u3lice sau c7iar de c0tre Gu'ern*
- proceduri "peci&ice "entru 5iecare acti'itate a entitatii "u3lice su3 5orma
metodologiilor de lucru care tre3uie s0 5ie:
"cri"e "i &ormali$ate "e su"ort de 7artie si&sau electronic care sa contina "e
5lu;urile o"eratiilor acti'itati de control res"onsa3ilitati modele de
documente cu e;em"li5icari res"ecti' 5ormalizate cuno=tin1ele indi'iduale
=i colecti'e care tre3uie stocate =i "use An ordinea care sa cores"unda
sco"urilor entit01ii "u3lice si aprobate de management*
"imple ,i "peci&ice "entru ca e;ecutan1ii s0 le "oata utiliza cu res"ectarea
cadrului normati' "entru 5iecare domeniu al entit01ii "u3lice*
completate "i actuali$ate 0n mod permanent An 5unc1ie de e'olu1ia
reglement0rilor si "racticii An materie*
adu"e la cuno,tin+a executan+ilor "entru a "utea 5i discutate insusite si
a"lica3ile in mod uni5orm.
Ec7i"a de auditori interni din analiza a constatat ca in cadrul -epartamentului !)
atri3uirea res"onsa3ilitatilor se"ararea sarcinilor si delegarea autoritatilor nu sunt sta3ilite "rin
"roceduri scrise si 5ormalizate care inca nu sunt ela3orate dar "asii care tre3uie "arcursi si
algoritmurile de calcul sunt cunoscute de catre salariati si se regasesc in R!: si in 5isele
"osturilor.
/otusi 5isele "osturilor desi e;ista si sunt semnate sunt "rea generale 5ara s"eci5icarea
"entru 5iecare "ost a atri3utiilor ce le re'in in con5ormitate cu cadrul normati'.
Persoanele im"licate in realizarea act'it01ii I/ sunt in5ormate des"re sarcinile care le
re'in dar nu sunt 5amiliarizati cu des5asurarea acti'itatii "e 3aza de "roceduri s"eci5ice 5iecarei
acti'itati.
Din aceste considerente "e "arcursul e'aluarii nu au 5ost testate "rocedurile de lucru
"entru des5asurarea acti'itatilor s"eci5ice "ri'ind acti'itatea I/ desi au 5ost cu"rinse in listele de
'eri5icate realizate "e o3iecti'ele misiunii de audit intern ci au 5ost urmarite o"eratiile si
acti'itatile audita3ile.
In 3aza acestor o3ser'atii se regaseste ca o recomandare generala la toate o3iecti'ele
misiunii de audit intern necesitatea ela3orarii "rocedurilor scrise si 5ormalizate.
1.!. Politica entit;ii *u8lice Dn do,eniul IT
Auditorii interni au analizat atEt "olitica entit01ii "u3lice An domeniul I/ cEt =i dac0
aceasta asigur0 atingerea o3iecti'elor entit01ii "u3lice. Jn acest sens a 5ost e;aminat modul An
care "olitica entit01ii "u3lice An domeniul I/ se re5lect0 An "lanul strategic =i An "lanurile anuale
50r0 a 5i constatate de5icien1e maFore.

1.%. Ela8orarea *lanului 5trate2ic )i a *lanurilor anuale
Acti'itatea de auditare "ri'ind acti'itatea I/ a analizat "lani5icarea realiz0rii sistemului
I/ "rin "lanuri strategice =i "lanuri anuale. In acest sens s6au in'entariat documentele o5iciale
"rin care au 5ost desemnate "ersoanele res"onsa3ile cu ela3orarea =i actualizarea "lanului
e;aminEndu6se dac0 res"onsa3ilit01ile sunt clar de5inite.
E'aluarea acti'it01ii de ela3orarea a "lanului strategic a 5ost e5ectuat0 "e 3aza analizei
sistemului de 5undamentare al acestuia =i a sistemului de "rioritizare al acti'it01ilor cu"rinse An
"lan 50r0 a 5i constatate as"ecte negati'e.
1.(. Su85i5te,ele IT *entru +unciile *rinci*ale
A 5ost 'eri5icat modul de ela3orare a su3sistemelor I/ "entru 5unc1iile "rinci"ale ale
entit01ii "u3lice corelarea termenelor de realizare a su3sistemelor "recum =i Antocmirea =i
realizarea "rogramului de instruire a utilizatorilor 5iec0rui su3sistem An "arte.
Ec7i"a de auditori a constatat e;isten1a unor de"artamente care nu dis"un de su3sisteme I/
s"eci5ice acti'it01ilor care se des50=oar0 An cadrul entit01ii "u3lice. Ast5el din analiz0 a rezultat
c0 An cadrul entit01ii "u3lice e;ist0 structuri nou6An5iin1ate ca urmare a recomand0rilor Comisiei
Euro"ene =i a sc7im30rilor legislati'e care nu au noti5icat de"artamentul I/ An "ri'in1a ne'oilor
lor de a"lica1ii in5ormatice s"eci5ice. Jn acela=i tim" s6au constatat =i de"artamente nou
An5iin1ate care au 5ost solicitate s06=i e;"rime ne'oile "entru realizarea su3sistemelor I/
s"eci5ice acti'it01ii lor dar care nu s6au realizat con5orm "lani5ic0rii.
Aceast0 situa1ie se datoreaz0 "e de o "arte ine;isten1ei la ni'elul entit01ii "u3lice a unor
"roceduri com"lete de ela3orare a strategiei I/ care s0 "ermit0 actualizarea sistematica 5unctie
de sc7im30rile legislati'e iar "e de alt0 "arte insu5icien1ei "ersonalului de s"ecialitate.
Ec7i"a de auditori consider0 c0 domenii im"ortante de acti'itate ale entit01ii "u3lice
"entru care nu s6a realizat im"lementarea su3sistemelor I/ necesare "entru des50=urarea
acti'it01ii au randamente sc0zute ceea ce a5ecteaz0 ansam3lul entit01ii "u3lice.
Pentru Am3un0t01irea acti'it01ii des501urate =i eliminarea de5cien1elor constatate au 5ost
ela3orate urm0toarele recomand0ri:
6 Ela3orarea unei "roceduri scrise =i 5ormalizate "entru actualizarea strategia I/ la ni'elul
entit01ii "u3lice "entru de"artamentele nou6create*
6 Sta3ilirea res"onsa3ilit01ii "entru actualizarea strategiei I/*
6 Preocu"are "entru angaFarea "ersonalului de s"ecialitate =i ocu"area "osturilor 'acante*
6 Coro3orarea atri3u1iilor "rezentate "rin "roceduri cu cele sta3ilite "rin 5i=ele "osturilor*
6 In'entarierea stadiului im"lement0rii su3sistemelor I/ la ni'elul de"artamentelor entit01ii
"u3lice =i sta3ilirea necesit01ilor I/ care tre3uiesc incluse An strategia I/.
!. Or2ani9area )i +uncionarea de*arta,entului IT
!.1. Or2ani9area de*arta,entului IT
Con5orm ogranigramei a"ro3ate la ni'elul conducerii entit01ii "u3lice de"artamentul este
constituit din =a"te ser'icii de s"ecialitate ast5el:
/erviciul de te5noredactare ,i de$voltare aplica+ii multimedia
/erviciul comunica+ii date
/erviciul exploatarea ec5ipamentelor
/erviciul anali$a, proiectare ,i programare
/erviciul retele calculatoare
/erviciul "inte$* de$voltare
/erviciul a"i"ten+* te5nic*.
Ec7i"a de auditori interni a analizat atEt num0r total de "osturi de conducere =i num0rul
de "osturi de conducere ocu"ate cu delega1ie cEt =i num0r total de "osturi de e;ecu1ie =i
num0rul de "osturi de e;ecu1ie 'acante.
Din analiza a rezultat ca =i de5icien10 e;isten1a unui num0r mare de "osturi de e;ecu1ie
'acante =i a unui num0r mare de "osturi de conducere de1inute cu delega1ie. S6a constatat c0
datorit0 num0rului mare de "osturi 'acante e;istente =i utiliz0rii sistemului de delegare a
"ersonalului s"ecializat "entru e;ercitarea 5unc1iilor de conducere ace=tia tre3uie s06=i
Ande"lineasc0 sarcinile de ser'iciu ce le re'in ca urmare a deleg0rii dar =i sarcinile curente de
ser'iciu ceea ce a5ecteaz0 Ande"linirea atri3u1iilor de ser'iciu =i calitatea acestora.
Aceast0 sitau1ie a 5ost creat0 ca urmare a ine;isten1ei atEt a unei strategii la ni'elul entit01ii
"u3lice "entru ocu"area "osturilor 'acante =i mai ales a celor de conducere cEt =i a unor
"roceduri "entru su"linirea "osturilor 'acante =i "entru delegarea 5unc1iilor de conducere.
Ast5el acti'itatea din cadrul unor de"artamente nu se des50=oar0 la "arametrii sta3ili1i
constatEndu6se 5rec'ent AntErzieri An im"lementarea di5eritelor a"lica1ii nerealizarea test0rilor
5inale la termenele "lani5icate "recum =i netransmiterea ra"oartelor "eriodice de monitorizare.
Din "ractic0 se demonstreaz0 c0 "ersoanele cu delega1ie nu au Antotdeauna acela=i ni'el de
im"licare "entru solu1ionarea "ro3lemelor care a"ar com"arati' cu titularii "osturilor.
6 Ela3orarea "rocedurilor scrise =i 5ormalizate "entru su"linirea "osturilor 'acante =i
delegarea 5unc1iilor de conducere "recum =i sta3ilirea res"onsa3ililor "entru ela3orarea =i
actualizarea acestor "roceduri*
6 Realizarea unui "rogram de "reg0tire "ro5esional0 a "ersoanelor delegate "e 5unc1ii de
conducere la ni'elul entit01ii "u3lice.
identi5icate
!.!. Anali9area *re2;tirii *ro+e5ionale continue a 5alariailor
Ec7i"a de auditori interni a analizat realizarea "reg0tirii "ro5esionale a salaria1ilor
con5orm atri3u1iilor =i res"onsa3ilit01ilor sta3ilite "rin 5i=a "ostului e;isten1a unui sistem de
indicatori de "er5orman10 "entru e'aluarea gradului de "reg0tire "ro5esional0 a acestora "recum
=i e;isten1a "lanului de "reg0tire "ro5esional0 continu0.
Din analiz0 s6a constatat ine;isten1a unui sistem de "reg0tire "ro5esional0 continu0 a
salaria1ilor de"artamentului I/. Ast5el a"ro;imati' ($S dintre angaFa1ii care au acces la
sistemul I/ im"lementat au 5ost angaFa1i An cadrul entit01ii "u3lice An ultimele ) luni =i nu au
"rimit o "reg0tire "ro5esional0 adec'at0 "ri'ind modul de utilizare a acestuia. Din totalul
"ersonalului angaFat s6a constatat c0 doar utilizatorii ini1iali au "rimit instruire An acest sens.
De asemenea instruc1iunile de utilizare "entru sistemul I/ nu sunt "rezentate Antr6un
5ormat adec'at res"ecti' nu e;ist0 manuale de utilizare An documenta1ia "us0 la dis"ozi1ia
de"artamentului. Ast5el maForitatea angaFa1ilor nu au instruc1iuni clare cu "ri'ire la modul de
o"erare a sistemului ceea ce duce la comiterea de erori.
Aceast0 situa1ie se datoreaz0 ine;isten1ei unui "lan de "reg0tire "ro5esional0 continu0 =i a
"rocedurilor scrise =i 5ormalizate cu "reg0tirea "ro5esional0 continu0.
De=i "En0 An "rezent nu au a"0rut erori cu gra'e im"lica1ii 5inanciare totu=i e;ist0 "ericolul
a"ari1iei unor "ro3leme&dis5unc1ionalit01i datorate "reg0tirii "ro5esionale a salaria1ilor.
Ela3orarea unui sistem de "reg0tire "ro5esional0 continu0 a salaria1ilor*
Ela3orarea "rocedurilor scrise =i 5ormalizate "entru "reg0tirea "ro5esional0 continu0*
Sta3ilirea unor res"onsa3ilit01i cu ela3orarea "rocedurilor =i actualizarea acestora*
Coro3orarea atri3u1iilor =i res"onsa3ilit01ilor sta3ilite "rin "roceduri cu 5i=ele "osturilor*
Analiza "lanului de "reg0tire "ro5esional0 continu0 =i al gradului de realizare al acestuia An
'ederea ela3or0rii "lanului "entru anul 'iitor*
Sta3ilirea res"onsa3ilit01ilor cu monitorizarea acestora o aten1ie deose3it0 5iind "entru
utilizatorii noi care tre3uie s0 "rimeasc0 instruire s"ecial0 "entru toate su3sistemele I/ "e
care le 'or utiliza con5orm unui "rogram 3ine sta3ilit.
!.%. EHa,inarea 5i5te,ului de 2e5tionare a ri5curilor 2enerale
Ec7i"a de auditori interni a 'eri5icat e;isten1a unei "olitici unitare "ri'ind gestionarea
riscurilor constatEnd ine;isten1a unui sistem de identi5icare e'aluare =i management al
riscurilor la ni'elul entit01ii "u3lice.
Din analiz0 a reie=it c0 nu e;ist0 "reocu"0ri "entru gestionarea riscurilor din cadrul
riscurilor. De asemenea s6a e'iden1iat neacordarea aten1iei cu'enite managementului riscurilor
de c0tre "ersonalul entit01ii "u3lice 5a"t ce ar "utea a'ea dre"t consecin10 "roducerea unor
e'enimente nedorite "entru care entitatea "u3lic0 nu este "reg0tit0 s0 ac1ioneze. Mai mult e;ist0
"ericolul de a nu 5i identi5icate riscuri maFore =i de a nu 5i asociate controale interne adec'ate
"entru reducerea e5ectului riscurilor la un ni'el acce"ta3il "entru entitatea "u3lic0.
6 Sta3ilirea res"onsa3ililor "entru ela3orarea =i actualizarea sistematic0 a "rocedurilor
"ri'ind Antocmirea Registrului riscurilor*
6 Coro3orarea atri3u1iilor =i res"onsa3ilit01ilor din "roceduri cu cele din 5i=a "ostului
re5eritor la gestionarea riscurilor*
6 Monitorizarea sistematic0 la cererea managerului res"onsa3il cu "ro3leme
administrati'e a modului de res"ectare An acti'itatea zilnic0 a "rocedurilor scrise =i
5ormalizate menite s0 asigure gestionare a riscului*
6 Instruirea "ersonalului "entru com"lectarea Registrului Riscurilor de c0tre res"onsa3ilul
cu 1inerea acestuia*
riscurilor.
%. I,*le,entarea 5i5te,ului IT
%.1. 1radul de reali9are al 5u85i5te,elor IT 5ta8ilite *rin *lan
Ec7i"a de auditori a constatat c0 su3sistemele I/ nu au 5ost realizate la termenele sta3ilite.
Din analiza modului de im"lementare a su3sistemelor I/ "otri'it "lanului anual Antocmit
=i a"ro3at s6a constatat c0 termenele sta3ilite nu sunt res"ectate iar de"artamentele ce ar tre3ui
s0 utilizeze deFa noile a"lica1ii I/ AntEm"in0 de5icien1e An transmiterea datelor An 5ormat
electronic celorlalte de"artamente care 3ene5iciaz0 deFa de "rograme "er5ormante. Persoane
im"licate ini1ial An aceste acti'it01i au "rimit alte res"onsa3ilit01i =i nu au 5ost desemnate al1i
salaria1i "entru Anlocuirea acestora iar ine;isten1a unei "roceduri de monitorizare a
im"lement0rii su3sistemelor I/ 5ace di5icil0 monitorizarea acti'it01ilor de c0tre managementul
general*
De5icienEele constatate au dus la nerealizarea su3sistemelor I/ la termenele sta3ilite ceea
ce Angreuiaz0 realizarea sarcinilor de ser'iciu An domenii c7eie de acti'itate ale entit01ii "u3lice
e;istEnd "osi3ilitatea a5ect0rii gradului de realizare a o3iecti'elor entit01ii "u3lice.
6 Ela3orarea "rocedurilor scrise =i 5ormalizate "entru monitorizarea im"lement0rii
su3sistemelor I/
6 Desemnarea res"onsa3ilit01ii cu realizarea =i actualizarea "rocedurilor*
6 E5ectuarea unor ins"ec1ii "entru sta3ilirea stadiului An care se a5l0 im"lementarea
su3sistemelor I/ s"eci5ice "e de"artamente*
%.!. Veri+icai eHi5tena controalelor 2enerale de 5i5te, la ni4elul
5u85i5te,elor IT
Ec7i"a de auditori a analizat:
Controlul datelor introduse An a"lica1ii
Controlul "e "arcursul "roces0rii datelor =i ra"oartele "roduse An caz de nerealizarea
"roces0rii 9Antreru"eri trans5er8
Controlul datelor rezultate An urma "roces0rii ast5el AncEt s0 se asigure c0 aceste date
sunt com"lecte
Ialidarea datelor trans5erate din alte a"lica1ii
Controalelor care 'eri5ic0 Anregistr0rile du3le*
Autorizarea electronic0 =i&sau manual0 a tranzac1iilor
E5ectuarea tranzac1iilor numai de la com"utere de5inite An "reala3il
P0strarea integral0 a Anregistr0rilor ast5el AncEt s0 se "oat0 urm0ri tranzac1iile e5ectuate
din 5aza de ini1iere "En0 la 5inalizarea lor*
Jn1elegerea controalelor im"lementate de c0tre utilizatori
Din analiz0 s6a constatat ine;isten1a controalelor generale im"lementate la ni'elul
su3sistemelor I/.
Din e'aluare a reie=it c0 nu e;ist0 un sistem de controale generale care 'or 5i a'ute An
'edere An "rocesul de "roiectare realizare testare =i im"lementare al tuturor su3sistemelor I/ ce
ruleaz0 "e ec7i"amentele entit01ii "u3lice ast5el:
6 Controlul "e "arcursul "roces0rii datelor =i ra"oartele "roduse An caz de nerealizarea
"roces0rii 9Antreru"eri trans5er8*
6 Controlul datelor rezultate An urma "roces0rii ast5el AncEt s0 se asigure c0 aceste date
sunt com"lecte*
Practic de=i sunt im"lementate anumite controale generale "ro"rii 5iec0rui su3sistem nu
e;ist0 un set unitar de controale generale im"lementat la ni'elul "rogramelor =i a"lica1iilor ce
ruleaz0 An cadrul sistemului I/. Jn 5a"t ine;isten1a "rocedurilor scrise =i 5ormalizate "ri'ind
im"lementarea unui set unitar de controalele generale Anc0 din 5aza de "roiecare a "rogramelor
=i&sau a"lica1iilor las0 la latitudinea "rogramatorilor im"lementare controalelor "e care ace=tia le
consider0 necesare.
Ine;isten1a unui set de controale generale armonizat "entru toate su3sistemele I/ "oate s0
conduc0 la nedetectarea modi5ic0rilor neautorizate aduse datelor "rocesate =i ast5el a"are
"ro3a3ilitatea ca date eronate s0 5ie introduse "relucrate =i stocate An sistemul I/.
6 Realizarea unui sistem de im"lementare al controalelor generale*
6 Im"lementarea controalelor generale la ni'elul tuturor su3sistemelor I/ "entru asigurarea
unui grad de siguran10 s"orit al integrit01ii datelor electronice*
6 Sta3ilirea unui res"onsa3il cu ela3orarea sistemului de controale generale =i cu
actualizarea "eriodic0 a acestuia*
6 Coro3orarea atri3u1iilor sta3ilite cu 5i=ele "ostului*
6 In5ormarea ec7i"ei de auditori cu "ri'ire la controalele generale im"lementate.
%.%. Situaia licenelor *entru *ro2ra,ele de calculator
Ec7i"a de auditori a analizat situa1ia licen1elor de1inute atEt "entru sistemul de o"erare
QindoOs cEt =i "entru "ac7etul de "rograme Microso5t !55ice. De asemenea s6a urm0rit
identi5icarea e'entualele limit0ri 3ugetare An "ri'in1a ac7izi1ion0rii licen1elor e'aluarea
e'entualelor dis5unc1ionalit01i a"0rute An "rocesul de ac7izi1ionare a licen1elor "recum =i
im"lementarea controalelor de sistem menite s0 alerteze administratorul An cazul utiliz0rii de
so5t6uri "entru care nu s6au ac7izi1ionat licen1e.
S6a constatat utilizarea An cadrul entit01ii "u3lice a unor "rograme so5tOare 50r0 licen10. Din
analiz0 a reie=it c0 An cadrul unor de"artamente se 5olosesc "rograme a5erente "ac7etului
Microso5t !55ice 50r0 ca "entru acestea entitatea "u3lic0 s0 5i ac7izi1ionat licen1e. De asemenea
la ni'elul sistemului I/ al entit01ii "u3lice s6a constatat ine;isten1a controalelor de sistem menite
s0 alerteze administratorul An cazul utiliz0rii de so5t6uri "entru care nu s6au ac7izi1ionat licen1e.
Entitatea "u3lic0 a ac7izi1ionat licen1e "entru "ac7etul de "rograme Lotus. Salaria1ii
entit01ii "u3lice au o3ser'at c0 de=i "rogramele Lotus le "ermit realizarea sarcinilor de ser'iciu
totu=i "rogramele cu"rinse An "ac7etul Microso5t !55ice sunt mai 5ia3ile mai 5le;i3ile =i "ermit
realizarea unui num0r mai mare de o"era1iuni. De asemenea aceast0 situa1ie a 5ost generat0 =i de
"rimirea de la alte entit01i "u3lice de 5i=iere electronice create cu "rogramele din "ac7etul
Microso5t !55ice.
So5t6urile nelicen1iate instalate de utilizatori "ot con1ine 'iru=i troieni sau alte "rograme ce
ar "utea a5ecta An mod gra' su3sistemele I/ la care au acces ace=ti utilizatori sau c7iar sistemul
I/ An ansam3lul s0u. Per"etuarea situa1iei "rezentate 5ace entitatea "u3lic0 "asi3il0 de amenzi
"entru utilizarea unor "rograme 50r0 licent0. Pentru Am3un0t01irea acti'it01ii des501urate =i
eliminarea de5cien1elor constatate au 5ost ela3orate urm0toarele recomand0ri:
Ela3orarea "rocedurilor "entru ela3orarea "rogramelor in5ormatice "entru alertarea
Sta3ilirea unui res"onsa3il cu ela3orarea "rocedurilor =i actualizarea lor*
Coro3orarea atri3u1iilor din "roceduri cu 5i=ele "osturilor*
In'entarierea tuturor sta1iilor de lucru "entru a sta3ili situa1ia real0 "ri'ind utilizarea
Dezinstalarea tuturor "rogramelor din "ac7etul Microso5t !55ice instalate ilegal*
Ela3orarea unui angaFament "rin care to1i salaria1ii entit01ii "u3lice s06=i asume Antreaga
Realizarea unei analize com"le;e cost&calitate An urma c0reia managementul entit01ii "u3lice
s0 decid0 dac0 este necesar0 ac7izi1ionarea unui num0r adec'at de licen1e Microso5t !55ice.
(. #an5area *rocedurii de licitatie de5c6i5a *entru atri8uirea contractului de ac6i9itie
*u8lica
(.1. E4aluarea controalelor +i9ice Dn do,eniul IT
Pentru "rotec1ia ec7i"amentelor I/ "recum =i a datelor An 5ormat electronic "relucrate
trans5erate =i&sau stocate la ni'elul acestor ec7i"amente An cadrul entit01ii "u3lice au 5ost
im"lementate controale 5izice ast5el:
camere de su"ra'eg7ere care aco"er0 zona de intrare An camera ser'erului monitorizate
"ermanent de ser'iciul ce asigur0 "aza cl0dirii*
senzori de mi=care*
sistem de alarm0 An caz de incendiu*
sistem de stingere a incendiilor*
ec7i"amente de aer condi1ionat*
u=i nein5lama3ile ec7i"ate cu Ancuietori adec'ate.
Practic s6a constatat c0 nu au 5ost instalate nici camere de su"ra'eg7ere care aco"er0 zona
de intrare An camera ser'erului monitorizate "ermanent de ser'iciul ce asigur0 "aza cl0dirii
"recum =i nici senzori de mi=care la ni'elul De"artamentul Resurse Dmane. Acast0 situa1ie a
5ost remediat0 An tim"ul misiunii de audit.
(.!. Si2urana acce5ului la reea )i a co,unic;rii datelor Dn reea
Jn urma misiunii de audit e5ectuate s6a constatat c0 maForitatea salaria1ilor din cadrul
entit01ii "u3lice "rin natura sarcinilor de ser'iciu tre3uie s0 acceseze mai multe su3sisteme I/
5a"t "entru care 5olosesc nume de utilizator =i "arole di5erite.
Sistemul I/ este conce"ut ast5el AncEt "entru accesul la 5iecare su3sistem I/ tre3uiesc
5olosite: nume de utilizator =i "arol0 di5erite An loc s0 se 5oloseasc0 acela=i nume de utilizator =i
"arol0 indi5erent de su3sistemul I/ la care se conecteaz0 angaFatul.
Datorit0 num0rului mare de "arole ce tre3uiesc utilizate de salaria1i deseori ace=tia
noteaz0 "arolele "e documente l0sate "e 3irou. Ast5el salaria1ii cunosc "arolele colegilor de
ser'iciu "utEndu6se conecta la su3sistemele I/ 5olosindu6le datele de identi5icare =i "rin urmare
"utEnd s0 'izualizeze =i&sau modi5ice date a5late An acele su3sisteme I/.
Practic sistemul de "arole nu mai are 5unc1ii "rinci"ale de restric1ionare a accesului
"ersoanelor ne"otri'ite ci Angreuneaz0 5unc1ionarea sistemului iar An situa1ia a"ari1iei unor
incidente nu se "ot sta3ili res"onsa3ilit01ile adec'ate.
6 Realizarea unui "roces de reenginering la ni'elul sistemului I/ din cadrul entit01ii
"u3lice ast5el AncEt salaria1ii s0 "oat0 accesa su3sistemele I/ de care au ne'oie
utilizEnd un singur nume de utilizator =i o singur0 "arol0*
6 Sta3ilirea unui res"onsa3il "entru derularea acestui "roces reenginering al sistemului
I/
6 Im"lementarea unui sistem de ra"ortare "otri'it c0ruia res"onsa3ilul desemnat s0
Antocmeasc0 "eriodic ra"oarte de acti'itate c0tre managementul general al entit01ii
"u3lice "rin care s0 s"eci5ice ac1iunile Antre"rinse*
6 Instruirea adec'at0 a salaria1ilor ce utilizeaz0 sistemul I/*
riscurilor.
(.%. Pro2ra,ele anti4iru5

Ec7i"a de auditori interni a 'eri5icat:
6 instalarea unui "rogram anti6'irus adec'at necesit01ilor utilizatorilor sta1iilor de lucru*
6 dac0 "rogramul anti6'irus 'eri5ic0 sta1ia de lucru la "ornire*
6 dac0 "rogramul anti6'irus monitorizeaz0 toate "rogramele =i a"lica1iile acti'e
mesaFele "rimite =i 'eri5ic0 automat actualiz0rile la inter'ale regulate 9zilnic8*
6 dac0 "rogramul anti6'irus s0 se actualizeaz0 An re1ea ast5el AncEt s0 "roteFeze e5icient
datele electronice Am"otri'a 'iru=ilor nou6a"0ru1i.
De asemenea a 5ost analizat modul de monitorizare sistematic0 a 5unc1ionalit01ii
"rogramelor anti6'irus.
S6a constatat nea"licarea An mod unitar a "oliticii de securitate I/ 5a"t ce a condus la
in5ectarea cu 'iru=i a unor sta1ii de lucru din sistemul I/ al entit01ii "u3lice. ! "olitic0 adec'at0
de securitate I/ tre3uie s0 "re'ad0 instalarea unui "rogram anti6'irus "e toate sta1iile de lucru
ca acesta s0 'eri5ice sta1ia de lucru la "ornire s0 monitorizeze toate "rogramele de a"lica1ii
acti'e mesaFele "rimite =i s0 'eri5ice automat actualiz0rile la inter'ale regulate 9"oate c7iar
zilnic8.
Jn urma 'eri5ic0rii la 5a1a locului a unui e=antion din sta1iile de lucru ce 5uncEioneaz0 An
sistemul I/ al entit01ii "u3lice s6au constatat urm0toarele de5icien1e:
2 Jn - de"artamente din cadrul entit01ii "u3lice con5igura1ia "rogramului anti6
'irus a 5ost modi5icat0 "entru a Antreru"e monitorizarea Antregii acti'it01i =i
'eri5icarea e6mail6ului =i An s"ecial a 5i=ierelor ane;ate. Acest lucru s6a realizat
la cererea conduc0torului de"artamentului deoarece se considera c0 "rogramul
anti6'irus are un e5ect negati' asu"ra "er5orman1ei sistemului*
2 Drmare acestei constat0ri am 'eri5icat res"ecti'ele sta1ii de lucru "entru a
desco"eri "rezen1a 'iru=ilor =i am desco"erit c0 toate erau in5ectate cu 'iru=i.
Consider0m c0 as"ectele negati'e constatate se datoreaz0 li"sei "rocedurilor 5ormalizate
care s0 "re'ad0 ac1iunile ce tre3uiesc Antre"rinse An cazul modi5ic0rii con5igura1iei "rogramului
anti6'irus.
Practic "rezen1a 'iru=ilor =i a altor "rograme d0un0toare "e sta1iile de lucru a5ecteaz0 An
mod negati' acti'itatea utilizatorilor din cadrul de"artamentelor. De asemenea e;isten1a
'iru=ilor ridic0 numeroase semne de Antre3are An "ri'in1a e;actit01ii datelor stocate An sistemul
I/.
2 Ela3orarea "rocedurilor 5ormalizate care s0 "re'ad0 ac1iunile ce tre3uiesc
Antre"rinse An cazul modi5ic0rii con5igura1iei "rogramului anti6'irus*
2 Sta3ilirea unui res"onsa3il "entru ela3orarea =i actualizarea "rocedurilor*
2 Coro3orarea atri3u1iilor =i res"onsa3ilit01ilor sta3ilite "rin 5i=ele "osturilor cu
sarcinile sta3ilite "rin "roceduri*
2 Monitorizarea a"lic0rii An mod unitar a "oliticii de securitate I/*
2 Constituirea unor ec7i"e "entru e5ectuarea de 'eri5ic0ri anti6'irus la ni'elul
tuturor sta1iilor de lucru din cadrul entit01ii "u3lice*
(.(. Recu*erarea datelor Dn ca9 de de9a5tru
a"ro3at acesta nu a 5ost niciodat0 nici testat nici comunicat mem3rilor c7eie ai entit01ii "u3lice
c0rora li se 'a cere s0 "un0 "lanul An a"licare An caz de dezastru. Ast5el este "osi3il ca datele de
rezer'0 s0 nu 5ie nici dis"oni3ile nici utiliza3ile con5orm "lani5ic0rii An cazul An care ar 5i
necesare "entru a realiza o recu"erare.
Din analiz0 a rezultat c0 de=i au 5ost amenaFate 5acilit01i An a=te"tare de recu"erare a
datelor An caz de dezastru acestea nu au 5ost testate "entru a se garanta c0 sunt e5iciente
5unc1iona3ile =i actualizate "entru a 5ace 5a10 cerin1elor im"use de sc7im30rile te7nologice
im"lementate.
Practic ine;isten1a unei "roceduri "entru testarea Planului de recu"erare a datelor An caz
de dezastru 5ace "osi3il0 nea"licarea An mod unitar a "rocedurilor "ri'ind recu"erarea datelor An
caz de dezastru. Din aceste considerente An situa1ia "roducerii unui dezastru acti'it01ile sta3ilite
"rin "lan se "ot do'edi insu5iciente "entru atingerea o3iecti'elor sta3ilite.
6 Alocarea de roluri =i res"onsa3ilit01i iar Planul a datelor An caz de dezastru tre3uie
comunicat tuturor "ersoanelor res"onsa3ile*
succes.
6 >acL6u"6urile tre3uie stocate An siguran10 An a5ara sediului.
6 Ieri5icarea tuturor e;em"larele de rezer'0 Anainte de 5i de"ozitate*
6 Monitorizarea sistematic0 de c0tre management a modului An care sunt a"licate
"rocedurilor "ri'ind recu"erarea datelor An caz de dezastru.
III. CONC#U:II
Prezentul proiect de (aport de audit intern a 5ost Antocmit An 3aza Listei centralizatoare a
o3iectelor audita3ile a Programului de audit =i a Programuui de inter'en1ie la 5a1a locului a
constat0rilor e5ectuate An tim"ul colect0rii =i "relucr0rii in5orma1iilor =i An tim"ul muncii "e
teren. /oate constat0rile au la 3aza "ro3e de audit o3tinute "e 3aza testelor e5ectuate consemnate
in documentele de lucru 9liste de control 5oi de lucru inter'iuri note de relatii8 intocmite de
auditorii interni si insusite de 5actorii de management ai entitatii.
E'aluarea are la 3aza discutiile care au a'ut loc cu "ri'ire la recomandarile auditorilor
interni in sedin1a de inc7idere a misiunii a"reciate de catre "artici"anti ca 5iind realiste si
5eza3ile.
De asemenea consideram ca rezultatele e'aluarii auditorilor interni "ri'ind Acti4itatea
IT se inscriu in "arametri normali "entru aceasta "erioada de im"lementare a 5unctiei de
te7nologia in5orma1iei An entit01ile "u3lice.
Jn consecinta a"reciem ca "rin im"lementarea recomandarilor ec7i"ei de audit intern
aci'itatea I/ 'a cunoaste o ameliorare semni5icati'a.
Structura auditat0 are o3liga1ia s0 Antocmeasc0 %rogramul de ac+iune 0n vederea
implement*rii recomand*rilor =i s0 ra"orteze ec7i"ei de auditori interni "eriodic stadiul de
im"lementare al acestora.
Data: #-.$).($$<
Auditori interni Su"er'izat
Cazac George
S I N T E : A
RAPORTU#UI DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit intern "ri'ind #ctivitatea !) din cadrul entitatii "u3lice s6a
des5asurat con5orm "re'ederilor Legii nr. 672/2002 privind auditul public intern, Normelor
generale privind exercitarea activitatii de audit public intern, aprobate prin OMF% nr. 3/2003
si a Normelor "peci&ice aprobate de conducerea entitatii. Misiunea a 5ost cu"rinsa in %lanul de
audit intern pe anul 2006 si a 5ost realizata de auditorii interni: Mariana >uta auditor su"erior
si Radu George auditor su"erior.
II. CONC#U:II
Ec7i"a de auditori interni in 3aza %rogramului de audit intern a testarilor si analizei
e5ectuate e'alueaza #ctivitatea de ac5i$itii publice din cadrul entitatii du"a cum urmeaza:
Nr.
crt.
O"IECTIVU# APRECIERE
&UNCTIONA# DE IM"UNATATIT CRITIC
#. %L#N /)(#)78!9 C
(. O(8#N!A#(7# B!
F:N9>!ON#(7#
-7%#()#M7N):L:! !)
C
). !M%L7M7N)#(7#
/!/)7M:L:! !)
C
%. /79:(!)#)7# !) C
III. CONSTATARI SI RECOMANDARI
Princi"alele constatari si recomandari rezultate din realizarea misiunii de audit sunt:
C!NS/A/ARE nr. #:
Din analiz0 s6a constatat c An cadrul entit01ii "u3lice e;ist0 structuri nou6An5iin1ate ca
urmare a recomand0rilor Comisiei Euro"ene =i a sc7im30rilor legislati'e care nu au noti5icat
de"artamentul I/ An "ri'in1a ne'oilor lor de a"lica1ii in5ormatice s"eci5ice. Jn acela=i tim" s6
au constatat =i de"artamente nou An5iin1ate care au 5ost solicitate s06=i e;"rime ne'oile
"entru realizarea su3sistemelor I/ s"eci5ice acti'it01ii lor dar care nu s6au realizat con5orm
"lani5ic0rii. 2F!#% nr. ;.;.3

REC!MANDARE nr. #:
6 In'entarierea stadiului im"lement0rii su3sistemelor I/ la ni'elul de"artamentelor entit01ii
"u3lice =i sta3ilirea necesit01ilor I/ care tre3uiesc incluse An strategia I/.
C!NS/A/ARE nr. (:
Din analiz0 s6a constatat c0 nu e;ist0 "reocu"0ri "entru gestionarea riscurilor din cadrul
riscurilor.
REC!MANDARE nr. (:
C!NS/A/ARE nr. ):
Din analiz0 s6a constatat c0 An cadrul unor de"artamente se 5olosesc "rograme a5erente
"ac7etului Microso5t !55ice 50r0 ca "entru acestea entitatea "u3lic0 s0 5i ac7izi1ionat licen1e.
REC!MANDARE nr. ):
6 In'entarierea tuturor sta1iilor de lucru "entru a sta3ili situa1ia real0 "ri'ind utilizarea
6 Dezinstalarea tuturor "rogramelor din "ac7etul Microso5t !55ice instalate ilegal*
6 Ela3orarea unui angaFament "rin care to1i salaria1ii entit01ii "u3lice s06=i asume Antreaga
6 Realizarea unei analize com"le;e cost&calitate An urma c0reia managementul entit01ii
Microso5t !55ice.
C!NS/A/ARE nr. %:
! "olitic0 adec'at0 de securitate I/ tre3uie s0 "re'ad0 instalarea unui "rogram anti6'irus
"e toate sta1iile de lucru ca acesta s0 'eri5ice sta1ia de lucru la "ornire s0 monitorizeze toate
"rogramele de a"lica1ii acti'e mesaFele "rimite =i s0 'eri5ice automat actualiz0rile la inter'ale
regulate 9"oate c7iar zilnic8.
Ec7i"a de auditori a 'eri5icat #- de sta1ii de lucru selectate An mod aleator din cadrul
tuturor de"artamentelor =i a constatat urm0toarele:
- Jn - de"artamente din cadrul entit01ii "u3lice con5igura1ia "rogramului anti6'irus a
5ost modi5icat0 "entru a Antreru"e monitorizarea Antregii acti'it01i =i 'eri5icarea e6mail6
ului =i An s"ecial a 5i=ierelor ane;ate. Acest lucru s6a realizat la cererea
conduc0torului de"artamentului deoarece se considera c0 "rogramul anti6'irus are un
e5ect negati' asu"ra "er5orman1ei sistemului*
- Drmare acestei constat0ri am 'eri5icat res"ecti'ele sta1ii de lucru "entru a desco"eri
"rezen1a 'iru=ilor =i am desco"erit c0 toate erau in5ectate cu 'iru=i.
REC!MANDARE nr. %:
- Monitorizarea a"lic0rii An mod unitar a "oliticii de securitate I/*
- Constituirea unor ec7i"e "entru e5ectuarea de 'eri5ic0ri anti6'irus la ni'elul tuturor
sta1iilor de lucru din cadrul entit01ii "u3lice*
C!NS/A/ARE nr. -:
a"ro3at acesta nu a 5ost niciodat0 nici testat nici comunicat mem3rilor c7eie ai entit01ii "u3lice
c0rora li se 'a cere s0 "un0 "lanul An a"licare An caz de dezastru. Este "osi3il ca datele de rezer'0
s0 nu 5ie nici dis"oni3ile nici utiliza3ile con5orm "lani5ic0rii An cazul An care ar 5i necesare
"entru a realiza o recu"erare.
Din analiz0 a rezultat c0 de=i au 5ost amenaFate 5acilit01i An a=te"tare de recu"erare a
datelor An caz de dezastru acestea nu au 5ost testate "entru a se garanta c0 sunt e5iciente
5unc1iona3ile =i actualizate "entru a 5ace 5a10 cerin1elor im"use de sc7im30rile te7nologice
im"lementate.
REC!MANDARE nr. -:
succes.
:ecomandare generala
Ela3orarea "rocedurilor scrise si 5ormalizate "entru toate acti'itatile care se des5asoara
in cadrul -epartamentului !). De asemenea "entru acti'itatile de ela3orare a "rocedurilor sa se
sta3ileasca res"onsa3ilii cu realizarea monitorizarea im"lementarii lor si actualizarea "eriodica.
Precizam ca in /inte$a au 5ost "rezentate :IAP6urile re"rezentati'e in numar de cinci
dar (aportul de audit intern cu"rinde #$ :IAP6uri.
Data: #-.$).($$<

Auditori interni Su"er'izat
Cazac George
P#ANU# DE AC-IUNE
'I
CA#ENDARU# IMP#EMENT$RII RECOMAND$RI#OR
Nr.
o8.
Reco,andarea Plan de aciune Calendarul
i,*le,ent;rii
Re5*on5a8il cu
i,*le,entarea
1. Ela3orarea unei "roceduri scrise =i
5ormalizate "entru actualizarea strategia
I/ la ni'elul entit01ii "u3lice "entru
de"artamentele nou6create
Ela3orarea "rocedurii "entru
actualizarea strategia I/ "entru
de"artamentele nou6create
)#.$-.($$< Eleodor Darius Ser'iciul
analiza "roiectare =i
"rogramare
Sta3ilirea res"onsa3ilit01ii "entru
actualizarea strategiei I/
Desemnarea "ersoanelor
res"onsa3ile cu actualizarea
strategiei I/
#,.$%.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Preocu"are "entru angaFarea
"ersonalului de s"ecialitate =i ocu"area
"osturilor 'acante
Noti5icarea De"artamentului
Resurse Dmane "entru
organizarea concursurilor An
'ederea ocu"0rii "osturilor
'acante
Direc1ia /e7nologia
In5orma1iei
Coro3orarea atri3u1iilor "rezentate "rin
"roceduri cu cele sta3ilite "rin 5i=ele
"osturilor
Analiza "rocedurilor =i a 5i=elor
de "ost =i actualizarea 5i=elor
(,.$4.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
In'entarierea stadiului im"lement0rii
su3sistemelor I/ la ni'elul
de"artamentelor entit01ii "u3lice =i
sta3ilirea necesit01ilor I/ care tre3uiesc
incluse An strategia I/
Realizarea in'entarierii
stadiului im"lement0rii
su3sistemelor I/ =i 5ormularea
"ro"unerilor de modi5icare a
strategiei I/
)#.$-.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
!. Ela3orarea "rocedurilor scrise =i
5ormalizate "entru su"linirea "osturilor
'acante =i delegarea 5unc1iilor de
conducere "recum =i sta3ilirea
res"onsa3ililor "entru ela3orarea =i
Ela3orarea "rocedurilor
=i sta3ilirea "ersoanelor
res"onsa3ile cu actualizarea
acestora
$#.$<.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
actualizarea acestor "roceduri
Realizarea unui "rogram de "reg0tire
"ro5esional0 a "ersoanelor delegate "e
5unc1ii de conducere la ni'elul entit01ii
"u3lice
Realizarea "rogramului $(.$-.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Realizarea unei strategii de ocu"are a
"osturilor de conducere de1inute cu
delega1ie =i a celor de e;ecu1ie 'acante
Ela3orarea strategiei #(.$-.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
Ela3orarea unui sistem de "reg0tire
"ro5esional0 continu0 a salaria1ilor =i
numirea unui res"onsa3il cu realizarea
acestuia
Analizarea necesit01ilor de
"reg0tire "ro5esional0
#..$-.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
Ela3orarea "rocedurilor scrise =i
5ormalizate "entru "reg0tirea
Ela3orarea "rocedurilor #..$-.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
Sta3ilirea unor res"onsa3ilit01i cu
ela3orarea "rocedurilor =i actualizarea
acestora
Sta3ilirea res"onsa3ilit01ilor $%.$-.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Coro3orarea atri3u1iilor =i
res"onsa3ilit01ilor sta3ilite "rin
"roceduri cu 5i=ele "osturilor
sintez0 dez'oltare
Analiza "lanului de "reg0tire
"ro5esional0 continu0 =i al gradului de
realizare al acestuia An 'ederea ela3or0rii
"lanului "entru anul 'iitor
Ela3orarea "lanului de "reg0tire
##.$<.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Sta3ilirea res"onsa3ilit01ilor cu
monitorizarea "reg0tirii "ro5esionale o
aten1ie deose3it0 5iind "entru utilizatorii
noi care tre3uie s0 "rimeasc0 instruire
s"ecial0 "entru toate su3sistemele I/ "e
care le 'or utiliza con5orm unui
"rogram 3ine sta3ilit
Sta3ilirea "ersoanelor
res"onsa3ile cu monitorizarea
Direc1ia /e7nologia
In5orma1iei
Sta3ilirea unei strategii de gestionare a
riscurilor la ni'elul entit01ii "u3lice
Ela3orarea strategiei #%.$-.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Sta3ilirea res"onsa3ililor "entru
ela3orarea =i actualizarea sistematic0 a
"rocedurilor "ri'ind Antocmirea
Sta3ilirea res"onsa3ililor #,.$%.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
res"onsa3ilit01ilor din "roceduri cu cele
din 5i=a "ostului re5eritor la gestionarea
riscurilor
sintez0 dez'oltare
!rganizarea =i 1inerea la zi a Registrului
riscurilor cu"rinzEnd m0surile de control
intern care sunt luate "entru limitarea
acestora
Ela3orarea Registrului
Riscurilor
#$.$-.($$< /eodorescu Rodica
Ser'iciul e;"loatarea
ec7i"amentelor
Monitorizarea sistematic0 la cererea
managerului res"onsa3il cu "ro3leme
administrati'e a modului de res"ectare
An acti'itatea zilnic0 a "rocedurilor scrise
=i 5ormalizate menite s0 asigure
gestionare a riscului
Realizarea monitoriz0rii /rimestrial la
solicitarea
managerului
/eodorescu Rodica
ec7i"amentelor
Instruirea "ersonalului "entru
com"lectarea Registrului Riscurilor de
c0tre res"onsa3ilul cu 1inerea acestuia
Realizarea instruirii #-.$-.($$< /eodorescu Rodica
ec7i"amentelor
In5ormarea ec7i"ei de auditori An
"ri'in1a stadiului ela3or0rii Ansu=irii =i
monitoriz0rii riscurilor
Noti5icarea "eriodic0 a ec7i"ei
de auditori asu"ra stadiului
im"lement0rii recomand0rilor
lunar P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
%. Ela3orarea "rocedurilor scrise =i
5ormalizate "entru monitorizarea
im"lement0rii su3sistemelor I/
Ela3orarea "rocedurilor )#.$-.($$< Eleodor Darius Ser'iciul
"rogramare
E5ectuarea unor ins"ec1ii "entru
sta3ilirea stadiului An care se a5l0
im"lementarea su3sistemelor I/
s"eci5ice "e de"artamente.
E5ectuarea ins"ec1iilor $#.$<.($$< >adea Pte5an Ser'iciul
asisten10 te7nic0
Realizarea unui sistem de im"lementare
al controalelor generale
Ela3orarea sistemului de
controale generale
$(.$-.($$< Eleodor Darius Ser'iciul
"rogramare
Im"lementarea controalelor generale la
ni'elul tuturor su3sistemelor I/ "entru
asigurarea unui grad de siguran10 s"orit
al integrit01ii datelor electronice*
Im"lementarea sistemului de
controale generale
)#.$-.($$< Eleodor Darius Ser'iciul
"rogramare
Sta3ilirea unui res"onsa3il cu ela3orarea
sistemului de controale generale =i cu
actualizarea "eriodic0 a acestuia
Sta3ilirea res"onsa3ilului ($.$%.($$< Eleodor Darius Ser'iciul
"rogramare
Coro3orarea atri3u1iilor sta3ilite cu
5i=ele "ostului
Analiza =i actualizarea 5i=elor
de "ost
#-.$-.($$< Eleodor Darius Ser'iciul
"rogramare
In5ormarea ec7i"ei de auditori cu "ri'ire
la controalele generale im"lementate
Noti5icarea "eriodic0 a ec7i"ei
de auditori asu"ra stadiului
im"lement0rii recomand0rilor
lunar P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Ela3orarea "rocedurilor "entru
ela3orarea "rogramelor in5ormatice
"entru alertarea administratorilor de
sistem
Ela3orarea "rocedurilor $).$-.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
Sta3ilirea unui res"onsa3il cu ela3orarea
"rocedurilor =i actualizarea lor
Sta3ilirea res"onsa3ilului ($.$%.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
Coro3orarea atri3u1iilor din "roceduri cu
5i=ele "osturilor
de "ost
(-.$%.($$< P0un Elena Ser'iciul
sintez0 dez'oltare
In'entarierea tuturor sta1iilor de lucru
"entru a sta3ili situa1ia real0 "ri'ind
utilizarea "rogramelor 50r0 licen10
E5ectuarea in'entarierii $(.$-.($$< /eodorescu Rodica
ec7i"amentelor
Dezinstalarea tuturor "rogramelor din
"ac7etul Microso5t !55ice instalate ilegal
Dezinstalarea "rogramelor din
"ac7etul Microso5t !55ice
instalate ilegal
$(.$-.($$< /eodorescu Rodica
ec7i"amentelor
Ela3orarea unui angaFament "rin care
to1i salaria1ii entit01ii "u3lice s06=i asume
Antreaga res"onsa3ilitate asu"ra
urm0rilor utiliz0rii de so5t6uri "irat
Ela3orarea angaFamentului ($.$%.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Realizarea unei analize com"le;e Realizarea analizei cost&calitate #-.$-.($$< P0trulescu Pte5an director
cost&calitate An urma c0reia
managementul entit01ii "u3lice s0 decid0
dac0 este necesar0 ac7izi1ionarea unui
num0r adec'at de licen1e Microso5t
!55ice
=i comunicarea rezultatelor
managementului entit01ii
"u3lice
Direc1ia /e7nologia
In5orma1iei
(. Realizarea unui "roces de reenginering
la ni'elul sistemului I/ din cadrul
entit01ii "u3lice ast5el AncEt salaria1ii s0
"oat0 accesa su3sistemele I/ de care au
ne'oie utilizEnd un singur nume de
utilizator =i o singur0 "arol0
Realizarea "rocesului de
reenginering la ni'elul
sistemului I/
$,.$-.($$< >adea Pte5an Ser'iciul
asisten10 te7nic0
Sta3ilirea unui res"onsa3il "entru
derularea acestui "roces reenginering al
sistemului I/
Sta3ilirea res"onsa3ilului ($.$%.($$< >adea Pte5an Ser'iciul
asisten10 te7nic0
Im"lementarea unui sistem de ra"ortare
"otri'it c0ruia res"onsa3ilul desemnat s0
Antocmeasc0 "eriodic ra"oarte de
acti'itate c0tre managementul general al
entit01ii "u3lice "rin care s0 s"eci5ice
ac1iunile Antre"rinse "entru 5acilitarea
accesului la su3sistemele I/
Im"lementarea sistemului de
ra"ortare
(4.$%.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Instruirea adec'at0 a salaria1ilor ce
utilizeaz0 sistemul I/
Realizarea instruirii
utilizatorilor
)$.##.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Ela3orarea "rocedurilor 5ormalizate care
s0 "re'ad0 ac1iunile ce tre3uiesc
Antre"rinse An cazul modi5ic0rii
con5igura1iei "rogramului anti'irus
Ela3orarea "rocedurilor $(.$-.($$< /eodorescu Rodica
ec7i"amentelor
Sta3ilirea unui res"onsa3il "entru
ela3orarea =i actualizarea "rocedurilor
Sta3ilirea res"onsa3ilului ($.$%.($$< /eodorescu Rodica
ec7i"amentelor
res"onsa3ilit01ilor sta3ilite "rin 5i=ele
"osturilor cu sarcinile sta3ilite "rin
de "ost
(-.$%.($$< /eodorescu Rodica
ec7i"amentelor
"roceduri
Monitorizarea a"lic0rii An mod unitar a
E5ectuarea monitoriz0rii )$.##.($$< /eodorescu Rodica
ec7i"amentelor
Constituirea unor ec7i"e "entru
e5ectuarea de 'eri5ic0ri anti6'irus la
ni'elul tuturor sta1iilor de lucru din
cadrul entit01ii "u3lice
Sta3ilirea ec7i"elor (-.$%.($$< /eodorescu Rodica
ec7i"amentelor
Alocarea de roluri =i res"onsa3ilit01i =i
comunicarea Planului de recu"erare a
datelor An caz de dezastru tuturor
"ersoanelor res"onsa3ile
Alocarea rolurilor =i
res"onsa3ilit01ilor =i
comunicarea "lanului
#-.$-.($$< Ioiculescu Alin Ser'iciul
de te7noredactare =i
dez'oltare a"lica1ii
multimedia
/estarea =i a"oi actualizarea "lanului
ast5el AncEt s0 5aciliteze recu"erarea
datelor cu succes
/estarea =i actualizarea "lanului $#.$<.($$< Ioiculescu Alin Ser'iciul
multimedia
>acL6u"6urile tre3uie stocate An
siguran10 An a5ara sediului
Alegerea unei loca1ii "entru
stocarea 3acL6u"6urilor
(,.$%.($$< P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Ieri5icarea tuturor e;em"larelor de
rezer'0 Anainte de 5i de"ozitate
Ieri5icarea tuturor e;em"larelor
de rezer'0
"ermanent Ioiculescu Alin Ser'iciul
multimedia
Monitorizarea sistematic0 de c0tre
management a modului An care sunt
a"licate "rocedurilor "ri'ind recu"erarea
datelor An caz de dezastru
E5ecturea monitoriz0rii An mod
sistematic
trimestrial P0trulescu Pte5an director
Direc1ia /e7nologia
In5orma1iei
Director Direc1ia /e7nologia In5orma1iei
P0trulescu Pte5an

Proiect Audit Intern

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Proiect Audit Intern

Încărcat de

Drepturi de autor:

Formate disponibile

MISIUNEA DE AUDIT INTERN

S-ar putea să vă placă și